Configuración de dominios de puente en PVLAN en enrutadores de la serie MX

Supongamos una implementación de ejemplo en la que una VLAN principal denominada VP contiene los puertos p1, p2, t1, t2, i1, i2, cx1 y cx2. Los tipos de puerto de estos puertos configurados son los siguientes:

• Puertos promiscuos = p1, p2

• Puertos ISL = t1, t2

• Puertos aislados = i1, i2

• VLAN de comunidad = Cx

• Puertos comunitarios = cx1, cx2

Los dominios de puente se aprovisionan para cada una de las VLAN, a saber, Vp, Vi y Vcx. Suponga que los dominios de puente se configuran de la siguiente manera:

Vp: BD_primary_Vp (los puertos contenidos son p1, t1, i1, i2, cx1, cx2)

Vi—BD_isolate_Vi (los puertos contenidos son p1, t1, *i1, *i2)

Vcx: BD_community_Vcx (los puertos contenidos son p1, t1, cx1, cx2)

El sistema crea automáticamente los dominios de puente para VLAN comunitarias, primarias y aisladas al configurar un dominio de puente con una interfaz troncal, una interfaz de acceso o un vínculo de interconmutador. Los dominios de puente contienen el mismo ID de VLAN correspondiente a las VLAN. Para utilizar dominios de puente para PVLAN, debe configurar los siguientes atributos adicionales:

• community-vlans option: esta opción se especifica en todas las VLAN de comunidad y para BD de comunidad creadas internamente.

• isolated-vlan option: esta opción indica la etiqueta vlan que se utilizará para aislar BD creada internamente para cada PVLAN/BD. Esta configuración es obligatoria.

• inter-switch-linkcon la interface-mode trunk instrucción en el o en el [edit interfaces interface-name unit logical-unit-number family bridge][edit interfaces interface-name family bridge] nivel de jerarquía: esta configuración especifica si la interfaz en particular asume la función de vínculo de interconmutador para los dominios PVLAN a los que pertenece.

Puede utilizar la vlan-id instrucción configuration para puertos PVLAN a fin de identificar la función de puerto. Todas las interfaces lógicas involucradas en las PVLAN deben configurarse con un ID de VLAN y el proceso de capa 2 utiliza esta etiqueta VLAN para clasificar un rol de puerto como puerto promiscuo, aislado o de comunidad comparando este valor con las VLAN configuradas en el dominio de puente PVLAN (utilizando la bridge-domains instrucción en el nivel de [edit] jerarquía). La función del puerto ISL se identifica mediante la inter-switch-link opción. El ID de VLAN para el puerto ISL es necesario y debe establecerse en el ID de VLAN principal. La ISL debe ser una interfaz troncal. No se necesita una lista de ID de VLAN porque el proceso de capa 2 crea dicha lista internamente en función de la configuración del dominio del puente PVLAN. Para interfaces lógicas o puertos no etiquetados, promiscuos, aislados o comunitarios, se debe utilizar el modo de acceso como modo de interfaz. Para las interfaces promiscuas, aisladas o comunitarias etiquetadas, el modo troncal debe especificarse como el modo de interfaz.

Las familias de interfaces de dominio de puente se han mejorado para incluir asociaciones de solo entrada y solo salida. La asociación para el dominio de puente de familia de interfaz (IFBD) se crea de la siguiente manera:

• Por BD_primary_Vp, IFBD para i1, i2, cx1 y cx2 son solo de salida.

• BD_isolate_Vi, IFBD para p1 será solo de salida y para i1 e i2 son solo entrada.

• BD_community_Vcx , IFBD para p1 son solo de salida. Las reglas de traducción de VLAN garantizan que las siguientes asignaciones de VLAN funcionen correctamente:

  • Mapeo de VLAN en puertos promiscuos: En puertos promiscuos, Vlan Vi se asigna a Vlan Vp en interfaces de salida. Del mismo modo, en los puertos promiscuos, Vcx también se asigna a Vp.

  • Asignación de VLAN en puertos de aislamiento: En los puertos aislados etiquetados, la etiqueta VLAN, Vp, se asigna a Vi al salir.

  • Mapeo de VLAN en puertos de la comunidad: En los puertos de comunidad etiquetados, la etiqueta VLAN, Vp, se asigna a Vcx al salir.

El sistema utiliza un dominio de puente de administración para PVLAN que solo existe en el proceso de aprendizaje de direcciones de capa 2 denominado PBD para indicar dominio de puente para VLAN. Este dominio de puente tiene el mismo nombre que el nombre configurado por el usuario. Bajo este dominio de puente, se programan internamente un dominio de puente PVLAN primario para la VLAN principal, un dominio de puente de aislamiento para la VLAN de aislamiento y un dominio de puente de comunidad para cada VLAN de comunidad. Es posible que los dominios de puente independientes para los puertos PVLAN sean útiles si desea configurar una política para una VLAN de comunidad específica o VLAN de aislamiento.

El dominio de puente de administración mantiene una lista para incluir todos los dominios de puente internos que pertenecen a este dominio de puente PVLAN. Los dominios de puente de comunidad y aislamiento contienen un puntero o un indicador para indicar que este dominio de puente es para PVLAN y mantener la información sobre el índice de dominio de puente principal y la VLAN principal. Toda esta información está disponible en las interfaces de dominio de puente que se asignan a este dominio de puente. El aprendizaje de MAC solo se produce en el dominio del puente principal y la entrada de reenvío de MAC se programa únicamente en el dominio del puente principal. Como resultado, el dominio de puente de aislamiento y todos los dominios de puente de comunidad comparten la misma tabla de reenvío que el dominio de puente principal.

Para el dominio del puente de aislamiento, BD_isolate_Vi, los puertos de aislamiento i1 e i2 funcionan como un puerto de acceso que no es de conmutador local y el grupo de inundación para este dominio de puente contiene solo los puertos promiscuos, p1 e ISL, t1 y t2.