Configuración de dominios de puente en PVLAN en enrutadores serie MX

Supongamos una implementación de ejemplo en la que una VLAN principal denominada VP contiene los puertos p1, p2, t1, t2, i1, i2, cx1 y cx2. Los tipos de puertos de estos puertos configurados son los siguientes:

• Puertos promiscuos = p1, p2

• Puertos ISL = t1, t2

• Puertos aislados = i1, i2

• VLAN de la comunidad = Cx

• Puertos de la comunidad = cx1, cx2

Los dominios de puente se aprovisionan para cada una de las VLAN, a saber, Vp, Vi y Vcx. Supongamos que los dominios de puente que se configurarán de la siguiente manera:

Vp—BD_primary_Vp (los puertos incluidos son p1, t1, i1, i2, cx1, cx2)

Vi—BD_isolate_Vi (los puertos incluidos son p1, t1, *i1, *i2)

Vcx— BD_community_Vcx (los puertos incluidos son p1, t1, cx1, cx2)

Los dominios de puente para las VLAN comunitarias, principales y aisladas se crean automáticamente por el sistema internamente cuando configura un dominio de puente con una interfaz troncal, una interfaz de acceso o un vínculo de interswitch. Los dominios de puente contienen el mismo ID de VLAN correspondiente a las VLAN. Para usar dominios de puente para PVLAN, debe configurar los siguientes atributos adicionales:

• community-vlans option: esta opción se especifica en todas las vlan de comunidad y en los BD de comunidad creados internamente.

• isolated-vlan option: esta opción indica la etiqueta vlan que se utilizará para el aislamiento de BD creado internamente para cada PVLAN/BD. Esta configuración es obligatoria.

• inter-switch-link option con la interface-mode trunk instrucción en el [edit interfaces interface-name family bridge] nivel o de la [edit interfaces interface-name unit logical-unit-number family bridge] jerarquía: esta configuración especifica si la interfaz determinada asume el rol de vínculo interswitch para los dominios PVLAN de los que es miembro.

Puede usar la instrucción de vlan-id configuración para puertos PVLAN para identificar la función de puerto. Todas las interfaces lógicas involucradas en las PVLAN deben configurarse con un ID de VLAN y el proceso de capa 2 usa esta etiqueta VLAN para clasificar un rol de puerto como puerto promiscuo, aislado o de comunidad mediante la comparación de este valor con las VLAN configuradas en el dominio de puente PVLAN (usando la bridge-domains instrucción en el [edit] nivel de jerarquía). La opción identifica la función del inter-switch-link puerto ISL. El ID de VLAN para el puerto ISL es obligatorio y debe establecerse en el ID de VLAN principal. La ISL debe ser una interfaz troncal. No se necesita una lista de identificadores de VLAN, ya que el proceso de capa 2 crea una lista de este tipo internamente según la configuración del dominio de puente PVLAN. Para interfaces lógicas o puertos promiscuos, aislados o comunitarios sin etiquetar, el modo de acceso se debe usar como modo de interfaz. Para las interfaces promiscuas, aisladas o comunitarias etiquetadas, el modo de troncalización se debe especificar como modo de interfaz.

Las familias de interfaces de dominio de puente se mejoran para incluir asociaciones de solo entrada y de solo salida. La asociación para el dominio de puente de familia de interfaz (IFBD) se crea de la siguiente manera:

• Por BD_primary_Vp, el IFBD para i1, i2, cx1 y cx2 son solo salida.

• BD_isolate_Vi, IFBD para p1 será solo salida y para i1 e i2 son solo entrada.

• BD_community_Vcx, los IFBD para p1 son solo salida. Las reglas de traducción de VLAN garantizan que las siguientes asignaciones de VLAN funcionen correctamente:

  • Asignación de VLAN en puertos promiscuos: En puertos promiscuos, Vlan Vi se asigna a Vlan Vp en interfaces de salida. De manera similar, en los puertos promiscuos, Vcx también se asigna a Vp.

  • Asignación de VLAN en puertos de aislamiento: En los puertos aislados etiquetados, la etiqueta VLAN, Vp, se asigna a Vi en la salida.

  • Asignación de VLAN en puertos de comunidad: En los puertos de comunidad etiquetados, la etiqueta VLAN, Vp, se asigna a Vcx en la salida.

El sistema utiliza un dominio de puente de administración para PVLAN que solo existe en el proceso de aprendizaje de dirección de capa 2 llamado PBD para indicar dominio de puente para VLAN. Este dominio de puente tiene el mismo nombre que el nombre configurado por el usuario. En este dominio de puente, un dominio de puente PVLAN principal para la vlan principal, un dominio de puente de aislamiento para la vlan de aislamiento y un dominio de puente de comunidad para cada vlan de comunidad se programan internamente. Es posible que los dominios de puente independientes para los puertos PVLAN sean útiles si desea configurar una política para una VLAN de comunidad específica o aislar VLAN.

El dominio de puente de administración mantiene una lista para incluir todos los dominios de puente internos que pertenecen a este dominio de puente PVLAN. Los dominios de puente de aislamiento y comunidad contienen un puntero o una marca para indicar que este dominio de puente es para PVLAN y mantienen la información sobre el índice de dominio de puente principal y la VLAN principal. Toda esta información está disponible en las interfaces de dominio de puente que se asignan a este dominio de puente. El aprendizaje de MAC se produce solo en el dominio de puente principal y la entrada de reenvío MAC se programa solo en el dominio de puente principal. Como resultado, el dominio de puente de aislamiento y todos los dominios de puente de comunidad comparten la misma tabla de reenvío que el dominio de puente principal.

Para el dominio de puente de aislamiento, BD_isolate_Vi, los puertos de aislamiento i1 e i2 funcionan como un puerto de acceso de conmutador no local, y el grupo de inundación para este dominio de puente contiene solo los puertos promiscuos, p1 y ISL, t1 y t2.