SUR CETTE PAGE
Configuration de compléments facultatifs
Cette section montre comment configurer les fonctionnalités suivantes, qui sont des compléments facultatifs au réseau de campus multirésident Collapsed Core with EVPN.
Comment configurer DHCP
Exigences
Configurez DHCP sur les périphériques suivants que vous avez configurés dans l’exemple de configuration Comment configurer un réseau de campus à l’aide du multihébergement EVPN :
Deux commutateurs EX4650 ou QFX5120 en tant qu’équipements centraux réduits. Version logicielle : Junos OS version 20.2R2 ou ultérieure.
Un serveur DHCP externe.
Aperçu
Utilisez cette section pour configurer DHCP sur le réseau. Pour éviter d’inonder le réseau de paquets de découverte DHCP, configurez DHCP sur une interface dans une instance de routage VRF. Les périphériques centraux réduits agissent comme un relais DHCP vers un serveur DHCP externe de couche 3 accessible.
Configuration
Procédure
Procédure étape par étape
Configurez le périphérique principal réduit pour qu’il agisse uniquement comme un relais DHCP. Il ne maintiendra pas de table contraignante.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay forward-only
Créez un groupe de serveurs et spécifiez l’adresse IP du serveur DHCP.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay server-group server_group_1 192.168.192.1
Spécifiez le nouveau groupe de serveurs comme groupe de serveurs actif.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group dhcp_relay_1 active-server-group server_group_1
Supprimez l’installation des routes d’accès, d’accès interne ou de destination pendant la liaison client pendant le processus JDHCPD.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group dhcp_relay_1 route-suppression destination
Définissez toujours le bit de diffusion sur un pour tous les types de messages DHCP. Si vous ne configurez pas cette option, certains clients définiront le bit sur zéro avant d’envoyer le message, ce qui n’est pas préférable.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group dhcp_relay_1 overrides no-unicast-replies
Configurez les IRB pour qu’elles se connectent aux réseaux locaux virtuels et aux sous-réseaux associés et fournissent des services DHCP à ces clients.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group Relay_Group1 interface irb.201 set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group Relay_Group1 interface irb.202
Note:Dans cette étape, vous pouvez inclure n’importe quel CISR faisant partie de l’instance de routage.
Vous devrez répéter cette configuration sur tous les périphériques centraux réduits de votre réseau.
Configuration du routeur SRX
Configuration
Configuration rapide de l’interface de ligne de commande
Dans cet exemple de configuration, SRX est utilisé pour acheminer le trafic utilisateur des points d’accès Mist vers Internet. La Figure 1 montre le réseau central réduit avec le routeur SRX. Cet exemple utilise les paramètres de configuration suivants :
-
Le VLAN 126 est utilisé pour transférer le trafic des cœurs réduits vers le SRX et Internet.
-
Le VLAN 125 permet d’envoyer le trafic de gestion pour l’enregistrement dans le cloud et l’exploitation des points d’accès Mist.
-
Le VLAN 125 est également marqué comme VLAN natif dans le port trunk où le point d’accès est connecté
-
Désignez server_group_1 192.168.192.1 comme serveur DHCP.
Pour plus d’informations sur la configuration du routage inter-vrf sur le routeur SRX, consultez Configuration SRX
SRX Configuration
Configurez les paramètres suivants sur le routeur SRX.
set security zones security-zone trust interfaces irb.126 set interfaces irb unit 126 family inet address 192.168.3.1/24 set vlans mgmt1 l3-interface irb.126 set interfaces ae1 unit 0 family ethernet-switching interface-mode trunk set interfaces ae1 unit 0 family ethernet-switching vlan members mgmt1 set interfaces ge-0/0/4 unit 0 family inet address 10.204.37.175/20 set security nat source rule-set trust-to-untrust from zone trust set security nat source rule-set trust-to-untrust to zone untrust set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0 set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any set security policies from-zone trust to-zone trust policy trust-to-trust match application any set security policies from-zone trust to-zone trust policy trust-to-trust then permit set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit set security zones security-zone trust host-inbound-traffic system-services ping set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces irb.126
Configuration réduite du cœur 1
Configurez les paramètres suivants sur le commutateur central réduit.
set interfaces irb unit 126 family inet address 192.168.3.2/24 set vlans mgmt1 vxlan vni 1000126 set vlans mgmt1 vlan-id 126 set vlans mgmt1 l3-interface irb.126 set interfaces irb unit 125 family inet address 192.168.2.2/24 set vlans mgmt vlan-id 125 set vlans mgmt l3-interface irb.125 set vlans mgmt vxlan vni 1000125 set interfaces ae31 unit 0 family ethernet-switching vlan members mgmt1 set interfaces ae22 unit 0 family ethernet-switching vlan members mgmt set groups dhcp-mist-relay forwarding-options dhcp-relay forward-only routing-instance default set groups dhcp-mist-relay forwarding-options dhcp-relay forward-only-replies set groups dhcp-mist-relay forwarding-options dhcp-relay server-group server_group_1 192.168.192.1 set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist active-server-group server_group_1 set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist route-suppression destination set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist interface irb.125 set apply-groups dhcp-mist-relay
Configuration réduite du cœur 2
Configurez les paramètres suivants sur le commutateur central réduit.
set interfaces irb unit 126 family inet address 192.168.3.3/24 set vlans mgmt1 vxlan vni 1000126 set vlans mgmt1 vlan-id 126 set vlans mgmt1 l3-interface irb.126 set interfaces irb unit 125 family inet address 192.168.2.3/24 set vlans mgmt vlan-id 125 set vlans mgmt l3-interface irb.125 set vlans mgmt vxlan vni 1000125 set interfaces ae31 unit 0 family ethernet-switching vlan members mgmt1 set interfaces ae22 unit 0 family ethernet-switching vlan members mgmt set groups dhcp-mist-relay forwarding-options dhcp-relay forward-only routing-instance default set groups dhcp-mist-relay forwarding-options dhcp-relay forward-only-replies set groups dhcp-mist-relay forwarding-options dhcp-relay server-group server_group_1 192.168.192.1 set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist active-server-group server_group_1 set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist route-suppression destination set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist interface irb.125 set apply-groups dhcp-mist-relay
Configuration du commutateur d’accès pour le point d’accès Mist
Configurez les paramètres suivants sur le commutateur d’accès.
set poe interface ge-0/0/4 set poe interface ge-0/0/5 set interfaces ae22 unit 0 family ethernet-switching vlan members mgmt set interfaces ge-0/0/4 native-vlan-id 125 set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members 125 set interfaces ge-0/0/5 native-vlan-id 125 set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members 125
Configuration du commutateur d’accès pour 802.1X
Nous vous recommandons d’activer l’authentification PNAC (Port Based Network Access Control) 802.1x pour les clients câblés sur les commutateurs afin d’authentifier les clients qui se connectent aux ports du commutateur.
Vous pouvez procéder de trois façons :
-
Authentifiez le premier terminal (demandeur) sur un port d’authentification et autorisez tous les autres terminaux connectés à accéder également au réseau local
-
Authentifier simultanément un seul terminal sur un port d’authentification
-
Authentifier plusieurs terminaux sur un port d’authentification (généralement utilisé dans les configurations VoIP)
Pour cet exemple, nous allons configurer le commutateur pour accepter plusieurs suppliants.
set groups dot1x access radius-server 192.168.10.1 secret "$9$8.s7b2ZGi.mTZUqf5QCA" set groups dot1x access radius-server 192.168.10.1 source-address 192.168.10.200 set groups dot1x protocols dot1x authenticator authentication-profile-name pdt_profile_1 set groups dot1x protocols dot1x authenticator no-mac-table-binding set groups dot1x protocols dot1x authenticator interface ge-1/0/12.0 supplicant multiple set groups dot1x protocols dot1x authenticator interface ge-1/0/12.0 mac-radius set groups dot1x access profile pdt_profile_1 authentication-order radius set groups dot1x access profile pdt_profile_1 radius authentication-server 192.168.10.1
Quelle est la prochaine étape ?
La solution Campus de Juniper, basée sur une superposition VXLAN avec plan de contrôle EVPN, est un moyen efficace et évolutif de construire et d’interconnecter plusieurs campus sur un réseau central. Grâce à une implémentation BGP/EVPN robuste, Juniper est bien placé pour exploiter tout le potentiel de la technologie EVPN.
Pour plus d’informations sur les fonctionnalités EVPN disponibles et sur la façon de les configurer, consultez le Guide de l’utilisateur EVPN.