Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IRB-Schnittstellen in privaten VLANs auf Routern der MX-Serie

Sie können integrierte Routing- und Bridging-Schnittstellen (IRB) in einem privaten VLAN (PVLAN) auf einem einzelnen MX-Router konfigurieren, um mehrere MX-Router zu umfassen. PVLANs schränken die Kommunikation innerhalb eines VLANs ein, indem sie den Datenverkehrsfluss über ihre Mitglieds-Switch-Ports (die als "private Ports" bezeichnet werden) einschränken, sodass diese Ports nur mit einem bestimmten Uplink-Trunk-Port oder mit bestimmten Ports innerhalb desselben VLANs kommunizieren. IRB bietet gleichzeitige Unterstützung für Layer-2-Bridging und Layer-3-Routing auf derselben Schnittstelle. Mit IRB können Sie Pakete an eine andere geroutete Schnittstelle oder an eine andere Bridge-Domäne weiterleiten, für die eine IRB-Schnittstelle konfiguriert ist. Sie konfigurieren eine logische Routingschnittstelle, indem Sie die irb Anweisung auf Hierarchieebene [edit interfaces] einfügen und diese Schnittstelle in die Bridgedomäne einschließen.

PVLANs werden auf MX80-Routern, auf MX240-, MX480- und MX960-Routern mit DPCs im LAN-Modus und auf Routern der MX-Serie mit MPC1-, MPC2- und Adaptive Services-PICs unterstützt. Diese Funktionalität wird nur auf MX240-, MX480- und MX960-Routern unterstützt, die im erweiterten LAN-Modus funktionieren (durch Eingabe der network-services lan Anweisung auf Hierarchieebene [edit chassis] ).

IRB in PVLANs ersetzt den externen Router, der für das Routing zwischen VLANs verwendet wird. Die Routing-Vorgänge in Abwesenheit von IRB erfolgen über einen externen Router, der mit dem promiskuitiven Port verbunden ist. Dieses Verhalten kümmert sich um alle gerouteten Frames für alle Ports, die unter der PVLAN-Domäne definiert sind. In diesem Fall findet auf Routern der MX-Serie im erweiterten LAN-Modus für diese PVLAN-Bridge-Domäne kein Layer-3-Austausch statt. Im Fall von IRB ist die Layer-3-Schnittstelle dem primären VLAN zugeordnet, das konfiguriert ist, und wird als einzelne Layer-3-Schnittstelle für die gesamte PVLAN-Domäne betrachtet. Der eingehende geroutete Datenverkehr von allen Ports in der PVLAN-Domäne muss dieser IRB-Schnittstelle zugeordnet werden. Der Ausgang der IRB-Schnittstelle erfolgt unter dem PVLAN. Für eine PVLAN-Domäne, die sich über mehrere Switches erstreckt, kann nur eine IRB-Schnittstelle in einem Switch konfiguriert werden. Diese IRB-Schnittstelle stellt die gesamte PVLAN-Domäne dar, um mit den Layer-3-Domänen zu interagieren. Eine IRB-Schnittstelle ist nur der primären Bridge-Domäne zugeordnet, und die gesamte Layer-3-Weiterleitung erfolgt nur in der primären Bridge-Domäne. Wenn ein Layer-3-Paket an einem isolierten Port oder einem promiskuitiven Port empfangen wird, lokalisiert das Gerät zunächst die sekundäre Bridge-Domäne basierend auf der sekundären Bridge-Domäne, um die primäre Bridge-Domänenkennung zu finden. Wenn es sich bei der MAC-Zieladresse um die lokale IRB-MAC-Adresse handelt, überträgt der Mikrocode das Paket zur weiteren Verarbeitung an die IRB-Schnittstelle, die der primären Bridge-Domäne zugeordnet ist. Das gleiche Verfahren gilt für Empfänger-Layer-3-Pakete in einem Interswitch Link (ISL)-Port mit dem isolierten oder Community-VLAN-Tag.

Für das eingehende Layer-3-Paket mit Layer-3-Weiterleitungslogik, das an IRB-Schnittstellen gesendet wird, die einer PVLAN-Bridge-Domäne zugeordnet sind, verarbeitet und bestimmt das Gerät den ARP-Eintrag, um das Paket an die zugehörige Schnittstelle zu senden, bei der es sich um einen isolierten Port oder einen Community-Port handeln kann. Der Mikrocode hängt die Paket-VLAN-ID basierend auf dem Porttyp an die Isolations- oder Community-VLAN-ID an oder übersetzt sie. Die VLAN-ID wird entfernt, wenn der zugehörige Port nicht markiert ist. Ein besonderer Betriebsfall besteht für Layer-3-Pakete, die über die ISL-Verbindung an einen Remote-, Isolations- oder Community-Port weitergeleitet werden. Das Layer-3-Paket kann die VLAN-ID der primären Bridge-Domäne enthalten, und der Remote-Knoten führt den Übersetzungs- oder Pop-Vorgang durch, wenn er das Paket an den zugehörigen Port sendet. Diese Verarbeitungsmethode unterscheidet sich von Layer-2-Domänen. Da es sich bei der gesamten Weiterleitungsbasis auf ARP um Unicast-Datenverkehr handeln muss und sich auf dem Remoteknoten befindet, ist der Port, der für die Weiterleitung verwendet werden muss, bekannt, und die Übertragung der PVLAN-ID erfolgt ordnungsgemäß.

Ein ARP-Eintrag enthält nur die primären Bridge-Domäneninformationen. Wenn eine ARP-Antwort von einem isolierten Port oder einem promiskuitiven Port empfangen wird, identifiziert das System die sekundäre Bridge-Domäne und versucht basierend auf der sekundären Bridge-Domäne, die primäre Bridge-Domänenkennung abzurufen. ARP-Pakete erreichen schließlich die IRB-Schnittstelle, die der primären Bridge-Domäne zugeordnet ist. Der Kernel betrachtet dieses ARP-Paket als normale Bridge-Domäne und erstellt und verwaltet den ARP-Eintrag nur für die primäre Bridge-Domäne. Das gleiche Verfahren wird für ARP-Anforderungspakete angewendet, die für die lokale IRB-MAC-Adresse bestimmt sind. Die Antwort wird über die IRB-Schnittstelle übertragen und je nach empfangener Schnittstelle wird eine entsprechende VLAN-Übersetzung oder ein Pop-Vorgang durchgeführt.