Nội dung bài viết
1 Tạo Bridge
Trong pfSense, các bridge được thêm vào và loại bỏ tại Interfaces > Assignments trên tab Bridges. Sử dụng bridges, bất kỳ số lượng port nào cũng có thể được liên kết với nhau một cách dễ dàng. Mỗi bridge được tạo trong GUI cũng sẽ tạo ra một interface bridge mới trong hệ điều hành, được đặt tên là bridgeX, trong đó X bắt đầu từ 0 và tăng thêm một cho mỗi một bridge mới.
Để tạo một bridge:
- Điều hướng tới Interfaces > Assignments trên tab Bridges.
- Click Add để tạo một bridge mới.
- Chọn ít nhất một mục từ Member Interfaces. Chọn nhiều mục cần thiết bằng cách sử dụng Ctrl + Click.
- Add thêm một Description nếu muốn.
- Click Show Advanced Options để xem lại các thông số cấu hình còn lại nếu cần.
- Click Save để hoàn thành quá trình tạo bridge.
2 Các Tuỳ Chọn Bridge Nâng cao
Có rất nhiều tùy chọn nâng cao cho một bridge và các thành viên của nó.
2.1 Tuỳ Chọn Spanning Tree (Rapid)
Spanning Tree là một giao thức giúp switch và các thiết bị xác định xem có vòng lặp (loop) hay không và cắt bỏ nó khi cần thiết để ngăn vòng lặp gây hại cho network. Có khá nhiều tùy chọn kiểm soát spanning tree hoạt động cho phép đưa ra một số giả định về các port cụ thể hoặc đảm bảo rằng một số bridge nhất định được ưu tiên trong trường hợp vòng lặp hoặc các liên kết dư thừa.
Protocol
Cài đặt Protocol kiểm soát xem bridge có sử dụng Spanning Tree Protocol (STP) IEEE 802.1D hay Rapid Spanning Tree Protocol (RSTP) IEEE 802.1w. RSTP là một giao thức mới hơn và đúng như tên gọi, nó hoạt động nhanh hơn nhiều so với STP, nhưng tương thích ngược. Tiêu chuẩn IEEE 802.1D-2004 mới hơn dựa trên RSTP và làm cho STP trở nên lỗi thời.
Chỉ chọn STP khi switch cũ đang được sử dụng không hoạt động tốt với RSTP.
STP Interfaces
Danh sách STP Interfaces phản ánh các thành viên bridge mà STP được enable. Ctrl-Click để chọn các thành niên bridge sử dụng với STP
Valid Time
Đặt Valid Time cho cấu hình Spanning Tree Protocol. mặc định là 20 giây. Tối thiểu là 6 giây và tối đa là 40 giây.
Forward Time
Tuỳ chọn Forward Time đặt thời gian phải trôi qua trước khi interface bắt đầu forward các gói tin khi Spanning Tree được enable. Mặc định là 15 giây. Tối thiểu là 4 giây và tối đa là 30 giây.
Hello Time
Tuỳ chọn Hello Time đặt thời gian giữa việc phát các thông báo cấu hình Spanning Tree Protocol. Hello Time có thể được thay đổi khi hoạt động ở mode STP legacy. Mặc định là 2 giây. Tối thiểu là 1 giây và tối đa là 2 giây.
Bridge Priority
Bridge Priority cho Spanning Tree điều khiển việc bridge này có được chọn trước để block hay không nếu phát hiện thấy một vòng lặp. mặc định là 32768. Tối thiểu là 0 và tối đa là 61440. Giá trị phải là bội số của 4096. Các mức độ ưu tiên thấp hơn được ưu tiên hơn và các giá trị thấp hơn 32768 cho thấy khả năng đủ điều kiện trở thành root bridge.
Hold Count
Số lần Hold Count cho Spanning Tree là số lượng các gói tin được truyền trước khi bị giới hạn tốc độ. Mặc định là 6. Tối thiểu là 1 và tối đa là 10.
Port Priorities
Các trường Priority đặt mức độ ưu tiên của Spanning Tree cho mỗi một interface thành viên của bridge. Ưu tiên thấp hơn được ưu tiên khi quyết định ports nào sẽ block và ports nào vẫn forward. Mức độ ưu tiên mặc định là 128 và phải nằm giữa từ 0 đến 240.
Path Costs
Các trường Path Cost cài đặt path cost Spanning Tree cho mỗi thành viên bridge. Mặc định được tính từ tốc độ liên kết. Để thay đổi path cost đã chọn trước đó trở lại tự động, hãy set cost thành 0. Tối thiểu là 1 và tối đa là 200000000. Path cost thấp hơn được ưu tiên khi đưa ra quyết định về ports nào sẽ block và ports nào vẫn forward.
2.2 Cài Đặt Bộ Nhớ Cache
Cache Size set kích thước tối đa của bộ nhớ đệm cache địa chỉ bridge, tương tự như bảng MAC hoặc CAM trên switch. Mặc định là 100 mục nhập. Nếu có một số lượng lớn các thiết bị giao tiếp qua bridge, hãy set giá trị này cao hơn.
Cache entry expire time kiểm soát thời gian chờ của các mục nhập bộ nhớ đệm cache địa chỉ tính bằng giây. Nếu được đặt thành 0, thì các mục nhập trong bộ nhớ đệm cache địa chỉ sẽ không bị hết hạn. Giá trị mặc định là 240 giây (bốn phút).
2.3 Span Port
Việc chọn một interface làm port Span trên bridge sẽ truyền một bản copy của mọi frame mà bridge nhận được đến interface đã chọn. Điều này hữu ích nhất để theo dõi một mạng bridge một cách thụ động trên một host khác được kết nối với các port span của bridge với một cái gì đó như Snort, tcpdump,… Lựa chọn port span không phải là port member trên bridge.
2.4 Edge Ports / Automatic Edge Ports
Nếu một interface được đặt làm Edge port, nó luôn được giả định là được kết nối với thiết bị cuối và không bao giờ chuyển đổi; Nó giả định rằng port không bao giờ có thể tạo vòng lặp layer 2. Chỉ đặt điều này trên một port khi nó sẽ không bao giờ được kết nối với một switch khác. Theo mặc định, các port tự động phát hiện trạng thái edge, và chúng có thể được chọn trong các port Auto Edge để disable hành vi phát hiện edge tự động này.
2.5 PTP Ports / Automatic PTP Ports
Nếu một interface được đặt làm PTP port, nó luôn được giả định là được kết nối với một switch, và không phải thiết bị người dùng cuối; Nó giả định rằng port có thể tạo ra một vòng lặp layer 2. Nó chỉ nên được enable trên các port được kết nối với các switch hỗ trợ RSTP khác. Theo mặc định, các cổng tự động phát hiện trạng thái PTP, và chúng có thể được chọn trong PTP port tự động để disable hành vi phát hiện PTP tự động này.
2.6 Sticky Ports
Một giao diện được chọn trong Sticky Ports sẽ có các địa chỉ đã học động của nó được lưu vào bộ nhớ cache như thể chúng là tĩnh khi chúng vào bộ nhớ cache. Các mục Sticky không bao giờ bị xóa khỏi bộ nhớ cache địa chỉ, ngay cả khi chúng xuất hiện trên một interface khác. Điều này có thể được sử dụng một biện pháp bảo mật để đảm bảo rằng các thiết bị không thể di chuyển giữa các port một cách tùy ý.
2.7 Private Ports
Interface được đánh dấu là Private Port sẽ không giao tiếp với bất kỳ port nào khác được đánh dấu là Private Port. Điều này có thể được sử dụng để cô lập người dùng cuối hoặc các phần của mạng với nhau nếu chúng được kết nối với các bridge ports riêng biệt được đánh dấu theo cách này. Nó hoạt động tương tự như “Private VLANs” hoặc cô lập máy client trên một điểm truy cập không dây.
