Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration de la sécurité DHCP avec la tunnelisation Q-in-Q dans le style du fournisseur de services

Junos OS prend en charge deux styles de configuration différents pour les interfaces de commutateur : style fournisseur de services et style entreprise. Le style fournisseur de services nécessite plus de configuration, mais offre une plus grande flexibilité. Le style d’entreprise est plus facile à configurer mais offre moins de fonctionnalités.

Avec la configuration de type entreprise, les interfaces logiques sont placées en mode de couche 2 en spécifiant la commutation Ethernet comme famille d’interfaces. L’option de commutation Ethernet ne peut être configurée que sur une seule unité logique, l’unité 0. Vous ne pouvez pas lier un ID VLAN à l’unité 0, car ces interfaces fonctionnent soit en mode trunk, qui prend en charge le trafic avec différentes balises VLAN, soit en mode accès, qui prend en charge le trafic non balisé.

Certaines fonctionnalités de commutation, telles que la tunnelisation Q-in-Q, ne peuvent pas être configurées sur l’unité d’interface logique 0. La tunnelisation Q-in-Q nécessite l’interface logique pour transmettre les trames balisées VLAN. Pour permettre à une interface logique de recevoir et de transférer des trames Ethernet balisées VLAN, vous devez lier l’interface logique à ce VLAN. Étant donné que le style d’entreprise n’autorise pas la liaison d’un ID de VLAN à l’unité 0, vous devez utiliser le style de fournisseur de services pour configurer la tunnelisation Q-in-Q.

Pour prendre en charge la sécurité DHCP avec la tunnelisation Q-in-Q, vous pouvez configurer les fonctionnalités de sécurité DHCP suivantes en utilisant le style fournisseur de services :

  • Surveillance DHCP (DHCPv4 et DHCPv6)
  • Inspection ARP dynamique
  • Inspection de découverte des voisins
  • DHCP option 82
  • DHCPv6 option 18 et option 37
  • Agent de relais DHCPv6 léger

Vous pouvez combiner les styles de configuration fournisseur de services et entreprise sur la même interface physique à l’aide d’une encapsulation flexible des services Ethernet. Grâce à l’encapsulation flexible des services Ethernet, vous pouvez configurer les encapsulations au niveau de l’interface logique plutôt qu’au niveau de l’interface physique. La définition de plusieurs encapsulations Ethernet par unité facilite la personnalisation des services Ethernet en fonction de plusieurs hôtes connectés à la même interface physique. Pour plus d’informations, reportez-vous à la section Encapsulation flexible des services Ethernet .

Note:

Les commutateurs EX4300 ne prennent pas en charge la configuration de type fournisseur de services et de style entreprise sur la même interface physique.

Exemple : sécurité DHCP et tunnelisation Q-in-Q avec configuration de type fournisseur de services

Lorsque vous configurez une interface physique pour prendre en charge uniquement le style fournisseur de services, configurez le type d’encapsulation pour prendre en charge les extended-vlan-bridge fonctionnalités de pontage. Vous devez également configurer le balisage VLAN natif sur l’interface physique afin qu’elle puisse fonctionner en mode trunk et transmettre des trames Ethernet avec des balises VLAN pour plusieurs VLAN. Configurez un balisage VLAN flexible sur l’interface pour transmettre des paquets avec des trames VLAN 802.1Q à balise unique et à balise double.

L’exemple de configuration suivant encapsule l’interface physique ge-0/0/11 pour la configuration du fournisseur de services et définit l’unité logique 111. L’ID VLAN v111 est lié à l’unité 111 et la tunnelisation Q-in-Q est configurée sur l’interface logique ge-0/0/11.111. La configuration active la surveillance DHCP, l’inspection ARP dynamique et l’option DHCP 82 sur le VLAN v111.

Exemple : sécurité DHCP et tunnelisation Q-in-Q avec encapsulation flexible des services Ethernet

Le type d’encapsulation flexible des services Ethernet permet à une interface physique de prendre en charge les deux styles de configuration. Pour prendre en charge le style fournisseur de services, des services Ethernet flexibles permettent de configurer les encapsulations au niveau de l’interface logique plutôt que de l’interface physique. Pour prendre en charge le style d’entreprise, des services Ethernet flexibles permettent de configurer la ethernet-switching famille sur n’importe quel numéro d’unité d’interface logique.

L’exemple de configuration suivant encapsule l’interface physique ge-0/0/11 avec flexible-ethernet-services pour prendre en charge les configurations de type fournisseur de services et entreprise. Deux unités logiques sont définies sur l’interface physique : l’unité 111 pour le style fournisseur de services et l’unité 0 pour le style entreprise. L’encapsulation vlan-bridge active les fonctions de pontage sur l’unité 111 et la famille active les fonctions de pontage sur l’unité ethernet-switching 0. La tunnelisation Q-in-Q est configurée sur l’interface logique ge-0/0/11.111.

Le VLAN v111 est lié à l’unité 111 et possède les fonctionnalités de sécurité DHCP suivantes :

  • Surveillance DHCP avec l’option 82 et la substitution approuvée
  • Inspection ARP dynamique

Le EP_v222 VLAN est lié à l’unité 0 et possède les fonctionnalités de sécurité DHCP suivantes :

  • Surveillance DHCP avec l’option 82
  • Inspection ARP dynamique
  • Inspection de découverte des voisins
Note:

Par défaut, les interfaces avec une configuration de type fournisseur de services ne sont pas approuvées pour DHCP. Sur les interfaces avec une configuration de type entreprise, les interfaces d’accès ne sont pas approuvées et les interfaces trunk sont approuvées.

Exemple : sécurité DHCP et tunnelisation Q-in-Q avec prise en charge de Swap-Push/Pop-Swap

La tunnelisation Q-in-Q et la traduction VLAN permettent aux fournisseurs de services de créer une connexion Ethernet L2 entre deux sites clients. Les fournisseurs peuvent séparer le trafic VLAN de différents clients sur une liaison.

Le tunneling Q-in-Q avec prise en charge des swaps-push/pop-swaps L2 est un scénario spécifique dans lequel la balise VLAN CLIENT (C-VLAN) est permutée avec la balise, et la balise VLAN DE SERVICE (S-VLAN) définie par le fournisseur de services lui est appliquée (pour le trafic circulant entre le client et le inner-vlan-id site du fournisseur de services). Ce trafic est envoyé au réseau du fournisseur de services avec une double balise (S-VLAN + C-VLAN). Pour le trafic circulant du réseau du fournisseur de services vers le réseau client, la balise S-VLAN est supprimée et la balise C-VLAN est remplacée par l’ID VLAN configuré sur l’interface logique UNI.

L’exemple suivant illustre les opérations de double balise swap-push/pop-swap.

  1. Swap-push : pour les trames à balise unique entrantes d’UNI, le C-VLAN (ID VLAN 100) permute avec l’ID de VLAN interne (200) configuré sur l’interface logique et le S-VLAN (VLAN ID 900) pousse sur la trame. La trame à double balise sort de NNI.
  2. Pop-swap : pour les trames à double balise entrantes de NNI, la balise S-VLAN apparaît (ID VLAN 900) à partir de la trame et l'ID VLAN 100 de l'interface logique remplace la balise C-VLAN. La trame à balise unique sort d’UNI.

Pour prendre en charge la sécurité DHCP en même temps que la tunnelisation Q-in-Q, vous pouvez configurer les fonctionnalités de sécurité DHCP suivantes :

  • Surveillance DHCP (DHCPv4 et DHCPv6)
  • Inspection ARP dynamique
  • Garde de source DHCPv6
  • Inspection de découverte des voisins
  • DHCP option 82
  • DHCPv6 option 37

Si vous configurez l’interface logique avec une liste d’ID de VLAN et que l’input-vlan-map et le vlan-map de sortie sont configurés en tant que swap-push/pop-swap, il en résulte un comportement indésirable car le trafic régressant hors de l’UNI a un numéro d’unité logique au lieu de l’ID de VLAN client d’origine de la liste d’ID de VLAN configurée.