PVLAN による機能のブリッジング

1. 開始プロセスとして、VLAN ルックアップが実行され、パケットがどのブリッジング ドメインを形成するかが決定されます。ルックアップの結果、ブリッジングドメインID(bd_id)、メッシュグループID(mg_id)が識別されます。これらのパラメータを使用して、このブリッジングドメインに設定された他の関連情報が検出されます。

2. 送信元MACアドレス(SMAC)ルックアップが実行され、このMACアドレスが学習されたかどうかが確認されます。学習済みアドレスでない場合、MLPパケット(MAC学習チップへのトラフィックをフラッディングするためのルート)は、このブリッジングドメインにマッピングされている他のすべてのパケット転送エンジンに送信されます。さらに、MLP パケットもホストに送信されます。

3. タプル(ブリッジドメインID、VLAN、および宛先MACアドレス)を使用した宛先MACアドレス(DMAC)ルックアップ。

4. MACアドレスの一致が認められた場合、ルックアップの結果はエグレスネクストホップを指し示します。エグレスパケット転送エンジンは、パケットの転送に使用されます。

5. ルックアップ中にミスが発生した場合、パケットをフラッディングするメッシュグループIDを使用してフラッディングネクストホップが決定されます。

PVLAN ブリッジングでは、次の 2 つの重要な条件が考慮されます。別のポートへの特定のポートのみ転送が許可されます。パケットドロップは、ファブリック帯域幅を通過して消費した後に、エグレスインターフェイスで発生します。トラフィックのドロップを回避するため、パケットをドロップする必要があるかどうかの決定はファブリックを通過する前に行われるため、DoS 攻撃中のファブリックの帯域幅が節約されます。複数の重複するブリッジ ドメインが存在するため、同じポート(プロミスキャス リンクまたはインタースイッチ リンク)が複数のブリッジ ドメインのメンバーとして表示されます。そのため、1 つのポートで学習された MAC アドレスは、別のブリッジ ドメインのポートから認識できる必要があります。たとえば、無差別ポートで学習されたMACアドレスは、さまざまなコミュニティブリッジドメイン上の分離ポート(分離ブリッジドメイン)とコミュニティポート(コミュニティブリッジドメイン)の両方から認識できる必要があります。

この問題を解決するには、PVLAN ブリッジングに共有 VLAN を使用します。共有VLANモデルでは、すべてのポートで学習されたすべてのMACが、同じブリッジドメイン(プライマリVLAN BD)と同じVLAN(プライマリVLAN)に保存されます。パケットの VLAN ルックアップが実行されると、PVLAN ポート、PVLAN ブリッジ ドメイン、および PVLAN タグまたは ID も使用されます。共有 VLAN 方式では、以下のプロセスが発生します。

• 送信元MACアドレス(SMAC)ルックアップが実行され、このMACアドレスが学習されたかどうかが確認されます。学習済みアドレスでない場合、MLPパケット(MAC学習チップへのトラフィックをフラッディングするためのルート)は、このブリッジングドメインにマッピングされている他のすべてのパケット転送エンジンに送信されます。さらに、MLP パケットもホストに送信されます。

• タプル(ブリッジドメインID、VLAN、および宛先MACアドレス)を使用した宛先MACアドレス(DMAC)ルックアップ。

• MACアドレスの一致が認められた場合、ルックアップの結果はエグレスネクストホップを指し示します。エグレスパケット転送エンジンは、パケットの転送に使用されます。

• ルックアップ中にミスが発生した場合、パケットをフラッディングするメッシュグループIDを使用してフラッディングネクストホップが決定されます。

• 一致が発生した場合、グループ ID は VLAN ルックアップ テーブルから取得され、次の検証が実行されてプライマリ VLAN 転送が適用されます。

ここで、{*} は、任意の値を参照する正規表現表記のワイルドカードです。ステップ 1 では、無作為検出ポートまたはスイッチ間リンク ポートから他のポートへのすべての転送が許可されます。ステップ2では、任意のポートから無差別ポートまたはスイッチ間リンクポートへのすべての転送が許可されていることを確認します。ステップ 3 では、別の独立ポートへの分離ポートがドロップされていることを確認します。ステップ4では、コミュニティポート転送が同じコミュニティ内でのみ許可され(X == Y)、コミュニティをまたぐ場合(X ≠ Y)にドロップされるようにします。