Gestion des segments LAN sur un site locataire

Un réseau sur un site locataire est divisé en plusieurs segments LAN afin d’améliorer la gestion du trafic et la sécurité. Un segment LAN est une petite partie d’un LAN utilisée par un groupe de travail. Un regroupement de plusieurs segments LAN forme un service. Les segments LAN sont séparés par un pont ou un routeur.

À partir de la version 6.1.0, CSO prend en charge la découverte automatique des sous-réseaux derrière les routeurs LAN, qui sont connectés à un équipement sur site client (CPE) tel que NFX ou les pare-feu SRX Series. Les administrateurs peuvent annoncer des sous-réseaux supplémentaires sur un segment LAN à l’aide du routage statique et dynamique.

En outre, CSO vous permet de contrôler les annonces de route par segment LAN.

Vous pouvez afficher et gérer les segments LAN à partir de l’onglet LAN de la Site Name page.

Ces rubriques décrivent comment gérer les segments LAN sur un site.

Ajout de segments LAN

Vous ajoutez des segments LAN à partir de la Site Name page.

Pour ajouter un segment LAN :

Cliquez sur Ressources > Gestion du site.

La page Sites s’affiche.
Cliquez sur le site pour lequel vous souhaitez ajouter le segment LAN.

La page s’affiche Site-Name .
Cliquez sur l’icône d’ajout (+) dans l’onglet LAN .

La page Add LAN Segment (Ajouter un segment LAN) s’affiche.
Complétez les paramètres de configuration en suivant les instructions fournies dans le tableau 1.

Note:
Les champs marqués d’un astérisque (*) sont obligatoires.
Cliquez sur OK.

Vous êtes redirigé vers la Site-Name page où s’affiche le segment LAN que vous avez ajouté.

Tableau 1 : ajout de paramètres de segment LAN
Champ	Description
Utilisation pour le VPN de superposition	Activez le champ Utiliser pour le VPN de superposition afin d’associer le segment LAN au service sélectionné (VRF + ZONE) pour le trafic de superposition vers d’autres sites. Désactivez le champ Utiliser pour le VPN de superposition afin d’associer le segment LAN à une zone de sécurité pour le breakout de sous-couche. Vous devez définir des stratégies de sécurité par zone. Note: Lors de l’ajout d’un nouveau site, ce champ est activé par défaut et ne peut pas être modifié. Toutefois, lorsque vous ajoutez un nouveau segment LAN à un site provisionné à partir de l’onglet LAN de la page Site-Name , vous pouvez activer ou désactiver cette option.
Nom	Saisissez un nom pour le segment LAN. Le nom d’un segment LAN doit être une chaîne unique de caractères alphanumériques et de quelques caractères spéciaux (. -). Aucun espace n’est autorisé et la longueur maximale autorisée est de 15 caractères.
CPE Port	Note: Applicable aux pare-feu SRX Series. Sélectionnez le port CPE à ajouter dans le segment LAN. Lorsque vous ajoutez un nouveau segment LAN à un site provisionné à partir de l’onglet LAN de la `Site-Name` page, vous pouvez sélectionner (ou créer) une interface LAG ou une interface Ethernet redondante (reth) (pour un cluster CPE double) pour connecter les équipements CPE SRX Series à un commutateur EX Series. Pour utiliser l’interface et sur SRX4600 périphériques, vous devez créer une interface LAG et la configurer en tant que membre de l’interface LAG (Ethernet agrégé ou ae). Reportez-vous à la section Créer une interface LAG. Pour un cluster CPE double SRX4600, vous pouvez utiliser l’interface et si elle est configurée en tant que membre de l’interface Ethernet redondante (reth).
Ajouter une interface LAG	Note: Cette option est disponible lorsque vous ajoutez un nouveau segment LAN à un site approvisionné à partir de l’onglet LAN de la `Site-Name` page. Cliquez sur le lien pour créer une interface LAG (interface ae) si vous souhaitez l’utiliser pour connecter le CPE SRX Series au commutateur EX Series. Pour plus d’informations, reportez-vous à la section Créer une interface LAG .
Créer une interface RETH	Note: Cette option est disponible lorsque vous ajoutez un nouveau segment LAN à un site approvisionné à partir de l’onglet LAN de la `Site-Name` page. Cliquez sur le lien pour créer une interface reth pour un site SD-WAN avec un cluster CPE double. Reportez-vous à la section Créer une interface RETH pour plus de détails.
Type Note: Ce champ s’affiche uniquement pour les segments LAN associés aux sites du hub d’entreprise.	Sélectionnez le type de segment LAN : Directly Connected (Directly Connected) (Directement connecté) : indique que le segment LAN est directement connecté au site. Routage dynamique : indique que le segment LAN n’est pas directement connecté au site et qu’il est accessible à l’aide d’un itinéraire dynamique. Si vous sélectionnez cette option, vous devez spécifier les informations de routage dynamique.
VLAN ID	Saisissez l’ID VLAN du segment LAN. Par défaut, l’ID de VLAN est défini sur 1 et le VLAN natif est activé pour le trafic non balisé. Vous pouvez utiliser des ID VLAN dans les plages suivantes pour configurer les segments LAN : Pare-feu SRX Series (CPE simple et double) et pare-feu virtuel vSRX : 1 – 4094 (dans les versions antérieures à CSO version 6.2.0, la plage est comprise entre 1 et 4049) Équipements NFX250 (CPE simple et double) et NFX150 : 1 - 4049
Utilisation pour le VLAN natif	Activez cette option pour utiliser l’ID de VLAN spécifié ci-dessus pour le trafic non balisé. L’interface CPE est configurée avec un identifiant de vlan natif, qui a la même valeur que l’ID de VLAN.
Département	Note: Ce champ n’est disponible que si le champ Utiliser pour le VPN de superposition est activé. Sélectionnez un service auquel le segment LAN est affecté. Vous pouvez également cliquer sur le lien Créer un service pour créer un nouveau service et lui affecter le segment LAN. Pour plus d’informations, reportez-vous à la section Ajouter un service . Vous pouvez regrouper les segments LAN en tant que départements pour faciliter la gestion et appliquer les stratégies au niveau du service. Pour les segments LAN acheminés dynamiquement, vous ne pouvez affecter qu’un service de centre de données.
Adresse/masque de passerelle	Entrez une adresse IP de passerelle et un masque valides pour le segment LAN. Cette adresse sera la passerelle par défaut pour les points de terminaison de ce segment LAN. Par exemple : 192.0.2.8/24.
La zone	Note: Ce champ n’est disponible que si le champ Utiliser pour le VPN de superposition est désactivé. Sélectionnez une zone de sécurité à associer à ce segment LAN. Vous pouvez également cliquer sur Créer une zone pour créer une zone de sécurité et l’affecter à ce segment LAN. Pour plus d’informations, reportez-vous à la section Ajout d’une zone de sécurité .
DHCP	Pour les segments LAN directement connectés, cliquez sur le bouton bascule pour activer DHCP. Vous pouvez activer DHCP si vous souhaitez attribuer des adresses IP à l’aide d’un serveur DHCP ou désactiver DHCP si vous souhaitez attribuer une adresse IP statique au segment LAN. Note: Si vous activez DHCP, des champs supplémentaires s’affichent sur la page.
Champs supplémentaires liés au protocole DHCP
Plage d’adresses faible	Entrez l’adresse IP de départ dans la plage d’adresses IP pouvant être allouée par le serveur DHCP au segment LAN.
Plage d’adresses élevée	Entrez l’adresse IP de fin dans la plage d’adresses IP pouvant être allouée par le serveur DHCP au segment LAN.
Durée maximale du bail	Spécifiez la durée maximale (en secondes) pendant laquelle un client peut demander et conserver un bail sur le serveur DHCP. Valeur par défaut : 1440 Portée : 0 à 4 294 967 295 secondes.
Serveur de noms	Spécifiez une ou plusieurs adresses IPv4 du serveur DNS. Pour entrer plusieurs adresses de serveur DNS, tapez l’adresse, appuyez sur Entrée, puis tapez l’adresse suivante. Note: Les serveurs DNS sont utilisés pour résoudre les noms d’hôte en adresses IP.
CPE Ports	Note: Applicable aux appareils NFX150 et NFX250. Pour les sites dotés d’une capacité SD-WAN, le champ Ports CPE est désactivé et les ports CPE que vous pouvez inclure dans le segment LAN sont répertoriés. Sélectionnez les ports dans la colonne Disponible et cliquez sur la flèche vers la droite pour les déplacer vers la colonne Sélectionné .
Routage statique Cette section permet de configurer le routage statique sur le segment LAN. Fournissez les adresses IP de tous les routeurs LAN connectés à l’équipement CPE et les sous-réseaux statiques derrière ces routeurs.
Ajouter un préfixe IP de routeur LAN
Routeur LAN IP	Entrez l’adresse IP du routeur LAN connecté à l’équipement CPE.
Préfixe	Entrez les sous-réseaux connectés au routeur LAN.
BFD	Activez la détection de transfert bidirectionnel (BFD) pour détecter toute défaillance sur la route statique.
Routage dynamique
Protocole de routage	Activez ce bouton bascule pour configurer le routage dynamique à l’aide du protocole BGP ou OSPF.
BFD	Activez la détection de transfert bidirectionnel (BFD) pour détecter toute défaillance dans le segment LAN.
Protocole	Sélectionnez BGP ou OSPF.
BGP Configuration Note: À partir de la version 6.1.0, CSO désactive explicitement la fonctionnalité de redémarrage gracieux à longue durée (LLGR) pour les sessions d’appairage BGP avec des routeurs Provider Edge (PE) et de centre de données ou LAN. La désactivation de LLGR garantit que le CPE ne différencie pas les annonces de routage vers le routeur d’appairage, quelle que soit la capacité LLGR du routeur d’appairage. Avant CSO version 6.1.0, le mode d’assistance LLGR était activé par défaut (comportement implicite de Junos OS) sur le CPE pour l’appairage BGP vers le routeur PE dans les déploiements VPN IP et les routeurs de centre de données ou LAN dans les déploiements de centre de données.
Authentification	Sélectionnez la méthode d’authentification de route BGP à utiliser : Aucun : indique qu’aucune authentification ne doit être utilisée. Il s’agit de l’option par défaut. Use MD5 (Utiliser MD5) : indique que MD5 doit être utilisé pour l’authentification. Si vous choisissez cette option, vous devez spécifier une clé d’authentification.
Clé d’authentification	Si vous avez spécifié que MD5 doit être utilisé pour l’authentification, spécifiez une clé d’authentification MD5 (mot de passe), qui est utilisée pour vérifier l’authenticité des paquets BGP.
BGP Options	Vous pouvez sélectionner les options suivantes en fonction de vos besoins : AS-OVERRIDE : remplace toutes les occurrences du numéro AS homologue dans le chemin AS par son propre numéro AS avant d’annoncer le chemin à l’homologue. AS-PATH-PREPEND : ajoute un ou plusieurs numéros de système autonome (AS) au début d’un chemin AS. Le préfixe d’un chemin AS donne l’impression qu’un chemin AS plus court est plus long et, par conséquent, il devient moins préférable à BGP. AS-LOOP : Permet d’ajouter le numéro AS du périphérique local dans les chemins AS reçus. Vous pouvez spécifier le nombre de fois que la détection de l’AS local est autorisée dans le chemin de l’AS.
Nombre de boucles	Ce champ ne s’affiche que si vous sélectionnez AS-LOOP. Entrez le nombre maximal de fois que la détection de l’AS local est autorisée dans le chemin d’accès à l’AS.
Adresse IP de l’homologue	Entrez l’adresse IP du pair BGP LAN.
Numéro Peer AS	Entrez le numéro du système autonome (AS) du pair BGP LAN. Par défaut, CSO utilise le numéro AS 64512. Vous pouvez saisir un autre numéro AS.
Numéro AS local	Entrez le numéro AS local. Lorsque vous configurez ce paramètre, le numéro AS local est utilisé pour l’appairage BGP au lieu du numéro AS global configuré pour le CPE.
Configuration de l’OSPF
ID de zone OSPF	Spécifiez l’identificateur de zone OSPF à utiliser pour le routage dynamique.
Authentification	Sélectionnez la méthode d’authentification de route OSPF à utiliser : Password (Mot de passe) : indique que l’authentification par mot de passe doit être utilisée. Si vous choisissez cette option, vous devez spécifier le mot de passe. (Il s’agit de l’option par défaut). Use MD5 (Utiliser MD5) : indique que MD5 doit être utilisé pour l’authentification. Si vous choisissez cette option, vous devez spécifier une clé d’authentification. Aucun : indique qu’aucune authentification ne doit être utilisée.
Mot de passe	Entrez le mot de passe à utiliser pour vérifier l’authenticité des paquets OSPF.
Confirmer le mot de passe	Saisissez à nouveau le mot de passe à des fins de confirmation.
ID de clé d’authentification MD5	Si vous avez spécifié que MD5 doit être utilisé pour l’authentification, entrez l’ID de clé d’authentification MD5 OSPF. Portée : 1 à 255.
Clé d’authentification	Si vous avez spécifié que MD5 doit être utilisé pour l’authentification, entrez une clé d’authentification MD5, qui est utilisée pour vérifier l’authenticité des paquets OSPF.
Contrôle de l’annonce de routage
Route(s) LAN vers overlay	Lorsque cette option est activée, les routes LAN sont annoncées aux CPE distants. Par défaut, cette option est activée.
Route(s) de superposition vers le LAN	Cette option ne s’affiche que si vous activez le bouton bascule Routing Protocol (Protocole de routage). Par défaut, cette option est désactivée. Activez cette option pour annoncer les routes CPE distantes reçues dans un service vers le routeur LAN. Note: Dans CSO version 6.0.0 et les versions antérieures, cette option s’appelle Advertise LAN Prefix et s’applique uniquement aux services des centres de données.
Routes agressives/statiques vers la superposition	Activez cette option pour autoriser la publication de routes résumées en tant que routes statiques ou agrégées vers le réseau superposé. Si un grand nombre de routes LAN sont présentes, vous pouvez désactiver l’option Route(s) LAN vers superposition et utiliser cette option pour annoncer des routes agrégées. Si vous souhaitez annoncer des routes supplémentaires, vous pouvez activer l’option Route(s) LAN Route(s) vers superposition et utiliser cette option pour annoncer des routes statiques supplémentaires.

Modification d’un segment LAN

Vous pouvez modifier les segments LAN associés à un site à partir de l’onglet LAN de la page Gestion du site.

Pour modifier un segment LAN :

Cliquez sur Ressources > Gestion du site.

La page Gestion du site s’affiche.
Cliquez sur le lien pour lequel vous souhaitez modifier le Site-Name segment LAN associé.

La page s’affiche Site-Name .
Sélectionnez l’onglet LAN .

Les segments LAN associés s’affichent.
Sélectionnez le segment LAN que vous souhaitez modifier et cliquez sur l’icône d’édition (crayon).

La page Edit LAN segment (Modifier le segment LAN) s’affiche.
Complétez les paramètres de configuration en suivant les instructions fournies dans Ajout de segments LAN.

Note:
Vous ne pouvez pas modifier les champs Nom et Utilisation pour le VPN de superposition .
Cliquez sur OK.

Une tâche Modifier le segment LAN est déclenchée et vous êtes redirigé vers l’onglet LAN de la page Gestion du site.

Un message de confirmation s’affiche (avec le lien de la tâche) en haut de la page indiquant que la tâche a été créée. Vous pouvez cliquer sur le lien de la tâche pour afficher les détails de la tâche (y compris l’état de la tâche, la date et l’heure de début, ainsi que la date et l’heure de fin). Vous pouvez également afficher l’état de la tâche sur la page Tâches (Surveiller > Tâches).

Une fois la tâche Modifier le segment LAN terminée, le segment LAN modifié dont l’état est Modifié est répertorié dans l’onglet LAN de la page Gestion du site.
Déployez le segment LAN modifié pour appliquer les modifications sur le site. Reportez-vous à la section Déploiement de segments LAN.

Déploiement de segments LAN

Une fois que vous avez créé un segment LAN et que vous l’avez affecté à un service, vous devez le déployer. Vous pouvez déployer des segments LAN à partir de la Site Name page.

Pour déployer un ou plusieurs segments LAN :

Cliquez sur l’onglet LAN .
Sélectionnez un ou plusieurs segments LAN que vous souhaitez déployer, puis cliquez sur Deploy.

Une tâche Déployer un segment LAN est créée.

Note:
Si une tâche de déploiement de segment LAN est en cours pour un site, attendez que la tâche soit terminée avant de déclencher une autre tâche de déploiement de segment LAN.

Si vous tentez de déclencher une tâche de déploiement de segment LAN alors qu’une autre est en cours d’exécution, la tâche échoue avec un message indiquant que la tâche de déploiement de segment LAN précédente est en cours.
Cliquez sur Plus > Historique des déploiements pour afficher l’état des tâches et l’historique des déploiements du segment LAN.

La page Déployer l’historique des segments LAN s’affiche.

Vous pouvez également vérifier l’état de la tâche à partir de la page Surveiller > tâches .

Suppression de segments LAN

Vous pouvez supprimer des segments LAN de la Site Name page.

Pour supprimer un segment LAN :

Sélectionnez un segment LAN et cliquez sur l’icône de suppression (X) dans l’onglet LAN .

La page Delete LAN Segment (Supprimer le segment LAN) s’affiche.
Cliquez sur OK pour confirmer la suppression.

Le segment LAN est supprimé.