AUF DIESER SEITE
Konfigurieren optionaler Add-Ins
In diesem Abschnitt wird gezeigt, wie Sie die folgenden Funktionen konfigurieren, bei denen es sich um optionale Add-Ins für das Multihomed Campus-Netzwerk "Collapsed Core with EVPN" handelt.
So konfigurieren Sie DHCP
Anforderungen
Konfigurieren Sie DHCP auf den folgenden Geräten, die Sie im Konfigurationsbeispiel Konfigurieren eines Campus-Netzwerks mit EVPN Multihoming konfiguriert haben:
Zwei EX4650 oder QFX5120 Switches als eingeklappte Core-Geräte. Softwareversion: Junos OS Version 20.2R2 oder höher.
Ein externer DHCP-Server.
Übersicht
In diesem Abschnitt erfahren Sie, wie Sie DHCP im Netzwerk konfigurieren. Um zu vermeiden, dass das Netzwerk mit DHCP-Erkennungspaketen überflutet wird, konfigurieren Sie DHCP auf einer Schnittstelle in einer VRF-Routing-Instanz. Die ausgeblendeten Core-Geräte fungieren als DHCP-Relay zu einem über Layer 3 erreichbaren externen DHCP-Server.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
Konfigurieren Sie das reduzierte Core-Gerät so, dass es nur als DHCP-Relay fungiert. Es wird keine Bindungstabelle verwaltet.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay forward-only
Erstellen Sie eine Servergruppe, und geben Sie die IP-Adresse des DHCP-Servers an.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay server-group server_group_1 192.168.192.1
Geben Sie die neue Servergruppe als aktive Servergruppe an.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group dhcp_relay_1 active-server-group server_group_1
Unterdrücken Sie die Installation von Zugriffs-, Zugriffsinternen oder Zielrouten während der Clientbindung während des JDHCPD-Prozesses.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group dhcp_relay_1 route-suppression destination
Setzen Sie das Broadcast-Bit für alle Arten von DHCP-Nachrichten immer auf eins. Wenn Sie diese Option nicht konfigurieren, setzen einige Clients das Bit vor dem Senden der Nachricht auf Null, was nicht vorzuziehen ist.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group dhcp_relay_1 overrides no-unicast-replies
Konfigurieren Sie die IRBs so, dass sie eine Verbindung zu den zugehörigen VLANs und Subnetzen herstellen und DHCP-Services für diese Clients bereitstellen.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group Relay_Group1 interface irb.201 set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group Relay_Group1 interface irb.202
Hinweis:In diesem Schritt können Sie jeden IRB einschließen, der Teil der Routing-Instanz ist.
Sie müssen diese Konfiguration auf allen ausgeblendeten Core-Geräten in Ihrem Netzwerk wiederholen.
So konfigurieren Sie den SRX-Router
Konfiguration
CLI-Schnellkonfiguration
In dieser Beispielkonfiguration wird SRX verwendet, um den Benutzerdatenverkehr von den Mist Access Points ins Internet zu leiten. Abbildung 1 zeigt das zusammengebrochene Core-Netzwerk zusammen mit dem SRX-Router. In diesem Beispiel werden die folgenden Konfigurationseinstellungen verwendet:
-
VLAN 126 wird verwendet, um den Datenverkehr von den kollabierten Kernen an den SRX und an das Internet weiterzuleiten.
-
VLAN 125 wird für die Cloud-Registrierung und den Betrieb der Mist APs verwendet.
-
VLAN 125 ist auch als natives VLAN in dem Trunk-Port gekennzeichnet, mit dem der Access Point verbunden ist
-
Legen Sie server_group_1 192.168.192.1 als DHCP-Server fest.
Weitere Informationen zum Konfigurieren des Inter-VRF-Routings auf dem SRX-Router finden Sie unter SRX-Konfiguration
SRX-Konfiguration
Konfigurieren Sie die folgenden Einstellungen auf dem SRX-Router.
set security zones security-zone trust interfaces irb.126 set interfaces irb unit 126 family inet address 192.168.3.1/24 set vlans mgmt1 l3-interface irb.126 set interfaces ae1 unit 0 family ethernet-switching interface-mode trunk set interfaces ae1 unit 0 family ethernet-switching vlan members mgmt1 set interfaces ge-0/0/4 unit 0 family inet address 10.204.37.175/20 set security nat source rule-set trust-to-untrust from zone trust set security nat source rule-set trust-to-untrust to zone untrust set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0 set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any set security policies from-zone trust to-zone trust policy trust-to-trust match application any set security policies from-zone trust to-zone trust policy trust-to-trust then permit set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit set security zones security-zone trust host-inbound-traffic system-services ping set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces irb.126
Collapsed Core 1-Konfiguration
Konfigurieren Sie die folgenden Einstellungen auf dem reduzierten Core-Switch.
set interfaces irb unit 126 family inet address 192.168.3.2/24 set vlans mgmt1 vxlan vni 1000126 set vlans mgmt1 vlan-id 126 set vlans mgmt1 l3-interface irb.126 set interfaces irb unit 125 family inet address 192.168.2.2/24 set vlans mgmt vlan-id 125 set vlans mgmt l3-interface irb.125 set vlans mgmt vxlan vni 1000125 set interfaces ae31 unit 0 family ethernet-switching vlan members mgmt1 set interfaces ae22 unit 0 family ethernet-switching vlan members mgmt set groups dhcp-mist-relay forwarding-options dhcp-relay forward-only routing-instance default set groups dhcp-mist-relay forwarding-options dhcp-relay forward-only-replies set groups dhcp-mist-relay forwarding-options dhcp-relay server-group server_group_1 192.168.192.1 set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist active-server-group server_group_1 set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist route-suppression destination set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist interface irb.125 set apply-groups dhcp-mist-relay
Collapsed Core 2-Konfiguration
Konfigurieren Sie die folgenden Einstellungen auf dem reduzierten Core-Switch.
set interfaces irb unit 126 family inet address 192.168.3.3/24 set vlans mgmt1 vxlan vni 1000126 set vlans mgmt1 vlan-id 126 set vlans mgmt1 l3-interface irb.126 set interfaces irb unit 125 family inet address 192.168.2.3/24 set vlans mgmt vlan-id 125 set vlans mgmt l3-interface irb.125 set vlans mgmt vxlan vni 1000125 set interfaces ae31 unit 0 family ethernet-switching vlan members mgmt1 set interfaces ae22 unit 0 family ethernet-switching vlan members mgmt set groups dhcp-mist-relay forwarding-options dhcp-relay forward-only routing-instance default set groups dhcp-mist-relay forwarding-options dhcp-relay forward-only-replies set groups dhcp-mist-relay forwarding-options dhcp-relay server-group server_group_1 192.168.192.1 set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist active-server-group server_group_1 set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist route-suppression destination set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist interface irb.125 set apply-groups dhcp-mist-relay
Access-Switch-Konfiguration für Mist AP
Konfigurieren Sie die folgenden Einstellungen auf dem Zugriffs-Switch.
set poe interface ge-0/0/4 set poe interface ge-0/0/5 set interfaces ae22 unit 0 family ethernet-switching vlan members mgmt set interfaces ge-0/0/4 native-vlan-id 125 set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members 125 set interfaces ge-0/0/5 native-vlan-id 125 set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members 125
Access-Switch-Konfiguration für 802.1X
Es wird empfohlen, die 802.1x-PNAC-Authentifizierung (Port Based Network Access Control) für kabelgebundene Clients auf den Switches zu aktivieren, um die Clients zu authentifizieren, die eine Verbindung zu den Switch-Ports herstellen.
Es gibt drei Möglichkeiten, dies zu tun:
-
Authentifizieren Sie das erste Endgerät (Supplicant) an einem Authentifikator-Port und erlauben Sie allen anderen angeschlossenen Endgeräten ebenfalls Zugriff auf das LAN
-
Gleichzeitige Authentifizierung eines einzelnen Endgeräts an einem Authentifikator-Port
-
Authentifizieren Sie mehrere Endgeräte an einem Authentifikator-Port (dies wird typischerweise in VoIP-Konfigurationen verwendet
In diesem Beispiel konfigurieren wir den Switch so, dass er mehrere Supplicants akzeptiert.
set groups dot1x access radius-server 192.168.10.1 secret "$9$8.s7b2ZGi.mTZUqf5QCA" set groups dot1x access radius-server 192.168.10.1 source-address 192.168.10.200 set groups dot1x protocols dot1x authenticator authentication-profile-name pdt_profile_1 set groups dot1x protocols dot1x authenticator no-mac-table-binding set groups dot1x protocols dot1x authenticator interface ge-1/0/12.0 supplicant multiple set groups dot1x protocols dot1x authenticator interface ge-1/0/12.0 mac-radius set groups dot1x access profile pdt_profile_1 authentication-order radius set groups dot1x access profile pdt_profile_1 radius authentication-server 192.168.10.1
Was kommt als nächstes
Die Campus-Lösung von Juniper, die auf einem VXLAN-Overlay mit EVPN-Steuerungsebene basiert, ist eine effiziente und skalierbare Möglichkeit, mehrere Campus in einem Kernnetzwerk aufzubauen und miteinander zu verbinden. Mit einer robusten BGP/EVPN-Implementierung ist Juniper gut positioniert, um das volle Potenzial der EVPN-Technologie auszuschöpfen.
Weitere Informationen zu den verfügbaren EVPN-Funktionen und deren Konfiguration finden Sie im EVPN-Benutzerhandbuch.