EN ESTA PÁGINA
Configuración de complementos opcionales
En esta sección se muestra cómo configurar las siguientes características, que son complementos opcionales de la red de campus multihost de núcleo colapsado con EVPN.
Cómo configurar DHCP
Requisitos
Configure DHCP en los siguientes dispositivos que configuró en el ejemplo de configuración Cómo configurar una red de campus mediante multiconexión EVPN :
Dos conmutadores EX4650 o QFX5120 como dispositivos de núcleo colapsado. Versión de software: Junos OS versión 20.2R2 o posterior.
Un servidor DHCP externo.
Visión general
Utilice esta sección para configurar DHCP en la red. Para evitar inundar la red con paquetes de detección DHCP, configure DHCP en una interfaz en una instancia de enrutamiento VRF. Los dispositivos de núcleo colapsado actúan como un relé DHCP a un servidor DHCP externo accesible de capa 3.
Configuración
Procedimiento
Procedimiento paso a paso
Configure el dispositivo de núcleo colapsado para que actúe solo como relé DHCP. No mantendrá una tabla de enlace.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay forward-only
Cree un grupo de servidores y especifique la dirección IP del servidor DHCP.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay server-group server_group_1 192.168.192.1
Especifique el nuevo grupo de servidores como grupo de servidores activo.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group dhcp_relay_1 active-server-group server_group_1
Suprima la instalación de rutas de acceso, acceso interno o destino durante el enlace de cliente durante el proceso JDHCPD.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group dhcp_relay_1 route-suppression destination
Establezca siempre el bit de difusión en uno para todos los tipos de mensajes DHCP. Si no configura esta opción, algunos clientes establecerán el bit en cero antes de enviar el mensaje, lo cual no es preferible.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group dhcp_relay_1 overrides no-unicast-replies
Configure las IRB para conectarse a las VLAN y subredes relacionadas y proporcionar servicios DHCP a esos clientes.
set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group Relay_Group1 interface irb.201 set routing-instances JNPR_1_VRF forwarding-options dhcp-relay group Relay_Group1 interface irb.202
Nota:En este paso, puede incluir cualquier IRB que forme parte de la instancia de enrutamiento.
Deberá repetir esta configuración en todos los dispositivos de núcleo colapsado de la red.
Cómo configurar el enrutador SRX
Configuración
Configuración rápida de CLI
En esta configuración de ejemplo, SRX se usa para enrutar el tráfico de usuarios desde los puntos de acceso de Mist a Internet. La figura 1 muestra la red central colapsada junto con el enrutador SRX. En este ejemplo se utilizan las siguientes opciones de configuración:
-
La VLAN 126 se utiliza para reenviar el tráfico desde los núcleos colapsados al SRX y a Internet.
-
VLAN 125 se utiliza para enviar tráfico de administración para el registro en la nube y la operación de los AP de Mist.
-
La VLAN 125 también está marcada como una VLAN nativa en el puerto troncal donde está conectado el punto de acceso
-
Designe server_group_1 192.168.192.1 como servidor DHCP.
Para obtener más información sobre cómo configurar el enrutamiento inter-vrf en el enrutador SRX, consulte Configuración de SRX
Configuración de SRX
Configure las siguientes opciones en el enrutador SRX.
set security zones security-zone trust interfaces irb.126 set interfaces irb unit 126 family inet address 192.168.3.1/24 set vlans mgmt1 l3-interface irb.126 set interfaces ae1 unit 0 family ethernet-switching interface-mode trunk set interfaces ae1 unit 0 family ethernet-switching vlan members mgmt1 set interfaces ge-0/0/4 unit 0 family inet address 10.204.37.175/20 set security nat source rule-set trust-to-untrust from zone trust set security nat source rule-set trust-to-untrust to zone untrust set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0 set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any set security policies from-zone trust to-zone trust policy trust-to-trust match application any set security policies from-zone trust to-zone trust policy trust-to-trust then permit set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit set security zones security-zone trust host-inbound-traffic system-services ping set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces irb.126
Configuración de núcleo colapsado 1
Configure las siguientes opciones en el conmutador de núcleo contraído.
set interfaces irb unit 126 family inet address 192.168.3.2/24 set vlans mgmt1 vxlan vni 1000126 set vlans mgmt1 vlan-id 126 set vlans mgmt1 l3-interface irb.126 set interfaces irb unit 125 family inet address 192.168.2.2/24 set vlans mgmt vlan-id 125 set vlans mgmt l3-interface irb.125 set vlans mgmt vxlan vni 1000125 set interfaces ae31 unit 0 family ethernet-switching vlan members mgmt1 set interfaces ae22 unit 0 family ethernet-switching vlan members mgmt set groups dhcp-mist-relay forwarding-options dhcp-relay forward-only routing-instance default set groups dhcp-mist-relay forwarding-options dhcp-relay forward-only-replies set groups dhcp-mist-relay forwarding-options dhcp-relay server-group server_group_1 192.168.192.1 set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist active-server-group server_group_1 set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist route-suppression destination set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist interface irb.125 set apply-groups dhcp-mist-relay
Configuración de núcleo colapsado 2
Configure las siguientes opciones en el conmutador de núcleo contraído.
set interfaces irb unit 126 family inet address 192.168.3.3/24 set vlans mgmt1 vxlan vni 1000126 set vlans mgmt1 vlan-id 126 set vlans mgmt1 l3-interface irb.126 set interfaces irb unit 125 family inet address 192.168.2.3/24 set vlans mgmt vlan-id 125 set vlans mgmt l3-interface irb.125 set vlans mgmt vxlan vni 1000125 set interfaces ae31 unit 0 family ethernet-switching vlan members mgmt1 set interfaces ae22 unit 0 family ethernet-switching vlan members mgmt set groups dhcp-mist-relay forwarding-options dhcp-relay forward-only routing-instance default set groups dhcp-mist-relay forwarding-options dhcp-relay forward-only-replies set groups dhcp-mist-relay forwarding-options dhcp-relay server-group server_group_1 192.168.192.1 set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist active-server-group server_group_1 set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist route-suppression destination set groups dhcp-mist-relay forwarding-options dhcp-relay group dhcp_mist interface irb.125 set apply-groups dhcp-mist-relay
Configuración del conmutador de acceso para Mist AP
Configure las siguientes opciones en el conmutador de acceso.
set poe interface ge-0/0/4 set poe interface ge-0/0/5 set interfaces ae22 unit 0 family ethernet-switching vlan members mgmt set interfaces ge-0/0/4 native-vlan-id 125 set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members 125 set interfaces ge-0/0/5 native-vlan-id 125 set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members 125
Configuración del conmutador de acceso para 802.1X
Se recomienda habilitar la autenticación de control de acceso a la red basado en puertos (PNAC) 802.1x para los clientes cableados en los conmutadores a fin de autenticar a los clientes que se conectan a los puertos del conmutador.
Hay tres maneras de hacerlo:
-
Autenticar el primer dispositivo final (suplicante) en un puerto de autenticación y permitir que todos los demás dispositivos finales conectados también tengan acceso a la LAN
-
Autenticar un único dispositivo final en un puerto de autenticación a la vez
-
Autenticar múltiples dispositivos finales en un puerto de autenticación (esto se usa normalmente en configuraciones de VoIP
Para este ejemplo, configuraremos el conmutador para que acepte varios suplicantes.
set groups dot1x access radius-server 192.168.10.1 secret "$9$8.s7b2ZGi.mTZUqf5QCA" set groups dot1x access radius-server 192.168.10.1 source-address 192.168.10.200 set groups dot1x protocols dot1x authenticator authentication-profile-name pdt_profile_1 set groups dot1x protocols dot1x authenticator no-mac-table-binding set groups dot1x protocols dot1x authenticator interface ge-1/0/12.0 supplicant multiple set groups dot1x protocols dot1x authenticator interface ge-1/0/12.0 mac-radius set groups dot1x access profile pdt_profile_1 authentication-order radius set groups dot1x access profile pdt_profile_1 radius authentication-server 192.168.10.1
¿Qué sigue?
La solución de campus de Juniper, basada en una superposición VXLAN con plano de control EVPN, es una forma eficiente y escalable de construir e interconectar varios campus en una red central. Con una sólida implementación de BGP/EVPN, Juniper está bien posicionado para aprovechar todo el potencial de la tecnología EVPN.
Para obtener más información sobre las características de EVPN disponibles y cómo configurarlas, consulte la Guía del usuario de EVPN.