Comment configurer une fabric IP Clos pour un réseau de campus
Exigences
Cet exemple de configuration utilise les périphériques suivants :
Deux commutateurs EX9200 ou QFX10000 en tant qu’équipements centraux, Version logicielle : Junos OS version 20.2R3
Deux commutateurs EX4650 ou QFX5120 comme périphériques de distribution, Version logicielle : Junos OS version 20.2R3
Deux commutateurs EX4300-MP comme couche d’accès, Version logicielle : Junos OS version 20.2R3 ou Deux commutateurs EX4400, Version logicielle : Junos OS version 21.1R1.
Un équipement de sécurité SRX650
Un routeur WAN
Points d’accès Juniper
Aperçu
Utilisez cet exemple de configuration réseau pour déployer une structure de campus unique avec un réseau sous-jacent IP de couche 3 qui utilise EVPN comme protocole de plan de contrôle et VXLAN comme protocole de plan de données dans le réseau superposé.
Nous allons d’abord configurer EBGP en tant que protocole de routage sous-jacent pour échanger des routes de bouclage. Ensuite, nous allons configurer IBGP entre les équipements de cœur et de distribution dans la superposition pour partager des informations d’accessibilité sur les points de terminaison dans la fabric.
Topologie
Dans cet exemple, nous configurons chaque périphérique avec une adresse de bouclage /32. La figure 1 illustre la topologie physique d’un équipement SRX Series, d’un routeur WAN et d’équipements de la couche d’accès (EX-4300-MP), et illustre le schéma d’adressage IP utilisé dans cet exemple. Le routeur SRX Series applique des règles de stratégie pour le trafic de transit en contrôlant le flux de trafic. Il autorise le trafic qui peut passer et refuse le trafic qui n’est pas autorisé en fonction de la stratégie de sécurité créée.
EVPN-VXLAN
Configurer la fabric IP sous-jacente
Aperçu
Cette section montre comment configurer l’underlay de fabric IP sur les commutateurs des couches centrale, de distribution et d’accès à l’aide d’EBGP et comment configurer les règles de stratégie sur le serveur SRX.
Configuration de l’interface et de l’underlay
Cette section permet de configurer l’underlay sur les commutateurs des couches centrale et distribution.
- Configuration du noyau 1
- Configuration du noyau 2
- Distribution 1 Configuration
- Distribution 2 Configuration
- Configuration du commutateur d’accès 1
- Configuration du commutateur d’accès 2
- SRX Configuration
Configuration du noyau 1
Procédure étape par étape
Configurez les interfaces connectées aux équipements centraux.
set interfaces xe-0/0/3:0 unit 0 family inet address 192.168.11.2/24 set interfaces xe-0/0/3:1 unit 0 family inet address 192.168.13.2/24
Configurez l’interface de bouclage et l’ID de routeur, et activez l’équilibrage de charge par paquet
set interfaces lo0 unit 0 family inet address 172.16.5.1/32 set routing-options router-id 172.16.5.1 set routing-options forwarding-table export ecmp_policy set policy-options policy-statement ecmp_policy then load-balance per-packet set policy-options policy-statement ecmp_policy then accept
Configurez le réseau sous-jacent BGP.
set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback from interface lo0.0 set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback then accept set groups UnderlayBGP protocols bgp group underlay-bgp type external set groups UnderlayBGP protocols bgp group underlay-bgp export underlay-clos-export set groups UnderlayBGP protocols bgp group underlay-bgp local-as 4200000005 set groups UnderlayBGP protocols bgp group underlay-bgp multipath multiple-as set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection minimum-interval 1000 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection multiplier 3 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection session-mode automatic set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.13.1 peer-as 4200000004 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.11.1 peer-as 4200000003 set apply-groups UnderlayBGP
Configuration du noyau 2
Procédure étape par étape
Configurez les interfaces connectées aux équipements centraux.
set interfaces xe-0/0/30:0 unit 0 family inet address 192.168.12.2/24 set interfaces xe-0/0/30:3 unit 0 family inet address 192.168.14.2/24
Configurez l’interface de bouclage et l’ID de routeur, puis activez l’équilibrage de charge par paquet.
set interfaces lo0 unit 0 family inet address 172.16.6.1/32 set routing-options router-id 172.16.6.1 set policy-options policy-statement ecmp_policy then load-balance per-packet set policy-options policy-statement ecmp_policy then accept set routing-options forwarding-table export ecmp_policy
Configurez le réseau sous-jacent BGP.
set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback from interface lo0.0 set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback then accept set groups UnderlayBGP protocols bgp group underlay-bgp type external set groups UnderlayBGP protocols bgp group underlay-bgp export underlay-clos-export set groups UnderlayBGP protocols bgp group underlay-bgp local-as 4200000006 set groups UnderlayBGP protocols bgp group underlay-bgp multipath multiple-as set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection minimum-interval 1000 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection multiplier 3 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection session-mode automatic set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.14.1 peer-as 4200000004 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.12.1 peer-as 4200000003 set apply-groups UnderlayBGP
Distribution 1 Configuration
Procédure étape par étape
Configurez les interfaces d’interconnexion entre les deux équipements centraux et la connectivité aux commutateurs de distribution.
set interfaces ge-0/0/12 unit 0 family inet address 192.168.1.2/24 set interfaces ge-0/0/9 unit 0 family inet address 192.168.7.2/24 set interfaces xe-0/0/3 unit 0 family inet address 192.168.11.1/24 set interfaces xe-0/0/4 unit 0 family inet address 192.168.12.1/24
Configurez l’interface de bouclage et l’ID de routeur.
set interfaces lo0 unit 0 family inet address 172.16.3.1/32 set routing-options router-id 172.16.3.1
Activez l’équilibrage de charge par paquet.
set routing-options forwarding-table export ecmp_policy set policy-options policy-statement ecmp_policy then load-balance per-packet set policy-options policy-statement ecmp_policy then accept
Configurez le réseau sous-jacent BGP.
set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback from interface lo0.0 set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback then accept set groups UnderlayBGP protocols bgp group underlay-bgp type external set groups UnderlayBGP protocols bgp group underlay-bgp export underlay-clos-export set groups UnderlayBGP protocols bgp group underlay-bgp local-as 4200000003 set groups UnderlayBGP protocols bgp group underlay-bgp multipath multiple-as set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection minimum-interval 1000 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection multiplier 3 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection session-mode automatic set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.1.1 peer-as 4200000001 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.7.1 peer-as 4200000002 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.11.2 peer-as 4200000005 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.12.2 peer-as 4200000006 set apply-groups UnderlayBGP
Distribution 2 Configuration
Procédure étape par étape
Configurez les interfaces d’interconnexion entre les deux équipements principaux et la connectivité aux commutateurs de distribution.
set interfaces ge-0/0/9 unit 0 family inet address 192.168.9.2/24 set interfaces xe-0/0/3 unit 0 family inet address 192.168.13.1/24 set interfaces xe-0/0/4 unit 0 family inet address 192.168.14.1/24 set interfaces ge-0/0/12 unit 0 family inet address 192.168.4.2/24
Configurez l’interface de bouclage et l’ID de routeur.
set interfaces lo0 unit 0 family inet address 172.16.4.1/32 set routing-options router-id 172.16.4.1
Activez l’équilibrage de charge par paquet.
set routing-options forwarding-table export ecmp_policy set policy-options policy-statement ecmp_policy then load-balance per-packet set policy-options policy-statement ecmp_policy then accept
Configurez le réseau sous-jacent BGP.
set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback from interface lo0.0 set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback then accept set groups UnderlayBGP protocols bgp group underlay-bgp type external set groups UnderlayBGP protocols bgp group underlay-bgp export underlay-clos-export set groups UnderlayBGP protocols bgp group underlay-bgp local-as 4200000004 set groups UnderlayBGP protocols bgp group underlay-bgp multipath multiple-as set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection minimum-interval 1000 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection multiplier 3 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection session-mode automatic set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.9.1 peer-as 4200000002 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.13.2 peer-as 4200000005 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.14.2 peer-as 4200000006 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.4.1 peer-as 4200000001 set apply-groups UnderlayBGP
Configuration du commutateur d’accès 1
Procédure étape par étape
Spécifiez les interfaces qui se connectent aux commutateurs de distribution.
set interfaces ge-0/0/1 unit 0 family inet address 192.168.4.1/24 set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.1/24 set interfaces lo0 unit 0 family inet address 172.16.1.1/32
(Facultatif) Configurez un Virtual Chassis avec un routage et un pontage ininterrompus pour une haute disponibilité.
set groups nsr_nsb system commit synchronize set groups nsr_nsb chassis redundancy graceful-switchover set groups nsr_nsb routing-options nonstop-routing set groups nsr_nsb protocols layer2-control nonstop-bridging set apply-groups nsr_nsb set groups vc virtual-chassis preprovisioned set groups vc virtual-chassis member 0 role routing-engine set groups vc virtual-chassis member 0 serial-number XR0220140070 set groups vc virtual-chassis member 1 role routing-engine set groups vc virtual-chassis member 1 serial-number XR0220140059 set groups vc virtual-chassis member 2 role line-card set groups vc virtual-chassis member 2 serial-number XR0220140068 set apply-groups vc
Configurez le BGP de sous-couche.
set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback from interface lo0.0 set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback then accept set groups UnderlayBGP protocols bgp group underlay-bgp type external set groups UnderlayBGP protocols bgp group underlay-bgp export underlay-clos-export set groups UnderlayBGP protocols bgp group underlay-bgp local-as 4200000001 set groups UnderlayBGP protocols bgp group underlay-bgp multipath multiple-as set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection minimum-interval 1000 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection multiplier 3 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection session-mode automatic set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.1.2 peer-as 4200000003 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.4.2 peer-as 4200000004 set apply-groups UnderlayBGP
Configuration du commutateur d’accès 2
Procédure étape par étape
Spécifiez les interfaces à connecter aux commutateurs de distribution.
set interfaces ge-0/0/1 unit 0 family inet address 192.168.9.1/24 set interfaces ge-0/0/2 unit 0 family inet address 192.168.7.1/24 set interfaces lo0 unit 0 family inet address 172.16.2.1/32
(Facultatif) Configurez un Virtual Chassis avec un routage et un pontage ininterrompus pour une haute disponibilité.
set groups nsr_nsb system commit synchronize set groups nsr_nsb chassis redundancy graceful-switchover set groups nsr_nsb routing-options nonstop-routing set groups nsr_nsb protocols layer2-control nonstop-bridging set apply-groups nsr_nsb set groups vc virtual-chassis preprovisioned set groups vc virtual-chassis member 0 role routing-engine set groups vc virtual-chassis member 0 serial-number XR0220190261 set groups vc virtual-chassis member 1 role routing-engine set groups vc virtual-chassis member 1 serial-number XR0220190270 set apply-groups vc
Configurez le BGP de sous-couche.
set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback from interface lo0.0 set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback then accept set groups UnderlayBGP protocols bgp group underlay-bgp type external set groups UnderlayBGP protocols bgp group underlay-bgp export underlay-clos-export set groups UnderlayBGP protocols bgp group underlay-bgp local-as 4200000002 set groups UnderlayBGP protocols bgp group underlay-bgp multipath multiple-as set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection minimum-interval 1000 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection multiplier 3 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection session-mode automatic set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.7.2 peer-as 4200000003 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.9.2 peer-as 4200000004 set apply-groups UnderlayBGP
Si votre réseau comporte d’autres commutateurs de couche d’accès, répétez cette procédure de configuration pour chaque commutateur d’accès.
SRX Configuration
Procédure étape par étape
Configurez les paramètres de sécurité sur l’équipement SRX.
set security nat source rule-set trust-to-untrust from zone trust set security nat source rule-set trust-to-untrust to zone untrust set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0 set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any set security policies from-zone trust to-zone trust policy trust-to-trust match application any set security policies from-zone trust to-zone trust policy trust-to-trust then permit set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit set security zones security-zone trust host-inbound-traffic system-services ping set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone trust interfaces ge-0/0/2.0 set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services dhcp set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services tftp set interfaces ge-0/0/1 unit 0 family inet address 10.16.5.1/24 set interfaces ge-0/0/2 unit 0 family inet address 10.16.6.1/24 set interfaces ge-0/0/4 unit 0 family inet address 10.204.46.136/20
Configurer l’overlay
Aperçu
Cette section montre comment configurer la superposition, y compris les appairages IBGP, les mappages VLAN à VXLAN et les configurations d’interface IRB pour les réseaux virtuels sur les commutateurs d’accès.
Topologie
Dans cet exemple, nous avons trois réseaux virtuels : 1, 2 et 3. Les interfaces IRB de ces réseaux virtuels se trouvent sur les commutateurs d’accès. Nous avons placé toutes les interfaces IRB dans la même instance de routage. Vous pouvez placer les interfaces IRB dans différentes instances de routage pour segmenter le réseau si cela est nécessaire dans votre déploiement.
La figure 2 illustre la superposition d’un réseau virtuel avec des VLAN.
du réseau virtuel superposé
Superposition et configuration de réseau virtuel
Cette section permet de configurer l’overlay sur les commutateurs des couches centrale et distribution.
- Configuration du noyau 1
- Configuration du noyau 2
- Distribution 1 Configuration
- Distribution 2 Configuration
- Configuration de l’accès 1
- Configuration de l’accès 2
Configuration du noyau 1
Procédure étape par étape
Définissez le numéro AS et configurez les voisins IBGP entre les équipements centraux et de distribution. Vous n’avez pas besoin de configurer les voisins IBGP entre les cœurs 1 et 2, car ils reçoivent toutes les mises à jour BGP des distributions 1 et 2.
Configurez les équipements centraux en tant que réflecteurs de route pour éliminer le besoin d’un maillage IBGP complet entre tous les commutateurs de la couche de distribution. Cela rend la configuration sur les appareils de la couche de distribution simple et cohérente.
set routing-options autonomous-system 100 set protocols bgp group cluster-rr type internal set protocols bgp group cluster-rr local-address 172.16.5.1 set protocols bgp group cluster-rr mtu-discovery set protocols bgp group cluster-rr family evpn signaling set protocols bgp group cluster-rr cluster 172.16.5.1 set protocols bgp group cluster-rr multipath set protocols bgp group cluster-rr bfd-liveness-detection minimum-interval 1000 set protocols bgp group cluster-rr bfd-liveness-detection multiplier 3 set protocols bgp group cluster-rr bfd-liveness-detection session-mode automatic set protocols bgp group cluster-rr neighbor 172.16.3.1 set protocols bgp group cluster-rr neighbor 172.16.4.1 set protocols bgp group cluster-rr vpn-apply-export
Configuration du noyau 2
Procédure étape par étape
Définissez le numéro AS et configurez les voisins IBGP entre les équipements centraux et de distribution. Configurez les équipements centraux en tant que réflecteurs de route afin d’éliminer le besoin d’une configuration IBGP à maillage complet entre tous les équipements de la couche de distribution et de la couche d’accès.
set routing-options autonomous-system 100 set protocols bgp group cluster-rr type internal set protocols bgp group cluster-rr local-address 172.16.6.1 set protocols bgp group cluster-rr mtu-discovery set protocols bgp group cluster-rr family evpn signaling set protocols bgp group cluster-rr cluster 172.16.5.1 set protocols bgp group cluster-rr multipath set protocols bgp group cluster-rr bfd-liveness-detection minimum-interval 1000 set protocols bgp group cluster-rr bfd-liveness-detection multiplier 3 set protocols bgp group cluster-rr bfd-liveness-detection session-mode automatic set protocols bgp group cluster-rr neighbor 172.16.3.1 set protocols bgp group cluster-rr neighbor 172.16.4.1 set protocols bgp group cluster-rr vpn-apply-export
Distribution 1 Configuration
Procédure étape par étape
Configurez les voisins IBGP depuis le commutateur de distribution vers les commutateurs centraux.
set routing-options autonomous-system 100 set groups OverlayBGP protocols bgp group cluster-pod1 type internal set groups OverlayBGP protocols bgp group cluster-pod1 local-address 172.16.3.1 set groups OverlayBGP protocols bgp group cluster-pod1 mtu-discovery set groups OverlayBGP protocols bgp group cluster-pod1 family evpn signaling set groups OverlayBGP protocols bgp group cluster-pod1 cluster 172.16.3.1 set groups OverlayBGP protocols bgp group cluster-pod1 multipath set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection minimum-interval 1000 set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection multiplier 3 set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection session-mode automatic set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.1.1 set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.2.1 set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.5.1 set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.6.1 set groups OverlayBGP protocols bgp group cluster-pod1 vpn-apply-export set apply-groups OverlayBGP
Distribution 2 Configuration
Procédure étape par étape
Configurez les voisins IBGP depuis le commutateur de distribution vers les commutateurs centraux.
set routing-options autonomous-system 100 set groups OverlayBGP protocols bgp group cluster-pod1 type internal set groups OverlayBGP protocols bgp group cluster-pod1 local-address 172.16.4.1 set groups OverlayBGP protocols bgp group cluster-pod1 mtu-discovery set groups OverlayBGP protocols bgp group cluster-pod1 family evpn signaling set groups OverlayBGP protocols bgp group cluster-pod1 cluster 172.16.3.1 set groups OverlayBGP protocols bgp group cluster-pod1 multipath set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection minimum-interval 1000 set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection multiplier 3 set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection session-mode automatic set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.1.1 set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.2.1 set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.5.1 set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.6.1 set groups OverlayBGP protocols bgp group cluster-pod1 vpn-apply-export set apply-groups OverlayBGP
Configuration de l’accès 1
Procédure étape par étape
Configurez le BGP de superposition.
set routing-options router-id 172.16.1.1 set routing-options autonomous-system 100 set groups OverlayBGP protocols bgp group cluster-pod1 type internal set groups OverlayBGP protocols bgp group cluster-pod1 local-address 172.16.1.1 set groups OverlayBGP protocols bgp group cluster-pod1 mtu-discovery set groups OverlayBGP protocols bgp group cluster-pod1 family evpn signaling set groups OverlayBGP protocols bgp group cluster-pod1 multipath set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection minimum-interval 1000 set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection multiplier 3 set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection session-mode automatic set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.3.1 set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.4.1 set groups OverlayBGP protocols bgp group cluster-pod1 vpn-apply-export set apply-groups OverlayBGP
Configurez EVPN-VXLAN.
set switch-options vtep-source-interface lo0.0 set switch-options route-distinguisher 172.16.1.1:10 set switch-options vrf-target target:65000:1111 set switch-options vrf-target auto set forwarding-options vxlan-routing next-hop 16384 set forwarding-options vxlan-routing interface-num 6144 set forwarding-options vxlan-routing overlay-ecmp set protocols evpn encapsulation vxlan set protocols evpn default-gateway no-gateway-community set protocols evpn remote-ip-host-routes set protocols evpn extended-vni-list all
Configurez le mappage VLAN/VXLAN et les interfaces IRB. VLAN_1 est utilisé pour envoyer le trafic de gestion des points d’accès Mist vers Internet. Configurez VLAN_2 et VLAN_3 pour connecter les appareils clients filaires et sans fil
set groups EP-VLAN-1-52 vlans EP-VLAN-1 vlan-id 1 set groups EP-VLAN-1-52 vlans EP-VLAN-1 l3-interface irb.1 set groups EP-VLAN-1-52 vlans EP-VLAN-1 vxlan vni 100001 set groups EP-VLAN-1-52 vlans EP-VLAN-2 vlan-id 2 set groups EP-VLAN-1-52 vlans EP-VLAN-2 l3-interface irb.2 set groups EP-VLAN-1-52 vlans EP-VLAN-2 vxlan vni 100002 set groups EP-VLAN-1-52 vlans EP-VLAN-3 vlan-id 3 set groups EP-VLAN-1-52 vlans EP-VLAN-3 l3-interface irb.3 set groups EP-VLAN-1-52 vlans EP-VLAN-3 vxlan vni 100003 set groups EP-VLAN-1-52 interfaces irb unit 1 family inet address 10.0.1.241/24 preferred set groups EP-VLAN-1-52 interfaces irb unit 1 family inet6 nd6-stale-time 3600 set groups EP-VLAN-1-52 interfaces irb unit 1 family inet6 address 2001:db8::10:0:1:241/112 preferred set groups EP-VLAN-1-52 interfaces irb unit 2 family inet address 10.0.2.241/24 preferred set groups EP-VLAN-1-52 interfaces irb unit 2 family inet6 nd6-stale-time 3600 set groups EP-VLAN-1-52 interfaces irb unit 2 family inet6 address 2001:db8::10:0:2:241/112 preferred set groups EP-VLAN-1-52 interfaces irb unit 3 family inet address 10.0.3.241/24 preferred set groups EP-VLAN-1-52 interfaces irb unit 3 family inet6 nd6-stale-time 3600 set groups EP-VLAN-1-52 interfaces irb unit 3 family inet6 address 2001:db8::10:0:3:241/112 preferred set apply-group EP-VLAN-1-52
Configurez l’instance VRF.
set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 instance-type vrf set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface lo0.1 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface irb.1 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface irb.2 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface irb.3 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 route-distinguisher 172.16.1.1:1 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 vrf-target target:100:1 set apply-group VRF-TYPE-2-BD-1-52
Configurez les ports des points d’accès Mist en tant que ports trunk. Cela vous permet d’utiliser plusieurs SSID et VLAN sur le port. VLAN_1 est utilisé pour envoyer le trafic de gestion des points d’accès Mist vers Internet. Configurez VLAN_2 et VLAN_3 pour connecter les appareils clients filaires et sans fil.
set routing-options static route 0.0.0.0/0 next-hop 172.31.25.2 set interfaces mge-0/0/25 mtu 9200 set interfaces mge-0/0/25 unit 0 family ethernet-switching interface-mode trunk set interfaces mge-0/0/25 unit 0 family ethernet-switching vlan members vlan_1 set poe interface mge-0/0/25 set interfaces irb mtu 9200
Configurez l’authentification 802.1x pour les clients filaires.
set access profile 802.1X-PROFILE-1 accounting-order radius set access profile 802.1X-PROFILE-1 authentication-order radius set access profile 802.1X-PROFILE-1 radius authentication-server 10.204.32.234 set access profile 802.1X-PROFILE-1 radius accounting-server 10.204.32.234 set access profile 802.1X-PROFILE-1 radius options nas-identifier access-switch-1 set access profile 802.1X-PROFILE-1 accounting order radius set access profile 802.1X-PROFILE-1 accounting address-change-immediate-update set groups DOT1X protocols dot1x authenticator authentication-profile-name 802.1X-PROFILE-1 set groups DOT1X protocols dot1x authenticator no-mac-table-binding set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 authentication-order dot1x set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 authentication-order mac-radius set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 supplicant multiple set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 transmit-period 30 set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 mac-radius set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 reauthentication 3600 set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 server-timeout 30 set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 maximum-requests 10 set apply-groups DOT1X
Configuration de l’accès 2
Procédure étape par étape
Configurer le BGP overlay
set routing-options router-id 172.16.2.1 set routing-options autonomous-system 100 set groups OverlayBGP protocols bgp group cluster-pod1 type internal set groups OverlayBGP protocols bgp group cluster-pod1 local-address 172.16.2.1 set groups OverlayBGP protocols bgp group cluster-pod1 mtu-discovery set groups OverlayBGP protocols bgp group cluster-pod1 family evpn signaling set groups OverlayBGP protocols bgp group cluster-pod1 multipath set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection minimum-interval 1000 set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection multiplier 3 set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection session-mode automatic set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.3.1 set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.4.1 set groups OverlayBGP protocols bgp group cluster-pod1 vpn-apply-export set apply-groups OverlayBGP
Configurez EVPN-VXLAN.
set switch-options vtep-source-interface lo0.0 set switch-options route-distinguisher 172.16.1.1:10 set switch-options vrf-target target:65000:1111 set switch-options vrf-target auto set forwarding-options vxlan-routing next-hop 16384 set forwarding-options vxlan-routing interface-num 6144 set forwarding-options vxlan-routing overlay-ecmp set protocols evpn encapsulation vxlan set protocols evpn default-gateway no-gateway-community set protocols evpn remote-ip-host-routes set protocols evpn extended-vni-list all
Configurez le mappage VLAN/VXLAN et l’IRB.
set groups EP-VLAN-1-52 vlans EP-VLAN-1 vlan-id 1 set groups EP-VLAN-1-52 vlans EP-VLAN-1 l3-interface irb.1 set groups EP-VLAN-1-52 vlans EP-VLAN-1 vxlan vni 100001 set groups EP-VLAN-1-52 vlans EP-VLAN-2 vlan-id 2 set groups EP-VLAN-1-52 vlans EP-VLAN-2 l3-interface irb.2 set groups EP-VLAN-1-52 vlans EP-VLAN-2 vxlan vni 100002 set groups EP-VLAN-1-52 vlans EP-VLAN-3 vlan-id 3 set groups EP-VLAN-1-52 vlans EP-VLAN-3 l3-interface irb.3 set groups EP-VLAN-1-52 vlans EP-VLAN-3 vxlan vni 100003 set groups EP-VLAN-1-52 interfaces irb unit 1 family inet address 10.0.1.242/24 preferred set groups EP-VLAN-1-52 interfaces irb unit 1 family inet6 nd6-stale-time 3600 set groups EP-VLAN-1-52 interfaces irb unit 1 family inet6 address 2001:db8::10:0:1:242/112 preferred set groups EP-VLAN-1-52 interfaces irb unit 2 family inet address 10.0.2.242/24 preferred set groups EP-VLAN-1-52 interfaces irb unit 2 family inet6 nd6-stale-time 3600 set groups EP-VLAN-1-52 interfaces irb unit 2 family inet6 address 2001:db8::10:0:2:242/112 preferred set groups EP-VLAN-1-52 interfaces irb unit 3 family inet address 10.0.3.242/24 preferred set groups EP-VLAN-1-52 interfaces irb unit 3 family inet6 nd6-stale-time 3600 set groups EP-VLAN-1-52 interfaces irb unit 3 family inet6 address 2001:db8::10:0:3:242/112 preferred set apply-group EP-VLAN-1-52
Configurez l’instance VRF.
set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 instance-type vrf set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface lo0.1 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface irb.1 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface irb.2 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface irb.3 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface irb.4 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 route-distinguisher 172.16.2.1:1 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 vrf-target target:100:1 set groups VRF-TYPE-2-BD-1-52 interfaces lo0 unit 1 family inet set apply-group VRF-TYPE-2-BD-1-52
Configurez les ports des points d’accès Mist en tant que ports trunk. Cela vous permet de prendre en charge plusieurs SSID et VLAN sur le port. VLAN_1 est utilisé pour envoyer le trafic de gestion des points d’accès Mist vers Internet. Configurez VLAN_2 et VLAN_3 pour connecter les appareils clients filaires et sans fil.
set routing-options static route 0.0.0.0/0 next-hop 172.31.25.2 set interfaces mge-0/0/25 mtu 9200 set interfaces mge-0/0/25 unit 0 family ethernet-switching interface-mode trunk set interfaces mge-0/0/25 unit 0 family ethernet-switching vlan members vlan_1 set poe interface mge-0/0/25 set interfaces irb mtu 9200
Configurez l’authentification 802.1x pour les clients filaires.
set access profile 802.1X-PROFILE-1 accounting-order radius set access profile 802.1X-PROFILE-1 authentication-order radius set access profile 802.1X-PROFILE-1 radius authentication-server 10.204.32.234 set access profile 802.1X-PROFILE-1 radius accounting-server 10.204.32.234 set access profile 802.1X-PROFILE-1 radius options nas-identifier access-switch-2 set access profile 802.1X-PROFILE-1 accounting order radius set access profile 802.1X-PROFILE-1 accounting address-change-immediate-update set groups DOT1X protocols dot1x authenticator authentication-profile-name 802.1X-PROFILE-1 set groups DOT1X protocols dot1x authenticator no-mac-table-binding set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 authentication-order dot1x set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 authentication-order mac-radius set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 supplicant multiple set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 transmit-period 30 set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 mac-radius set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 reauthentication 3600 set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 server-timeout 30 set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 maximum-requests 10 set apply-groups DOT1X
Si votre réseau comporte d’autres commutateurs de couche d’accès, répétez cette procédure de configuration pour chaque commutateur d’accès.
Vérification
Procédure
Procédure étape par étape
Aperçu
Connectez-vous à chaque équipement et vérifiez que la fabric EVPN-VXLAN a été configurée.
Vérification
- Distribution 1 : Vérification des sessions BGP
- Distribution 2 : Vérification des sessions BGP
- Accès 1 : Vérification des informations de la base de données EVPN
- Accès 1 : Vérification des informations de la table de commutation locale
- Accès 2 : Vérification des informations de la base de données EVPN
- Accès 2 : Vérification des informations de la table de commutation locale
Distribution 1 : Vérification des sessions BGP
But
Vérifiez l’état des sessions BGP avec les équipements principaux et d’accès.
Action
Vérifiez que des sessions BGP sont établies avec les périphériques principaux et les périphériques d’accès. Les adresses IP des périphériques principaux sont 172.16.5.1 et 172.16.6.1 et les adresses IP des périphériques d’accès sont 172.16.1.1 et 172.16.2.1
user@distribution-1> show bgp summary
Threading mode: BGP I/O
Groups: 3 Peers: 11 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.evpn.0
931 914 0 0 0 0
inet.0
23 14 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
172.16.1.1 100 379 318 0 0 35:40 Establ
bgp.evpn.0: 273/273/273/0
default-switch.evpn.0: 5/5/5/0
__default_evpn__.evpn.0: 0/0/0/0
VRF-ep-type5-2.evpn.0: 9/9/9/0
172.16.2.1 100 301 357 0 0 35:32 Establ
bgp.evpn.0: 624/624/624/0
default-switch.evpn.0: 5/5/5/0
__default_evpn__.evpn.0: 0/0/0/0
172.16.5.1 100 569 540 0 0 29:53 Establ
bgp.evpn.0: 17/17/17/0
default-switch.evpn.0: 14/14/14/0
__default_evpn__.evpn.0: 1/1/1/0
VRF-ep-type5-2.evpn.0: 2/2/2/0
172.16.6.1 100 476 541 0 0 30:21 Establ
bgp.evpn.0: 0/17/17/0
default-switch.evpn.0: 0/14/14/0
__default_evpn__.evpn.0: 0/1/1/0
VRF-ep-type5-2.evpn.0: 0/2/2/0
192.168.1.1 4200000001 77 75 0 0 31:51 Establ
inet.0: 2/3/3/0
192.168.2.1 4200000001 84 83 0 0 35:42 Establ
inet.0: 2/3/3/0
192.168.3.1 4200000001 85 84 0 0 35:43 Establ
inet.0: 2/3/3/0
192.168.7.1 4200000002 83 86 0 0 35:39 Establ
inet.0: 2/3/3/0
192.168.8.1 4200000002 83 86 0 0 35:35 Establ
inet.0: 2/3/3/0
192.168.11.2 4200000005 76 74 0 0 30:04 Establ
inet.0: 2/5/5/0
192.168.12.2 4200000006 72 72 0 0 30:25 Establ
Signification
BGP est disponible à la fois sur les équipements de distribution et centraux. Les sessions IBGP sont établies avec les interfaces de bouclage du cœur et des périphériques d’accès à l’aide de MP-IBGP avec signalisation EVPN pour former la superposition qui échange les routes EVPN.
Distribution 2 : Vérification des sessions BGP
But
Vérifiez l’état des sessions BGP avec les équipements principaux et d’accès.
Action
Vérifiez que des sessions BGP sont établies avec les périphériques principaux et les périphériques d’accès. Les adresses IP des périphériques principaux sont 172.16.5.1 et 172.16.6.1 et les adresses IP des périphériques d’accès sont 172.16.1.1 et 172.16.2.1.
user@distribution-2> show bgp summary
Threading mode: BGP I/O
Groups: 3 Peers: 11 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.evpn.0
931 914 0 0 0 0
inet.0
26 14 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
172.16.1.1 100 390 321 0 0 36:52 Establ
bgp.evpn.0: 273/273/273/0
default-switch.evpn.0: 5/5/5/0
__default_evpn__.evpn.0: 0/0/0/0
VRF-ep-type5-2.evpn.0: 9/9/9/0
172.16.2.1 100 303 364 0 0 36:32 Establ
bgp.evpn.0: 624/624/624/0
default-switch.evpn.0: 5/5/5/0
__default_evpn__.evpn.0: 0/0/0/0
172.16.5.1 100 555 555 0 0 31:46 Establ
bgp.evpn.0: 17/17/17/0
default-switch.evpn.0: 14/14/14/0
__default_evpn__.evpn.0: 1/1/1/0
VRF-ep-type5-2.evpn.0: 2/2/2/0
172.16.6.1 100 555 556 0 0 31:49 Establ
bgp.evpn.0: 0/17/17/0
default-switch.evpn.0: 0/14/14/0
__default_evpn__.evpn.0: 0/1/1/0
VRF-ep-type5-2.evpn.0: 0/2/2/0
192.168.4.1 4200000001 79 77 0 0 33:22 Establ
inet.0: 2/4/4/0
192.168.5.1 4200000001 88 85 0 0 36:53 Establ
inet.0: 2/4/4/0
192.168.6.1 4200000001 87 85 0 0 36:49 Establ
inet.0: 2/4/4/0
192.168.9.1 4200000002 88 91 0 0 36:49 Establ
inet.0: 2/4/4/0
192.168.10.1 4200000002 88 89 0 0 36:45 Establ
inet.0: 2/4/4/0
192.168.13.2 4200000005 74 75 0 0 31:48 Establ
inet.0: 2/2/2/0
192.168.14.2 4200000006 76 77 0 0 31:53 Establ
inet.0: 2/4/4/0
Signification
BGP est disponible à la fois sur les équipements de distribution et centraux. Les sessions IBGP sont établies avec les interfaces de bouclage du cœur et des équipements d’accès à l’aide de MP-IBGP avec signalisation EVPN pour former la couche overlay et échanger les routes EVPN.
Accès 1 : Vérification des informations de la base de données EVPN
But
Vérifiez que la base de données EVPN est correctement renseignée.
Action
Vérifiez que la base de données EVPN installe les informations d’adresse MAC des hôtes connectés localement et reçoit des annonces des autres périphériques leaf contenant des informations sur les hôtes distants.
user@access-1> show evpn database
Instance: default-switch
VLAN DomainId MAC address Active source Timestamp IP address
100001 0c:59:9c:ea:22:dc 172.16.2.1 Dec 14 01:55:44 10.0.1.242
2001:db8::10:0:1:242
fe80::e59:9c00:1ea:22dc
100001 94:bf:94:8e:9b:6d irb.1 Dec 13 04:48:00 10.0.1.241
2001:db8::10:0:1:241
fe80::96bf:9400:18e:9b6d
100001 ba:04:00:00:00:01 mge-0/0/44.0 Dec 14 20:11:42 10.0.1.1
100001 ba:04:00:00:00:02 mge-0/0/44.0 Dec 14 20:11:42 10.0.1.2
100003 94:bf:94:8e:9b:6d irb.3 Dec 13 04:48:00 10.0.3.241
2001:db8::10:0:3:241
100003 ba:04:01:00:00:01 mge-0/0/44.0 Dec 14 20:11:43 10.0.3.1
...
Accès 1 : Vérification des informations de la table de commutation locale
But
Vérifiez que la table de commutation locale est correctement renseignée. Pour cet exemple, nous nous intéressons aux appareils et aux routes pour VLAN_2.
Action
Vérifiez que la table de commutation locale installe les informations d’adresse MAC pour les hôtes connectés localement et reçoit les annonces des autres périphériques leaf contenant des informations sur les hôtes distants.
user@access-1> show ethernet-switching table vlan-name EP-VLAN-1
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 201 entries, 201 learned
Routing instance : default-switch
Vlan MAC MAC Logical SVLBNH/ Active
name address flags interface VENH Index source
EP-VLAN-1 0c:59:9c:ea:22:dc D vtep.32770 172.16.2.1
EP-VLAN-1 ba:04:00:00:00:01 D mge-0/0/44.0
EP-VLAN-1 ba:04:00:00:00:02 D mge-0/0/44.0
user@access-1> show ethernet-switching table vlan-name EP-VLAN-2
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 201 entries, 201 learned
Routing instance : default-switch
Vlan MAC MAC Logical SVLBNH/ Active
name address flags interface VENH Index source
EP-VLAN-2 0c:59:9c:ea:22:dc D vtep.32770 172.16.2.1
EP-VLAN-2 bc:04:00:00:00:01 D vtep.32770 172.16.2.1
EP-VLAN-2 bc:04:00:00:00:02 D vtep.32770 172.16.2.1
Signification
La sortie ci-dessus confirme que la table de commutation locale apprend et installe correctement les adresses MAC de tous les points de terminaison. Il montre la relation entre les adresses MAC, les VLAN auxquels elles sont associées (VLAN 1, 2 et 3) et leur interface de saut suivant.
Accès 2 : Vérification des informations de la base de données EVPN
But
Vérifiez que la base de données EVPN est correctement renseignée.
Action
Vérifiez que la base de données EVPN installe les informations d’adresse MAC des hôtes connectés localement et reçoit des annonces des autres périphériques leaf contenant des informations sur les hôtes distants.
user@access-2> show evpn database
Instance: default-switch
VLAN DomainId MAC address Active source Timestamp IP address
100002 0c:59:9c:ea:22:dc irb.2 Dec 14 09:31:03 10.0.2.242
2001:db8::10:0:2:242
100002 94:bf:94:8e:9b:6d 172.16.1.1 Dec 14 09:52:33 10.0.2.241
2001:db8::10:0:2:241
100002 bc:04:00:00:00:01 mge-0/0/44.0 Dec 15 04:12:22 10.0.2.1
100002 bc:04:00:00:00:02 mge-0/0/44.0 Dec 15 04:12:22 10.0.2.2
100004 0c:59:9c:ea:22:dc irb.4 Dec 14 09:31:03 10.0.4.242
2001:db8::10:0:4:242
100004 94:bf:94:8e:9b:6d 172.16.1.1 Dec 14 09:52:33 10.0.4.241
2001:db8::10:0:4:241
100004 bc:04:01:00:00:01 mge-0/0/44.0 Dec 15 04:12:23 10.0.4.1
100004 bc:04:01:00:00:02 mge-0/0/44.0 Dec 15 04:12:23 10.0.4.2
Accès 2 : Vérification des informations de la table de commutation locale
But
Vérifiez que la table de commutation locale a été correctement renseignée.
Action
Vérifiez que la table de commutation locale installe les informations d’adresse MAC pour les hôtes connectés localement et reçoit les annonces des autres périphériques leaf contenant des informations sur les hôtes distants.
user@access-2> show ethernet-switching table vlan-name EP-VLAN-2
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 201 entries, 201 learned
Routing instance : default-switch
Vlan MAC MAC Logical SVLBNH/ Active
name address flags interface VENH Index source
EP-VLAN-2 94:bf:94:8e:9b:6d D vtep.32769 172.16.1.1
EP-VLAN-2 bc:04:00:00:00:01 D mge-0/0/44.0
EP-VLAN-2 bc:04:00:00:00:02 D mge-0/0/44.0
Signification
La sortie ci-dessus confirme que la table de commutation locale apprend et installe correctement les adresses MAC pour tous les points de terminaison associés à VLAN_2. Il montre la relation entre les adresses MAC, les VLAN auxquels elles sont associées et leur interface de saut suivant.