各ブリッジグループには、ブリッジ仮想インターフェイス（BVI）が含まれます。Firepower Threat Defense デバイス は、ブリッジ グループから発信されるパケットの発信元アドレスとしてこの BVI IP アドレスを使用します。BVI IP アドレスはブリッジグループ メンバー インターフェイスと同じサブネット上になければなりません。BVI では、セカンダリ ネットワーク上のトラフィックはサポートされていません。BVI IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。

インターフェイス ベースの各機能はブリッジ グループのメンバー インターフェイスだけを指定でき、これらについてのみ使用できます。

ブリッジ グループのトラフィックは他のブリッジ グループから隔離され、トラフィックは Firepower Threat Defense デバイス 内の他のブリッジ グループにはルーティングされません。また、トラフィックは外部ルータから Firepower Threat Defense デバイス 内の別のブリッジ グループにルーティングされる前に、Firepower Threat Defense デバイス から出る必要があります。ブリッジング機能はブリッジ グループごとに分かれていますが、その他の多くの機能はすべてのブリッジ グループ間で共有されます。たとえば、syslog サーバまたは AAA サーバの設定は、すべてのブリッジ グループで共有されます。

1 つのブリッジグループにつき複数のインターフェイスを入れることができます。サポートされるブリッジグループとインターフェイスの正確な数については、ファイアウォール モードのガイドラインを参照してください。ブリッジグループごとに 2 つ以上のインターフェイスを使用する場合は、内部、外部への通信だけでなく、同一ネットワーク上の複数のセグメント間の通信を制御できます。たとえば、相互通信を希望しない内部セグメントが 3 つある場合、インターフェイスを別々のセグメントに置き、外部インターフェイスとのみ通信させることができます。または、インターフェイス間のアクセス ルールをカスタマイズし、希望通りのアクセスを設定できます。

次の図に、2 つのブリッジ グループを持つ、Firepower Threat Defense デバイス に接続されている 2 つのネットワークを示します。

各ブリッジ仮想インターフェイス（BVI）IP アドレスのほかに、別の 診断 スロット ポート インターフェイスを追加できます。このインターフェイスはどのブリッジ グループにも属さず、Firepower Threat Defense デバイス への管理トラフィックのみを許可します。

• ユニキャストの IPv4 および IPv6 トラフィックがブリッジグループを通過するにはアクセル ルールが必要です。

• ARP は、アクセス ルールなしで両方向にブリッジグループを通過できます。ARP トラフィックは、ARP インスペクションによって制御できます。

• IPv6 ネイバー探索およびルータ送信要求パケットは、アクセス ルールを使用して通過させることができます。

• ブロードキャストおよびマルチキャスト トラフィックは、アクセス ルールを使用して通過させることができます。

アクセス ポリシーで許可されている場合、以下の宛先 MAC アドレスをブリッジグループで使用できます（レイヤ 3 トラフィックの許可を参照）。このリストにない MAC アドレスはドロップされます。

• FFFF.FFFF.FFFF の TRUE ブロードキャスト宛先 MAC アドレス

• 0100.5E00.0000 ～ 0100.5EFE.FFFF までの IPv4 マルチキャスト MAC アドレス

• 3333.0000.0000 ～ 3333.FFFF.FFFF までの IPv6 マルチキャスト MAC アドレス

• 0100.0CCC.CCCD の BPDU マルチキャスト アドレス

スパニング ツリー プロトコルの使用によるループを回避するため、BPDU はデフォルトで通過します。

ブリッジ グループ内のトラフィックでは、パケットの発信インターフェイスは、ルート ルックアップではなく宛先 MAC アドレス ルックアップを実行することによって決定されます。

ただし、次のトラフィック タイプにはルート ルックアップが必要です。

• Firepower Threat Defense デバイス で発信されたトラフィック：たとえば、syslog サーバがリモート ネットワークにある場合は、Firepower Threat Defense デバイス がそのサブネットに到達できるようにデフォルト/スタティック ルートを使用する必要があります。

• Firepower Threat Defense デバイス から少なくとも 1 ホップ離れており、Firepower Threat Defense デバイス が NAT を実行するトラフィック：Firepower Threat Defense デバイス がブリッジ グループ インターフェイスに入ったパケットに対して NAT を実行し、そのパケットがリモート ネットワークからのものだった場合、そのネットワークの Firepower Threat Defense デバイス のスタティック ルートを設定する必要があります。

  
  
  

  1. 内部ホスト 10.1.1.75 が Web サーバにパケットを送信すると、パケットの実際の送信元アドレス 10.1.1.75 はマッピング アドレス 209.165.201.15 に変更されます。

  2. サーバが応答すると、マッピング アドレス 209.165.201.15 に応答を送信し、Firepower Threat Defense デバイス がそのパケットを受信します。これは、アップストリーム ルータには、Firepower Threat Defense デバイス の管理 IP アドレスに転送されるスタティック ルートのこのマッピング ネットワークが含まれるためです。

  3. その後、Firepower Threat Defense デバイス はマッピング アドレス 209.165.201.15 を変換して実際のアドレス 10.1.1.1.75 に戻します。実際のアドレスは直接接続されているため、Firepower Threat Defense デバイス はそのアドレスを直接ホストに送信します。

  4. ホスト 192.168.1.2 の場合も、リターン トラフィックを除き、同じプロセスが発生します。Firepower Threat Defense デバイス はルーティング テーブルでルートを検索し、192.168.1.0/24 の Firepower Threat Defense デバイス スタティック ルートに基づいてパケットを 10.1.1.3 にあるダウンストリーム ルータに送信します。

• エンドポイントが Firepower Threat Defense デバイス から少なくとも 1 ホップ離れている Voice over IP（VoIP）と DNS トラフィック：たとえば、あるブリッジグループ メンバー インターフェイスに CCM があり、別のブリッジグループ メンバー インターフェイスにルータと H.323 ゲートウェイがある場合、H.323 ゲートウェイであるルータの正常なコール完了のために、Firepower Threat Defense デバイス にスタティック ルートを追加する必要があります。検査されるトラフィックに対して NAT を有効化すると、スタティック ルートは、パケットに埋め込まれている本当のホスト アドレスの出力インターフェイスを決定する必要があります。影響を受けるアプリケーションは次のとおりです。

  • DNS

  • H.323

  • RTSP

  • SIP

  • Skinny（SCCP）

  • SunRPC

  • TFTP

次の表に、トランスペアレント モードのブリッジ グループでサポートされない機能を示します。