Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Fonctions de pontage avec les PVLAN

Cette rubrique décrit comment le pontage est implémenté sur les routeurs MX Series, ce qui vous aidera à comprendre les améliorations uniques impliquées dans l’implémentation des procédures de pontage PVLAN. Considérons deux ports dans un domaine de pontage dont les ports respectifs se trouvent sur des FPC différents et des moteurs de transfert de paquets différents. Lorsqu’un paquet entre dans un port, le flux est le suivant, en supposant qu’il s’agit d’un paquet balisé :

  1. Le processus de démarrage consiste à effectuer une recherche VLAN pour déterminer le domaine de pontage formé par le paquet. Le résultat de la recherche identifie l’ID de domaine de pontage (bd_id), l’ID de groupe de maillage (mg_id). Avec ces paramètres, d’autres informations connexes configurées pour ce domaine de pontage sont découvertes.

  2. Une recherche d’adresse MAC source (SMAC) est effectuée pour savoir si ces adresses MAC sont apprises ou non. S’il ne s’agit pas d’une adresse apprise, un paquet MLP (route pour l’inondation du trafic vers les puces d’apprentissage MAC) est envoyé à tous les autres moteurs de transfert de paquets qui sont mappés avec ce domaine de pontage. De plus, un paquet MLP est également envoyé à l’hôte.

  3. Recherche d’adresse MAC de destination (DMAC) à l’aide du tuple (ID de domaine de pont, VLAN et adresse MAC de destination).

  4. Si une correspondance est observée pour l’adresse MAC, le résultat de la recherche pointe vers le prochain saut de sortie. Le moteur de transfert de paquets de sortie est utilisé pour transférer le paquet.

  5. Si une erreur se produit pendant la recherche, le saut suivant d’inondation est déterminé à l’aide de l’ID du groupe de maillage pour inonder le paquet.

Les deux conditions importantes suivantes sont prises en compte dans le pontage PVLAN : La redirection d’un port spécifique vers un autre port est autorisée. Une perte de paquet se produit sur l’interface de sortie après avoir traversé et consommé la bande passante de la structure. Pour éviter toute perte de trafic, la décision d’abandonner ou non le paquet est prise avant de traverser la structure, ce qui permet d’économiser la bande passante de la structure lors des attaques par déni de service. Étant donné qu’il existe plusieurs domaines de pont qui se chevauchent, ce qui signifie que le même port (lien de promiscuité ou d’intercommutation) apparaît en tant que membre dans plusieurs domaines de pont, les adresses MAC apprises dans un port doivent être visibles par les ports d’un autre domaine de pont. Par exemple, une adresse MAC apprise sur un port de promiscuité doit être visible à la fois par un port isolé (domaine de pont isolé) et un port de communauté (domaine de pont de communauté) sur les différents domaines de pont de communauté.

Pour résoudre ce problème, un VLAN partagé est utilisé pour le pontage PVLAN. Dans le modèle VLAN partagé, tous les MAC appris sur tous les ports sont stockés dans le même domaine de pont (VLAN BD principal) et le même VLAN (VLAN principal). Lorsque la recherche VLAN est effectuée pour le paquet, le port PVLAN, le domaine du pont PVLAN et la balise ou l’ID PVLAN sont également utilisés. Les processus suivants se produisent avec une méthodologie VLAN partagée :

  • Une recherche d’adresse MAC source (SMAC) est effectuée pour savoir si cette adresse MAC est apprise ou non. S’il ne s’agit pas d’une adresse apprise, un paquet MLP (route pour l’inondation du trafic vers les puces d’apprentissage MAC) est envoyé à tous les autres moteurs de transfert de paquets qui sont mappés avec ce domaine de pontage. De plus, un paquet MLP est également envoyé à l’hôte.

  • Recherche d’adresse MAC de destination (DMAC) à l’aide du tuple (ID de domaine de pont, VLAN et adresse MAC de destination).

  • Si une correspondance est observée pour l’adresse MAC, le résultat de la recherche pointe vers le prochain saut de sortie. Le moteur de transfert de paquets de sortie est utilisé pour transférer le paquet.

  • Si une erreur se produit pendant la recherche, le saut suivant d’inondation est déterminé à l’aide de l’ID du groupe de maillage pour inonder le paquet.

  • Si une correspondance se produit, l’ID de groupe est dérivé de la table de correspondance VLAN et la validation suivante est effectuée pour appliquer le transfert VLAN principal :

Ici, {*} est un caractère générique en notation d’expression régulière faisant référence à n’importe quelle valeur. L’étape 1 permet de s’assurer que tous les transferts à partir de ports de liaison de promiscuité ou entre commutateurs vers tout autre port sont autorisés. L’étape 2 permet de s’assurer que tout transfert depuis n’importe quel port vers les ports de liaison de proximité ou d’intercommutation est autorisé. L’étape 3 permet de s’assurer que tout port isolé vers un autre port isolé est abandonné. L’étape 4 permet de s’assurer que la redirection de port communautaire n’est autorisée qu’au sein d’une même communauté (X == Y) et abandonnée lorsqu’elle traverse une communauté (X ≠ Y).