Einrichtung von Bridge-Domänen in PVLANs auf Routern der MX-Serie

Angenommen, es handelt sich um eine Beispielbereitstellung, in der ein primäres VLAN mit dem Namen VP die Ports p1, p2, t1, t2, i1, i2, cx1 und cx2 enthält. Die Porttypen dieser konfigurierten Ports lauten wie folgt:

• Promiskuitive Ports = p1, p2

• ISL-Ports = t1, t2

• Isolierte Ports = i1, i2

• Community-VLAN = Cx

• Community-Ports = cx1, cx2

Bridge-Domänen werden für jedes der VLANs bereitgestellt, nämlich Vp, Vi und Vcx. Angenommen, die Bridge-Domänen sollen wie folgt konfiguriert werden:

Vp—BD_primary_Vp (enthaltene Ports sind p1, t1, i1, i2, cx1, cx2)

Vi – BD_isolate_Vi (enthaltene Ports sind p1, t1, *i1, *i2)

Vcx: BD_community_Vcx (enthaltene Ports sind p1, t1, cx1, cx2)

Die Bridge-Domänen für Community-, primäre und isolierte VLANs werden automatisch vom System intern erstellt, wenn Sie eine Bridge-Domäne mit einer Trunk-Schnittstelle, einer Zugriffsschnittstelle oder einer Interswitch-Verbindung konfigurieren. Die Bridge-Domänen enthalten dieselbe VLAN-ID, die den VLANs entspricht. Um Bridge-Domänen für PVLANs zu verwenden, müssen Sie die folgenden zusätzlichen Attribute konfigurieren:

• community-vlans option: Diese Option wird für alle Community-VLANs und für intern erstellte Community-BDs angegeben.

• isolated-vlan option - Diese Option gibt das VLAN-Tag an, das für die Isolations-BD verwendet werden soll, die intern für jedes PVLAN/BD erstellt wird. Diese Einstellung ist erforderlich.

• inter-switch-link Option mit der interface-mode trunk Anweisung auf der [edit interfaces interface-name family bridge] oder der Hierarchieebene [edit interfaces interface-name unit logical-unit-number family bridge] : Diese Konfiguration gibt an, ob die jeweilige Schnittstelle die Rolle der Interswitch-Verbindung für die PVLAN-Domänen übernimmt, deren Mitglied sie ist.

Sie können die vlan-id Konfigurationsanweisung für PVLAN-Ports verwenden, um die Portrolle zu identifizieren. Alle logischen Schnittstellen, die an PVLANs beteiligt sind, müssen mit einer VLAN-ID konfiguriert werden, und der Layer-2-Prozess verwendet dieses VLAN-Tag, um eine Portrolle als promiskuitiv, isoliert oder Community-Port zu klassifizieren, indem dieser Wert mit den VLANs verglichen wird, die in der PVLAN-Bridge-Domäne konfiguriert sind (unter Verwendung der bridge-domains Anweisung auf Hierarchieebene [edit] ). Die ISL-Portrolle wird durch die inter-switch-link Option identifiziert. Die VLAN-ID für den ISL-Port ist erforderlich und muss auf die primäre VLAN-ID festgelegt werden. Bei der ISL muss es sich um eine Trunk-Schnittstelle handeln. Eine Liste von VLAN-IDs ist nicht erforderlich, da der Layer-2-Prozess eine solche Liste intern basierend auf der Konfiguration der PVLAN-Bridge-Domäne erstellt. Für nicht getaggte promiskuitive, isolierte oder gemeinschaftliche, logische Schnittstellen oder Ports muss der Zugriffsmodus als Schnittstellenmodus verwendet werden. Für getaggte promiskuitive, isolierte oder Community-Schnittstellen muss der Trunk-Modus als Schnittstellenmodus angegeben werden.

Die Bridge-Domänenschnittstellenfamilien wurden erweitert, um Nur-Ingress- und Egress-Nur-Zuordnungen einzuschließen. Die Zuordnung für die Bridgedomäne der Schnittstellenfamilie (IFBD) wird wie folgt erstellt:

• Für BD_primary_Vp sind IFBD für i1, i2, cx1 und cx2 nur der Ausgang.

• BD_isolate_Vi ist IFBD für p1 nur der Ausgang und für i1 und i2 nur der Eingang.

• BD_community_Vcx sind IFBD für p1 nur Ausgang. VLAN-Übersetzungsregeln stellen sicher, dass die folgenden VLAN-Zuordnungen ordnungsgemäß funktionieren:

  • VLAN-Zuordnung auf promiskuitiven Ports: Auf promiskuitiven Ports wird das VLAN Vi dem VLAN VP auf Ausgangsschnittstellen zugeordnet. In ähnlicher Weise wird auf promiskuitiven Ports auch Vcx Vp zugeordnet.

  • VLAN-Zuordnung auf Isolationsports: Auf getaggten isolierten Ports wird das VLAN-Tag Vp beim Ausgang Vi zugeordnet.

  • VLAN-Zuordnung auf Community-Ports: Auf getaggten Community-Ports wird das VLAN-Tag Vp beim ausgehenden Datenverkehr Vcx zugeordnet.

Das System verwendet eine Management-Bridge-Domäne für PVLAN, die nur im Layer-2-Adresslernprozess PBD genannt wird, um die Bridge-Domäne für VLAN zu kennzeichnen. Diese Bridge-Domäne hat den gleichen Namen wie der vom Benutzer konfigurierte Name. Unter dieser Bridge-Domäne werden intern eine primäre PVLAN-Bridge-Domäne für das primäre VLAN, eine Isolations-Bridge-Domäne für das Isolations-VLAN und eine Community-Bridge-Domäne für jedes Community-VLAN programmiert. Möglicherweise sind separate Bridge-Domänen für die PVLAN-Ports nützlich, wenn Sie eine Richtlinie für ein bestimmtes Community-VLAN oder Isolations-VLAN konfigurieren möchten.

Die Management-Bridge-Domäne verwaltet eine Liste, die alle internen Bridge-Domänen enthält, die zu dieser PVLAN-Bridge-Domäne gehören. Isolations- und Community-Bridge-Domänen enthalten einen Zeiger oder ein Flag, um anzugeben, dass diese Bridge-Domäne für PVLANs bestimmt ist, und um die Informationen über den primären Bridge-Domänenindex und das primäre VLAN zu verwalten. Alle diese Informationen sind über die Bridgedomänenschnittstellen verfügbar, die dieser Bridgedomäne zugeordnet sind. Das MAC-Lernen findet nur in der primären Bridge-Domäne statt, und der MAC-Weiterleitungseintrag wird nur in der primären Bridge-Domäne programmiert. Daher verwenden die Isolationsbridgedomäne und alle Community-Bridgedomänen dieselbe Weiterleitungstabelle wie die primäre Bridgedomäne.

Für die Isolations-Bridge-Domäne fungieren BD_isolate_Vi, Isolationsports i1 und i2 als Nicht-Local-Switch-Zugriffsport, und die Flood-Gruppe für diese Bridge-Domäne enthält nur den promiskuitiven Port p1 und die ISL-Ports t1 und t2.