Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Bridging-Funktionen mit PVLANs

In diesem Thema wird beschrieben, wie Bridging auf Routern der MX-Serie implementiert wird, um die einzigartigen Verbesserungen bei der Implementierung von PVLAN-Bridging-Verfahren besser zu verstehen. Stellen Sie sich zwei Ports in einer Bridging-Domäne mit den entsprechenden Ports auf unterschiedlichen FPCs und unterschiedlichen Paketweiterleitungs-Engines vor. Wenn ein Paket einen Port erreicht, sieht der folgende Ablauf aus, vorausgesetzt, es handelt sich um ein markiertes Paket:

  1. Als Startvorgang wird eine VLAN-Suche durchgeführt, um festzustellen, welche Bridging-Domäne das Paket bildet. Das Ergebnis der Suche identifiziert die Bridging-Domänen-ID (bd_id) und die Mesh-Gruppen-ID (mg_id). Mit diesen Parametern werden andere verwandte Informationen, die für diese Bridging-Domäne konfiguriert sind, ermittelt.

  2. Es wird eine Suche nach der Quell-MAC-Adresse (SMAC) durchgeführt, um herauszufinden, ob diese MAC-Adressen gelernt wurden oder nicht. Wenn es sich nicht um eine gelernte Adresse handelt, wird ein MLP-Paket (Route for flooding traffic to MAC learning chips) an alle anderen Paketweiterleitungs-Engines gesendet, die dieser Bridging-Domäne zugeordnet sind. Darüber hinaus wird auch ein MLP-Paket an den Host gesendet.

  3. Eine DMAC-Suche (Destination MAC Address) mithilfe des Tupels (Bridge-Domänen-ID, VLAN und MAC-Zieladresse).

  4. Wenn eine Übereinstimmung für die MAC-Adresse beobachtet wird, verweist das Ergebnis der Suche auf den nächsten Hop des Ausgangs. Die Egress Packet Forwarding Engine wird verwendet, um das Paket weiterzuleiten.

  5. Wenn während der Suche ein Fehler auftritt, wird der nächste Flood-Hop anhand der Mesh-Gruppen-ID bestimmt, um das Paket zu überfluten.

Die folgenden zwei wesentlichen Bedingungen werden bei der PVLAN-Überbrückung berücksichtigt: Es ist nur eine bestimmte Portweiterleitung zu einem anderen Port zulässig. Auf der Ausgangsschnittstelle kommt es zu einem Paketverlust, nachdem die Fabric-Bandbreite durchlaufen und verbraucht wurde. Um Datenverkehrsverluste zu vermeiden, wird die Entscheidung, ob das Paket verworfen werden muss, vor dem Durchlaufen der Fabric getroffen, wodurch die Fabric-Bandbreite bei DoS-Angriffen eingespart wird. Da mehrere überlappende Bridge-Domänen vorhanden sind, was bedeutet, dass derselbe Port (Promiscuous- oder Interswitch-Link) als Mitglied in mehreren Bridge-Domänen angezeigt wird, müssen die MAC-Adressen, die an einem Port gelernt wurden, für Ports in einer anderen Bridge-Domäne sichtbar sein. Beispielsweise muss eine MAC-Adresse, die auf einem promiskuitiven Port gelernt wurde, sowohl für einen isolierten Port (isolierte Bridge-Domäne) als auch für einen Community-Port (Community-Bridge-Domäne) in den verschiedenen Community-Bridge-Domänen sichtbar sein.

Um dieses Problem zu beheben, wird ein gemeinsam genutztes VLAN für PVLAN-Bridging verwendet. Beim Shared-VLAN-Modell werden alle MACs, die über alle Ports hinweg gelernt wurden, in derselben Bridge-Domäne (primäres VLAN BD) und demselben VLAN (primäres VLAN) gespeichert. Wenn die VLAN-Suche für das Paket abgeschlossen ist, werden auch der PVLAN-Port, die PVLAN-Bridge-Domäne und das PVLAN-Tag oder die PVLAN-ID verwendet. Die folgenden Prozesse treten mit einer gemeinsam genutzten VLAN-Methodik auf:

  • Es wird eine Suche nach der Quell-MAC-Adresse (SMAC) durchgeführt, um herauszufinden, ob diese MAC-Adresse gelernt wurde oder nicht. Wenn es sich nicht um eine gelernte Adresse handelt, wird ein MLP-Paket (Route for flooding traffic to MAC learning chips) an alle anderen Paketweiterleitungs-Engines gesendet, die dieser Bridging-Domäne zugeordnet sind. Darüber hinaus wird auch ein MLP-Paket an den Host gesendet.

  • Eine DMAC-Suche (Destination MAC Address) mithilfe des Tupels (Bridge-Domänen-ID, VLAN und MAC-Zieladresse).

  • Wenn eine Übereinstimmung für die MAC-Adresse beobachtet wird, verweist das Ergebnis der Suche auf den nächsten Hop des Ausgangs. Die Egress Packet Forwarding Engine wird verwendet, um das Paket weiterzuleiten.

  • Wenn während der Suche ein Fehler auftritt, wird der nächste Flood-Hop anhand der Mesh-Gruppen-ID bestimmt, um das Paket zu überfluten.

  • Wenn eine Übereinstimmung auftritt, wird die Gruppen-ID aus der VLAN-Lookup-Tabelle abgeleitet und die folgende Validierung durchgeführt, um die Weiterleitung des primären VLANS zu erzwingen:

Hier ist {*} ein Platzhalter in der Notation regulärer Ausdrücke, der sich auf einen beliebigen Wert bezieht. Schritt 1 stellt sicher, dass jegliche Weiterleitung von promiskuitiven oder Inter-Switch-Link-Ports an andere Ports zulässig ist. Schritt 2 stellt sicher, dass jede Weiterleitung von einem beliebigen Port zu Promiscuous- oder Interswitch-Link-Ports zulässig ist. Schritt 3 stellt sicher, dass jeder isolierte Port auf einen anderen isolierten Port verworfen wird. Schritt 4 stellt sicher, dass die Community-Portweiterleitung nur innerhalb derselben Community zulässig ist (X == Y) und verworfen wird, wenn sie Community-übergreifend ist (X ≠ Y).