Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PVLANs を使用したブリッジ機能

このトピックでは、MX シリーズルーターでブリッジを実装する方法について説明します。これにより、PVLAN ブリッジングプロシージャの実装に関連する独自の機能強化について理解しやすくなります。ブリッジドメイン内の2つのポートを、それぞれの FPCs 上のポートと、それぞれのパケット転送エンジンで使用することを検討してください。パケットがポートに入った場合、次のフローが、タグ付きパケットであることを前提としています。

  1. 開始プロセスとして、VLAN ルックアップを実行して、パケットがどのブリッジドメインを形成するかを決定します。このルックアップの結果は、ブリッジングドメイン id (bd_id)、メッシュグループ id (mg_id) を識別します。これらのパラメーターを使用すると、このブリッジングドメイン用に構成されたその他の関連情報が探索されます。

  2. この MAC アドレスが学習されているかどうかを確認するには、source MAC アドレス (SMAC) ルックアップが実行されます。学習したアドレスでない場合、MLP パケット (MAC 学習チップへのフラッディングトラフィック用ルート) は、このブリッジドメインにマップされている他のすべてのパケット転送エンジンに送信されます。さらに、MLP パケットがホストにも送信されます。

  3. 組を使用した宛先 MAC アドレス (DMAC) ルックアップ (ブリッジドメイン ID、VLAN、宛先 MAC アドレス)

  4. MAC アドレスで一致が検出された場合は、ルックアップの結果が送信のネクストホップを指しています。送信パケット転送エンジンはパケットを転送するために使用されます。

  5. ルックアップ中にミスが発生した場合、パケットを洪水するために、メッシュグループ ID を使用して、フラッド next-hop が決定されます。

PVLAN ブリッジングでは、以下の2つの条件が考慮されています。別のポートフォワーディングへの特定のポートのみが許可されます。パケットドロップは、ファブリック帯域幅を通過した後、送信インターフェースで発生します。トラフィックのドロップを回避するには、ファブリックをトラバースする前にパケットを廃棄する必要があるかどうかを決定し、DoS 攻撃の際にファブリックの帯域幅を節約します。重複するブリッジドメインが複数存在するため、同じポート (プロミスカスまたは interswitch link) が複数のブリッジドメインのメンバーとして表示されることを示しているため、1つのポートで学習した MAC アドレスは別のブリッジドメインのポートに認識される必要があります。たとえば、プロミスカスポートで学習した MAC アドレスは、分離されたポート (分離型ブリッジドメイン) と、さまざまなコミュニティーブリッジドメイン上のコミュニティーポート (コミュニティーブリッジドメイン) の両方に対して可視でなければなりません。

この問題を解決するには、PVLAN ブリッジングに共有 VLAN を使用します。共有 VLAN モデルでは、すべてのポートで学習したすべての Mac が同じブリッジドメイン (プライマリ VLAN BD) と同じ VLAN (プライマリ VLAN) に格納されます。VLAN ルックアップがパケットに対して実行されると、PVLAN ポート、PVLAN ブリッジドメイン、および PVLAN タグまたは ID も使用されます。次のプロセスは、共有された VLAN 手法で発生します。

  • この MAC アドレスが学習されているかどうかを確認するには、送信元 MAC アドレス (SMAC) ルックアップが実行されます。学習したアドレスでない場合、MLP パケット (MAC 学習チップへのフラッディングトラフィック用ルート) は、このブリッジドメインにマップされている他のすべてのパケット転送エンジンに送信されます。さらに、MLP パケットがホストにも送信されます。

  • 組を使用した宛先 MAC アドレス (DMAC) ルックアップ (ブリッジドメイン ID、VLAN、宛先 MAC アドレス)

  • MAC アドレスで一致が検出された場合は、ルックアップの結果が送信のネクストホップを指しています。送信パケット転送エンジンはパケットを転送するために使用されます。

  • ルックアップ中にミスが発生した場合、パケットを洪水するために、メッシュグループ ID を使用して、フラッド next-hop が決定されます。

  • 一致が発生した場合、グループ ID は VLAN ルックアップテーブルから取得され、次の検証によってプライマリ VLAN 転送が適用されます。

ここでは、{*} は正規表現表記のワイルドカードであり、任意の値を示しています。ステップ1は、プロミスカスまたはスイッチリンクポート間のすべての転送が許可されていることを保証します。ステップ2は、任意のポートからプロミスカスまたは interswitch リンクポートへのすべての転送が許可されるようにします。ステップ3では、分離されたポートを別の分離ポートに確実にドロップできます。ステップ 4 では、コミュニティー ポートの転送が許可されているのは、同じコミュニティー内(X == Y)内のみであり、コミュニティー全体(X ポート数が Y の場合)≠されます。