Configuration de vlan avec JunOS

JunOS : Virtual Local Area Network (VLAN)

Un réseau local virtuel (VLAN) est un réseau informatique "logique" indépendant, les VLANs sont indispensables dans les cas suivants, car ils permettent :

  • une meilleure gestion réseau.
  • d'optimiser la bande passante.
  • de réduire les domaines de collisions.
  • renforcer la sécurité.

L'exemple suivant explique la mise en réseau de VLAN's / taggé sous JunOS 12.3R8.7 (norme standard IEEE_802.1Q) avec des switchs de niveau 3 (EX3300). Ici le mode de routage est dit Multilayer Switching.

Dans ce tutoriel nous aborderons certain point tel que :  le VLAN "default", les VLAN's taggués, les liens trunk entre deux chassis virtuels Juniper en SFP+ (10G).

Comprendre le VLAN par défaut sous JunOS

Par défaut sur un switch Juniper il existe un VLAN nommé : default et il englobe en mode bridge tous les ports. Par exemple, il permet à des petites entreprises de ne pas avoir pas se soucier de la configuration initiale des ports. Il est directement opérationnel !
Voici par exemple une configuration initiale (mode configure) :

show interfaces
interfaces {
    ge-0/0/0 {
        unit 0 {
            family ethernet-switching {
            }
        }

    ge-0/0/1 {
        unit 0 {
            family ethernet-switching;
        }


Pour information , on remarque que le protocole lldp est activé pour l'échange d'informations entre les ports, le protocole rstp lui est  également présent dans la configuration initiale (en cas de boucle) :

show protocoles
}
rstp;
lldp {
    interface all;
}

Retenez que le VLAN : default n'utilise pas de VLAN-ID (pas de "tag") vous pouvez le vérifier avec la commande suivante :

show vlans
Name           Tag     Interfaces
default       
                       ge-0/0/1.0, ge-0/0/3.0, ge-0/0/4.0, ge-0/0/5.0, ge-0/0/6.0, ge-0/0/7.0, ge-0/0/8.0, ge-0/0/9.0, ge-0/0/10.0, ge-0/0/11.0, ge-0/0/12.0, ge-0/0/13.0, ge-0/0/14.0,
                       ge-0/0/15.0, ge-0/0/16.0, ge-0/0/17.0, ge-0/0/18.0, ge-0/0/19.0, ge-0/0/20.0, ge-0/0/21.0, ge-0/0/22.0, ge-0/0/23.0, ge-0/0/24.0, ge-0/0/25.0, ge-0/0/26.0, ge-0/0/27.0,
                       ge-0/0/28.0, ge-0/0/29.0, ge-0/0/30.0, ge-0/0/31.0, ge-0/0/32.0, ge-0/0/33.0, ge-0/0/34.0, ge-0/0/35.0, ge-0/0/36.0, ge-0/0/37.0, ge-0/0/38.0, ge-0/0/39.0, ge-0/0/40.0,
                       ge-0/0/41.0, ge-0/0/42.0, ge-0/0/43.0, ge-0/0/44.0, ge-0/0/45.0, ge-0/0/46.0, ge-0/0/47.0, ge-1/0/0.0, ge-1/0/1.0, ge-1/0/23.0

La configuration de VLANs

Nous allons créer différents VLAN's taggués (VLAN-ID) tels que présentés dans le tableau ci-dessous :

Interfaces ge-0/0/0 ge-0/1/0 ge-0/2/0 ge-0/3/0 ge-0/4/0 ge-0/3/0 ge-0/4/0
VLAN ID 10 20 30 40 50 60 70
VLAN admin servers printers users wireless voip invite


La création des différents VLAN targué se fait par la commande suivante (mode configure) :

set vlans admin vlan-id 10
set vlans servers vlan-id 20
set vlans printers vlan-id 30
set vlans users vlan-id 40
set vlans wireless vlan-id 50
set vlans voip vlan-id 60
set vlans invite vlan-id 70

Ici, nous devons configurer nos différentes interfaces pour être membre du VLAN sélectionné et pour configurer une interface dans un vlan il existe deux approches :

  •   Méthode 1 : Via la configuration de l'interface on ajoute le vlan membre.
set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members admin
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members servers
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members printers
set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members users
set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members wireless
set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members voip
set interfaces ge-0/0/6 unit 0 family ethernet-switching vlan members invite

Faites une verification sur votre interface :

show configuration interfaces ge-0/0/0
unit 0 {
    family ethernet-switching {
        vlan {
            members admin;
        }
    }
}

 

  •  Méthode 2 : Via la configuration du VLAN membre on ajoute l'interface.
set vlans admin interface ge-0/0/0
set vlans servers interface ge-0/0/1
set vlans printers interface ge-0/0/2
set vlans users interface ge-0/0/3
set vlans wirless interface ge-0/0/4
set vlans voip interface ge-0/0/5
set vlans invite interface ge-0/0/6

La différence ici est que la configuration du vlan n'est pas disponible sur l'interface mais uniquement via la commande suivante :

show vlan admin interface

 

Pour conclure, quelle que soit votre méthode cela ne change rien. Nous avons vu comment créer des VLANs et assigner un vlan à une interface. Désormais l'objectif est de faire du routage inter-vlan !

Astuce : il est possible d'englober plusieurs interfaces dans un VLAN très simplement, voici un exemple :

set interfaces interface-range users unit 0 family ethernet-switching vlan members users
set interfaces interface-range users member-range ge-0/0/3 to ge-0/0/6

Configuration des interfaces de routage inter-VLANs.

L'explication du routage inter-vlan ou "routed VLAN interface" (RVI) chez Juniper nous permet de faire communiquer des VLANs entre eux. Prenons un exemple avec le VLAN "servers" et "users".  Nous souhaitons que les utilisateurs puissent avoir un accès aux serveurs.

Nous allons d'abord créer deux interfaces VLANs avec l'unité logique (unit) de nos VLAN-ID tel que :

set interfaces vlan unit 20 family inet address 192.168.20.1/24 
set interfaces vlan unit 40 family inet address 192.168.40.1/24

Désormais, nous pouvons lier nos interfaces VLANs au RVI afin de faire communiquer nos deux VLANs :

set vlans serveurs l3-interface vlan.20
set vlans users l3-interface vlan.40

Faites un essai et connectez un hôte dans le VLAN-ID : 20 puis dans le VLAN-ID 40, et lancez la commande :

show interfaces terse | match vlan
vlan                    up    up
vlan.20                 up    up   inet     192.168.20.1/24
vlan.40                 up    up   inet     192.168.40.1/24

Vos deux hôtes devrais désormais pouvoir ce joindre via un simple ping !

Configuration de liens trunk

Dans mon cas, un chassis virtuels de EX3300 et un autre de EX4200 reliés en SFP+ (10G).
Nous allons dans un premier temps configurer l'interface SFP+ (xe) en mode trunk, comme ci-dessous :

set interfaces xe-0/1/0 unit 0 family ethernet-switching port-mode trunk

Ensuite nous autoriserons nos différents VLAN à emprunter le lien trunk :

set interfaces xe-0/1/0 unit 0 family ethernet-switching vlan members [serveurs users]

Retenez que du moment que vous n'ajoutez pas explicitement un membre vlan dans l'interface (xe) aucune donnée TCP/IP ne transitera !
 

Je vous invite à refaire la même manipulation dans votre switch ou (chassis), pour terminer ce tutoriel et faire transiter vos VLANs !

Cet initialisation au différentes aux VLANs ce termine et pour plus d'informations rendez vous à cette adresse : Comprendre le mode bridge et les VLANs sur les switch EX

Commentaires