Configuration de VLAN avec JunOS

JunOS : Virtual Local Area Network (VLAN)

Un réseau local virtuel (VLAN) est un réseau informatique logique indépendant, les VLAN sont indispensables dans les cas suivants, car ils permettent :

L’exemple suivant explique la mise en réseau de VLAN / taggé sous JunOS 12.3R8.7 (norme standard IEEE_802.1Q) avec des switchs de niveau 3 (EX3300). Ici le mode de routage est dit Multilayer Switching.

Dans ce tutoriel nous aborderons certains points tels que :  le VLAN default, les VLAN’s taggués, les liens trunk entre deux chassis virtuels Juniper en SFP+ (10G).

Comprendre le VLAN par défaut sous JunOS

Par défaut sur un switch Juniper il existe un VLAN nommé : default et il englobe en mode bridge tous les ports. Par exemple, il permet à des petites entreprises de ne pas avoir pas se soucier de la configuration initiale des ports. Il est directement opérationnel.
Voici par exemple une configuration initiale (mode configure) :

show interfaces
interfaces {
    ge-0/0/0 {
        unit 0 {
            family ethernet-switching {
            }
        }

    ge-0/0/1 {
        unit 0 {
            family ethernet-switching;
        }

Pour information, on remarque que le protocole lldp est activé pour l’échange d’informations entre les ports. Le protocole rstp lui, est également présent dans la configuration initiale (en cas de boucle) :

show protocoles
}
rstp;
lldp {
    interface all;
}

Retenez que le VLAN : default n’utilise pas de VLAN-ID (pas de tag) vous pouvez le vérifier avec la commande suivante :

show vlans
Name           Tag     Interfaces
default       
                       ge-0/0/1.0, ge-0/0/3.0, ge-0/0/4.0, ge-0/0/5.0, ge-0/0/6.0, ge-0/0/7.0, ge-0/0/8.0, ge-0/0/9.0, ge-0/0/10.0, ge-0/0/11.0, ge-0/0/12.0, ge-0/0/13.0, ge-0/0/14.0,
                       ge-0/0/15.0, ge-0/0/16.0, ge-0/0/17.0, ge-0/0/18.0, ge-0/0/19.0, ge-0/0/20.0, ge-0/0/21.0, ge-0/0/22.0, ge-0/0/23.0, ge-0/0/24.0, ge-0/0/25.0, ge-0/0/26.0, ge-0/0/27.0,
                       ge-0/0/28.0, ge-0/0/29.0, ge-0/0/30.0, ge-0/0/31.0, ge-0/0/32.0, ge-0/0/33.0, ge-0/0/34.0, ge-0/0/35.0, ge-0/0/36.0, ge-0/0/37.0, ge-0/0/38.0, ge-0/0/39.0, ge-0/0/40.0,
                       ge-0/0/41.0, ge-0/0/42.0, ge-0/0/43.0, ge-0/0/44.0, ge-0/0/45.0, ge-0/0/46.0, ge-0/0/47.0, ge-1/0/0.0, ge-1/0/1.0, ge-1/0/23.0

La configuration de VLAN

Nous allons créer différents VLAN taggués (VLAN-ID) tels que présentés dans le tableau ci-dessous :

Interfacesge-0/0/0ge-0/1/0ge-0/2/0ge-0/3/0ge-0/4/0ge-0/3/0ge-0/4/0
VLAN ID10203040506070
VLANadminserversprintersuserswirelessvoipinvite

La création des différents VLAN targués se fait par la commande suivante (mode configure) :

set vlans admin vlan-id 10
set vlans servers vlan-id 20
set vlans printers vlan-id 30
set vlans users vlan-id 40
set vlans wireless vlan-id 50
set vlans voip vlan-id 60
set vlans invite vlan-id 70

Ici, nous devons configurer nos différentes interfaces pour être membre du VLAN sélectionné et pour configurer une interface dans un vlan il existe deux approches :

set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members admin
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members servers
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members printers
set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members users
set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members wireless
set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members voip
set interfaces ge-0/0/6 unit 0 family ethernet-switching vlan members invite

Faites une vérification sur votre interface :

show configuration interfaces ge-0/0/0
unit 0 {
    family ethernet-switching {
        vlan {
            members admin;
        }
    }
}
set vlans admin interface ge-0/0/0
set vlans servers interface ge-0/0/1
set vlans printers interface ge-0/0/2
set vlans users interface ge-0/0/3
set vlans wirless interface ge-0/0/4
set vlans voip interface ge-0/0/5
set vlans invite interface ge-0/0/6

La différence ici est que la configuration du VLAN n’est pas disponible sur l’interface mais uniquement via la commande suivante :

show vlan admin interface

Pour conclure, quelle que soit votre méthode cela ne change rien. Nous avons vu comment créer des VLAN et assigner un VLAN à une interface. Désormais l’objectif est de faire du routage inter-VLAN.

Astuce : il est possible d’englober plusieurs interfaces dans un VLAN très simplement, voici un exemple :

set interfaces interface-range users unit 0 family ethernet-switching vlan members users
set interfaces interface-range users member-range ge-0/0/3 to ge-0/0/6

Configuration des interfaces de routage inter-VLANs.

L’explication du routage inter-VLAN ou routed VLAN interface (RVI) chez Juniper, nous permet de faire communiquer des VLAN entre eux. Prenons un exemple avec le VLAN servers et users. Nous souhaitons que les utilisateurs puissent avoir un accès aux serveurs.

Nous allons d’abord créer deux interfaces VLAN avec l’unité logique (unit) de nos VLANID tel que :

set interfaces vlan unit 20 family inet address 192.168.20.1/24 
set interfaces vlan unit 40 family inet address 192.168.40.1/24

Désormais, nous pouvons lier nos interfaces VLAN au RVI afin de faire communiquer nos deux VLAN :

set vlans serveurs l3-interface vlan.20
set vlans users l3-interface vlan.40

Faites un essai et connectez un hôte dans le VLAN-ID : 20 puis dans le VLAN-ID 40, et lancez la commande :

show interfaces terse | match vlan
vlan                    up    up
vlan.20                 up    up   inet     192.168.20.1/24
vlan.40                 up    up   inet     192.168.40.1/24

Vos deux hôtes devraient désormais pouvoir ce joindre via un simple ping.

Configuration de liens trunk

Dans mon cas, un chassis virtuels de EX3300 et un autre de EX4200 reliés en SFP+ (10G).
Nous allons dans un premier temps configurer l’interface SFP+ (xe) en mode trunk, comme ci-dessous :

set interfaces xe-0/1/0 unit 0 family ethernet-switching port-mode trunk

Ensuite nous autoriserons nos différents VLAN à emprunter le lien trunk :

set interfaces xe-0/1/0 unit 0 family ethernet-switching vlan members [serveurs users]

Retenez que du moment que vous n’ajoutez pas explicitement un membre VLAN dans l’interface (xe) aucune donnée TCP/IP ne transitera !
 

Je vous invite à refaire la même manipulation dans votre switch ou (chassis) pour terminer ce tutoriel et faire transiter vos VLAN !

Cet initialisation se termine et pour plus d’informations rendez-vous à cette adresse : Comprendre le mode bridge et les VLANs sur les switch EX.