Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Dia 1: Use uma configuração baseada em modelo com o perfil do dispositivo e da porta

Modelos de configuração

Um recurso essencial do gerenciamento de switches por meio da arquitetura de nuvem da Juniper Mist é a capacidade de usar modelos de configuração e um modelo hierárquico para agrupar os switches e fazer atualizações em massa. Os modelos oferecem uniformidade e conveniência, enquanto a hierarquia (organização, rede e switch) oferece escala e granularidade.

Você pode criar uma configuração de modelo e então aplicar essas configurações a todos os dispositivos em um determinado grupo. Quando um conflito ocorre, por exemplo, quando há configurações nos níveis de rede e organização que se aplicam ao mesmo dispositivo, as configurações mais estreitas (neste caso, a rede) se sobrepõem às configurações mais amplas definidas no nível da organização.

Figura 1: A página The Claim Switches Page de switches de reivindicação

Switches individuais, na parte inferior da hierarquia, podem herdar toda ou parte da configuração definida no nível da organização e novamente no nível da rede. É claro que switches individuais também podem ter suas próprias configurações exclusivas.

Você pode incluir comandos CLI individuais em qualquer nível da hierarquia. Esses comandos são então apensados a todos os switches desse grupo em uma base AND – ou seja, as configurações de CLI individuais são anexadas à configuração existente (a configuração existente não é substituída).

Tabela 1: Modelos hierárquicos

Nível de organização

Nível de rede

Nível do switch

  • Redes (VLANS)

  • Substitui configurações definidas no nível da organização

  • Inclui configurações como nome de host do dispositivo, endereço IP e função

  • Perfis de portas e regras de configuração

  • Pode incluir configurações de servidor RADIUS ou NTP específicas da rede (ou ambas)

  • Substitui configurações definidas em um modelo de switch no nível de organização ou rede, como um servidor NTP ou um servidor RADIUS

  • Regras de correspondência de switches

  • Comandos CLI adicionais

  • Comandos CLI adicionais

  • Configuração do servidor RADIUS

-

-

  • Configuração do servidor NTP

-

-

  • Comandos CLI adicionais

-

-

Há muita flexibilidade em como você pode projetar modelos e usá-los em diferentes níveis da hierarquia. Para ilustrar isso, analisaremos quatro casos de uso para mostrar a interação entre configurações feitas em diferentes níveis da hierarquia.

Para cada um dos casos de uso abaixo, comece clicando em Modelos de switches da Organização > no menu principal da Juniper Mist. Se você não vê essa opção, você precisa de uma conta de administrador de rede antes de poder prosseguir.

Caso 1: Configurações do switch no nível da organização

A Empresa A tem vários sites, todos os quais usam as mesmas VLANs e portas. No entanto, no nível do switch, diferentes modelos de switches são implantados, e os switches não têm todas as mesmas configurações exatas de porta ou o mesmo número de portas.

Figura 2: Modelo Organization-Level Switch Template de switch de nível de organização

Solução template

  • Comece com um modelo de switch de nível organizacional.

  • Configure as VLANs e as portas, que serão então aplicadas uniformemente a todos os switches em cada rede que estiverem incluídos na organização.

  • Use o recurso Regras de configuração de porta no modelo da organização para criar diferentes regras de configuração de porta para cada um dos diferentes modelos de switch encontrados na organização.

  • Atribua o modelo da organização a todos os sites. Quaisquer switches, agora ou no futuro, que forem adicionados a um dos sites herdarão as configurações de VLAN e as regras da porta, de acordo com o modelo do switch.

Caso 2: Configurações de nível de rede

A Empresa B tem vários sites, todos os quais usam as mesmas VLANs, portas e configurações de portas. No entanto, uma rede tem um servidor RADIUS que usa autenticação 802.1X (e por isso é diferente do que está configurado no nível da organização).

Figura 3: Modelo Network-Level Template de nível de rede

Solução template

  • Comece com um modelo de switch de nível de rede.

  • Como essa rede usa um servidor RADIUS exclusivo (ou seja, um que seja diferente do definido no nível da organização), vamos substituir essa configuração com a configuração especificada aqui.

Caso 3: Administração de switches individuais

A Enterprise C tem vários locais, cada um dos quais é gerenciado por uma equipe de TI local. Em outras palavras, cada equipe quer ser capaz de configurar os switches sob seu controle, sem herdar qualquer configuração das hierarquias de nível de rede ou organização. Como tal, se um determinado switch tiver um servidor VLAN ou RADIUS específico (como 10.10.10.10) eles podem adicioná-lo aqui.

Figura 4: Modelo de nível de switch Switch-Level Template

Perfis dinâmicos de portas

Quando você conecta um dispositivo a uma interface de switch da Juniper, a porta pode ser provisionada automaticamente com propriedades de porta e acesso à rede apropriados para dispositivos. Por exemplo, se você conectar um ponto de acesso da Juniper a um switch, a porta será configurada automaticamente como uma interface de tronco e adicionada a VLANs selecionadas. Da mesma forma, se você conectar uma câmera remota ao switch, essa porta pode ser configurada automaticamente como uma interface de acesso e atribuída a uma VLAN diferente.

Esse recurso é chamado de portas dinâmicas, e funciona aproveitando as propriedades do Link Layer Discovery Protocol (LLDP) do dispositivo cliente para associar automaticamente as configurações de porta e rede pré-configuradas e aplicando essas configurações na interface. Os dados de LLDP são atribuídos pelo fabricante do dispositivo e normalmente são codificados com força no dispositivo. As seguintes propriedades LLDP são suportadas para uso com perfis dinâmicos de porta:

  • Nome do sistema

  • ID do chassi do LLDP

  • Nome do usuário RADIUS

Nos procedimentos a seguir, você configurará um perfil dinâmico de porta para interface ge-0/0/2. Para isso, você criará um ou mais objetos de rede (estes são usados para definir o acesso à rede com base em IDs VLAN que já estão em uso na rede), e você criará pelo menos um perfil de porta (estes incluem propriedades como tronco ou porta de acesso, VLAN não registrada ou nativa e VoIP). Em seguida, você associará o perfil da porta a um objeto de rede e, no perfil dinâmico da porta, associará o LLDP do dispositivo a um dos perfis de porta/rede.

Após a conexão de um ponto de acesso da Juniper, a configuração da porta mudará do padrão anterior, restricted_device, para o perfil mist-ap atribuído dinamicamente . A Figura 5 mostra como isso se parece no painel da Juniper Mist (a página de switches).

Figura 5: Perfil Dynamically Assigned Port Profile de porta atribuído dinamicamente

Observe que, para configurar portas dinâmicas, o switch precisa ser gerenciado pelo portal Juniper Mist. Você também precisará conhecer as propriedades LLDP de um ou mais dispositivos clientes para fazer essas configurações em seu switch.

Configure o acesso à rede

Para se proteger contra dispositivos desconhecidos ou vermelhos que estão sendo adicionados à rede, a Juniper recomenda que você crie uma rede restrita , com acesso limitado, que possa ser aplicada por padrão a dispositivos desconhecidos. Faremos isso nas etapas abaixo, mas ao mesmo tempo recomendamos que você crie alguns outros objetos de rede com base em diferentes IDs VLAN de sua rede para que você tenha uma seleção para escolher quando mais tarde criar os perfis de porta.

Figura 6: Rede Restricted Network restrita

Para adicionar uma rede à configuração:

  1. No portal Juniper Mist, clique em Switches no menu à esquerda e clique em um nome do switch para abrir o painel de propriedades para esse dispositivo (se você estiver olhando para a visualização de Topologia, você pode precisar detalhar para encontrar o switch).
  2. Role a página que aparece para encontrar a caixa de configuração da Networks e clique em Adicionar rede.
  3. Dê um nome à Rede, que será usado para identificá-la na lista ao criar o perfil da porta.
  4. Especifique um ID VLAN que inclua (ou exclua) o acesso de rede que você deseja para este objeto.
  5. Quando terminar, clique na marca de verificação para adicioná-la à sua lista de rede.

Adicionar um perfil de porta

Perfis de porta é onde você configura as configurações que serão aplicadas automaticamente a dispositivos que correspondem às informações do LLDP quando estão conectadas a uma interface.

A Figura 7 mostra duas configurações de perfil completas de porta. A esquerda mostra as configurações padrão aplicadas a dispositivos desconhecidos. O da direita mostra uma configuração típica dos pontos de acesso da Juniper. Cada perfil de porta oferece diferentes níveis de acesso à rede, conforme determinado por qual(s) rede(s) você anexa.

Figura 7: Perfis de porta Port Profiles

Para adicionar um perfil de porta à configuração:

  1. Nos perfis das portas, clique em Adicionar perfil.
  2. Dê um nome ao perfil, que será usado para identificá-lo na lista ao definir a configuração dinâmica da porta.
  3. Preencha o restante dos campos para criar um modelo das propriedades que você deseja. Em particular, escolha se a interface deve ser tronco ou acesso. Para os pontos de acesso da Juniper, use Trunk.
  4. Atribua uma rede ao perfil.
  5. Quando terminar, clique na marca de verificação para adicionar este objeto de rede à lista de perfis de portas.

Configure uma porta dinâmica

Para configurar uma porta dinâmica, você define uma string LLDP e regras de correspondência no perfil dinâmico da porta. Essas regras são avaliadas para que a primeira correspondência ocorra seja aplicada. Os wild cards são compatíveis. Para obter o nível de diferenciação que você pode precisar para identificar um determinado dispositivo, você pode especificar uma compensação para o ponto de partida da avaliação ou especificar um segmento LLDP específico para usar para a correspondência.

A Figura 8 mostra um exemplo das configurações. Sempre que um ponto de acesso da Juniper é conectado a uma porta especificada no switch, a porta é provisionada automaticamente como uma porta-tronco e o dispositivo concede acesso padrão à rede.

Figura 8: Porta Dynamic Port dinâmica

As etapas a seguir usam o Chassis ID para um ponto de acesso juniper, como pode ser encontrado executando o show lldp neighbors comando do Junos OS CLI:

  1. Na mesma página do portal Juniper Mist que estamos trabalhando, role para a configuração dinâmica de portas.
  2. Clique em Adicionar regra para abrir a configuração (um nome será dado automaticamente à nova regra quando você clicar na marca de verificação para salvá-la).
  3. Selecione a ID do chassi do LLDP desde a queda.
  4. No texto Se começar com campo, digite os três primeiros octets do Chassis ID:
  5. Na lista de desativação do Perfil de Configuração Aplicável, escolha o perfil de configuração que você deseja associar automaticamente a dispositivos compatíveis com este perfil.
  6. Quando terminar, clique na marca de verificação para adicionar esta configuração dinâmica de porta de perfil.

Portas de associados

A última coisa a fazer é associar o perfil que você acabou de criar com uma ou mais portas no switch para que somente se um dispositivo reconhecido estiver conectado a uma porta apropriada seja o perfil a ser aplicado.

Figura 9: Configuração Port Configuration da porta

Para adicionar uma configuração de porta:

  1. Na configuração da porta, clique em Adicionar alcance de porta. Essas portas podem ser listadas individualmente ou fornecidas como um intervalo.
  2. Use o nome da interface para especificar a porta ou o intervalo de portas que você deseja que essa regra cubra (o formato para indivíduo, sequência e intervalo são mostrados aqui):
  3. Na lista de desativação do perfil de configuração aplicável, escolha o perfil de configuração que você deseja associar a essa faixa de porta.
  4. Quando terminar, clique na marca de verificação para adicionar a definição de porta à lista de intervalos de portas.
  5. Para ver o status do perfil da porta após a atribuição do perfil dinâmico, clique em Switches no menu do painel e, em seguida, no nome do switch que você acabou de configurar.
  6. Clique na porta que você configurou (ge-0/0/2 em nosso exemplo), para ver as estatísticas de porta e a configuração da porta. Um exemplo é mostrado na Figura 5.
  7. (Opcional) Clique em Monitor > Níveis de serviço no menu do painel e, em seguida, role para baixo a lista de eventos do switch, para ver o evento Atribuído ao perfil dinâmico da porta para as mudanças que você acabou de fazer.

Com os procedimentos acima concluídos, sempre que um novo dispositivo estiver conectado a uma porta no switch que é coberta por um dos perfis dinâmicos de porta, o perfil lerá o LLDP do dispositivo e, se encontrar uma correspondência, aplicará automaticamente as propriedades de porta associadas e o acesso à rede à porta.

Virtual Chassis

Recomendamos o uso do Virtual Chassis (VC). Com VC, você pode combinar vários switches da Série EX para que eles atuem como um único dispositivo lógico com na nuvem Juniper Mist (uma assinatura do Wired Assurance é necessária para cada switch físico da Série EX em sua implantação de VC). O uso de VC elimina o risco de loops, a necessidade de protocolos de redundância legados, como a abrangência de árvores e VRRP, e o tempo necessário para o gerenciamento de dispositivos individuais. Em implantações de núcleo/distribuição, você pode se conectar ao Virtual Chassis usando uplinks de grupo de agregação de links (LAG), que depois tem o benefício adicional dos switches membros, oferecendo redundância no nível do dispositivo para o link em caso de falha no dispositivo.

Figura 10: Uma configuração A Typical Virtual Chassis Setup típica do virtual Chassis

Um Virtual Chassis pode incluir de dois a dez switches, com cada switch de membro tendo tantas portas. Essa configuração física pode fornecer melhor resiliência caso um switch de membro seja desativado; existem simplesmente mais switches sobreviventes disponíveis para retomar a carga redistribuída. A compensação, porém, é que esses switches exigem espaço e energia.

O Virtual Chassis para a nuvem Juniper Mist tem suporte para os switches mostrados na Tabela 2. O modelo do switch é acompanhado pelo número máximo de membros permitido no Virtual Chassis.

Tabela 2: Switches da Série EX prontos para a nuvem

Interruptor

Membros máximos

EX2300

4

EX3400

10

EX4300

10

EX4400

10

EX4600

10

EX4650

2

Considerações de design para Virtual Chassis

Recomendamos que você distribua fisicamente seus pontos de acesso da Juniper por um andar no centro de operações de rede (NOC) para que eles se conectem a vários switches em uma pilha virtual. Isso oferece uma redundância melhor e é um projeto mais robusto para lidar com falhas de hardware relacionadas à fonte de energia.

Figura 11: Configuração do Virtual Chassis em um NOC Virtual Chassis Setup in a NOC

Por exemplo, digamos que você queira implantar uma solução que inclua 96 portas. As duas principais opções para isso são:

  • Use dois switches EX4300-48P, com um switch servindo como principal e um como backup. As vantagens aqui são uma pegada compacta e eficácia de custo. A principal desvantagem é que a perda de um switch pode afetar 50% dos seus usuários.

  • Use quatro switches EX4300-24P, com um switch servindo como principal, um como backup e dois switches servindo como placas de linha. As vantagens aqui são a maior disponibilidade (a perda de um switch afeta apenas 25% dos usuários), e o fato de que os uplinks não são afetados por uma falha no switch (desde que o switch com falha não inclua nenhum uplink). A principal desvantagem é que você precisa de mais espaço, energia e custo para dar suporte ao equipamento.

Independentemente das opções que você acompanha, se você planeja utilizar um ou mais Virtual Chassis em sua implantação, recomendamos que você configure os switches primários e de backup no Virtual Chassis para que eles estejam em diferentes locais físicos no NOC. Os dispositivos membros do Virtual Chassis também devem ser distribuídos para que não mais da metade dependa da mesma fonte de alimentação ou outro ponto único de falha, e eles devem ser espaçados uniformemente por um salto de membro no Virtual Chassis.

Formando um virtual chassi (switches da Série EX2300)

Para formar um Virtual Chassis, todos os switches de membros precisam ser o mesmo modelo e executar a mesma versão do Junos OS. Você precisará de acesso de gerenciamento ao portal Juniper Mist e acesso físico aos switches para cabeamento.

Uma assinatura do Wired Assurance é necessária para cada switch físico da Série EX em sua implantação de VC.

Figura 12: Virtual Chassis para EX2300 Virtual Chassis for EX2300

Nesse procedimento, você usa o portal Juniper Mist para selecionar os switches que deseja formar um VC, configurar esses switches (configurando a função e o ID da interface) e, em seguida, fazer as conexões físicas. Depois de conectar os cabos, leva cerca de 10 a 15 minutos para o VC se formar.

Figura 13: Conexões de chassi virtual para EX2300 Virtual Chassis Connections for EX2300
  1. Para quaisquer switches que tenham sido implantados anteriormente, você precisa limpar qualquer configuração antiga executando e, em seguida, comprometendo o seguinte comando: request system zeroize.
  2. Se necessário, alimente o switch da Série EX e conecte-o à Internet usando uma porta de receita (ainda não conecte os cabos Virtual Chassis; você fará isso na etapa 7). O switch receberá automaticamente atualizações ZTP da nuvem, incluindo as configurações de DNS de que precisa.
  3. Adote o switch no portal Juniper Mist conforme descrito aqui: Como ativar um switch Greenfield.
  4. Selecione os switches que deseja incluir no Virtual Chassis. Quando você faz isso, um botão Mais aparece no canto superior direito.
    Figura 14: Adicionando switches a um Virtual Chassis Adding Switches to a Virtual Chassis
  5. Clique em Formar o Virtual Chassis no menu suspenso para abrir a janela Form Virtual Chassis, onde você pode escolher qual switch será o principal e qual será o backup.
  6. Para o switch principal e de backup, especifique a ID de porta da interface Virtual Chassis usada em cada switch. Quando terminar, clique em Formar Virtual Chassis.
  7. Depois de configurar a configuração de VC e clicar no botão Form Virtual Chassis, você pode conectar fisicamente os cabos VC. O LED da interface deve se iluminar para confirmar a conexão física.

Como observado, leva cerca de 10 a 15 minutos para o VC se formar após a conexão dos cabos. Você será notificado no portal assim que o VC for formado. Antes disso, se você selecionar um switch de membro no portal, verá uma mensagem que o VC está formando.

Adicionando um switch ao virtual Chassis

Adicionar um switch de membro a um VC segue essencialmente o mesmo procedimento descrito na seção anterior. Você pode ter o novo switch como principal, o backup ou apenas mais um switch no VC.

Todos os switches devem ser o mesmo modelo e executar a mesma versão do Junos OS, e você precisa fazer as conexões físicas depois de fazer as configurações de VC no portal. Quando terminar, o novo VC terminará de se formar em cerca de três a cinco minutos.

  1. Na janela de switches do portal Juniper Mist, selecione o VC existente. O botão Mais aparece, desta vez com a opção de editar o Virtual Chassis.
  2. Clique em Editar o Virtual Chassis no menu suspenso.
  3. Na janela que se abre, clique no botão Adicionar switch e especifique a ID de porta do novo membro.
    Figura 15: Adicionar um switch ao VC Adding A Switch To The VC
  4. Clique no botão Atualizar para aplicar suas alterações.
  5. Você pode confirmar suas alterações clicando no nome do switch para exibir os switches e propriedades dos membros de VC.
    Figura 16: Switches para membros VC Member Switches vc

Removendo um switch do virtual chassis

Não há nenhum botão Delete que remova diretamente um switch de membro de seu VC. Em vez disso, a maneira de remover um switch de seu VC é desconectar o cabo VC de cada switch. O portal Juniper Mist informará o status desse switch como "não presente" no VC.

Em seguida, você pode abrir a janela Editar Virtual Chassis e clicar no ícone "lixo" que aparece ao lado do link quebrado representando o vc membro recém desconectado.

Virtual Chassis no EX3400 e EX4300

Os switches em um Virtual Chassis devem estar prontos para a nuvem da Juniper Mist. Você precisará de acesso físico aos switches para cabeamento e acesso de gerenciamento ao Junos OS CLI e ao portal Juniper Mist.

Figura 17: Virtual Chassis para EX4300 Virtual Chassis for EX4300

Observe que o segundo switch no Virtual Chassis recebe automaticamente a função de backup, e seu LED piscará quando conectado. Todos os switches restantes assumem automaticamente funções de placa de linha, e seus LEDs MST permanecerão escuros.

Figura 18: Virtual Chassis para EX3400 Virtual Chassis for EX3400

No processo descrito abaixo, você começa com um switch que está disponível no portal Juniper Mist. Em seguida, você faz login no switch usando o portal Juniper Mist e configura suas interfaces Virtual Chassis. A partir daí, você faz a conexão física daquele switch para o próximo no grupo Virtual Chassis, propaga as configurações relevantes e se repete até que todos os membros do Virtual Chassis estejam conectados.

  1. Conecte cada switch EX, mas ainda não conecte nenhum cabo Ethernet ou Virtual Chassis. Aguarde até ver que o LED MST está aceso e não pisque em nenhum dos switches.
  2. Conecte fisicamente o switch à Internet usando uma porta de gerenciamento ou receita. O switch receberá automaticamente atualizações ZTP da nuvem, incluindo a configuração do Virtual Chassis. No portal Juniper Mist, o switch deve ser visível e com um status verde.
  3. Acesse o switch do portal Juniper Mist usando a concha CLI e execute os seguintes comandos para verificar se as portas Virtual Chassis foram configuradas com sucesso (todos os switches no Virtual Chassis devem ser listados nos resultados).
  4. De volta aos switches, conecte um cabo Virtual Chassis do próximo switch e confirme que o LED nas portas Virtual Chassis está ativo.
  5. Repita a Etapa 2 até a etapa 4 até que todos os switches tenham sido adicionados ao Virtual Chassis e, em seguida, conecte o cabo de redundância de porta Virtual Chassis.
Figura 19: Virtual Chassis para EX4300 Virtual Chassis for EX4300

Quando você terminar, o Virtual Chassis será provisionado para a nuvem Juniper Mist e os detalhes do cluster de swtich da Série EX serão visíveis no portal Juniper Mist.