このページの目次
オプションのアドインの構成
このセクションでは、EVPN マルチホーム キャンパス ネットワークを使用したコラプスト コアへのオプションのアドインである次の機能を設定する方法を示します。
DHCPを設定する方法
要件
EVPN マルチホーミングを使用してキャンパス ネットワークを構成する方法の設定例で構成した次のデバイスで DHCP を構成します。
コラプストコアデバイスとしての2台のEX4650またはQFX5120スイッチ。ソフトウェア バージョン:Junos OS リリース 20.2R2 以降
外部 DHCP サーバー。
概要
このセクションを使用して、ネットワーク上の DHCP を構成します。DHCP 検出パケットでネットワークがフラッディングしないようにするには、VRF ルーティング インスタンスのインターフェイスに DHCP を設定します。コラプストされたコアデバイスは、レイヤー3で到達可能な外部DHCPサーバーへのDHCPリレーとして機能します。
構成
手順
手順
コラプストコアデバイスをDHCPリレーとしてのみ動作するように設定します。バインド テーブルは保持されません。
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay forward-only
サーバー グループを作成し、DHCP サーバーの IP アドレスを指定します。
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay server-group server_group_1 192.168.192.1
新しいサーバー グループをアクティブなサーバー グループとして指定します。
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group dhcp_relay_1 active-server-group server_group_1
JDHCPD プロセス中のクライアント・バインディング中のアクセス・ルート、内部アクセス・ルート、または宛先ルートのインストールを抑制します。
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group dhcp_relay_1 route-suppression destination
すべての種類の DHCP メッセージに対して、ブロードキャスト ビットを常に 1 に設定します。このオプションを構成しない場合、一部のクライアントはメッセージを送信する前にビットをゼロに設定しますが、これは好ましくありません。
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group dhcp_relay_1 overrides no-unicast-replies
関連する VLAN とサブネットに接続し、それらのクライアントに DHCP サービスを提供するように IRB を設定します。
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group Relay_Group1 interface irb.201 set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group Relay_Group1 interface irb.202
メモ:この手順では、ルーティング インスタンスの一部である任意の IRB を含めることができます。
ネットワーク内のすべての折りたたまれたコアデバイスでこの設定を繰り返す必要があります。
SRXルーターの設定方法
構成
CLIクイック構成
このサンプル設定では、SRXを使用して、Mistアクセスポイントからインターネットにユーザートラフィックをルーティングします。 図1 は、コラプストされたコアネットワークとSRXルーターを示しています。この例では、次の構成設定を使用します。
-
VLAN 126は、コラプストされたコアからSRXおよびインターネットにトラフィックを転送するために使用されます。
-
VLAN 125は、クラウド登録やMist APの運用のための送信管理トラフィックに使用されます。
-
VLAN 125 は、アクセス ポイントが接続されているトランク ポートでもネイティブ VLAN としてマークされます
-
DHCP サーバーとして 192.168.192.1 server_group_1を指定します。
SRXルータでのVRF間ルーティングの設定の詳細については、SRXの設定を参照してください。

SRX の設定
SRXルーターで以下の設定を行います。
set security zones security-zone trust interfaces irb.126 set interfaces irb unit 126 family inet address 192.168.3.1/24 set vlans mgmt1 l3-interface irb.126 set interfaces ae1 unit 0 family ethernet-switching interface-mode trunk set interfaces ae1 unit 0 family ethernet-switching vlan members mgmt1 set interfaces ge-0/0/4 unit 0 family inet address 10.204.37.175/20 set security nat source rule-set trust-to-untrust from zone trust set security nat source rule-set trust-to-untrust to zone untrust set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0 set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any set security policies from-zone trust to-zone trust policy trust-to-trust match application any set security policies from-zone trust to-zone trust policy trust-to-trust then permit set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit set security zones security-zone trust host-inbound-traffic system-services ping set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces irb.126
コラプストコア1の構成
コラプスト コア スイッチで次の設定を行います。
set interfaces irb unit 126 family inet address 192.168.3.2/24 set vlans mgmt1 vxlan vni 1000126 set vlans mgmt1 vlan-id 126 set vlans mgmt1 l3-interface irb.126 set interfaces irb unit 125 family inet address 192.168.2.2/24 set vlans mgmt vlan-id 125 set vlans mgmt l3-interface irb.125 set vlans mgmt vxlan vni 1000125 set interfaces ae31 unit 0 family ethernet-switching vlan members mgmt1 set interfaces ae22 unit 0 family ethernet-switching vlan members mgmt set groups dhcp-mist-relay forwarding-options dhcp-relay forward-only routing-instance default set groups dhcp-mist-relay forwarding-options dhcp-relay forward-only-replies set groups dhcp-mist-relay forwarding-options dhcp-relay server-group server_group_1 192.168.192.1 set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist active-server-group server_group_1 set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist route-suppression destination set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist interface irb.125 set apply-groups dhcp-mist-relay
コラプストコア2の構成
コラプスト コア スイッチで次の設定を行います。
set interfaces irb unit 126 family inet address 192.168.3.3/24 set vlans mgmt1 vxlan vni 1000126 set vlans mgmt1 vlan-id 126 set vlans mgmt1 l3-interface irb.126 set interfaces irb unit 125 family inet address 192.168.2.3/24 set vlans mgmt vlan-id 125 set vlans mgmt l3-interface irb.125 set vlans mgmt vxlan vni 1000125 set interfaces ae31 unit 0 family ethernet-switching vlan members mgmt1 set interfaces ae22 unit 0 family ethernet-switching vlan members mgmt set groups dhcp-mist-relay forwarding-options dhcp-relay forward-only routing-instance default set groups dhcp-mist-relay forwarding-options dhcp-relay forward-only-replies set groups dhcp-mist-relay forwarding-options dhcp-relay server-group server_group_1 192.168.192.1 set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist active-server-group server_group_1 set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist route-suppression destination set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist interface irb.125 set apply-groups dhcp-mist-relay
Mist APのアクセススイッチ設定
アクセス スイッチで次の設定を行います。
set poe interface ge-0/0/4 set poe interface ge-0/0/5 set interfaces ae22 unit 0 family ethernet-switching vlan members mgmt set interfaces ge-0/0/4 native-vlan-id 125 set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members 125 set interfaces ge-0/0/5 native-vlan-id 125 set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members 125
802.1X のアクセス スイッチ構成
スイッチ上の有線クライアントに対して 802.1x ポートベース ネットワーク アクセス コントロール(PNAC)認証を有効にして、スイッチ ポートに接続するクライアントを認証することを推奨します。
これを行うには、次の 3 つの方法があります。
-
オーセンティケータポートで最初のエンドデバイス(サプリカント)を認証し、接続している他のすべてのエンドデバイスにもLANへのアクセスを許可します
-
オーセンティケータポートで単一のエンドデバイスを一度に認証する
-
認証ポートで複数のエンドデバイスを認証する(これは通常、VoIP設定で使用されます
この例では、複数のサプリカントを受け入れるようにスイッチを設定します。
set groups dot1x access radius-server 192.168.10.1 secret "$9$8.s7b2ZGi.mTZUqf5QCA" set groups dot1x access radius-server 192.168.10.1 source-address 192.168.10.200 set groups dot1x protocols dot1x authenticator authentication-profile-name pdt_profile_1 set groups dot1x protocols dot1x authenticator no-mac-table-binding set groups dot1x protocols dot1x authenticator interface ge-1/0/12.0 supplicant multiple set groups dot1x protocols dot1x authenticator interface ge-1/0/12.0 mac-radius set groups dot1x access profile pdt_profile_1 authentication-order radius set groups dot1x access profile pdt_profile_1 radius authentication-server 192.168.10.1
この後について
ジュニパーのキャンパスソリューションは、VXLANオーバーレイとEVPNコントロールプレーンをベースにしており、コアネットワーク全体で複数のキャンパスを構築して相互接続するための効率的で拡張可能な方法です。堅牢なBGP/EVPN実装により、ジュニパーはEVPNテクノロジーの可能性を最大限に引き出す体制を整えています。
使用可能なEVPN機能とその設定方法の詳細については、 EVPNユーザーガイドを参照してください。