This is an archive of past FreeBSD releases; it's part of the FreeBSD Documentation Archive.
Manchmal ist es nützlich, ein physikalisches Netzwerk (wie ein Ethernetsegment) in zwei separate Netzwerke aufzuteilen, ohne gleich IP-Subnetze zu erzeugen, die über einen Router miteinander verbunden sind. Ein Gerät, das zwei Netze auf diese Weise verbindet, wird als Bridge bezeichnet. Jedes FreeBSD-System mit zwei Netzkarten kann als Bridge fungieren.
Die Bridge arbeitet, indem sie die MAC Layeradressen (Ethernet Adressen) der Geräte in ihren Netzsegmenten lernt. Der Verkehr wird nur dann zwischen zwei Netzsegmenten weitergeleitet, wenn sich Sender und Empfänger in verschiedenen Netzsegmenten befinden.
In vielerlei Hinsicht entspricht eine Bridge daher einem Ethernet-Switch mit sehr wenigen Ports.
Eine Bridge wird vor allem in folgenden zwei Situationen verwendet.
In der ersten Situation wird Ihr physikalisches Netz mit Datenverkehr überschwemmt. Aus irgendwelchen Gründen wollen Sie allerdings keine Subnetze verwenden, die über einen Router miteinander verbunden sind.
Stellen Sie sich einen Zeitungsverlag vor, in dem sich die Redaktions- und Produktionsabteilungen in verschiedenen Subnetzen befinden. Die Redaktionsrechner verwenden den Server A für Dateioperationen, und die Produktionsrechner verwenden den Server B. Alle Benutzer sind über ein gemeinsames Ethernet-LAN miteinander verbunden. Durch den hohen Datenverkehr sinkt die Geschwindigkeit des gesamten Netzwerks.
Würde man die Redaktionsrechner und die Produktionsrechner in separate Netzsegmente auslagern, könnte man diese beiden Segmente über eine Bridge verbinden. Nur der für Rechner im anderen Segment bestimmte Verkehr wird dann über die Brigde in das andere Netzsegment geleitet. Dadurch verringert sich das Gesamtdatenaufkommen in beiden Segmenten.
Die zweite häufig anzutreffende Situation tritt auf, wenn Firewallfunktionen benötigt werden, ohne dass IP-Maskierung (NAT - Network Adress Translation) verwendet wird.
Ein Beispiel dafür wäre ein kleines Unternehmen, das über DSL oder ISDN an ihren ISP angebunden ist. Es verfügt über 13 weltweit erreichbare IP-Adressen, und sein Netzwerk besteht aus 10 Rechnern. In dieser Situation ist die Verwendung von Subnetzen sowie einer routerbasierten Firewall schwierig.
Eine brigdebasierte Firewall kann konfiguriert und in den ISDN/DSL-Downstreampfad ihres Routers eingebunden werden, ohne sich um IP-Adressen kümmern zu müssen.
Eine Bridge benötigt mindestens zwei Netzkarten. Leider sind unter FreeBSD 4.x nicht alle verfügbaren Netzkarten dafür geeignet. Lesen Sie bridge(4), um sich über Details der unterstützten Karten zu informieren.
Installieren und testen Sie beide Netzkarten, bevor Sie fortfahren.
Um die Kernelunterstützung für die LAN-Kopplung zu aktivieren, fügen Sie
options BRIDGE
in Ihre Kernelkonfigurationsdatei ein, und erzeugen einen neuen Kernel.
Wenn Sie die Bridge als Firewall verwenden wollen, müssen Sie zusätzlich die Option IPFIREWALL einfügen. Die Konfiguration von Firewalls wird in Abschnitt 10.8 beschrieben.
Wenn Sie Nicht-IP-Pakete (wie ARP-Pakete) durch Ihre Bridge leiten wollen, müssen Sie eine zusätzliche, undokumentierte Option verwenden. Es handelt sich um IPFIREWALL_DEFAULT_TO_ACCEPT. Beachten Sie aber, dass Ihre Firewall durch diese Option per Voreinstellung alle Pakete akzeptiert. Sie sollten sich also über die Auswirkungen dieser Option im Klaren sein, bevor Sie sie verwenden.
Wenn Sie die Bridge als Traffic-Shaper verwenden wollen, müssen Sie die Option DUMMYNET in Ihre Kernelkonfigurationsdatei einfügen. Lesen Sie dummynet(4), um weitere Informationen zu erhalten.
Fügen Sie die Zeile
net.link.ether.bridge=1
in /etc/sysctl.conf ein, um die Bridge zur Laufzeit zu aktivieren, sowie die Zeile
net.link.ether.bridge_cfg=if1,if2
um die LAN-Kopplung für die festgelegten Geräte zu ermöglichen (ersetzen Sie dazu if1 und if2 mit den Namen Ihrer Netzkarten). Wenn Sie die Datenpakete via ipfw(8) filtern wollen, sollten Sie zusätzlich Folgendes einfügen:
net.link.ether.bridge_ipfw=1
Wenn Sie via telnet auf die Bridge zugreifen wollen, ist es in Ordnung, einer der beiden Netzkarten eine IP-Adresse zuzuweisen. Es besteht Einigkeit darüber, dass es eine schlechte Idee ist, beiden Karten eine IP-Adresse zuzuweisen.
Wenn Sie verschiedene Bridges in Ihrem Netzwerk haben, kann es dennoch nicht mehr als einen Weg zwischen zwei Arbeitsplätzen geben. Das heißt, Spanning tree link Management wird nicht unterstützt.
Eine Bridge kann, besonders für Verkehr über Segmente, die Laufzeiten von Paketen erhöhen.
| Zurück | Zum Anfang | Weiter |
| Drahtlose Netzwerke | Nach oben | NFS - Network File System |
Wenn Sie Fragen zu FreeBSD haben, schicken Sie eine E-Mail an
<de-bsd-questions@de.FreeBSD.org>.
Wenn Sie Fragen zu dieser Dokumentation haben, schicken Sie eine E-Mail an <de-bsd-translators@de.FreeBSD.org>.