Cấu hình VLAN, Trunking, DHCP, Route trên Switch Juniper EX Series

Trong bài viết này, mình sẽ hướng dẫn các bạn cấu hình VLAN, trunking, DHCP Server, Layer 3 Interface, Static route trên switch Juniper EX Series như EX2300, EX3400, EX4300, EX4400...

Mô hình labs

Mình đang xây dựng 2 mô hình đơn giản mà chúng ta thường hay gặp khi triển khai VLAN trên Juniper. Trường hợp đầu tiên là trên switch chúng ta chỉ chia VLAN, gateway chúng ta sẽ đặt trên Router hoặc Firewall. Khi đó thì link nối từ Switch Juniper lên Fortigate sẽ là link trunking. Còn các link nối xuống PC vẫn access VLAN như bình thường.

Trường hợp thứ 2 là gateway chúng ta sẽ đặt luôn ở trên switch Juniper. Khi đó chúng ta sẽ cần tạo các interface vlan để routing, trên switch Juniper sẽ là các cổng IRB. Cổng nối lên Firewall sẽ là cổng Layer 3. Chúng ta sẽ cần cấu hình route giữa Switch Juniper và Firewall, mình sẽ cấu hình 1 default route lên Firewall, còn trên firewall sẽ trỏ các static route xuống.

DHCP Server mình cũng đặt luôn trên switch Juniper.

Mô hình 1: Gateway đặt trên Router

Với mô hình đầu tiên thì trên switch mình chỉ cần tạo VLAN, sau đó cấu hình Access và trunking theo đúng như mô hình là được. Mình sẽ để cả cú pháp và ví dụ thực tế theo mô hình để các bạn dễ hình dung nhé. Các đoạn lệnh viết hoa sẽ là các mục mà các bạn nhập vào theo thiết kế mạng.

Tạo VLAN trên switch

Để tạo VLAN thì các bạn dùng lệnh set vlans, sau đó là VLAN name và VLAN ID. Trên Juniper chúng ta sẽ sử dụng VLAN name nhiều hơn VLAN ID, nghĩa là khi access 1 cổng vào VLAN nào đó thì chúng ta sẽ nhập VLAN name vào.

Cú pháp:

Ví dụ, mình sẽ tạo vlan 10 với name là camera và vlan 20 với name là Sale

Cấu hình Access Port trên Juniper

Cổng từ 0 đến 10 mình sẽ cấu hình access vào VLAN 10. Và cổng 11 đến 20 access vlan 20. Trên Juniper thì chúng ta vẫn có thể cấu hình từng interface một hoặc sử dụng interface range cũng được.

Cấu hình từng cổng thì các bạn dùng lệnh set interface, Trên các dòng switch EX thì các cổng 1 Gigabit sẽ là ge-0/0/x, 10 Gigabit sẽ là te-0/0/x.

Cú pháp:

Unit trên switch Juniper là chỉ định cho cổng logical. Số logic này thì chúng ta đặt thế nào cũng được, mặc định sẽ là 0, các bạn có thể sử dụng từ 1 đến 16,384. Chúng ta có thể cấu hình nhiều logical interface trên 1 physical interface.

Tiếp theo là family, nó tương tự như chúng ta đang cấu hình cổng nó là layer 3 hay layer 2. Chúng ta sẽ có family là ethernet-switching tương ứng với cổng sẽ hoạt động ở layer 2, chúng ta có thể cấu hình access hoăc trunking. Còn family là inet là layer 3, và chúng ta sẽ đặt được Ipv4 cho cổng này, tương tự với inet6 là cho Ipv6.

Ví dụ mình sẽ access cổng ge-0/0/0 vào VLAN 10 có name là Camera

Để kiểm tra vlan thì các bạn sử dụng lệnh show vlans ở mode Operation. Nếu các bạn show vlans trên mode config thì nó sẽ hiển thị các cấu hình trong file config nhé. Hoặc ở mode config thì các bạn thêm run ở đầu, giống như lệnh do trên switch Cisco.

Cổng ge-0/0/0 đã được access vào vlan 10 như mình vừa cấu hình, ge-0/0/0.0 ở đây có nghĩa là cổng đang sử dụng unit 0.

Cấu hình Interface Range

Để sử dụng interface range thì chúng ta cần phải tạo các range và gán các cổng vào, chứ không cấu hình ngay được như cisco. Các interface range mà các bạn đã tạo có thể sử dụng cho nhiều cấu hình khác nhau.

Cú pháp:

Chúng ta sẽ có 2 tùy chọn là add cả 1 range nếu các cổng liên tiếp nhau sử dụng member-range, hoặc add từng cổng nếu các cổng không liên tiếp sử dụng member, các cổng sẽ được cách nhau bởi dấu cách.

Ví dụ, mình sẽ tạo 2 interface-range, 1 range cho cổng từ 0 đến 10 để access vào VLAN10, và 1 range cho các cổng từ 11 đến 20 để access vào VLAN20.

Sau khi đã có range thì các bạn cấu hình access vlan như phía trên, chỉ khác phần interface là ge0/0/0 sẽ được thay thế bằng interface-range mà các bạn vừa tạo

Cấu hình cổng Trunk

Cổng ge-0/0/23 là cổng nối lên firewall nên cổng này mình sẽ cấu hình trunking và permit 2 VLAN 10 và 20.

Cú pháp:

Ví dụ mình sẽ cấu hình cổng ge-0/0/23 permit 2 VLAN 10 (Camera) và VLAN 20 (Sale).

Để kiểm tra cổng trunk thì các bạn có thể xem trong lệnh show vlans cũng được. Cổng 23 đang là member của 2 vlan 10 và 20 và có dấu *, tương ứng nó là cổng trunk cho phép 2 VLAN này.

Để clear hơn thì các bạn có thể show interface ge-0/0/23 extensive, phía dưới cùng sẽ có flag là trunk mode.

Hoặc các bạn có thể show ethernet-switching interface, tuy nhiên output của nó khá dài nên các bạn cần filter bằng option match tagg, khi đó thì nó chỉ hiển thị các dòng nào liên quan đến tagg thôi. Cú pháp đầy đủ sẽ là show ethernet-switching interface | match tagg.

Để dễ hiểu thì Cổng tagged ở đây tương ứng với cổng trunk, còn untagged tương ứng như access. Ví dụ như với output trên thì cổng ge0/0/23 đang là cổng tagged 2 VLAN 10 và 20, còn lại các cổng khác đều là untagged.

Mô hình 2: Gateway đặt trên Switch Juniper

Sang mô hình 2 cũng tương tự như trường hợp 1, phần cấu hình access và tạo VLAN thì mình sẽ sử dụng lại cấu hình cũ như trên là được nên phần tạo VLAN và cấu hình Access port các bạn có thể tham khảo mô hình 1 nhé. Với mô hình này thì cổng ge0/0/23 mình sẽ xóa cấu hình trunk vừa nãy đi, cấu hình cổng này với family là inet để đặt IP. Trên switch Juniper mình cũng cần cấu hình Layer 3 Interface để định tuyến giữa các VLAN, DHCP Server để cấp IP, và 1 Default route trỏ lên IP của Firewall.

Xóa cấu hình Trunking

Để xóa cấu hình trên 1 cổng thì các bạn có thể show cổng đó trong mode config, thì nó sẽ hiển thị toàn bộ cấu hình trên interface đó. Tuy nhiên mặc định switch sẽ hiển thị cấu hình dạng phân cấp, để hiển thị như khi chúng ta cấu hình thì các bạn có thể thêm option display set vào.

Switch sẽ hiển thị toàn bộ cấu hình trên cổng ge-0/0/23 thành từng dòng thế này, chúng ta có thể dễ copy cấu hình xuống để edit. Để xóa thì các bạn dùng lệnh delete và copy dòng lệnh phía trên xuống. Trong output phía trên không hiển thị cấu hình phần spanning-tree, mặc định thì Juniper chạy RSTP, do vậy các bạn cần xóa cả phần cấu hình này đi nữa.

Cấu hình Layer 3 Interface

Để cấu hình Layer 3 Interface thì các bạn phải đảm bảo đã xóa hết cấu hình liên quan đến các family khác như ethernet-switching, mpls... Sau đó cấu hình Interface đó với family là inet cho IPv4 hoặc inet6 cho IPv6.

Cú pháp:

Ví dụ, mình sẽ cấu hình cổng ge-0/0/23 với family là inet và đặt IP 10.0.10.2/24 cho cổng này.

Cấu hình Static route

Với trường hợp Gateway đặt trên Switch Juniper, cổng nối lên Firewall hoặc Router là cổng Layer 3, thì chúng ta cần cấu hình các static route hoặc dynamic route để các VLAN trên switch biết đường truy cập ra ngoài.

Cú pháp cấu hình Static route:

Trong mô hình của mình thì mình sẽ cấu hình default route trỏ lên ip 10.0.10.1 của Firewall phía trên

Cấu hình VLAN Interface

Tiếp theo mình sẽ cấu hình các VLAN Interface trên switch để làm gateway cho các mạng LAN bên dưới. Trên switch Juniper sẽ sử dụng các cổng IRB để làm các layer 3 interface cho VLAN, trước tiên chúng ta cần tạo các cổng này đặt IP cho nó và sau đó map các IRB và vlan.

Cú pháp:

Ví dụ, mình sẽ tạo IRB unit 10 cho vlan 10 và IRB unit 20 cho VLAN 20. Unit thì các bạn đặt thế nào cũng được nhưng các bạn nên đặt trùng với VLAN ID để chúng ta dễ khắc phục sự cố hơn.

Để kiểm tra IP được đặt trên các cổng layer 3, các bạn có thể sử dụng lệnh show interfaces terse.

Kiểm tra bảng định tuyến vẫn là show route.

Cấu hình DHCP Server để cấp IP cho Client

Trong trường hợp 2 này mình sẽ tạo DHCP Pool trên switch để cấp cho client. DHCP các bạn vẫn có thể để trên Router, Firewall hoặc 1 Server cũng được.

Cú pháp:

Ví dụ, mình sẽ cấu hình DHCP server để cấp IP cho VLAN 10 và VLAN 20.

Đầu tiên chúng ta cần định nghĩa dải mạng sẽ cấp cho Client, trong ví dụ của mình VLAN 10 là 192.168.10.0/24 và VLAN 20 là 192.168.20.0/24

Tiếp theo là định nghĩa dải IP sẽ cấp cho client, dải IP này được định nghĩa bằng low IP và high IP, ví dụ mình sẽ cấp từ 192.168.10.20 đến 192.168.10.200.

Sau đó định nghĩa địa chỉ gateway của từng VLAN. IP gateway các bạn có thể định trong thuộc tính dhcp-attributes.

DNS server thì là tùy chọn thôi, các bạn có thể cấu hình DNS mặc định cho Client.

Nếu IP range cấp cho client phía trên có 1 số IP các bạn muốn sử dụng để đặt IP tĩnh thì các bạn có thể sử dụng option excluded-address để loại trừ ra khỏi pool. Ví dụ mình sẽ loại bỏ IP 192.168.10.100 và 192.168.20.100 để sử dụng làm IP tĩnh.

Ngoài ra còn nhiều các thông số khác có thể thiết lập cho DHCP Server như lease time, dhcp option... Các bạn có thể tham khảo thêm trong dhcp-attributes. Sau khi đã định nghĩa đầy đủ các thông số cho DHCP Server, các bạn cần add các DHCP Pool này vào Interface tương ứng để cấp cho Client. Như trong mô hình của mình thì VLAN 10 đang sử dụng layer3 Interface là irb.10, do vậy mình sẽ cần gán DHCP pool VLAN10-POOL vào interface irb.10. Tương tự cho VLAN 20.

Ok Như vậy là mình đã hướng dẫn bạn cấu hình 1 số tính năng cơ bản thường được sử dụng trên switch Juniper. Nếu các bạn gặp khó khăn gì có thể comment bên dưới bài viết để mọi người cùng khắc phục nhé.

Chúc các bạn thành công!