Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Perfis de porta

Os perfis de porta fornecem uma maneira conveniente de provisionar manualmente ou automaticamente interfaces de switch. A Mist oferece suporte aos dois tipos de perfis de porta a seguir com base em como um perfil é atribuído a uma porta:

  • Perfis de porta estática — Um perfil de porta estático é o perfil que é atribuído manualmente a uma porta de switch específica. Esses perfis são usados para provisionamento estático de portas de switch.

  • Perfis de porta dinâmicos — Os perfis de porta dinâmicos ajudam a porta do switch a detectar o dispositivo conectado a ela usando as regras de atribuição de porta configuradas e atribuir um perfil correspondente à porta dinamicamente. Os perfis de porta dinâmicos são usados para o provisionamento automático de portas de switch (portas incolores).

  • Perfis de porta definidos pelo sistema — Por padrão, a Juniper Mist oferece perfis de porta definidos pelo sistema que são pré-configurados para você. Eles funcionam da mesma forma que os perfis de porta regulares, exceto que estão disponíveis para uso se você não quiser configurar os seus próprios. Os perfis de porta definidos pelo sistema fornecidos pela Mist são os seguintes: ap, iot, uplink, default e disabled.

Perfis de porta estáticos

A atribuição de perfil de porta estático envolve duas etapas: configurar um perfil de porta e atribuí-lo manualmente a uma porta de switch específica. Você pode configurar perfis de porta no bloco Perfis de porta no modelo de switch ou na página de detalhes do switch. Você pode atribuir manualmente o perfil a uma porta na guia Configuração de porta na seção Selecionar switches do modelo de switch ou na seção Configuração de porta na página de detalhes do switch.

Port profiles provide a convenient way to manually or automatically provision EX switch interfaces. Going into the EX4300, we'll first create VLANs. We'll make a camera network with VLAN ID 30 and an IoT network with VLAN ID 29.

You can create as many networks as needed. You can create the profiles, for example, a camera, and map it to the camera network that we just created. Customize the settings as desired, such as PoE and STP.

We'll repeat this process to create profiles for a corporate device enabling 802.1x authentication, an IoT device configured with PoE, and an access point configured as a trunk port. It's very simple to modify profiles to meet your specific requirements. Then we go into the port configuration section to associate the configurations with port profiles.

Here we map ports 1 through 5 to be with an AP profile, ports 6 through 10 with a corporate device profile, ports 11 through 15 with IoT profiles, and ports 16 to 20 with the camera profile. This is how to create port profiles. We can also create port aggregation uplinks to be associated with the appropriate profiles.

When you save all of your changes, this pushes the configuration to the particular switch. This covers how EX switches are manually provisioned with port profiles from the Juniper MIST Cloud.

Perfis de porta dinâmicos

Os perfis de porta dinâmicos permitem que você configure regras para atribuir dinamicamente perfis de porta a uma interface. Quando um usuário conecta um dispositivo cliente a uma porta de switch com configuração de perfil dinâmico, o switch identifica o dispositivo e atribui um perfil de porta adequado à porta. A criação de perfil dinâmico de porta utiliza um conjunto de propriedades do dispositivo cliente para associar automaticamente uma porta pré-configurada e uma configuração de rede à interface. Você pode configurar um perfil de porta dinâmico com base em vários parâmetros, como nome LLDP e endereço MAC.

A configuração dinâmica de portas envolve duas etapas:

  1. Defina regras de configuração dinâmica de porta (DPC) para atribuir perfis de porta automaticamente. Aqui está um exemplo de uma regra que atribui automaticamente o perfil de porta 'AP' a um AP da Mist. De acordo com essa regra, quando a porta identifica um dispositivo com um ID de chassi que começa com D4:20:B0 ou D4:21:B1, ela atribui o perfil 'AP' ao dispositivo conectado.

    Para obter mais informações, consulte a linha Configuração dinâmica de porta na Tabela 3 na página Opções de configuração do switch.

    Nota: Se você usar vários valores no campo Se o texto começar com em uma regra DPC, separe-os com vírgulas e verifique se todos têm o mesmo comprimento. Se algum valor for diferente em comprimento, você deverá criar uma regra separada para ele.

  2. Especifique as portas que você deseja que funcionem como portas dinâmicas. Você pode fazer isso marcando a caixa de seleção Ativar Configuração Dinâmica na guia Configuração de Porta na seção Selecionar Switches do modelo de switch. Você também pode fazer isso no nível do switch, na seção Configuração da porta na página de detalhes do switch.

    Para obter mais informações, consulte a linha Enable Dynamic Port Configuration na Tabela 6 na página Switch Configuration Options.

Recomendamos que você crie um perfil de rede restrito que possa ser atribuído a dispositivos desconhecidos quando conectado às portas do switch habilitadas com a configuração dinâmica de porta. No exemplo acima, a porta é habilitada com configuração de porta dinâmica e é atribuída a uma VLAN restrita. Nesse caso, se o dispositivo conectado não corresponder aos atributos de criação de perfil dinâmico, ele será colocado em uma VLAN restrita, como uma VLAN não roteável ou uma VLAN convidada.

Nota:

  • Certifique-se de que o VLAN padrão ou restrito usado na configuração de porta dinâmica não tenha um servidor DHCP ativo em execução. Caso contrário, você poderá encontrar um problema de endereço IP obsoleto em determinados dispositivos legados.

  • Um switch com autenticação de controle de acesso à rede (NAC) baseado em porta não requer configuração dinâmica de porta, pois as atribuições de VLAN são tratadas pelo servidor RADIUS. Além disso, não recomendamos o uso de perfis de porta dinâmicos quando o servidor RADIUS com MAC Authentication Bypass (MAB) é usado.

  • Prefira a correspondência baseada em LLDP em vez da correspondência baseada em MAC quando o dispositivo for compatível com LLDP.

  • Não use correspondência baseada em MAC em portas habilitadas com autenticação 802.1X.

  • Evite usar Filter-ID atributos. Quando o 802.1X está habilitado nas portas, a atribuição de VLAN deve ser tratada via RADIUS sem depender de Filter-ID.

A configuração dinâmica de porta em um switch destina-se a estabelecer conexão com dispositivos IoT, APs e endpoints de porta de usuário. Você não deve usá-lo para criar conexão entre switches, switches e roteadores e switches e firewalls. Você não deve habilitar a Configuração Dinâmica de Porta na porta de uplink.

Quando um perfil de porta é atribuído a uma porta de switch dinamicamente com base no dispositivo conectado, esse evento é exibido na seção Eventos do switch na página Insights do switch. Você também pode ver os detalhes do perfil dinâmico da porta em uma porta do switch passando o mouse sobre a porta na seção Painel frontal da página de detalhes do switch.

Nota:

O Junos requer que cada intervalo de interface em um perfil de porta contenha pelo menos uma interface de membro. Quando a configuração dinâmica de porta é habilitada, o Junos inclui uma interface fictícia (ge-168/5/X) como um espaço reservado na configuração do perfil de porta para que a configuração permaneça válida mesmo quando não é atribuída a uma interface real. Por exemplo, se uma interface estiver atualmente atribuída ao Perfil de Porta A, mas o Perfil de Porta B for aplicado dinamicamente posteriormente, um espaço reservado como ge-168/5/0 será usado para manter o intervalo de interface do Perfil B válido.

Você também pode configurar e verificar os detalhes de configuração dinâmica da porta usando a API abaixo:

Wired Assurance offers dynamic port profiles, so you can simply plug in your device and it will automatically be assigned the appropriate profile. This is also referred to as the provisioning of colorless ports. In this example, we have a Juniper AP assigned to port 5. We also created a port profile called Minimal Access that has access to a guest network on VLAN 99.

Based on what the devices identify themselves as, we can create rules to assign profiles. We'll use the LLDP chassis ID to identify the device, and if it starts with the octet D420B0, it will be given the AP12 profile. So what we just did is set the dynamic profile assignment for port 5. If the wired device does not register as an AP12, then it will get the Minimal Access profile.

If it shows as an AP12, then it gets the AP12 profile. To verify that the port was assigned the right profile, take a look at the switch events log. You can see that the AP12 profile was correctly identified and automatically applied to port 5. Dynamic port profiles are not just limited to Juniper devices alone.

Anything based on LLDP or RADIUS name also falls under the domain of dynamic port profiles. This means that the days of manually assigning profiles to ports or even a range of ports are no longer necessary.

Melhores práticas em configuração de portas

Aqui estão algumas recomendações para que as portas do seu switch funcionem perfeitamente com os APs da Mist:

  • Em uma porta de tronco, remova todas as VLANs indesejadas. Somente as VLANs necessárias (com base na configuração da WLAN) devem estar na porta. Como os APs não salvam a configuração por padrão, os APs devem ser capazes de obter o endereço IP na VLAN nativa para se conectar à nuvem e ser configurado.

  • Não recomendamos segurança de porta (limite de endereço MAC), exceto no caso em que todas as WLANs são encapsuladas em túnel.

  • Sinta-se à vontade para habilitar a proteção de BPDU, pois as BPDUs normalmente não são conectadas da conexão sem fio para a conexão com fio em um AP, a menos que seja uma base de malha. BPDUs são mensagens de dados trocadas entre os switches dentro de uma LAN estendida que usa uma topologia de protocolo de spanning tree. Os pacotes de BPDU contêm informações sobre portas, endereços, prioridades e custos e garantem que os dados cheguem onde deveriam ir.

Perfis de porta definidos pelo sistema

Os perfis de porta definidos pelo sistema são perfis de porta incorporados ao portal do Mist e estão disponíveis para uso se você não quiser configurar seus próprios perfis de porta. Eles são pré-configurados para você, portanto, não há necessidade de configuração para que você possa usá-los. No entanto, é possível excluir esses perfis de porta definidos pelo sistema. Essa funcionalidade só está disponível no nível de configuração Modelos de switch.

As etapas a seguir descrevem como excluir um perfil de porta definido pelo sistema.

Nota:

A capacidade de excluir um perfil de porta definido pelo sistema só se aplica aos perfis de porta ap, iot e uplink.
  1. No portal Mist, navegue até Modelos de organização > switch.
  2. Selecione o modelo de switch apropriado.
  3. Selecione o perfil de porta definido pelo sistema que você deseja excluir (ap, iot ou uplink).
  4. Selecione o ícone da lixeira no canto superior esquerdo da configuração Editar perfil da porta .

  5. Um aviso aparecerá informando que a ação de exclusão é permanente. Você não poderá recuperar o perfil de porta depois de excluído. Insira o nome do perfil da porta e selecione Excluir.

    Nota: Se você excluir os perfis de porta definidos pelo sistema de ap, iot ou uplink, qualquer referência a esses perfis no nível do site ou do dispositivo será revertida para o perfil padrão (configurações de porta ou perfis de porta dinâmica).
    Nota: Se você criar seu próprio perfil de porta e nomeá-lo como "ap", "iot" ou "uplink" (depois de excluir os perfis de porta definidos pelo sistema), ele será tratado como qualquer outro perfil de porta definido pelo usuário.