Voici quelques notes tirées de la RFC 4762, ainsi que des exemples appliqués à du matériel Juniper.

VPLS fournis de la connectivité entre deux clients géographiquement éloignés entre des MAN/WAN, comme s’ils étaient sur le même LAN.

Le but pour l’utilisateur final:
○ Connectivité entre les routeurs clients: routage LAN
○ Connectivité entre les switchs clients : commutation LAN

Le broadcast et le multicast sont disponibles.
Les sites qui font partis du même domaine de broadcast et qui sont connectés via MPLS peuvent utiliser le trafic broadcast, multicast et unicast sans problème.
Cela requiert l’apprentissage des adresses MAC, et la réplication des paquets multicast/broadcast..

Q-in-Q - 802.1ad - extension du 802.1q sur la partie provider
Qualified learning -mode d’apprentissage dans lequel chaque VLAN client est mappé à son instance VPLS.
Service delimiter - identificateur d’une instance client spécifique. Encodé dans le header des trames du client (ex:VLAN id)
Tagged Frame - Trame avec un tag 802.1q
Unqualified learning - Mode d’apprentissage ou tout les VLAN clients font partis d’une seule instance VPLS.
Untaged Frame - Trame sans tag 802.1q

Acronymes:
AC - Attachment Circuit
BPDU - Bridge Protocol Data Unit
CE - Customer Edge device
FEC - Forwarding Equivalence Class
FIB - Forwarding Information Base
GRE - Generic Routing Encapsulation
IPsec - IP security
L2TP - Layer Two Tunneling Protocol
LAN - Local Area Network
LDP - Label Distribution Protocol
MTU-s  - Multi-Tenant Unit switch
PE  - Provider Edge device
PW - Pseudowire
STP - Spanning Tree Protocol
VLAN - Virtual LAN
VLAN tag - VLAN Identifier

Modèle VPLS:

Une interface participant à VPLS doit être capable de flooder, transférer, et filtrer des trames Ethernet.
Les routeurs PE interconnectés via les pseudowires apparaissent comme un unique LAN émulé pour le client X.
Modèle topologique d’un VPLS pour le client X avec 3 sites géographiquement éloignés.

Ici nous allons voir des exemples utilisant du MPLS, mais ça marche aussi avec GRE, L2TP, IPsec.

L’accès à un site client peut être fait par:
• un port Ethernet physique
• un port Ethernet logique (taggé)
• un PVC ATM transportant des trames Ethernet..
• Un Pseudo-wire Ethernet

Le PE doit être capable de supporter le protocole LDP. Il doit aussi monter des tunnels de transports vers les autres PE.

Flooding & forwarding
Sur les services ethernet, les trames envoyés en broadcast sur une MAC inconnue sont floodées sur tous les ports.
L’ISP doit donc être capable de retransmettre ces trames aux autres PE participent à la même instance VPLS.

Pour transférer une trame, le PE doit être capable d’associer une MAC de destination à un PW. Les PE ne peuvent cependant pas retenir toute les associations de MAC possibles avec les PW..
mais ils doivent être capables d’apprendre les MAC dynamiquement et de retransmettre et répliquer les paquets au travers des AC et PW.

Address learning
Quand un paquet arrive sur le PW, si l’adresse MAC source est inconnue, il doit s’associer avec le PW, pour que les paquets sortants avec cette MAC soient associés au PW.
Pareil pour les AC.

Learning, filtering et forwarding requis quand un PW ou un AC change d’état.

Tunnel topology
les routeurs PE sont tous capables de monter des tunnels vers les autres PE.
Pour etre simple, la topologie VPLS est une full-mesh de PW..

Loop free VPLS
Si le VPLS n’est pas strictement Full-mesh, un PE devra probablement passer par un autre PE pour atteindre un PW, ce qui pourrait causer des boucles, il faudrait donc mettre en place un protocole anti boucle comme sTP.
Au lieu de ça, un full-mesh de PW est établi entre PE.

Discovery
Il est nécessaire de configurer les adresses des PE distants.
Ou alors d’utiliser la découverte automatique.

Fonctionnement du VPLS

Sur la figure suivante, nous pouvons voir un exemple de fonctionnement du VPLS.

Un VPLS à été établis entre PE1, PE2, et PE3.
Le VPLS interconnecte un client avec 4 sites aux labels A1, A2, A3, et A4 au travers de CE1, CE2, CE3, et CE4, respectivement.

Le VPLS est monté pour que PE1, PE2, et PE3 soit une full-mesh de PWs.
L’instance VPLS à un identificateur (AGI).
Ici PE1 signale le tag de PW 102 au PE2 et 103 au PE3,
et PE2 signale le tag de PW 201 à PE1 et 203 à PE3.

Si un paquet dans A1 est destiné à A2, quand il quitte CE1, avec une MAC source de M1 et une MAC destination M2.
Si PE1 ne connait pas la MAC M2, il va flooder le paquet et donc le transférer à PE2 et PE3.
Quand PE2 le reçoit, le paquet à un label 201, PE2 sait donc que la MAC M1 est derrière PE1.
Il peut donc associer la MAC M1 avec le label PW 102.

MAC address aging.

Les PE doivent avoir un mécanisme de limite d’âge pour supprimer les MAC non utilisée depuis trop longtemps.
Le compteur est reset à chaque fois qu’il reçoit un paquet avec la même MAC source.

Considérations de sécurité

• Data plane

• • L’isolation du trafic entre les domaines VPLS est guarantis par l’usage des tables FIB unique à chaque VPLS L2 et l’usage des PW unique par VPLS.
  • Le trafic client (les trames ethernet) est transporté tel quel sur le VPLS.
  • Si une sécurité est requise, le client doit encrypter ses données avant d’entrer sur le réseau VPLS.
  • Prévenir les tempêtes de broadcast en utilisant des routeurs comme CPE ou limiter le taux de broadcast max. que le client peut envoyer.
• Control plane
  • La sécurité LDP (authentication) doit être mise en place.
• DOS Attacks
  • Limiter le nombre d’adresses MAC apprises (par domaine VPLS) pour les PE.

Application à Juniper

Voici un exemple illustré d’une topologie VPLS:

Plusieurs composants:
Domaines VPLS
Un domaine VPLS est associé à un LAN client.
Pour fournir la connectivité VPLS, BGP construit un réseau full-mesh (LSP) entre toute les instances VPLS sur chaque PE.

Sur l’image ci-dessus, il y à deux domaines VPLS, VPLS A et B. Le VPLS A connecte les bureaux du client A entre Boston et Chicago.
Le VPLS B interconnecte le client B pour ses bureaux entre boston et chicago.

Equipements CE (Customer Edge)
Sur l’image, il y à 4 CE. Chacun d’eux est localisé sur les sites clients et participe à un ou plusieurs domaines VPLS.
Ici, les CE1 et CE3 sont membres du domaine VPLS A.
CE2 et CE4 sont membres du domaine VPLS B.
Chaque CE est directement connecté à un edge VPLS (interface Ethernet) mais ne fait pas tourner VPLS. Pour le CE, tout le réseau apparait comme un simple switch L2.

Equipements VPLS Edge (VE)
Dans une configuration VPLS, les routeurs E-series fonctionnement en tant que VPLS Edge (VE) = PE comme pour BGP/VPN;
Sur l’image ci-dessus, VE1 (local) et VE2 (remote). Chaque VE à une instance VPLS configurée pour chaque domaine VPLS. La topologie à donc 4 instances VPLS.
VPLS A et B sur VE1
VPLS A et B sur VE2

Chaque VE à deux types d’interfaces (ports) associés avec chaque instance VPLS.
L’interface coté CE est de type Ethernet // L’interface coté coeur est une interface virtuelle VPLS, automatiquement générée par le routeur pour chaque instance VPLS.
Le VE encapsule les trames etheernet des CE dans un paquet MPLS et les transmet à l’ISP (routeur P) - Ethernet layer 2 services over MPLS.

VPLS et bridging transparent

Une instance VPLS est analogue à un groupe de switchs (bridging transparent), et fonctionne de la même façon.
Un groupe de switch est une collection de switchs stackés en L2 pour former un unique domaine de broadcast.

Chaque domaine VPLS maintiens sa table de forwarding et filtres (MACs).
Exemples des tables de MAC pour les VE de la figue ci-dessus.

Table 13: VPLS Forwarding Table on VE 1 for VPLS A

Table 14: VPLS Forwarding Table on VE 1 for VPLS B

Table 15: VPLS Forwarding Table on VE 2 for VPLS A

Table 16: VPLS Forwarding Table on VE 2 for VPLS B

Configuration VPLS Juniper
Pour configurer un VE et fournir du VPLS:
1. Configurer une instance VPLS sur le VE pour chaque domaine VPLS du routeur.
2. (Optional) Configurer les attributs de chaque instance VPLS.
3. Configurer les interfaces réseau pour connecter le VE à chaque équipements CE.
4. (Optional) Configurer les règles pour les interfaces VPLS.
5. Configurer les chemins MPLS label-switched paths (LSPs) pour connecter les VE locaux et distants.
6. Mettre en place un signaling BGP sur l’AS pour signaler le fait que l’instance VPLS est joignable.

1. instances VPLS

! Configurer une instance VPLS “customer1″.
! En mode de configuration globale:

host1(config)#bridge customer1 vpls transport-virtual-router vr1

!Sppécifier le nombre maximum de sites clients qui participent à l’instance VPLS (Par défaut, au moins 1).

host1(config)#bridge customer1 vpls site-range 15

!Spécifier le nom et l’id du client pour l’instance VPLS.

host1(config)#bridge customer1 vpls site-name westford site-id 1

! Spécifier le route distinguisher (RD) pour l’instance VPLS.

host1(config)#bridge customer1 vpls rd 100:11

! Créer ou ajouter une route target pour importer/exporter la liste des VPN pour l’instance MPLS.

host1(config)#bridge customer1 vpls route-target both 100:1

! Commandes complètes

host1(config)#bridge customer1 vpls transport-virtual-router vr1
host1(config)#bridge customer1 vpls site-range 15
host1(config)#bridge customer1 vpls site-name westford site-id 1
host1(config)#bridge customer1 vpls rd 100:11
host1(config)#bridge customer1 vpls route-target both 100:1

2. Attributs optionnels pour les instances VPLS

3. Configurer les interfaces VPLS

! Configurer l’interface Gigabit Ethernet 3/0 et l’assigner à l’instance VPLS “customer1″ comme une interface trunk

!Depuis le mode de configuration globale, selectionner l’interface que vous voulez assigner à l’instance VPLS.

host1(config)#interface gigabitEthernet 3/0

!Depuis le mode de configuration d’interface, tapez la commande “bridge-group” pour assigner l’interface à une instance VPLS.

host1(config-if)#bridge-group customer1

!(Optionel) Configurer les attributs optionnels pour l’interface réseau. Une commande par attribut.

host1(config-if)#bridge-group customer1 subscriber-trunk
host1(config-if)#bridge-group customer1 learn 100
host1(config-if)#bridge-group customer1 snmp-trap link-status

4. Configurer les règes pour les interfaces VPLS
… optionnel

5. MPLS LSP

Dans la configuration VPLS, vous devez créer des (LSPs) pour connecter le VE local au VE distant.

! Activer MPLS sur le VE.

host1(config)#mpls

! Configurer l’interface loopback et lui assigner une adresse IP.

host1(config)#interface loopback 0
host1(config-if)#ip address 10.3.3.3 255.255.255.255

! Activer MPLS sur l’interface loopback.

host1(config-if)#mpls

! Activer LDP et les topology-driven LSPs sur la loopback.

host1(config-if)#mpls ldp
host1(config-if)exit

6. BGP signaling
Pour configurer le signaling BGP pour VPLS sur le VE:

! Assigner le routeur ID.

host1(config)#ip router-id 10.3.3.3

! Activer BGP dans l’AS 100.

host1(config)#router bgp 100

! Configurer la session BGP VE-to-VE.

host1(config-router)#neighbor 10.4.4.4 remote-as 100
host1(config-router)#neighbor 10.4.4.4 update-source loopback 0
host1(config-router)#neighbor 10.4.4.4 next-hop-self

! Créer le L2VPN avec BGP signaling pour toutes les instances VPLS.

host1(config-router)#address-family l2vpn signaling

! Activer la session VE-to-VE dans la famille d’adresse L2VPN.

host1(config-router-af)#neighbor 10.4.4.4 activate
host1(config-router-af)#neighbor 10.4.4.4 next-hop-self
host1(config-router-af)#exit-address-family

! Créer le VPLS address family pour l’instance VPLS “customer1″.

host1(config-router)#address-family vpls customer1
host1(config-router-af)#exit-address-family

! Créer le VPLS address family pour l’instance VPLS “customer2″.

host1(config-router)#address-family vpls customer2
host1(config-router-af)#exit-address-family

! Exit

host1(config-router)#exit

Exemple de configuration sur une architecture réelle:

Topology Overview

La topologie inclus deux domaines VPLS, A et B.
Le VPLS A connecte le CE1, sur le site de boston du client A vers le CE3 sur le site de chicago.
Le VPLS B connecte le CE2, sur le site de boston du client B vers le CE4 sur le site de chicago.

Les routeurs E-series (VE1 et VE2) participent aux domaines VPLS A et B. Il y à 4 instances séparées, une pour chaque instance de VE. VPLSA et VPLSB.

Pour chaque instance, une interface Ethernet fournis une connexion au CE associé.
Chaque instance VPLS maintiens sa propre table de forwarding et de filtres pour apprendre la topologie, de façon identique à un LAN.. Comme discuté plus haut.

Vous devez configurer les MPLS LSPs pour connecter VE1 et VE2 au travers du provider (P). Et finalement vous devrez configurer BGP sur chacun des VE (1&2) pour fournir du signaling pour chaque domaine VPLS.

Après avoir configuré le bridging, MPLS, BGP, le routeur génère une interface VPLS virtuelle pour chaque instance. Elle représente les tunnels du VE local, au VE distant.

Configuration de VE 1 (VE local)

! Configure VPLS instance vplsA.

host1(config)#bridge vplsA vpls transport-virtual-router default
host1(config)#bridge vplsA vpls site-range 10
host1(config)#bridge vplsA vpls site-name boston site-id 1
host1(config)#bridge vplsA vpls rd 100:11
host1(config)#bridge vplsA vpls route-target both 100:1

! Configure VPLS instance vplsB.

host1(config)#bridge vplsB vpls transport-virtual-router default
host1(config)#bridge vplsB vpls site-range 20
host1(config)#bridge vplsB vpls site-name boston site-id 1
host1(config)#bridge vplsB vpls rd 100:12
host1(config)#bridge vplsB vpls route-target both 100:2

! Configure Fast Ethernet interface 3/0 between VE 1 and CE 1,
! and assign it to vplsA as a trunk interface.

host1(config)#interface fastEthernet 3/1
host1(config-if)#bridge-group vplsA subscriber-trunk
host1(config-if)#exit

! Configure bridged Ethernet interface 2/0.12 between VE 1 and CE 2,
! and assign it to vplsB as a trunk interface.

host1(config)#interface atm 2/0.12 point-to-point
host1(config-subif)#atm pvc 12 0 12 aal5snap 0 0 0
host1(config-subif)#encapsulation bridge1483 mac-address 0090.1a40.9991
host1(config-subif)#bridge-group vplsB subscriber-trunk
host1(config-if)#exit

! Enable MPLS on the default virtual router.

host1(config)#mpls

! Configure a loopback interface on VE 1 and assign it an IP address.

host1(config)#interface loopback 0
host1(config-if)#ip address 10.1.1.1 255.255.255.255

! Enable MPLS, LDP, and topology-driven LSPs on the loopback interface.

host1(config-if)#mpls
host1(config-if)#mpls ldp
host1(config-if)exit

! Configure BGP signaling.

host1(config)#ip router-id 10.1.1.1
host1(config)#router bgp 100
host1(config-router)#neighbor 10.2.2.2 remote-as 100
host1(config-router)#neighbor 10.2.2.2 update-source loopback 0
host1(config-router)#neighbor 10.2.2.2 next-hop-self
host1(config-router)#address-family l2vpn signaling
host1(config-router-af)#neighbor 10.2.2.2 activate
host1(config-router-af)#neighbor 10.2.2.2 next-hop-self
host1(config-router-af)#exit-address-family
host1(config-router)#address-family vpls vplsA
host1(config-router-af)#exit-address-family
host1(config-router)#address-family vpls vplsB
host1(config-router-af)#exit-address-family
host1(config-router)#exit

Configuration on VE 2 (Remote VE Router)

! Configurer l’instance VPLS vplsA. La route target (100:1)
! matches la route target configurée pour vplsA sur VE 1.

host2(config)#bridge vplsA vpls transport-virtual-router default
host2(config)#bridge vplsA vpls site-range 10
host2(config)#bridge vplsA vpls site-name chicago site-id 2
host2(config)#bridge vplsA vpls rd 100:21
host2(config)#bridge vplsA vpls route-target both 100:1

! Configurer l’instance VPLS vplsB. Route target (100:2)
! matches la route target configurée pour vplsB sur VE 1.

host2(config)#bridge vplsB vpls transport-virtual-router default
host2(config)#bridge vplsB vpls site-range 20
host2(config)#bridge vplsB vpls site-name chicago site-id 2
host2(config)#bridge vplsB vpls rd 100:22
host2 (config)#bridge vplsB vpls route-target both 100:2

! Configurer l’interface FastEthernet 3/5 entre VE 2 et CE 3,
! and assign it to vplsA as a trunk interface.

host2(config)#interface fastEthernet 3/5
host2(config-if)#bridge-group vplsA subscriber-trunk
host2(config-if)#exit

! Configurer un interface bridged Ethernet 2/0.21 entre VE 2 et CE 4,
! et l’assigner au vplsB en tant que trunk

host2(config)#interface atm 2/0.21 point-to-point
host2(config-subif)#atm pvc 21 0 21 aal5snap 0 0 0
host2(config-subif)#encapsulation bridge1483 mac-address 0090.1a40.9992
host2(config-subif)#bridge-group vplsB subscriber-trunk
host2(config-if)#exit

! Activer MPLS sur le routeur Virtuel.

host1(config)#mpls

! Configurer la loopback sur VE2 et lui assigner son IP.

host1(config)#interface loopback 0
host1(config-if)#ip address 10.2.2.2 255.255.255.255

! Activer MPLS, LDP, et les topology-driven LSPs sur la loopback.

host1(config-if)#mpls
host1(config-if)#mpls ldp
host1(config-if)exit

! Configurer le BGP signaling.

host2(config)#ip router-id 10.2.2.2
host2(config)#router bgp 100
host2(config-router)#neighbor 10.1.1.1 remote-as 100
host2(config-router)#neighbor 10.1.1.1 update-source loopback 0
host2(config-router)#neighbor 10.1.1.1 next-hop-self
host2(config-router)#address-family l2vpn signaling
host2(config-router-af)#neighbor 10.1.1.1 activate
host2(config-router-af)#neighbor 10.1.1.1 next-hop-self
host2(config-router-af)#exit-address-family
host2(config-router)#address-family vpls vplsA
host2(config-router-af)#exit-address-family
host2(config-router)#address-family vpls vplsB
host2(config-router-af)#exit-address-family
host2(config-router)#exit

Fonctionnement
Avec un tunnel Q-in-Q, quand un paquet voyage d’un VLAN client à un VLAN ISP, l’ISP ajoute un tag 802.1q aux paquets. Ce tag permet au provider de différencier les VLANs. Le tag initial du client est conservé et retransmis au travers du réseau ISP.
Quand un paquet quitte le réseau ISP, le Tag 802.1q du réseau fournisseur est retiré.
Quand Q-in-Q est activé sur un Switch, les interfaces Trunk font partis de la partie du réseau ISP et les interfaces d’accèssont relatives au client. Une interface d’accès peut recevoir des trames tagguées ou non tagguées.

L’interface Trunk peut faire partis de plusieurs VLANs ISP.

On peut mapper un ou plusieurs clients sur un VLAN ISP, et on peut également ajouter une deuxième couche (tag) dans le réseau ISP.
On peut ensuite configurer de la QoS et des CoS.

Limitations:

• Pas d’IGMP Snooping
• Pas de port-security
• On ne peut désactiver l’apprentissage des MACs
• Pas de filtres/shaping/limiting per-VLAN based.
• Configuration (Exemple de configuration JunOS sur un Switch EX-series)

Voici la topologie utilisée:

Définir le VLAN ID pour le  S-VLAN:

[edit vlans]
user@switch#set      qinqvlan vlan-id 4001

Définir le Q-in-Q tunneling et spécifier les ranges de VLAN:

[edit vlans]
user@switch#set      qinqvlan dot1q-tunneling customer-vlans 1-100
user@switch#set      qinqvlan dot1q-tunneling customer-vlans 201-300

Définir le mode du port VLAN pour les interfaces :

[edit      interfaces]
user@switch#set      ge-0/0/0 unit 0 family ethernet-switching port-mode trunk
user@switch#set      ge-0/0/0 unit 0 family ethernet-switching vlan members 4001
user@switch#set      ge-0/0/12 unit 0 family ethernet-switching port-mode access
user@switch#set      ge-0/0/12 unit 0 family ethernet-switching vlan members 4001
user@switch#set      ge-0/0/13 unit 0 family ethernet-switching port-mode access
user@switch#set      ge-0/0/13 unit 0 family ethernet-switching vlan members 4001

Définir la valeure Q-in-Q de l’Ethertype* :

[edit]
user@switch#set ethernet-switching-options dot1q-tunneling  ether-type 0x9100

Format de la trame Ethernet V2

Description de l’EtherType : ou type de trame (2 octets)
Indique quel protocole est concerné par le message. La carte réalise un démultiplexage en fournissant les données au protocole concerné.
Les != types sont (en hexadécimal) définis par la RFC 1700.

• 8100—Specifies Ethertype value 0×8100, IEEE Standard 802.1q
• 88a8—Specifies Ethertype value 0×88a8, draft IEEE Standard 802.1ad
• 9100—Specifies Ethertype value 0×9100, défault Interface Configuration mode

Vérification

user@switch> show configuration vlans qinqvlan 
vlan-id 4001;
dot1q-tunneling {
 customer-vlans [ 1-100 201-300 ];
}

user@switch> show vlans qinqvlan extensive 
VLAN: qinqvlan, Created at: Tue Dec 28 19:12:29 2010
802.1Q Tag: 4001, Internal index: 4, Admin State: Enabled,
Origin: Static
Dot1q Tunneling status: Enabled
Customer VLAN ranges:
 1-100
 201-300
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 1 (Active = 1), Untagged 2
(Active = 0)
 ge-0/0/0.0*, tagged, trunk
 ge-0/0/12.0, untagged, access
 ge-0/0/13.0, untagged, access

EX series switches:
type-slot/pic/port
• type—:
o ge— interface Ethernet Gigabit
o xe— interface 10 Gigabit Ethernet
• slot number/member-id— de 0 à 9 – 0 pour un switch unique, et plus pour les virtual-chassis.
• PIC—0 pour la partie de gauche, et 1 pour les Uplinks.
• port—Le port, de 0 à 47, correspond au port physique sur le switch.

JunOS Architecture

• Control plane (Routing/switching tables)
• -> CPU/memoire indépendante du forwarding place

• Forwarding Plane (Forwarding tables)
• -> Asics..etc.

Managing JunOS
CLI => Consoole/telnet/SSH
GUI => J-Web

Junos Swript API
Netconf
NetScrenn Security manager
CLI fundamentals
Operational mode (exec):

user@host>
benoit@switch>

Configuration mode (conf t):

user@host>configure
[edit]
user@host#
benoit@switch#

Auto-complétion: [espace]

Pipes:

show interfaces terse | last
show interfaces terse | count
show interfaces terse | match <pattern>
show interfaces terse | except
show interfaces terse | find
show interfaces terse | last |match

CONFIGURATION Fundamentals
Meilleur sense hiérarchique par rapport à l’IOS.
Configuration découpée en sections
Multiples niveaux de hierarchies
Niveaux identifiées avec les {}

hostname / password:

system {
host-name s4;
root-authentication {
encrypted-password "ertyu65432zearztgyhu7654REftg"; ##SECRET-DATA
}
}

configuration avec 2 commandes set.

Top-level configuration Elements:

• system - paramètres généraux (hostname, authentification, méthodes d’acces, logging..)
• interfaces
• protocols - L2/L3 protocols
• policy-options - règles de routage
• firewall - filtrage de paquet stateless
• snmp
• class-of-service
• poe
• virtual-chassis
• vlans
• ethernet-switching-options

Candidate configuration
IOS : running-config
JunOS : running-config + candidate config

Candidate vs. Active:

Candidate = copy de la configuration active + edits + edits ..etc.
Après un commit, elle passe en Active/running.
JunOS garde en mémoire les 50 dernière versions commitées.
On peut charger une des 50 versions en “candidate”

configure => plusieurs utilisateurs peuvent modifier en meme temps
configure exclusive => on est le seul à effectuer des modifs
configure private => chacun sa configuration privée, pour ne pas créer de conflits, sinon le CLI l’informe pendant le commit

Making changes:

root@s4>configure
[edit]
root@s4#edit interfaces ge-0/0/9

[edit interfaces ge-0/0/9]
root@s4#edit unit 0

[edit interfaces ge-0/0/9 uni 0]
root@s4#set family inet address 172.20.1.1/24

[edit interfaces ge-0/0/9 uni 0]
root@s4#show
family inet {
address 172.20.1.1/24;
}

[edit interfaces ge-0/0/9 uni 0]
root@s4#delete family inet address 172.20.1.1/24

[edit interfaces ge-0/0/9 uni 0]
root@s4#show
family inet;

[edit interfaces ge-0/0/9 uni 0]
root@s4# delete family inet

[edit interfaces ge-0/0/9 uni 0]
root@s4# show

[edit interfaces ge-0/0/9 uni 0]
root@s4# up

[edit interfaces ge-0/0/9]
root@s4# top

[edit]
root@s4# show interfaces
ge-0/0/9 {
unit 0;
}

Running operationnal-mode in config-mode

pour faire des ping, ou des show  interfaces en mode de configuration:

root@s4#run show interfaces
root@s4#run ping 10.210.1.2

Préparer les changements:
on peux configurer des interfaces qui ne sont encores pas présentes physiquement.
mais on les désactive.
Ex:

root@s4#edit protocoles dot1x

[edit protocoles dot1x]
root@s4#set authenticator interface ge-0/0/3.0

[edit protocoles dot1x]
root@s4#deactivate authenticator interface ge-0/0/3.0

[edit protocoles dot1x]
root@s4#show
authenticator {
interface {
inactive: ge-0/0/3.0;
ge-0/0/4.0;
}
}

[edit protocoles dot1x]
root@s4#commit
commit complete

[edit protocoles dot1x]
root@s4# run show dot1x interface brief
802.1x information
Interface     Role        State
ge-0/0/3.0    None
ge-0/0/4.0    Authenticator    Initialize

[edit protocoles dot1x]
root@s4#activate authenticator interface ge-0/0/3.0

[edit protocoles dot1x]
root@s4#commit
commit complete

[edit protocoles dot1x]
root@s4#run show dot1x interface brief

[edit protocoles dot1x]
root@s4# run show dot1x interface brief
802.1x information
Interface     Role        State
ge-0/0/3.0    Authenticator    Connecting
ge-0/0/4.0    Authenticator    Initialize

On peut aussi désactiver des sections entières.
root@s4#deactivate dot1x
root@s4#deactivate protocols
[...]

Bouger une configuration de ge-0/0/5 à ge-0/0/6:
root@s4#rename interfaces ge-0/0/5 to ge-0/0/6
root@s4#commit

Rename vs. replace
rename: renommer un unique element
replace: changer les références d’une interface a une autre

Ip addresses:
on peux attribuer plusieurs ip à une interfaces.

set unit 0 family inet address 172.20.11.1/24 primary
set unit 0 family inet address 172.20.12.1/24
set unit 0 family inet address 172.20.13.1/24

Accepter les changements (commit)
commit check
commit at “2012-12-23 00:01″
commit confirmed 1
commit and-quit

Annuler les changements (rollback)
rollback => charge la config active en candidate.

show | compare rollback “number”

show compare (diffrence entre candidate/active)

Interfaces configuration

M/T series:    fe-2/1/0
type-fpc/pic/port

Ex series:     ge-0/1/2
type-VCnumber/module/port

ge : Gigabit
xe : 10-gig

interfaces spéciales:
lo0 - loopback
me0 - Out-of-band Ethernet
vme - Virtual management Ethernet (virtual-chassis)
vlan - VLAN interface (L3)

Units:
IOS: subinterfaces
JunOS : Units

L2
ge-0/0/4 {
L2 // ether-options {
L2 //     no-auto-negocation;
L2 //     link-mode full-duplex;
L2 //     speed {
L2 //         100m
L2 //     }
L2 // }
L3 // unit 0 {
L3 //     family ethernet-switching;
L3 // }
}

VLAN
interfaces {
vlan {
unit 2 {
description Printers;
family inet {
address 192.168.2.2/24;
}
}
unit 3 {
description Phones;
family inet {
address 192.168.3.2/24;
}
}
unit 100 {
description Example;
family inet {
address 192.168.100.2/24;
}
}
}
}

L2 = ethernet-switching
- port-mode (access/trunk)
- VLANs
- Stateless packet filters
L3 = inet

Exemple:
set unit 0 family ethernet-switching
set unit 0 family inet

Activer les interfaces:

IOS: shutdown/no shutdown
JunOS:     deactivate : ignorée par JunOS

disable : shutdown
SWITCHING CONFIGURATION

EX Series switches : 10/100/1000 Ethernet ports.
Par défaut, ils sont en auto-négo.

run show interfaces ge-0/0/3 extensive | find Autoneg
Autonegociation information:
Negociation status: Complete
Link partner:
Link mode: Full-duplex, flow control: None, ..
ink partner speed: 100 Mbps, Reason: Link paartner failure
Local resolution;
Flow control: None, Remote fault; Link OK

root@s4#edit interface ge-0/0/4 ether-options
root@s4#set speed 100m
root@s4#set link-mode full-duplex
root@s4#commit

Désactiver l’auto-nego:
set interfaces ge-0/0/4 ether-options no-auto-negociation

Aggregated Ethernet

IEE 802.3ad supporté.

- Créer un aggrégat
- Associer les ports dans cet aggrégat
- Configurer l’aggrégat

root@s4#edit chassis aggregated-devices
root@s4#set ethernet device-count 1
root@s4#show
ethernet {
device-count 1;
}

root@s4#set interfaces ge-0/0/5 ether-options 802.3ad ae0
root@s4#set interfaces ge-0/0/6 ether-options 802.3ad ae0

root@s4#show
ge-0/0/5 {
ether-options {
802.3ad ae0;
}
}
ge-0/0/6 {
ether-options {
802.3ad ae0;
}
}

root@s4#edit interfaces ae0
root@s4#set unit 0 family ethernet-switching port-mode trunk
root@s4#set aggregated-ether-options lap active
root@s4#commit
root@s4#show
aggregated-ether-options {
lacp {
active;
}
}
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}

Proxy ARP
Quand un hote demande une mac au switch, alors que l’IP n’est pas sur le meme VLAN, le switch peux faire proxy, et donner sa MAC.

root@s4#edit interfaces ge-0/0/7unit 0
root@s4#set proxy-arp
root@s4#show
proxy-arp;
family inet {
address 192.168.207.1/24
}

VLANs
root@s4#edit vlans
root@s4#set example
root@s4#set example vlan-id 100
root@s4#show
Name        Tag    Interfaces
example        100    None
phones        3    ae0.0*
printers    2    ae0.0*

Access-ports
root@s4#set example interfaces ge-0/0/7.0
root@s4#top edit interfaces
root@s4#set ge-0/0/7 unit 0 family ethernet-switching
root@s4#set ge-0/0/8 unit 0 family ethernet-switching vlan members 100
root@s4#set ge-0/0/9 unit 0 family ethernet-switching vlan members example
root@s4#up
root@s4#commit

root@s4#show vlan example
vlan-id 100;
interfaces {
ge-0/0/7.0;
ge-0/0/8.0;
ge-0/0/9.0;
}

Trunk-ports
root@s4#set vlans phones interfaces ge-0/0/7.0
root@s4#set vlans printers interfaces ge-0/0/7.0
root@s4#commit check
Access interface error…

root@s4#set ge-0/0/7 unit 0 family ethernet-switching port-mode trunk
root@s4#commit check
configuration check succeeds

root@s4#set ge-0/0/8 unit 0 family ethernet-switching port-mode trunk
root@s4#set ge-0/0/8 unit 0 family ethernet-switching vlan members [ 2 3 ]
root@s4#set ge-0/0/8 unit 0 family ethernet-switching port-mode trunk
root@s4#set ge-0/0/8 unit 0 family ethernet-switching vlan members [ phones printers ]

root@s4#commit
root@s4#set ge-0/0/9 unit 0 family ethernet-switching native-vlan-id default

root@s4#show
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members [ example phones printers ];
}
native-vlan-id default;
}
}

root@s4#commit

Routed VLAN interface

root@s4#edit vlans

!Assignation d’une interface de couche3 au VLAN “example”
root@s4#set example 13-interface vlan.100
root@s4#top edit interfaces vlan
root@s4#set unit 100 description example
root@s4#set unit 100 family inet address 192.168.100.2/24
root@s4#commit

MONITORING

show interfaces descriptions
show interfaces terse

interfaces

show interfaces ge-0/0/7
show interfaces ge-0/0/7 brief
show interfaces ge-0/0/7 detail
show interfaces ge-0/0/7 extensive

Switchport

show interfaces switchport
show interfaces trunk
show ethernet-switching interfaces

VLANS

show vlans
show vlans id brief
show vlans id detail
show vlans id extensive

MAC

show ethernet-switching table
show ethernet-switching mac-learning-log

SECURITY
Filtrage de paquets stateless, comme les ACL Cisco.

First term => match => action
Second term => match => action
Discard/drop

Ex IOS:

access-list 100 deny ip 192.168.0.0 0.0.0.255 any
access-list 100 permit ip any any

Ex JunOS (the same):

[edit firewall family inet]
root@s4#show
filter sample-filter {
term block-bad-subnet {
from {
source-address {
192.168.0.0/24;
}
}
then {
discard;
}
}
term accept-all {
then accept;
}
}

root@s4#edit filter sampl-filter term block-bad-subnet from source-address
root@s4#annotate 192.168.0.0/24 "requested by john doe"
root@s4#annotate 192.168.10.0/24 "requested by Ben"

JunOS utilise le masque standard (CIDR), pas de wildcard.

performance
Filtres de firewall compilés.
matching optimisé..
pas besoin normalement d’optimiser les filtres.

Avec la méthode de configuration active/candidate, le firewall est toujours en marche.
Pas comme sur cisco quand on doit supprimer et recréer certaines ACL (sauf pour celles avec numéro de sequence..:)).

Appliquer les filtres du firewall

root@s4#set interfaces vlan.2 family inet filter input sample-filter

Other security features
802.1x authentication
limite de MAC
DHCP inspection
Firewall/802.1X pour assigner de la CoS

Exercise:

root@s4#show firewall
root@s4#edit firewall family ethernet-switching filter my-vlan-filter
root@s4#edit term block-bad-mac
root@s4#set from source-mac-address 00ca.1234.1121
root@s4#set then discard
root@s4#up 1
root@s4#edit term allow-ping
root@s4#set from protocol icmp
root@s4#set from icmp-type echo-request
root@s4#set from icmp-type echo-reply
root@s4#set then accept
root@s4#up 1
root@s4#edit term block-icmp
root@s4#set from protocol icmp
root@s4#set then discard
root@s4#set term default-accept

[edit firewall family ethernet-switching filter my-vlan-filter]
root@s4#show

term block-bad-mac {
from {
source-mac-address {
00:ca:12:34:11:21;
}
}
then discard;
}
term allow-ping {
from {
protocol icmp;
icmp-type [ echo-request echo-reply ];
}
then accept;
}
[...]

root@s4#top
root@s4#set vlans accounting filter input my-vlan-filter

SPANNING-TREE
STP / RSTP /MSTP… bla bla.. ok.

Configuration STP:

root@s4#set protocols stp
root@s4#show protocols
stp;
root@s4#set protocols stp bridge-priority 20k
root@s4#set protocols stp interface ge-0/0/1 disable
root@s4#set protocols stp interface ge-0/0/2 cost 1000
root@s4#set protocols stp interface ge-0/0/9 edge    // portfast

Configuration RSTP:

root@s4#show protocols stp | display set

set protocols stp bridge-priority 20k
set protocols stp interface ge-0/0/1.0 disable
set protocols stp interface ge-0/0/2.0 cost 1000
set protocols stp interface ge-0/0/9.0 edge    // portfast

root@s4#delete protocol stp

root@s4#set protocols rstp bridge-priority 20k
root@s4#set protocols rstp interface ge-0/0/5.0 disable
root@s4#set protocols rstp interface ge-0/0/6.0 cost 1000
root@s4#set protocols rstp interface ge-0/0/9.0 edge
root@s4#
root@s4#set protocols rstp interface ge-0/0/6.0 mode point-to-point
root@s4#show protocols
rstp {
bridge-priority 20k;
interface ge-0/0/5.0 {
disable;
}
interface ge-0/0/6.0 {
cost 1000;
mode point-to-point;
}
[...]
}

Configuration MSTP:

root@s4#delete protocols Rstp
root@s4#set protocols mstp bridge-priority 20k
root@s4#set protocols mstp interface ge-0/0/1 disable
root@s4#set protocols mstp interface ge-0/0/2 cost 1000
root@s4#set protocols mstp interface ge-0/0/9 edge
root@s4#set protocols mstp interface ge-0/0/9 mode point-to-point
root@s4#
root@s4#set protocols mstp configuration-name example
root@s4#set protocols mstp msti 1 vlan [ 1 3 5 ]
root@s4#set protocols mstp msti 2 vlan [ 2 4 6 ]
root@s4#

Vérifications:

show spanning-tree bridge
show spanning-tree interface
show ethernet-switching interfaces

INTRODUCTION TO ROUTING
Overview:
IOS        JunOS
—             —–
show ip route        show route
show ip bgp sum        show bgp sum
show ip bgp nei        show bgp nei
show ip ospf        show ospf

Tables de routage

root@s4>show route

inet.0: 18 destinations, 25 routes (18 actives, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both

0.0.0.0/0    *[OSPF/150] 5d 19:40:04, metric 1, tag 0
> to 10.10.245.234 via vlan.20
10.14.240.0/22    *[Aggregate/130] 1w1d ...
[...]

Route preferences:

Troubleshooting:

root@s4>show route hidden
root@s4>show route hidden extensive
root@s4>show route x.x.x.x/x
root@s4>show route
root@s4>show route x.x.x.x/x exact
root@s4>show route x.x.x.x/x exact extensive

Static routes :

root@s4>set static route x.x.x.x/x next-hop x.x.x.x
root@s4>set static route default next-hop x.x.x.x
root@s4>set qualified-next-hop x.x.x.x interface vlan.3
root@s4>set qualified-next-hop x.x.x.x preference 30

OSPF
Configuration:

root@s4# set area 2 interface vlan.5
root@s4# set arrea 2 interface ge-0/0/4.0
root@s4# set arrea 2 interface ge-0/0/4.0 passive
root@s4# set arrea 2 interface vlan.5 metric 200
[edit protocols ospf]
root@s4#show
area 0.0.0.2 {
interface vlan.5 {
mteric 200;
}
interface ge-0/0/4.0 {
passive;
}
}
root@s4#
root@s4#

Area types:

[edit protocols ospf]
root@s4#set area 2 stub
root@s4#set area 3 nssa
root@s4#set area 3 interface vlan.6
root@s4#set area 2 stub default
root@s4#set area 3 nssa default-lsa default-metric 1
root@s4#show
area 0.0.0.2 {
stub default-metric 1;
interface vlan.5 {
mteric 200;
}
interface ge-0/0/4.0 {
passive;
}
}
area 0.0.0.3 {
nssa {
default-lsa default-metric 1;
}
interface vlan.6;
}

Injecter des routes dans OSPF:
il faut utiliser une “export policy”
pas plus de détail dans ce cours.

Authentification:

[edit protocols ospf area 0.0.0.2]
root@s4#set interface vlan.5 authentication md5 1 key test

Vérification:

show ospf database
show ospf interface

show ospf interface vlan.2 extensive
show ospf neighbor
show route protocol ospf

Voici une architecture typique EAPS:

Fonctionnement:
Le Master bloque le port secondary de tout ce qui n’est pas du traffic de contrôle (VLAN Data).
Cela évite donc les boucles. Le VLAN de contrôle est toujours ouvert.
Le master envoi des paquets périodiquement sur le port Primary et les reçoit sur son port Secondary,
à la fin de la boucle, ce qui assure la continuité de celle-ci.

Fault-Detection (Détéction d’une faille):
Suite à la non-réception d’un paquet de contrôle, ou la réception d’un paquet “Link-Down”.
Le Master passe alors le port Secondary de l’état BLOCKING à FORWARDING.

Fault-restoration (Réstauration suite à une faille):
Le master envoi continuellement des paquets health-check depuis son port Primary, même lorsque son port Secondary est en FORWARDING,
donc dès que le master les reçois de nouveau ces paquets sur son port Secondary, il re-bloque celui-ci car cela signifie que la boucle est de nouveau fonctionnelle.

Voici quelques définitions:
Domaine EAPS
Boucle unique EAPS, 1 domaine par boucle.

Control VLAN
Il faut un “control VLAN” par domaines EAPS. Celui-ci envoi et reçoit les messages EAPS (Health-check/Link-down..).

Attention, les “control VLAN”:

• n’ont pas d’IP
• ne sont assignés qu’aux ring-ports (faisant partie d’une boucle EAPS)
• sont taggués
• ont un profile QoS

Protected VLAN
Un ou plusieurs par domaine EAPS.
C’est le VLAN qui transporte la data (Data-carrier)
Quand la boucle EAPS est formée, le Master bloque les VLAN Protected sur sont port Secondary.

Configuration d’EAPS
Voici une configuration basique d’EAPS avec 3 switchs en cercles.

Topologie

Switch 1
On crée le vlan1 (VLAN Data / Protected)

create vlan "vlan1"

# Configuration du VLAN vlan1.
configure vlan "vlan1" tag 10
configure vlan "vlan1" ipaddress 10.10.1.1 255.255.255.0
configure vlan "vlan1" add port 1,2 tagged

On crée le vlan de controle de la boucle EAPS

create vlan "EAPS1_CTRL" 

# Configuration du VLAN EAPS1_CTRL.
configure vlan "EAPS1_CTRL" tag 4
configure vlan "EAPS1_CTRL" add port 1 tagged
configure vlan "EAPS1_CTRL" add port 2 tagged

Configuration d’EAPS

# Activation d'EAPS en mode global
enable eaps

# Création du domaine EAPS1 qui contiendra nos 3 switchs
create eaps "EAPS1"

# Le switch 1 est en mode "transit"
configure eaps "EAPS1" mode transit
configure eaps "EAPS1" primary port 1
configure eaps "EAPS1" secondary port 2
configure eaps "EAPS1" add control vlan "EAPS1_CTRL"

#Activation du domaine EAPS1
enable eaps "EAPS1"

Switch 2

create vlan "vlan1"
create vlan "EAPS1_CTRL"
#
# Config information for VLAN vlan1.
configure vlan "vlan1" tag 10
configure vlan "vlan1" ipaddress 10.10.1.2 255.255.255.0
configure vlan "vlan1" add port 1,2 tagged

#
# Config information for VLAN EAPS1_CTRL.
configure vlan "EAPS1_CTRL" tag 4
configure vlan "EAPS1_CTRL" add port 1 tagged
configure vlan "EAPS1_CTRL" add port 2 tagged

# EAPS configuration
enable eaps

create eaps "EAPS1"
configure eaps "EAPS1" mode transit
configure eaps "EAPS1" primary port 1
configure eaps "EAPS1" secondary port 2
configure eaps "EAPS1" add control vlan "EAPS1_CTRL"
enable eaps "EAPS1"

Switch 3

create vlan "vlan1"
create vlan "EAPS1_CTRL"
#
# Config information for VLAN vlan1.
configure vlan "vlan1" tag 10
configure vlan "vlan1" ipaddress 10.10.1.3 255.255.255.0
configure vlan "vlan1" add port 1,2 tagged

#
# Config information for VLAN EAPS1_CTRL.
configure vlan "EAPS1_CTRL" tag 4
configure vlan "EAPS1_CTRL" add port 1 tagged
configure vlan "EAPS1_CTRL" add port 2 tagged

# EAPS configuration
enable eaps

create eaps "EAPS1"
configure eaps "EAPS1" mode master
configure eaps "EAPS1" primary port 2
configure eaps "EAPS1" secondary port 1
configure eaps "EAPS1" add control vlan "EAPS1_CTRL"
enable eaps "EAPS1"

Tests:

Le console manager Opengear CM4008 vous permet de gérer 8 équipements (ordinateurs, routeurs) via leurs ports console, série..etc. Le boitier en lui même est connecté à votre LAN. Il suffit de paramétrer correctement le NAT sur votre routeur afin d’avoir accès au équipements gérés par le boitier OpenGear via une connexion SSH, ou Telnet.

Le CM4008 fait tourner un OS Linux minimaliste, et peut être administré via une interface Web, ou par SSH.

Voici les possibilités offertes par ce boitier:

• Management de 8 équipements via Telnet/SSH
• Gestion des utilisateurs/groupes
• Authentification Locale / TACACS+ / Radius / LDAP..
• Gestion de l’alimentation des équipements (UPS) - Reboot à distance… etc.
• Logging des ports, sur plusieurs niveaux de criticité, et exportables vers un serveur syslog
• Remontée d’alertes SMTP/SMS/SNMP..
• Quelques pages de visualisation de l’activité. Dashboard / Alimentation/sessions en cours…

Voici un exemple de connexion au console manager (192.168.0.1 sur le LAN), sur le port 2001 (2000 pour le protocole Telnet, et 1 pour le port numéro 1). Le console manager nous demande de nous authentifier, en passant soit par l’authentification locale (par défaut) car le CM4008 gère les utilisateurs et les groupes, mais il peut également vous authentifier grâce à un serveur RADIUS ou TACACS+.

$ telnet 192.168.0.1 2001
Trying 192.168.0.1...
Connected to 192.168.0.1.
Escape character is '^]'.
login: root
Password:

R1#

Pour conclure, cet équipement est un des seuls dans son genre et je n’en ai pas trouvé d’autres, aussi performants et moins chères pour gérer l’accès à des équipements via leurs ports console, tels que des routeurs/switch (dans mon cas). Pour les français qui aimerai utiliser cet équipement, il faut passer par SPHINX France, et contacter leurs commerciaux, car c’est le seul fournisseur en France de ce produit Américain. Je viens de décrire très brièvement ce produit, donc si vous avez des questions à me poser sur celui-ci, n’hésitez pas via les commentaires de cet article.

Liens utiles:
SPHINX France
Opengear Gamme CM400x
OpenGear