Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

使用 Pvlan 桥接功能

本主题介绍桥接如何在 MX 系列路由器上实施,将帮助您了解实施 PVLAN 桥接过程中涉及的独特增强措施。请考虑桥接域中的两个端口,各端口在不同 Fpc 和不同的数据包转发引擎上。当数据包进入端口时,以下为流,假设它是标记数据包:

  1. 作为启动过程,将执行 VLAN 查找以确定数据包的起始桥接域。查找结果将标识桥接域 id (bd_id)、网状组 id (mg_id)。借助这些参数,将发现为此桥接域配置的其他相关信息。

  2. 将执行源 MAC 地址(SMAC)查找,以确定此 MAC 地址是否已获知。如果不是已知地址,将向使用此桥接域映射的所有其他数据包转发引擎发送一个 MLP 数据包(用于向 MAC 学习芯片流流量的路由)。此外,还会向主机发送一个 MLP 数据包。

  3. 使用元组进行的目标 MAC 地址(DMAC)查找(网桥域 ID、VLAN 和目标 MAC 地址)。

  4. 如果观察到 MAC 地址的匹配项,则查找结果将指向下一跳跃出口。出口数据包转发引擎用于转发数据包。

  5. 如果在查找期间发生了遗漏,则洪水下一跳跃将使用网格组 ID 来确定数据包的泛滥。

在 PVLAN 桥接中,将考虑以下两个重要情况:仅允许到另一个端口转发的特定端口。遍历和使用结构带宽之后,会在出口接口上发生数据包丢弃。为避免丢弃流量,在遍历结构之前决定是否需要丢弃数据包,从而在 DoS 攻击期间保存结构带宽。由于存在多个重叠桥接域,这表示同一个端口(混杂或交换机间链路)在多个桥域中显示为一个成员,因此在一个端口中发现的 MAC 地址必须对另一个桥接域上的端口可见。例如,在混杂端口上了解的 MAC 地址必须对各种社区桥接域上的独立端口(隔离桥接域)和社区端口(社区桥接域)可见。

要解决此问题,共享 VLAN 可用于 PVLAN 桥接。在共享 VLAN 模型中,在所有端口上获知的所有 Mac 都存储在同一个桥接域(主 VLAN BD)和相同的 VLAN (主 VLAN)中。对数据包执行 VLAN 查找时,还将使用 PVLAN 端口、PVLAN 网桥域和 PVLAN 标记或 ID。共享 VLAN 方法发生以下过程:

  • 将执行源 MAC 地址(SMAC)查找,以了解是否了解此 MAC 地址。如果不是已知地址,将向使用此桥接域映射的所有其他数据包转发引擎发送一个 MLP 数据包(用于向 MAC 学习芯片流流量的路由)。此外,还会向主机发送一个 MLP 数据包。

  • 使用元组进行的目标 MAC 地址(DMAC)查找(网桥域 ID、VLAN 和目标 MAC 地址)。

  • 如果观察到 MAC 地址的匹配项,则查找结果将指向下一跳跃出口。出口数据包转发引擎用于转发数据包。

  • 如果在查找期间发生了遗漏,则洪水下一跳跃将使用网格组 ID 来确定数据包的泛滥。

  • 如果发生匹配,则组 ID 派生于 VLAN 查找表,并执行以下验证以实施主 VLAN 转发:

此处,{*} 是引用任何值的正则表达式表示法中的通配符。第1步可确保允许从混杂或交换机间链路端口到其他任何端口的所有转发。步骤2确保允许从任何端口到混杂或交换机间链路端口的所有转发。步骤3确保与另一个隔离端口的任何独立端口断开。步骤 4 确保仅允许同一社区 (X == Y) 内的社区端口转发,并在其跨社区(X 转发 Y)时≠转发。