Configuration de domaines de pont dans des réseaux PVLAN sur des routeurs MX Series

Supposons un exemple de déploiement dans lequel un VLAN principal nommé VP contient les ports p1, p2, t1, t2, i1, i2, cx1 et cx2. Les types de ports de ces ports configurés sont les suivants :

• Ports de promiscuité = p1, p2

• Ports ISL = t1, t2

• Ports isolés = i1, i2

• VLAN communautaire = CX

• Ports communautaires = cx1, cx2

Des domaines de pont sont provisionnés pour chacun des VLAN, à savoir Vp, Vi et Vcx. Supposons que les domaines de pont soient configurés comme suit :

Vp—BD_primary_Vp (les ports contenus sont p1, t1, i1, i2, cx1, cx2)

Vi—BD_isolate_Vi (les ports contenus sont p1, t1, *i1, *i2)

Vcx : BD_community_Vcx (les ports contenus sont p1, t1, cx1, cx2)

Les domaines de pont pour les VLAN communautaires, primaires et isolés sont automatiquement créés par le système en interne lorsque vous configurez un domaine de pont avec une interface trunk, une interface d’accès ou une liaison interswitch. Les domaines de pont contiennent le même ID de VLAN correspondant aux VLAN. Pour utiliser des domaines de pont pour les réseaux PVLAN, vous devez configurer les attributs supplémentaires suivants :

• community-vlans option : cette option est spécifiée sur tous les VLAN de communauté et pour les BD de communauté créés en interne.

• isolated-vlan option : cette option indique la balise VLAN à utiliser pour le BD d’isolement créé en interne pour chaque PVLAN/BD. Ce paramètre est obligatoire.

• inter-switch-link option avec l’instruction interface-mode trunk au niveau ou [edit interfaces interface-name family bridge] de la [edit interfaces interface-name unit logical-unit-number family bridge] hiérarchie : cette configuration spécifie si l’interface particulière assume le rôle de liaison d’intercommutateur pour les domaines PVLAN dont elle est membre.

Vous pouvez utiliser l’instruction de vlan-id configuration des ports PVLAN pour identifier le rôle du port. Toutes les interfaces logiques impliquées dans les PVLAN doivent être configurées avec un ID de VLAN, et le processus de couche 2 utilise cette balise VLAN pour classer un rôle de port en tant que port de promiscuité, d’isolement ou de communauté en comparant cette valeur avec les VLAN configurés dans le domaine de pont PVLAN (à l’aide de l’instruction bridge-domains au niveau de la [edit] hiérarchie). Le rôle de port ISL est identifié par l’option inter-switch-link . L’ID de VLAN pour le port ISL est obligatoire et doit être défini sur l’ID de VLAN principal. L’ISL doit être une interface trunk. Il n’est pas nécessaire de créer une liste d’ID de VLAN, car le processus de couche 2 crée une telle liste en interne en fonction de la configuration du domaine de pont PVLAN. Pour les interfaces ou ports logiques de promiscuité non balisés, isolés ou communautaires, le mode d’accès doit être utilisé comme mode d’interface. Pour les interfaces de promiscuité balisées, isolées ou communautaires, le mode trunk doit être spécifié comme mode d’interface.

Les familles d’interfaces de domaine de pont ont été améliorées pour inclure l’association d’entrée et de sortie uniquement. L’association pour le domaine de pont de famille d’interfaces (IFBD) est créée de la manière suivante :

• Pour BD_primary_Vp, l’IFBD pour i1, i2, cx1 et cx2 est uniquement de sortie.

• BD_isolate_Vi, l’IFBD pour p1 sera uniquement de sortie et pour i1 et i2 uniquement en entrée.

• BD_community_Vcx , les IFBD pour p1 ne sont que des sorties. Les règles de traduction VLAN garantissent le bon fonctionnement des mappages VLAN suivants :

  • Mappage VLAN sur les ports de proximité : Sur les ports de promiscuité, le Vlan Vi est mappé au Vlan Vp sur les interfaces de sortie. De même, sur les ports de promiscuité, Vcx est également mappé à Vp.

  • Mappage VLAN sur les ports d’isolation : Sur les ports isolés balisés, la balise VLAN, Vp, est mappée à Vi à la sortie.

  • Mappage VLAN sur les ports communautaires : Sur les ports communautaires balisés, la balise VLAN, Vp, est mappée à Vcx lors de la sortie.

Le système utilise un domaine de pont de gestion pour PVLAN, qui n’existe que dans le processus d’apprentissage des adresses de couche 2, appelé PBD, pour désigner le domaine de pont pour le VLAN. Ce domaine de pont porte le même nom que le nom configuré par l’utilisateur. Sous ce domaine de pont, un domaine de pont PVLAN principal pour le vlan principal, un domaine de pont d’isolation pour le vlan d’isolement et un domaine de pont de communauté pour chaque VLAN de communauté sont programmés en interne. Des domaines de pont distincts pour les ports PVLAN peuvent s’avérer utiles si vous souhaitez configurer une stratégie pour un VLAN communautaire ou un VLAN d’isolement spécifique.

Le domaine de pont de gestion gère une liste pour inclure tous les domaines de pont internes qui appartiennent à ce domaine de pont PVLAN. Les domaines d’isolement et de pont de communauté contiennent un pointeur ou un indicateur pour indiquer que ce domaine de pont est destiné aux PVLAN et conserver les informations relatives à l’index de domaine de pont principal et au VLAN principal. Toutes ces informations sont disponibles sur les interfaces de domaine de pont qui sont mappées à ce domaine de pont. L’apprentissage MAC se produit uniquement dans le domaine de pont principal et l’entrée de transfert MAC est programmée dans le domaine de pont principal uniquement. Par conséquent, le domaine de pont d’isolement et tous les domaines de pont de communauté partagent la même table de transfert que le domaine de pont principal.

Pour le domaine de pont d’isolation, BD_isolate_Vi, les ports d’isolement i1 et i2 fonctionnent comme un port d’accès de commutateur non local et le groupe d’inondation de ce domaine de pont contient uniquement le port de promiscuité, p1, et les ports ISL, t1 et t2.