Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Weiterleitung von Paketen über IRB-Schnittstellen in PVLANs

In diesem Thema wird beschrieben, wie die PVLAN-Paketweiterleitung mit IRB-Schnittstellen auf Routern der MX-Serie im erweiterten LAN-Modus funktioniert. Die IRB-Schnittstelle fungiert als Layer-3-Gateway für alle Mitglieder einer Bridging-Domäne. Es wird davon ausgegangen, dass sich alle Mitglieder der Bridging-Domäne im selben Subnetz befinden wie das Subnetz der IRB-Schnittstelle, die als Gateway fungiert.

Betrachten Sie ein Beispielbereitstellungsszenario, in dem zwei Router, Router1 und Router2, mit einem PVLAN konfiguriert sind. Auf Router1 ist der promiskuitive Port P1, die Interswitch-Verbindung ist L1, der isolierte Port ist I1 und zwei Community-Ports sind C11 und C21. Ähnlich verhält es sich bei Router2 mit P2, mit Interswitch-Verbindung mit L2, mit isoliertem Port mit I2 und mit zwei Community-Ports C12 und C22. In der Beispielkonfiguration sind die beiden Router über eine ISL-Verbindung miteinander verbunden, L1 mit L2. Über diese beiden Router hinweg wird eine PVLAN-Domäne definiert, die eine Subdomäne isolierter Ports (I1, I2) und Community1-Ports (C11, C12) und Community2-Ports (C21, C22) umfasst. Da sich alle Ports im selben Subnetz ohne IRB befinden, funktioniert die Switching-Funktion über Ports und Router hinweg gemäß den PVLAN-Regeln. Wenn der Endhost das Subnetz überqueren muss, müssen Sie IRB in der Bridging-Domäne konfigurieren. Aus Sicht des Endhosts muss die Bridging-Domäne mit der IRB-IP-Adresse als Standard-Gatewayadresse konfiguriert werden, um eine Reichweite über die Bridging-Domäne zu erreichen. Die gesamte Layer-3-Konnektivität wird durch die Verarbeitung von ARP-Anforderungen und ARP-Antworten hergestellt. In den folgenden Abschnitten werden die verschiedenen Szenarien beschrieben, die bei der Unterstützung von Layer-3-Datenverkehr in PVLANs auftreten.

Eingehende ARP-Anforderungen an PVLAN-Ports

ARP-Anforderungen gelangen als Broadcast-Pakete an einen PVLAN-Port. Alle Pakete, die in Eingangsrichtung einer PVLAN-Domäne eingehen, enthalten ihre Bridge-Domänen-ID, die in die primäre VLAN-Bridge-Domänen-ID übersetzt wurde. In diesem Fall wird die im ARP-Paket enthaltene Bridge-Domain-ID ebenfalls in die Bridge-Domain-ID des primären VLANs übersetzt. Wenn IRB in einer Bridging-Domäne konfiguriert ist, wird die IRB-MAC-Adresse der MAC-Tabelle als geeignete Ziel-MAC-Adresse auf der Domänen-ID der primären VLAN-Bridge hinzugefügt. Die ARP-Anforderung wird an alle Ports der sekundären Bridging-Domäne gesendet, in der sie empfangen wurde, und zusätzlich wird eine Kopie an die logische IRB-Schnittstelle gesendet.

Wenn eine logische IRB-Schnittstelle dieses Paket empfängt, sendet sie das Paket als ARP-Paket mit der primären BD und der logischen Layer-2-Schnittstelle, auf der es empfangen wird, an den Host. Die PVLAN-Domäne lernt die Quell-MAC-Adresse des ARP-Pakets und der Kernel die Absender-IP des ARP-Pakets und löst eine Next-Hop-Installation aus. Wenn die ARP-Anforderung für die IRB-IP-Adresse bestimmt ist, wird eine ARP-Antwort gesendet. Wenn Proxy-ARP auf IRB aktiviert ist, antwortet IRB mit einer ARP-Antwort, wenn die Ziel-IP-Adresse bekannt ist.

Der obige Konfigurationsfall beschreibt ein Szenario, in dem die ARP-Anforderung über den lokalen PVLAN-Port erfolgte. Wenn die ARP-Anforderung an einem Remote-PVLAN-Port empfangen wird, wird sie auf allen Ports der Remote-PVLAN-Domäne überflutet. Da IRB nur auf einem Router der PVLAN-Domäne konfiguriert ist, findet die Überflutung auf dem Remote-PVLAN auf allen Ports statt. Im Rahmen der Überflutung in der Remote-PVLAN-Domäne wird eine Kopie des Pakets an den ISL-Port gesendet. Der ISL-Port verarbeitet dieses Paket so, als ob es auf dem lokalen isolierten Port oder Community-Port empfangen worden wäre, und die oben genannte Verarbeitungsmethode findet statt

Ausgehende ARP-Antworten auf PVLAN-Ports

Wenn eine ARP-Anfrage im Kernel empfangen wird, werden sowohl die Bridge-Domänen-ID als auch die empfangende logische Layer-2-Schnittstelle übertragen. Eine Next-Hop-Installation wird ausgelöst, um einen Next-Hop zur logischen Layer-2-Schnittstelle für die Absender-IP-Adresse mit der IRB-MAC-Adresse als Ziel-MAC-Adresse und der Absender-MAC-Adresse als Quell-MAC-Adresse zu erstellen, wobei beide Adressen während des nächsten Hops als Layer 2-Rewrite angezeigt werden. Wenn die ARP-Anforderung die IRB-IP-Adresse abfragt, wird eine ARP-Antwort an die empfangende logische Layer-2-Schnittstelle gesendet. Wenn die ARP-Anforderung eine andere IP-Adresse als die IRB-IP-Adresse abfragt, wird sie so verarbeitet, als ob Proxy-ARP im IRB aktiviert wäre, oder sie wird verworfen. Da alle ARP-Anfragen so verarbeitet werden, als ob sie im primären VLAN empfangen wurden, wird die Antwort auch mit dem primären VLAN gesendet. Wenn es jedoch die empfangende logische Layer-2-Schnittstelle erreicht, findet die entsprechende VLAN-Übersetzung statt.

Im vorherigen Szenario wird eine ARP-Antwort beschrieben, die an einem lokalen PVLAN-Port gesendet wird. Wenn die ARP-Anforderung von einer Remote-PVLAN-Domäne empfangen wird, ist die empfangende logische Layer-2-Schnittstelle der ISL-Port. In diesem Fall wird die ARP-Antwort an den ISL-Port gesendet, in der Remote-PVLAN-Domäne wird die auf dem ISL-Port empfangene ARP-Antwort an denselben Port weitergeleitet, an dem die ARP-Anfrage empfangen wird. Dieses Verhalten ist möglich, weil die Quell-MAC-Adresse der ARP-Anforderung im gemeinsam genutzten VLAN gelernt wird.

Ausgehende ARP-Anforderungen an PVLAN-Ports

Wenn IRB eine ARP-Anfrage ankündigen muss, verwendet es den Kernel Flood Next-Hop für das primäre VLAN und flutet an alle Ports in der lokalen PVLAN-Domäne. Der empfangende ISL-Port überflutet das Paket auch an die Remote-PVLAN-Domäne. Obwohl die ARP-Anforderung mit dem primären VLAN erstellt wird, wird in Ausgangsrichtung eine entsprechende VLAN-Übersetzung oder VLAN-Pop über den jeweiligen Port durchgeführt.

Eingehende ARP-Antworten an PVLAN-Ports

ARP-Antworten sind Unicast-Pakete mit der MAC-Zieladresse als IRB-MAC-Adresse. Wenn ein solches Paket in der lokalen PVLAN-Domäne empfangen wird, in der IRB aktiviert ist, wird es an die logische IRB-Schnittstelle weitergeleitet. Wenn das Paket an der logischen IRB-Schnittstelle eintrifft, wird es an den Host weitergegeben. Der Kernel löst eine Next-Hop-Installation mit dem entsprechenden Layer-2-Rewrite aus. Dieser Vorgang funktioniert ordnungsgemäß für ARP-Antworten, die am lokalen PVLAN-Port empfangen werden. Wenn die ARP-Antwort an einem Remote-PVLAN-Port empfangen wird, wird sie ähnlich wie ein normales Layer-2-Paket weitergeleitet, da IRB in einem solchen Szenario nicht aktiviert ist. Wenn die ARP-Anforderung von der lokalen PVLAN-Domäne gesendet wird, hat der empfangende ISL-Port in der Remote-PVLAN-Domäne möglicherweise die IRB-MAC-Adresse auf diesem Port gelernt, und diese Adresse wird verwendet, um das Paket an die logische IRB-Schnittstelle weiterzuleiten.

Empfang von Layer-3-Paketen auf PVLAN-Ports

Das Paket wird mit der IRB-MAC-Adresse als MAC-Zieladresse empfangen und über die logische IRB-Schnittstelle verarbeitet. Das Paket wird auf die gleiche Weise weitergeleitet wie ein normales IP-Paket.