附录：第 0 天计划

构建虚拟机箱

虚拟机箱概述（瞻博网络 Mist）

借助虚拟机箱技术，您可以将多台交换机连接在一起，形成一个逻辑单元，并将它们作为单个单元进行管理。您可以使用瞻博网络 Mist™ 门户配置和管理虚拟机箱。添加到虚拟机箱的交换机称为成员。在虚拟机箱设置中，虚拟机箱端口 （VCP） 连接成员交换机，负责在成员交换机之间传递数据和控制流量。

虚拟机箱可帮助您降低环路风险。它还消除了对生成树协议 （STP） 和虚拟路由器冗余协议 （VRRP） 等传统冗余协议的需求。在核心和分布式部署中，您可以使用链路聚合组 （LAG） 上行链路连接到虚拟机箱。这些上行链路可确保虚拟机箱中的成员交换机具有设备级冗余。

一个虚拟机箱可以包含 2 到 10 台交换机。这样的物理配置可以在成员交换机出现故障时提供更好的弹性。将多台交换机组合到一个虚拟机箱的一个可能缺点是，此配置需要比单个设备更多的空间和功率。

视频链接： 虚拟机箱概述

您可以使用门户上的 表单虚拟机箱 选项创建虚拟机箱。 表单虚拟机箱 选项仅适用于 EX2300、EX4650 和 QFX5120 交换机，因为这些交换机没有专用虚拟机箱端口 （VCP）。此选项不适用于 EX3400、EX4100、EX4100-F、EX4300、EX4400 和 EX4600 交换机，因为它们带有专用 VCP。

表 1 显示了交换机型号以及虚拟机箱配置中允许的最大成员交换机数。

表 1： 虚拟机箱配置中允许的最大成员交换机数

交换机型号	最大成员数
EX2300	4
EX4650	4
EX3400	10
EX4100	10
EX4100-F	10
EX4300	10
EX4400	10
EX4400-24X	10
EX4600	10
QFX5120-32C，QFX5120-48T，QFX5120-48Y	2
QFX5120-48YM	4
QFX5110	10

瞻博网络 Mist 仅支持预先配置的虚拟机箱配置。它不支持非预配配置。通过预先调配的配置，可以在创建和管理虚拟机箱时确定性地控制分配给成员交换机的角色和成员 ID。预先预留的配置通过将成员交换机的序列号与成员 ID 相关联来区分成员交换机。

有关详细信息，请参阅 交换机的虚拟机箱概述 。

混合和非混合虚拟机箱

包含相同型号交换机的虚拟机箱可作为非混合虚拟机箱运行。但是，由于不同交换机型号之间的架构差异，包含同一交换机的不同型号（例如，两种或两种以上类型的 EX 系列交换机）的虚拟机箱必须在混合模式下运行。

表 2： 混合模式虚拟机箱中支持的交换机组合

允许的路由引擎成员	允许的线卡成员
EX4300	EX4300 和 EX4600
EX4300-48MP	EX4300-48MP 和 EX4300（EX4600 除外）
EX4600	EX4600 和 EX4300（不包括 EX4300-48MP）

有关混合或非混合虚拟机箱配置支持的交换机组合的更多信息，请参阅 了解混合 EX 系列和 QFX 系列虚拟机箱 。

虚拟机箱的设计注意事项

我们建议您将瞻博网络接入点物理分布在网络运营中心 （NOC） 的某一楼层，以便它们连接到虚拟机箱中的多台交换机。这样做可以提供更好的冗余，并且是处理与电源相关的硬件故障的更可靠的设计。

例如，假设您要部署一个包含 96 个端口的解决方案。执行此操作的两个主要选项是：

• 使用两台 EX4300-48P 交换机，其中一台交换机为主交换机，一台用作备用交换机。这里的优势是占地面积小，成本效益高。主要缺点是丢失一台交换机可能会影响 50% 的用户。
• 使用 4 台 EX4300-24P 交换机，其中一台用作主交换机，一台用作备用交换机，两台交换机用作线卡。这样做的好处是可用性更高（一台交换机的丢失仅影响 25% 的用户），并且上行链路不受交换机故障的影响（前提是故障交换机不包含任何上行链路）。主要缺点是需要更多的空间、功率和成本来支持设备。无论您选择哪种选项，如果您计划在部署中利用一个或多个虚拟机箱，我们建议您在虚拟机箱中配置主交换机和备用交换机，以便它们位于不同的物理位置。同样，虚拟机箱的成员设备也应进行分布，以便不超过一半设备依赖于相同的电源或其他单点故障，并且它们应通过虚拟机箱中的成员跃点均匀分布。

使用 Mist 进行 EX3400、EX4100、EX4100-F、EX4300、EX4400 和 EX4600 的 VC 形成工作流程

注意：

EX 系列交换机上的虚拟机箱构造不应通过同时打开所有交换机来完成。请按照下述步骤操作，以便于选择主交换机和备用交换机。

EX3400、EX4100、EX4100-F、EX4300、EX4400 和 EX4600 交换机配有专用虚拟机箱端口 （VCP）。您可以通过 VCP 将这些交换机相互连接，从而使用这些交换机创建虚拟机箱。这些交换机不支持门户上“交换机”页上的“表单虚拟机箱”选项。但是，使用这些交换机创建虚拟机箱后，您可以使用交换机详细信息页面上的修改虚拟机箱选项来修改和管理虚拟机箱。这些交换机的虚拟机箱工作流程涉及以下两个步骤：

1. 通过连接交换机之间的专用 VCP 并按照以下步骤打开交换机电源，形成虚拟机箱。
2. 使用门户上的 修改虚拟机箱 选项预置备虚拟机箱。Mist 仅支持预先调配的虚拟机箱配置。预先调配的配置为虚拟机箱中的两台成员交换机指定机箱序列号、成员 ID 和角色。当新成员路由器加入虚拟机箱时，Junos 会将其序列号与预先配置中指定的值进行比较。预置备可防止任何意外的角色分配，或意外将新成员添加到虚拟机箱。每个角色、成员 ID、成员的添加或删除都在配置的控制之下。

配置虚拟机箱之前，请确保满足以下条件：

• 交换机需要直接连接到瞻博网络 Mist 云。确保有直接连接到交换机的上行链路连接。
• 您要包含在虚拟机箱中的所有交换机都已载入瞻博网络 Mist 云并分配给同一站点。要载入新交换机（绿地部署），请参阅“通过声明和基于 ZTP 的安装激活绿地交换机”。要载入现有交换机（棕地部署），请参阅“通过基于采用代码的安装激活棕地交换机”。
• 所有交换机都运行相同的 Junos 软件版本。如果不是，则可以在本地使用 USB 驱动器或使用门户升级交换机软件。请参 阅升级交换机上的 Junos OS 软件 。

除了创建虚拟机箱之外，您还可以使用交换机详细信息页面上的修改虚拟机箱选项，对现有虚拟机箱重新编号、替换或添加成员。修改虚拟机箱选项适用于在 Mist 中启用了配置管理的交换机。

您可以在混合模式或非混合模式下配置虚拟机箱。包含相同型号交换机的虚拟机箱作为非混合虚拟机箱运行。但是，由于不同交换机型号之间的架构差异，包含同一交换机的不同型号的虚拟机箱在混合模式下运行。

要使用 EX3400、EX4100、EX4100-F、EX4300、EX4400 或 EX4600 交换机配置虚拟机箱：

1. 关闭要包含在虚拟机箱中的交换机的电源。
2. 使用专用 VCP 将交换机相互连接，最好是在总线拓扑中，如下面的示例图像所示。VCP 的位置因交换机型号而异。不要关闭环形拓扑。我们在 VC 启动后执行此操作。包含 4 个成员的示例：
   1. 将 交换机 1 上的 VC 端口 1 物理连接到 交换机 2 上的 VC 端口 0。要用作备份 RE 的交换机。
   2. 接下来，将 交换机 2 上的 VC 端口 1 物理连接到 交换机 3 上的 VC 端口 0。您希望成为线卡的交换机。
   3. 接下来，将 交换机 3 上的 VC 端口 1 物理连接到 交换机 4 上的 VC 端口 0。您希望成为线卡的交换机。
   4. 请勿将 交换机 4 上的 VC 端口 1 连接到 交换机 1 上的 VC 端口 0 以关闭环。
   图 3：显示虚拟机箱端口
3. 打开 交换机 1 的电源，它将发挥主要作用。此成员变为 FPC0。
   注意：

   打开设备电源的顺序也会决定成员 ID。如果您希望在门户上按物理堆叠顺序查看虚拟机箱成员，则需要打开它们电源，然后按该顺序连接它们。

4. 打开为主要角色选择的 交换机 1 电源大约三分钟后，打开要以备份角色运行的 交换机 2 的电源 。此成员将成为 FPC1。
5. 等待大约三分钟，然后启动要以线卡角色运行的其余交换机（在本例中为交换机 3 和 交换机 4 ）。
6. 等待主交换机和备用交换机上的 MST LED 亮起。主交换机上的指示灯呈常亮。在备用交换机上，LED 保持闪烁状态。
   图 4：显示 MST 指示灯

   在线卡上，SYS 和 SPD LED 将呈绿色常亮，MST LED 将熄灭。

7. 立即关闭 VC 环，将 交换机 4 上的 VC 端口 1 物理连接到 交换机 1 上的 VC 端口 0。
   图 5：为虚拟机箱端口 布线

   虚拟机箱现已物理形成，但未预先调配。

8. 通过将主交换机上的上行链路端口连接到上游交换机，将虚拟机箱连接到瞻博网络 Mist 云。此步骤将在虚拟机箱上启动全自动部署 （ZTP） 流程，并将其连接到瞻博网络 Mist 云。
9. 接下来，等待大约 10 分钟，让来自云和 Mist UI 的 ZTP 和配置推送显示 4 成员虚拟机箱堆栈。可以通过检查 “切换见解 ”和“切换 UI”进行验证，如以下屏幕截图所示：
10. 单击交换机>交换机名称以转至虚拟机箱页面（交换机详细信息页面）以验证详细信息。
    注意：

    如果您在初始入网期间遵循了建议的 VC 总线拓扑以及每台交换机的上电顺序来选择其角色，则下面描述的预配置过程是可选的。但是，建议您在将虚拟机箱投入生产之前出错或想要更改端口配置，先进行检查。

11. 虚拟机箱连接到瞻博网络 Mist 云后，请对其进行预配置。预预配允许用户定义角色并相应地重新编号。要预先置备虚拟机箱，请执行以下步骤：

    1. 在 交换机详细信息 页面上，单击 修改虚拟机箱。此时将显示 修改虚拟机箱 页面。

    2. 在 修改虚拟机箱 页面上，单击 更新。请参阅下面的 修改虚拟机箱 页面示例：

       

此步骤将预先调配的虚拟机箱配置推送到设备，并覆盖设备上旧的自动调配虚拟机箱配置（如果需要）。此选项假定成员的当前定位，并按原样预先预配它们。或者，您可以使用下图所示的远程命令行管理程序进行检查：

注意：

如果在 “修改虚拟机箱 ”页面上进行任何更改（如移动成员或添加或删除成员），则会禁用“ 预置备虚拟机箱 ”按钮，并启用 “更新 ”按钮。如果是这种情况，请单击 更新 按钮以应用所做的更改并预先调配虚拟机箱。

预先配置虚拟机箱后，所有配置都会立即推送。统计信息最多可能需要 15 分钟才会显示在 Mist 仪表板上。

使用 Mist 对 EX2300、EX4650 和 QFX5120进行虚拟机箱组建的工作流程

注意：

如果不进行预调配，则无法在以下 EX 系列交换机上执行虚拟机箱构造。您可能需要在实验室或暂存环境中启用此功能，在该环境中，您可以正确访问管理设备的 Mist 云，以便它们显示在 “清单” 页面上。必须先完成此操作，然后才能执行下面所述的虚拟机箱构造。

瞻博网络 EX2300、EX4650 和 QFX5120 交换机默认不构成虚拟机箱，因为这些交换机没有专用虚拟机箱端口 （VCP）。因此，要使用这些交换机创建虚拟机箱，您需要使用门户上的 表单虚拟机箱 选项。 表单虚拟机箱 选项仅适用于 EX2300、EX4650 和 QFX5120 交换机。此工作流创建预先调配的虚拟机箱配置。Mist 仅支持预先调配的虚拟机箱配置。

配置虚拟机箱之前，请确保满足以下条件：

• 交换机需要直接连接到瞻博网络 Mist 云。确保有直接连接到交换机的上行链路连接。
• 您要包含在虚拟机箱中的所有交换机都已载入瞻博网络 Mist 云并分配给同一站点。要载入新交换机（绿地部署），请参阅“通过声明和基于 ZTP 的安装激活绿地交换机”。要载入现有交换机（棕地部署），请参阅“通过基于采用代码的安装激活棕地交换机”。
• 所有交换机都运行相同的 Junos 软件版本。如果不是，则可以在本地使用 USB 驱动器或使用门户升级交换机软件。请参 阅升级交换机上的 Junos OS 软件 。

以下步骤假定预配阶段已发生。要使用 EX2300、EX4650 或 QFX5120 交换机配置虚拟机箱：

1. 单击左侧的 “交换机 ”选项卡以导航到 “交换机 ”页面。
2. 选择要包含在虚拟机箱中的交换机。EX2300 交换机变体可以与任何 EX2300 交换机变体组成虚拟机箱。EX4650 型号交换机可以与任何 EX4650 交换机变体组成虚拟机箱。QFX5120 交换机变体只能形成具有相同 QFX5120 交换机变体的虚拟机箱。因此，表单 虚拟机箱 选项仅在为虚拟机箱选择正确的交换机型号时可用。
3. 单击 更多 > 形成虚拟机箱。

   

   注意：

   只有在以下情况下，您才能看到 表单虚拟机箱 选项：

   • 所选交换机运行的是相同的 Junos 版本，并启用了配置管理选项。
   • 虚拟机箱支持所有选定的交换机型号。
4. 您还可以使用实用程序>表单虚拟机箱选项从交换机详细信息页面创建虚拟机箱。此时将显示“表单虚拟机箱”窗口，如以下屏幕截图所示：

   

5. 在表单虚拟机箱窗口中，指定以下内容：
   1. 交换机的 端口 ID 。这些是虚拟机箱端口 （VCP） 的 ID。此窗口显示您在 “交换机” 页面中选择的所有交换机。
   2. 主交换机。默认情况下，您首先选择的交换机是主交换机。您可以对其进行修改。
   3. 备份交换机。此配置是可选的。如果未选择交换机用作其他路由引擎，Mist 会将线卡角色分配给该交换机。
   4. 确保您有直接连接到主交换机的上行链路连接。
6. 单击 表单虚拟机箱 并等待 3 到 5 分钟以创建虚拟机箱。

   1. 交换机页面将显示一条消息，指示您必须使用 VCP 将交换机相互连接：

      

7. 使用配置的 VCP 将交换机相互连接。

   1. 进行虚拟机箱组建过程中， 交换机 页面会将交换机状态显示为 VC 正在组建。

      

8. 虚拟机箱组建成功后， “交换机” 页面仅显示虚拟机箱的一个条目，其中包含主交换机的名称。但是，Mist AP 列以逗号分隔的格式为每个虚拟机箱成员显示一个 AP。

   

9. 交换机详细信息页面显示所有虚拟机箱成员的前面板：

   

10. 您可以使用交换机详细信息页面上的修改虚拟机箱选项重新编号和替换虚拟机箱成员，并将成员添加到连接到瞻博网络 Mist 云的虚拟机箱。有关详细信息，请参阅使用 Mist 管理虚拟机箱（添加、删除、替换和修改成员）。

使用 Mist 进行 EX4400-24X VC 成型的工作流程

注意：

如果不进行预调配，则无法在以下 EX 系列交换机上执行虚拟机箱构造。您可能需要在实验室或暂存环境中启用此功能，在该环境中，您可以正确访问管理设备的 Mist 云，以便它们显示在 “清单” 页面上。对于 EX4400-24X 交换机，计划在预配置虚拟机箱时具有串行控制台访问权限。

1. 拆箱并打开 EX4400-24X 交换机的电源。
2. 云可达性 - 将 EX4400-24X 上的 10GbE 前面板端口或相关上行链路模块从虚拟机箱的每个成员连接到每个上游设备（如 WAN 路由器），并确保链路已连接并能够到达瞻博网络 Mist 云。
3. 在 Mist 仪表板上安装交换机：
   1. 声明方法（首选）：请使用二维码和 Mist 应用/Mist 仪表板查看下面的“通过声明和基于 ZTP 的安装激活绿地交换机”一章。
   2. 采用方法：请查看下面的“通过基于采用代码的安装激活棕地交换机”一章。
4. 使用声明方法时，设备应作为流程的一部分自动显示在瞻博网络 Mist 云的清单中。使用 adopt 方法时，交换机可能会立即出现，或者在虚拟机箱形成后出现。

5. 以下步骤详细介绍了从两台 EX4400-24X 交换机构成虚拟机箱的示例：

   使用 DAC 电缆 – 40G/100G 连接 EX4400-24X 上的虚拟机箱端口 （VCP）。虚拟机箱端口位于 EX4400-24X 的前面板上（如下图所示），仅支持用于虚拟机箱形成的 HGoE 协议。

   

6. 使用远程控制台或直接连接到将成为虚拟机箱主交换机的第一台交换机的串行控制台电缆，输入以下命令登录到 Junos CLI：

   1. 请参阅下图中的示例。此 CLI 需要将 EX4400-24X 交换机上的 2 个前面板端口从网络端口转换为 VCP，以启用虚拟机箱形成。

      

   2. 确保交换机现在重新启动。

7. 在备份交换机上重复该命令，然后重新启动。同时重复该命令并在任何可选线卡交换机上重新启动。
8. 设备在重新启动后启动后，应处于虚拟机箱模式，并在 Mist 仪表板上被视为单个设备：

   

9. 可选：通过远程外壳检查虚拟机箱状态，如下图所示：

   

第 0 天 将 EX 系列交换机添加到瞻博网络 Mist 云

EX 系列交换机如何连接到瞻博网络 Mist 云进行管理？

当 EX 系列交换机必须由瞻博网络 Mist 云管理时，它必须能够与最近的瞻博网络 Mist 云交换数据。您不能在不提供互联网接入的气隙环境中使用 EX 系列交换机。如果 EX 系列交换机和瞻博网络 Mist 云之间有防火墙，请检查 Mist 帐户中“端口和端点”的链接，以将防火墙配置为允许此流量。

为避免需要使用控制台连接来预留设备以应用配置，交换机应像任何其他有线或无线客户端一样从本地网络获取 DHCP 租约。通常，本地 WAN 路由器运行一个 DHCP 服务器，该服务器配置为为连接的交换机提供 DHCP 租约和对瞻博网络 Mist 云的访问。

下面，我们显示了交换机首次开机时预计在交换机上的出厂默认配置。

此出厂默认配置允许交换机从各种接口获取 DHCP 租约，安装默认路由，并尝试通过开始向其发送流量从瞻博网络 Mist 云进行管理。交换机始终尝试呼叫瞻博网络 Mist 云，因为假定源 NAT 应用于网络中某处的云路径上。

获取默认 DHCP 租约后，交换机由两种主要操作方法管理：

• DHCP 租约可通过专用带外管理端口获取（在 QFX 系列和 EX9200 系列交换机上可能有不同的标记）。此端口在 Junos 中称为“me0”，DHCP 租约将分配给名为“vme”的虚拟接口（在 EX9200 系列交换机上称为“fxp0”）。专用带外管理端口的使用专为园区交换矩阵设置而设计，通常由园区交换矩阵设置使用。
• DHCP 租约可通过交换机上的任何常规收入端口获得。出厂默认配置在所有收入端口上配置一个本地默认 VLAN，并将该 VLAN 映射到名为“irb.0”的集成路由和桥接 （IRB） 接口。然后，会将 DHCP 租约分配给此虚拟接口。假定所有其他 VLAN 与分配了 IEEE 802.1q 标记的中继 VLAN 使用相同的接口。这种带内管理方法在分支机构部署中非常流行，因为您不需要额外的电缆来管理交换机本身。相反，您可以将上游流量多路复用到同一链路中，并通过常规 VLAN 进行分离。

采用推荐带内管理方法的独立交换机可通过以下方式连接到 WAN 路由器：

• 非冗余的单个链路。从瞻博网络 Mist 云管理交换机的本机 VLAN 作为初始链路存在，其中 WAN 路由器端在启动时可能只是一个接入 VLAN。随着时间的推移，只要您本地配置了一个 VLAN，并且继续让托管交换机提供与瞻博网络 Mist 云的连接，您就可以更改两端而不会失去管理交换机的能力。

  多个冗余链路。在这种情况下，假设双方都能够配置 IEEE 802.ad 链路聚合和活动 LACP，以检测任何已配置链路的中断。由于链路聚合最初并未在 EX 系列交换机上配置，因此您必须首先确保它能够成功连接到瞻博网络 Mist 云，然后将链路重新配置为具有活动 LACP 的 LAG。关于如何实现这一点，有多种选择将在下一章“在上行链路接口上使用链路聚合时的最佳实践”中进行说明。

  图 6：交换机带内管理

对于使用带内管理的虚拟机箱，建议不要使用任何单个链路（即使技术上可行），而是使用多个链路形成启用了活动 LACP 的 LAG。建议将每个上行链路放在虚拟机箱的不同成员上，如下所示。由于链路聚合最初并未在虚拟机箱上配置，因此您必须首先确保其能够成功连接到瞻博网络 Mist 云，然后将链路重新配置为具有活动 LACP 的 LAG。有关如何实现此目的，有多种选项将在下一章上行链路接口上使用链路聚合时的最佳实践中介绍。

尽管它很少在分支机构使用，但仍可能使用带外管理。在这里，出于成本原因，我们假设分支机构仅在单个分支机构内设置了带外管理网络，而不是跨多个分支机构延伸。

使用带外管理方法时，独立交换机可通过交换机的专用管理端口连接到 WAN 路由器。然后，WAN 路由器必须提供 DHCP 租约（每个独立交换机一个，每个虚拟机箱一个）。获得租约后，EX 系列交换机可以通过互联网连接到瞻博网络 Mist 云，并由 Mist 进行管理。在 WAN 路由器的上行链路方面，您有相同的选择：

• 非冗余的单个链路。管理端口始终配置为接入 VLAN，WAN 路由器的端口配置不会随时间变化。因此，您可以随时在 WAN 路由器和 EX 系列交换机之间自由配置上行链路，而不必担心失去管理交换机的能力。

  多个冗余链路。在这种情况下，假设双方都能够配置 IEEE 802.ad 链路聚合和活动 LACP，以检测任何已配置链路的中断。管理端口始终配置为接入 VLAN，WAN 路由器的端口配置不会随时间变化。因此，您可以随时在 WAN 路由器和 EX 系列交换机之间自由配置上行链路，而不必担心失去管理交换机的能力。

  图 8：交换机带外管理

对于使用带内管理的虚拟机箱，建议不要使用任何单个链路（即使技术上可行），而是使用多个链路形成启用了活动 LACP 的 LAG。虚拟机箱和独立交换机之间的区别在于，即使整个虚拟机箱最多有 10 个成员，也只会占用一个 DHCP 租约。为此，在虚拟“vme”接口上配置的 DHCP 租约可以在虚拟机箱的主交换机和备份交换机之间浮动。虚拟机箱的线卡交换机不会获得 DHCP 租约。

使用交换机管理端口执行带外管理时，物理端口称为“me0”，名为“vme”的虚拟端口将获取 DHCP 租约，以便能够连接到瞻博网络 Mist 云，如下所示。

与使用哪种交换机管理方法无关，假定 DHCP 租约还包含 DNS 服务器分配。因此，使用 DNS 解析的 ICMP ping（如下所示）有望正常工作。

在上行链路接口上使用链路聚合时的最佳实践

在 EX 系列交换机之间构建 LAG 作为独立交换机或虚拟机箱时，您可以实现两种能力：

• 您有链接冗余。因此，如果一个或多个链路出现故障，接口捆绑包中的链路仍不会中断。
• 当您有多个流时，可以实现更高的吞吐量，因为这些流可以在捆绑包中的所有链路之间多路复用。确切的操作方法从此处的讨论中退出，因为它取决于各个配置。

为了实现最佳的冗余和更高的吞吐量，我们假设双方都支持：

• 链路聚合符合 IEEE 802.3ad 标准。
• 当两端都在捆绑包中的每个链路上配置了活动 LACP 时，进行死链路检测。仅仅在不使用 LACP 的情况下配置 LAG，然后希望物理层检测到的死链路关闭是不够的。示例：如果 LAG 由一对光纤链路组成，并且只有一个链路断开，则一端仍将看到物理上“向上”的链路，而不会注意到该链路不再是双向的。像 LACP 这样不断检查每个链路存在的协议是更好的选择。它还有助于在拓扑更改时触发 ECMP 平衡算法的重新平衡。

使用带外管理时，这不是问题，因为 LAG 链路设置独立于与瞻博网络 Mist 云的设备管理连接。但是，使用带内管理时，在 WAN 路由器和 EX 系列交换机之间形成 LAG 时，需要避免丢失与交换机的管理连接。这是因为在为特定端配置活动 LACP 时，在远程端配置活动 LACP 并交换 LACP 数据包以取消阻止此链路进行通信之前，该链路上将没有通信。这会导致 WAN 路由器和连接的 EX 系列交换机之间出现一种先有鸡还是先有蛋的问题。您不能让一端激活捆绑包上的活动 LACP，而不会丢失另一端。若要解决此问题，您有以下选项：

• 推荐的方法是： 某些设备（如瞻博网络® SRX 系列防火墙）支持特殊功能，如所谓的“强制”功能。这放宽了对 WAN 路由器捆绑包中一个链路的严格主动 LACP 检查。因此，EX 系列交换机可以使用此链路在双方形成 LAG 之前与瞻博网络 Mist 云通信。下面介绍了进行此设置的工作流：
  • 第一：在 WAN 路由器上，使用所有成员链路配置整个 LAG 捆绑包。一个成员链路配置了“强制”功能。
  • 第二：EX 系列交换机连接最初启动。与瞻博网络 Mist 云的通信只能通过设置了强制选项的 WAN 路由器链路进行。
  • 第三：现在，您可以在 EX 系列交换机上配置 LAG 束，并包含所有成员。由于 WAN 路由器已经具有有效的配置，因此两者之间的整个 LAG 应该会自动启动。
  • 第四：一旦双方都构建了在所有成员链路上运行活动 LACP 的 LAG，您就可以删除 WAN 路由器端的“强制”功能。
• 如果 WAN 路由器不支持此类“强制”功能或类似功能，则在构建 LAG 时考虑下一种方法：
  • 第一：在 EX 系列交换机上配置链路捆绑包（不包括一个链路），然后让瞻博网络 Mist 云推送配置。
  • 第二：在 WAN 路由器上配置链路束（不包括一个相反的链路）并应用配置。
  • 第三：两台设备现在都应在两端都有活动 LACP 构建 LAG 链路，通信仍应保留在两者之间的单个未触及链路上。
  • 第四：现在，您可以更新 EX 系列交换机上的 LAG 捆绑包，包括所有成员。设备管理现在应故障转移到 LAG 捆绑包并继续。
  • 第五：您可以更新包含所有成员的 WAN 路由器上的 LAG 捆绑包以达到最终状态。
• 最后一种替代方法是在 EX 系列交换机上预暂存 LAG 配置。这将确保所需的配置已经存在，并且瞻博网络 Mist 云已经知道该设备。
  • 在将设备运送到现场之前，先在实验室或暂存环境中预暂存设备。您也可以借此机会刷新设备上的 Junos 固件。
  • 在现场向执行安装的人员提供适当的指示时，请考虑进行一小段带外管理，直到配置 LAG。

下图显示了 SRX 上作为 WAN 路由器使用推荐的“强制”功能的示例配置。

注意：

此处介绍的用于连接 WAN 路由器和直接连接的 EX 系列交换机的方法，对于具有分布交换机和接入交换机的较大拓扑，其工作原理相同。当您在 WAN 路由器和分布式交换机之间建立连接，然后开始部署接入交换机时，可以使用它。EX 系列交换机上提供“强制升级”功能，因此在配置接入交换机的下行链路时，可以在分布式交换机上使用它。

全自动部署 （ZTP） 流程概述

注意：

此处介绍的全自动部署 （ZTP） 过程不应与文档中描述且受支持的旧 ZTP 方法混淆。该方法始终需要一个本地 DHCP 服务器，该服务器将 DHCP 租约内的特殊 DHCP 属性传送到本地 EX 系列交换机，以通知交换机在何处获取初始配置和其他项目（通常通过 TFTP）。此处描述的 ZTP 方法不受此类约束。本地DHCP服务器只需要提供常规的IP地址，网关和DNS服务器信息，就像为任何其他有线或无线客户端提供的信息一样。

云就绪交换机连接到互联网并首次开机后，它会触发板载电话回家客户端 （PHC） 从电话回家服务器 （PHS） 获取配置更新，如图 2 所示。默认行为是让 PHC 连接到重定向服务器，然后重定向到电话主服务器，交换机可在其中获取配置或软件映像。这使交换机能够安全、自动地获取最新的 Junos 配置或软件映像，除了将交换机物理连接到网络外，无需干预。或者，您可以将交换机配置为使用配置了必要 ZTP 选项的 DHCP 服务器来完成 ZTP 进程。要恢复为 ZTP 默认值，您需要从出厂默认状态启动（或者可以发出 Junos 请求系统清零 命令以重置配置）。

瞻博网络 ZTP 遵循 IETF RFC 8071 作为基于标准的方法。交换机必须是“云就绪”的，才能开箱即用地执行此操作，而无需任何额外的预配置。瞻博网络®云就绪交换机已准备就绪，可通过 https://manage.mist.com 上的门户进行安装和管理。如果您的交换机在前面板上或后面板上有二维码认领代码，则该交换机是云就绪的。

注意：

本指南中描述的载入过程仅适用于云就绪 EX 和 QFX 交换机。请参阅 瞻博网络 Mist 支持的硬件 ，了解云就绪 EX 和 QFX 交换机的列表。

设计交换机模板

通过瞻博网络 Mist 云进行交换机管理的一个关键功能是能够使用配置模板和分层模型对交换机进行分组并进行批量更新。模板提供了统一性和便利性，而层次结构（组织、站点和交换机）则提供了规模和粒度。

模板和分层模型在实践中意味着您可以创建模板配置，然后将这些设置应用于每个组中的所有设备。发生冲突时（例如，当站点和组织级别存在适用于同一设备的设置时，较窄的设置（在本例中为站点层次结构）将覆盖在组织级别定义的更广泛的设置。

位于层次结构底部的各个交换机可以继承在组织级别定义的全部或部分配置，也可以继承在站点级别定义的配置。当然，单个交换机也可以有自己独特的配置。

您可以在层次结构的任何级别包含单个 CLI 命令，然后以“AND”为基础将这些命令追加到该组中的所有交换机，也就是说，将各个 CLI 设置追加到现有配置中（不会替换现有设置）。

我们建议组织中的所有交换机仅通过瞻博网络 Mist 云进行管理，而不是通过设备的 CLI 进行管理。

使用瞻博网络 Mist™ Wired Assurance 配置交换机的过程包括两个主要步骤：创建交换机配置模板并将其应用到一个或多个站点。链接到特定站点的配置设置将应用于该站点内的交换机。这使您能够在整个网络基础架构中管理和应用一致和标准化的配置，从而使配置过程更加高效和简化。

有关交换机模板的快速概览，请观看以下视频。

要配置交换机，您需要分配一个超级用户角色。此角色授予您进行更改和自定义交换机设置所需的权限。其他角色可能只允许您更改端口或仅查看配置，而无法更改它。

创建交换机配置模板

通过交换机配置模板，可以轻松地将相同的设置应用于站点上的交换机。无论是单站点还是多个站点，您都可以使用该模板快速配置新交换机。将交换机分配到站点时，它会自动采用关联模板中的配置。

注意：

通过 Mist 仪表板在交换机上完成的配置将覆盖通过设备 CLI 完成的任何配置。交换机详细信息页面不会显示您通过交换机 CLI 直接在交换机上所做的任何配置更改。

要创建交换机配置模板：

1. 打开门户，然后单击 组织>交换机模板。
2. 单击“ 创建模板”，在 “模板名称 ”字段中输入模板的名称，然后单击“ 创建”。此时将显示 “交换机模板： <模板名称> 页面。
   注意：

   您可以灵活地在 JSON 文件中导入模板设置，而不是手动输入信息。要导入设置，请单击 导入模板。要获取包含可自定义和导入的配置设置的 JSON 文件，请打开您选择的现有配置模板，然后单击 导出。

3. 在 所有交换机 配置部分中，配置交换机的基本设置。使用屏幕上的提示配置设置。

   

   表 3：所有交换机配置字段说明

   字段	说明
   半径	选择用于验证用户名和密码、证书或用户提供的其他身份验证因素的身份验证服务器。 Mist 身份验证 — 如果要在交换机上配置瞻博网络 Mist Access Assurance（Mist 基于云的身份验证服务），请选择此选项。要使此选项起作用，还需要使用具有 dot1x 或 MAB 身份验证的端口。 注意：有线交换机上的 Mist 身份验证需要 Junos 20.4R3-S7 或更高版本、22.3R3 或更高版本、22.4R2 或更高版本、23.1R1 或更高版本。 要配置 Mist Access Assurance 功能（如身份验证策略、策略标签、证书和身份提供程序），请导航到 组织>访问。 RADIUS — 选择此选项可配置 RADIUS 身份验证服务器和计费服务器，以便在交换机级别启用 dot1x 端口身份验证。要使 dot1x 端口身份验证正常工作，还需要创建使用 dot1x 身份验证的端口配置文件，并且必须将该配置文件分配给交换机上的端口。默认端口号为： 身份验证服务器的端口 1812 记帐服务器的端口 1813 注意： 如果要为交换机管理访问（用于交换机 CLI 登录）设置 dot1x 身份验证，则需要在模板的其他 CLI 命令 部分包含以下 CLI 命令： 设置系统身份验证顺序半径 设置系统 RADIUS 服务器<RADIUS-服务器-IP>端口 1812 设置系统半径服务器<半径服务器IP>秘密<密码> 设置系统 RADIUS 服务器 <radius-server-IP>源地址<radius-Source-IP>
   TACACS+	配置 TACACS+，以便在网络设备上进行集中式用户身份验证。此外，您可以在设备上启用 TACACS+ 记帐，以收集有关用户在 LAN 上的登录和注销的统计数据，并将此数据发送到 TACACS+ 记帐服务器。 TACACS+ 和记帐服务器支持的端口范围为 1 到 65535。
   NTP	指定网络时间协议 （NTP） 服务器的 IP 地址或主机名。NTP 用于同步互联网上交换机和其他硬件设备的时钟。
   DNS 设置	配置域名服务器 （DNS） 设置。您最多可以配置三个逗号分隔格式的 DNS IP 地址和后缀。
   SNMP	在交换机上配置简单网络管理协议 （SNMP） 以支持网络管理和监控。您可以配置 SNMPv2 或 SNMPv3。以下是您可以配置的 SNMP 选项： SNMPv2 （V2） 下的选项 常规 - 指定系统的名称、位置、管理联系信息和受管系统的简要描述。使用 SNMPv2 时，您可以选择为设备发送的 SNMP 陷阱数据包指定源地址。如果未指定源地址，则默认使用传出接口的地址。 客户端 — 定义 SNMP 客户端列表。您可以添加多个客户端列表。此配置包括客户端列表的名称和客户端的 IP 地址（以逗号分隔的格式）。每个客户端列表可以有多个客户端。客户端是带有 /32 掩码的前缀。 陷阱组 - 创建命名的主机组以接收指定的陷阱通知。必须至少配置一个陷阱组才能发送 SNMP 陷阱。配置包括以下字段： 组名称 - 指定陷阱组的名称。 类别 - 从以下类别列表中进行选择。您可以选择多个值：身份验证、机箱、配置、链路、远程操作、路由、服务、启动和 vrrp 事件 目标 - 指定目标 IP 地址。您可以指定多个目标。 版本 — 指定 SNMP 陷阱的版本号。 社区 — 定义 SNMP 社区。SNMP 公共组用于通过源 IP 地址对 SNMP 客户端进行授权。它还确定视图中定义的特定 MIB 对象的可访问性和权限（只读或读写）。您可以在社区配置中包含客户机列表、授权信息和视图。 视图（同时适用于 SNMPv2 和 SNMPv3）— 定义 MIB 视图以标识一组 MIB 对象。视图中的每个对象共享一个通用对象标识符 （OID） 前缀。MIB 视图允许代理更好地控制对其 MIB 树中特定分支和对象的访问。视图由名称和 SNMP OID 集合组成，可以显式包含或排除这些 SNMP OID。 SNMPv3 （V3） 下的选项 常规 - 指定系统的名称、位置、管理联系信息和受管系统的简要描述。使用 SNMPv2 时，请配置引擎 ID，该 ID 用作 SNMPv3 实体的唯一标识符。 USM - 配置基于用户的安全模型 （USM） 设置。此配置包括用户名、身份验证类型和加密类型。您可以为 USM 配置本地引擎或远程引擎。如果选择远程引擎，请以十六进制格式指定引擎标识符。此 ID 用于计算安全摘要，以便对发送给远程主机上用户的数据包进行身份验证和加密。如果指定“本地引擎”选项，则会考虑在“常规”选项卡上指定的引擎 ID。如果未指定引擎 ID，则将本地 mist 配置为默认值。 VACM - 定义基于视图的访问控制模型 （VACM）。VACM 允许您为组设置访问权限。您可以通过使用预定义视图筛选可用于读取、写入和通知操作的 MIB 对象来控制访问（必须先从“视图”选项卡定义所需的视图）。每个视图都可以与特定的安全模型（v1、v2c 或 usm）和安全级别（经过身份验证、隐私或无）相关联。您还可以将安全设置（您可以选择在此处使用已定义的 USM 设置）从“安全到组”设置应用于访问组。 通知 — 为通知选择 SNMPv3 管理目标，并指定通知类型。要配置此项，请为通知指定名称，选择应接收通知的目标或标记，并指示它是陷阱（未确认）还是通知（已确认）通知。 目标 - 配置消息处理和安全参数，以便向特定管理目标发送通知。您还可以在此处指定目标 IP 地址。 视图（同时适用于 SNMPv2 和 SNMPv3）— 定义 MIB 视图以标识一组 MIB 对象。视图中的每个对象共享一个通用对象标识符 （OID） 前缀。MIB 视图允许代理更好地控制对其 MIB 树中特定分支和对象的访问。视图由名称和 SNMP OID 集合组成，可以显式包含或排除这些 SNMP OID。
   静态路由	配置静态路由。交换机在以下情况下使用静态路由： 它没有具有更好（较低）首选项值的路由。 它无法确定到目的地的路由。 它需要转发无法路由的数据包。 支持的静态路由类型： 子网 — 包括目标网络和下一跃点的 IP 地址。 网络 — 包括 VLAN（包含 VLAN ID 和子网）和下一跃点 IP 地址。
   CLI 配置	对于模板 GUI 中不可用的任何其他设置，您仍然可以使用 set CLI 命令对其进行配置。 例如，您可以设置自定义登录消息以向用户显示警告，建议他们不要直接在交换机上进行任何 CLI 更改。下面是如何执行此操作的示例： 设置系统登录消息“\n\n 警告！此交换机由 Mist 管理。不要进行任何 CLI 更改。 要删除已添加的 CLI 命令，请使用 delete 命令，如以下示例所示： 删除系统登录消息“\n\n 警告！此交换机由 Mist 管理。不要进行任何 CLI 更改。 注： 请确保输入完整的 CLI 命令以使配置成功。
   OSPF 区域	如果需要，定义开放最短路径优先 （OSPF） 区域。OSPF 是一种链路状态路由协议，用于确定在 IP 网络中转发 IP 数据包的最佳路径。OSPF 将网络划分为多个区域，以提高可扩展性并控制路由信息的流动。
   DHCP 侦听	启用 DHCP 侦听选项以监控来自连接到交换机的不受信任设备的 DHCP 消息。DHCP 侦听会创建一个数据库来跟踪这些消息。这有助于防止在不受信任的端口上接受 DHCPOFFER 数据包，假设这些数据包来自未经授权的 DHCP 服务器。 DHCP 配置具有以下选项： 所有网络— — 选中所有网络复选框以在所有VLAN上启用DHCP侦听。 网络 - 如果只想在特定网络上启用 DHCP 侦听，请单击“网络”框中的添加 （+），然后添加所需的 VLAN。 地址解析协议 （ARP） 检测 — 启用此功能可阻止任何中间人攻击。ARP 检测检查在不受信任端口上接收的 ARP 数据包中的源 MAC 地址。它根据 DHCP 侦听数据库验证地址。如果源 MAC 地址在数据库中没有匹配的条目（IP-MAC 绑定），则会丢弃数据包。 您可以使用以下 CLI 命令检查 ARP 统计信息：显示 DHCP 安全 ARP 检查统计信息 和 显示日志消息 |匹配戴 . 设备会记录在每个接口上接收的无效 ARP 数据包数量，以及发送方的 IP 和 MAC 地址。您可以使用这些日志消息来发现网络上的 ARP 欺骗。 IP 源保护 — IP 源保护根据 DHCP 侦听数据库中的条目验证在不受信任端口上接收的源 IP 和 MAC 地址。如果源地址在数据库中没有匹配的条目，IP 源保护将丢弃该数据包。 注意： IP 源保护仅适用于单一请求方 802.1X 用户身份验证模式。 如果您的 DHCP 服务器连接到不受信任的访问端口，DHCP 将无法正常运行。在这种情况下，您可能需要进行调整以确保 DHCP 按预期工作。默认情况下，DHCP 会将所有中继端口视为受信任端口，将所有接入端口视为不受信任端口。 您需要在交换机上启用 VLAN，DHCP 侦听配置才能生效。因此，您需要将端口配置文件（本文档稍后介绍）应用于端口。 如果已将具有静态 IP 地址的设备连接到交换机上不受信任的端口，则该设备在 DHCP 侦听数据库中可能没有匹配的 MAC-IP 绑定。要检查交换机上的 DHCP 侦听数据库并查看绑定，请使用 CLI 命令显示 dhcp-security 绑定。此命令将为您提供有关侦听数据库中记录的 DHCP 绑定的信息。 注意： 如果要在“成功连接 SLE ”指标下查看交换机的 DHCP 问题，则需要启用此功能。
   系统日志	配置 SYSLOG 设置以设置如何处理系统日志消息。您可以配置设置以将系统日志消息发送到文件、远程目标、用户终端或系统控制台。以下是可用于系统日志设置的配置选项： 文件 - 将日志消息发送到命名文件。 主机 - 将日志消息发送到远程位置。这可能是设备的 IP 地址或主机名，每当生成这些日志消息时都会收到通知。 用户 - 将日志事件通知特定用户。 控制台 — 将指定类和严重性的日志消息发送到控制台。日志消息包括优先级信息，这些信息提供有关日志消息的设施和严重性级别的详细信息。 存档 - 定义用于存档日志消息的参数。 常规 - 指定常规信息，例如日志消息的时间格式、路由实例和源地址。
   端口镜像	配置端口镜像。 端口镜像是路由器将数据包副本发送到外部主机地址或数据包分析器进行分析的能力。在端口镜像配置中，可以指定以下内容： 输入：要监控的流量的源（接口或网络）。除了输入，您还可以指定是希望 Mist 监控接口的入口流量还是出口流量。如果要同时监控入口和出口流量，请为同一接口添加两个输入条目 - 一个使用入口标志，另一个使用出口标志。 输出：要将流量镜像到的目标接口。不能在输入和输出字段中指定相同的接口或网络。

4. 在 交换机模板配置 页面的管理区域，配置如下：
   1. 配置恢复计时器 — 如果配置更改导致交换机断开连接，此功能有助于恢复交换机与 Mist 云之间的连接。它会自动还原用户所做的更改，并在指定的持续时间内重新连接到云。默认情况下，对于 EX 系列交换机，此持续时间设置为 10 分钟。您可以在此处指定不同的持续时间。
   2. Root 密码 - root 用户（用户名为 root）的纯文本密码。
   3. 路由引擎保护 — 启用此功能可确保路由引擎仅接受来自可信系统的流量。此配置创建一个无状态防火墙过滤器，用于丢弃发往路由引擎的所有流量，但来自指定可信源的 SSH 和 BGP 协议数据包除外。
5. 在“共享元素”部分中，配置以下内容：
   1. 在 网络 磁贴中，单击 添加网络 并配置要在端口配置文件中使用的 VLAN。这些设置包括名称、VLAN ID 和子网。
   2. 在 端口配置文件 磁贴，选择预定义的端口配置文件或单击 添加个人资料 以创建新的配置文件并为其分配网络。端口配置文件提供了一种自动调配多个交换机接口的方法。使用屏幕上的提示配置端口配置文件设置。

      表 4 有关端口配置文件中关键字段的提示。注意：此表不包括基本字段，例如名称、已启用、禁用、描述等。

      表 4：端口配置文件中关键字段的提示

      字段	说明
      模式	中继 — 中继接口通常连接到 LAN 上的其他交换机、接入点和路由器。在此模式下，接口可以位于多个 VLAN 中，并且可以在不同 VLAN 之间多路复用流量。指定端口网络、VoIP 网络（如果适用）和中继网络。 访问 - 默认模式。接入接口通常连接到网络设备，如 PC、打印机、IP 电话和 IP 摄像机。在此模式下，接口只能位于单个 VLAN 中。指定端口网络和 VoIP 网络（如果适用）。
      使用 dot1x 身份验证	选择此选项可为基于端口的网络访问控制启用 IEEE 802.1X 身份验证。作为专用 VLAN （PVLAN） 成员的接口支持 802.1X 身份验证。 如果在端口上启用 dot1x 身份验证，则以下选项可用： 允许多个请求方 — 选择此选项可允许多个终端设备连接到端口。每个设备都经过单独身份验证。 动态 VLAN — 指定将由 RADIUS 服务器属性“隧道专用组 ID”或“出口 VLAN 名称”返回的动态 VLAN。此配置使端口能够执行动态 VLAN 分配。 MAC 身份验证 — 选择此选项可为端口启用 MAC 身份验证。选择此选项后，还可以指定身份验证协议。如果指定协议，则请求方必须使用该协议来提供身份验证凭据。 使用访客网络 - 选择此选项可使用访客网络进行身份验证。然后从下拉列表中选择一个访客网络。 服务器关闭时绕过身份验证 - 如果选择此选项，则在服务器关闭时，客户端无需身份验证即可加入网络。 您还需要执行以下操作才能使 dot1x 身份验证正常工作： 从模板“所有交换机配置”部分中的“身份验证服务器”磁贴中配置 RADIUS 服务器以进行 dot1x 身份验证。 将 dot1x 端口配置文件分配给交换机端口，以便将 RADIUS 配置推送到交换机。您可以从模板的“选择交换机配置”部分中的“端口配置”选项卡中执行此操作。
      MAC 限制	配置接口可动态获知的最大 MAC 地址数。当接口超过配置的 MAC 限制时，它会丢弃帧。MAC 限制还会导致日志条目。 默认值：0 支持范围：0 到 16383
      坡	使端口支持以太网供电 （PoE）。
      STP 边缘	如果要在端口上启用网桥协议数据单元 （BPDU） 保护，请将端口配置为生成树协议 （STP） 边缘端口。此设置可确保将端口视为边缘端口，并防止接收 BPDU，BPDU 是 STP 中的控制消息。如果将非边缘设备插入配置了 STP Edge 的端口，则该端口将被禁用。此外，“交换机见解”页面还会生成端口 BPDU 被阻止事件。交换机详细信息上的前面板也将显示此端口的 BPDU 错误。 您可以通过在前面板上选择端口，然后单击清除 BPDU 错误来清除 BPDU 错误的端口。 您还可以从交换机详细信息页面上的端口配置文件部分，在交换机级别配置 STP Edge。
      QoS	为端口启用服务质量 （QoS），以将延迟敏感型流量（如语音）优先于端口上的其他流量。 注意：为获得最佳结果，请务必为下行（传入）和上游（传出）流量启用服务质量 （QoS）。这可确保网络能够有效地确定双向流量的优先级并进行管理，从而提高性能和整体服务质量。 您可以选择覆盖 WLAN 设置页面（站点> WLAN > <WLAN 名称>）上的 QoS 配置。要覆盖 QoS 配置，请选中 覆盖 QoS 复选框，然后选择无线访问类。下游流量（AP >客户端）使用指定的覆盖访问类值进行标记。覆盖配置不支持上游流量（客户端> AP）。
      风暴控制	启用风暴控制以监控流量级别，并在流量超过流量级别（以百分比指定）时自动丢弃广播、组播和未知单播数据包。此指定的流量级别称为风暴控制级别。此功能可主动防止数据包扩散并保持 LAN 的性能。启用风暴控制时，您还可以选择从监控中排除广播、组播和未知单播数据包。
      持续（粘性）MAC 学习	启用持久（粘性）MAC 以阻止未经授权的设备连接到您的网络。启用后，交换机会学习到达端口的设备的 MAC 地址，并将其保存在内存中。如果获知的 MAC 地址数超过上面指定的“MAC 限制”，端口将丢弃帧。此外，您将在“见解”页面上看到“超出 MAC 限制”事件。 您可以从交换机详细信息页面上的前面板将鼠标悬停在端口上，以查看 MAC 限制和 MAC 计数（端口动态获知的 MAC 地址数）。 注意： 您无法在中继端口或具有 802.1X 身份验证的端口上启用此功能，因为 Junos OS 不支持此组合。为静态有线客户端启用此功能。请勿为瞻博网络接入点接口启用此功能。 门户不显示接口已获知的 MAC 地址。它仅显示最大 MAC 地址计数。要查看接口获知的 MAC 地址，请在交换机详细信息页面上选择实用程序 >远程外壳 选项，然后运行以下命令： 显示以太网交换表 持久学习 显示以太网交换表持久学习接口 MAC 计数值将保留在端口上，直到您从交换机详细信息的前面板上清除它，或者直到您禁用持续（粘性）MAC 学习功能。要清除端口获知的 MAC 地址，请在交换机前面板上选择该端口，然后单击 清除 MAC [动态/持久]。此操作会在“交换机见解”页面上生成 MAC 限制重置事件。

   3. 在 VRF 磁贴中，配置虚拟路由和转发 （VRF）。
   4. 借助 VRF，您可以将一台 EX 系列交换机划分为多个虚拟路由实例，从而有效地隔离网络中的流量。您可以定义 VRF 的名称，指定与其关联的网络，并包括所需的任何其他路由。
      注意：

      您无法将默认网络 （VLAN ID = 1） 分配给 VRF。

6. 在“动态端口配置”磁贴中，设置用于动态分配端口配置文件的规则。当用户在启用此功能的情况下将客户端设备连接到交换机端口时，交换机将识别设备并为端口分配合适的端口配置文件。动态端口分析利用客户端设备的一组设备属性自动将预配置的端口和网络设置关联到接口。您可以根据以下参数配置动态端口配置文件：
   • LLDP 系统名称
   • LLDP 说明
   • LLDP 机箱 ID
   • 半径用户名
   • 半径过滤器 ID
   • MAC（以太网 MAC 地址）
   注意：

   如果端口遇到大量端口抖动，请避免使用动态端口配置。每个端口抖动都会触发交换机上的配置更改（Junos 提交）。在这种情况下，最好通过 RADIUS 应用动态 VLAN 配置。

   下面是自动将端口配置文件“接入点”分配给瞻博网络接入点的规则示例。根据此规则，当端口标识机箱 ID 以“5c：5b：35”开头的设备时，它会将“接入点”配置文件分配给连接的设备。

   

7. 要使动态端口配置生效，还需要指定要用作动态端口的端口。为此，可以选中交换机模板的“选择交换机”部分中“端口配置”选项卡上的“启用动态配置”复选框。您也可以从交换机详细信息页面的端口配置部分在交换机级别执行此操作。
   注意：

   识别客户端后，端口配置文件需要几分钟时间才能应用到端口，几分钟后端口配置文件分配状态才会显示在门户上。如果交换机重新启动或大规模链路启动或关闭事件会影响交换机上的所有端口，则需要大约 20 分钟才能将所有端口分配给正确的配置文件（假设在所有端口上都启用了动态端口配置）。

8. 在 “选择交换机配置 ”部分中，配置以下内容：
   1. 在 信息 选项卡上，创建规则以将共享元素与交换机关联。下面是如何添加将 EX4300 交换机映射到“访问”角色的规则的示例。

      

9. 在端口配置选项卡上，单击 添加端口范围 以将端口配置文件与端口关联。在这里，您还有以下关键选项：
   1. 在端口上启用动态配置。动态端口分析允许您根据定义的属性为连接的设备分配动态配置文件。如果设备与属性匹配，Mist 会为设备分配匹配的动态配置文件。但如果设备与属性不匹配，则会将其放置在指定的 VLAN 中。在以下示例中，端口通过动态端口分配启用，并分配了受限 VLAN。在这种情况下，如果连接的设备与动态分析属性不匹配，则会将其放置在受限 VLAN 中，例如不可路由的 VLAN 或访客 VLAN。启用端口聚合的接口不支持动态端口配置。
   2. 启用端口聚合。端口聚合或链路聚合允许您对以太网接口进行分组以形成单个链路层接口。此接口也称为链路聚合组 （LAG） 或捆绑包。可分组到 LAG 中的接口数量以及交换机支持的 LAG 总数因交换机型号而异。您可以在启用或不启用 LACP 的情况下使用 LAG。如果另一端的设备不支持 LACP，您可以在此处禁用 LACP。您还可以为交换机配置 LACP 强制启动状态。此配置将接口的状态设置为对等方 LACP 功能受限时 up。您还可以配置 LACP 数据包传输间隔。如果在 AE 接口上配置 LACP 周期性慢速选项，则 LACP 数据包每 30 秒传输一次。默认情况下，将每秒传输数据包的间隔设置为快速。以下示例显示了在上行链路端口配置中使用 LAG 的情况：

      

   3. 为交换机指定端口上的接口启动和关闭事件配置警报和电子邮件通知。要将交换机端口配置为支持警报，请选中启用“打开/向下端口”警报复选框。此外，在“监视>警报>警报配置”页上，必须从以下复选框中进行选择才能为端口启用警报。
      1. 关键 WAN 边缘端口启动
      2. 关键 WAN 边缘端口关闭
      3. 关键交换机端口已启动
      4. 关键交换机端口关闭
   4. 在 IP 配置 选项卡上，您可以为带内管理流量指定网络。
   5. 在 IP 配置 （OOB） 选项卡上，您可以在交换机上启用专用管理虚拟路由和转发 （VRF） 实例。启用此功能会将管理接口 （em0/me0/fxp0，vme） 限制为非默认 VRF 实例。此功能适用于运行 Junos OS 版本 21.4 或更高版本的独立设备和虚拟机箱系统。专用管理 VRF 实例就位后，管理流量不必与其他控制流量或协议流量共享路由表。
   6. 在“ CLI 配置 ”选项卡上，包括 CLI（采用设置格式），以配置模板未提供 GUI 选项的任何其他基于规则的设置。
      注意：

      我们为此 JVD 删除了有关基于组的策略配置和基于 GBP 的交换机策略的下一节。这仅适用于采用 IP-Clos 的园区交换矩阵。此配置选项不适用于分支设计，因此在此处无关紧要。

10. 单击 保存 以保存交换机模板。

    此时将显示 确认更改 窗口。

11. 单击确认更改窗口中的保存。

    模板已保存。要查看新模板，请转至 组织>交换机模板。

将模板分配给站点

创建交换机配置模板后，需要将其分配给相关站点。这可确保将配置设置应用于这些站点中的设备。您可以灵活地将模板应用于单个站点或多个站点，具体取决于您的特定要求。

要将模板分配给一个或多个站点，请执行以下操作：

1. 单击组织>交换机模板。
   1. 此时将显示“交换机模板”页面。
2. 单击要分配给网站的模板。
   1. 此时将显示“交换机模板： 模板名称”页面。
3. 单击 “分配到站点”。
   1. 将出现将 模板分配给站点 窗口。
4. 选择要应用模板的网站，然后单击 “应用”。

或者，可以使用以下步骤从“站点配置”页将模板应用于站点：

1. 单击 站点>交换机配置。
2. 单击列表中的某个站点将其打开。
3. 从“配置模板”字段中选择一个模板，然后单击 “保存”。

配置和模板的优先级和层次结构

配置模板具有分配层次结构，您在使用它们时需要牢记这些分配：

• 所有配置都从模板继承到站点。分配给站点的所有交换机都将继承相应的配置。
• 每个配置元素在站点和设备级别都有一个覆盖选项，使配置模型非常灵活。
• 配置的优先级：
  • 配置最高级别应用于交换机（设备）本身>网络（站点）>模板（组织）。

模板的配置层次结构

图 13 显示了配置层次结构的示例：

可以覆盖层次结构中较高级别的配置，以在需要时创建更加个性化的配置。 图 14 显示了一个示例：

注意：

除非需要，否则建议不要覆盖网络/站点配置。您可以改用站点变量，下面将对此进行说明。

站点变量

为了最大限度地减少站点级别的配置覆盖数量，我们可以使用站点变量的概念。

以下是使用站点变量的示例，我们希望在其中单独配置要使用的 DNS 服务器和 DNS 后缀：

1. 转到“ 组织>站点配置 ”，然后选择现有站点或创建新站点。
2. 创建一个包含 DNS 服务器的字符串变量。
3. 创建一个包含 DNS 后缀的字符串变量。
4. 保存网站设置。

   您的两个示例变量现在应如下图所示：

5. 转至 组织>交换机模板 ，然后选择现有模板或创建新模板。
6. 在“DNS 设置”下：
   1. 对于 DNS 服务器=“{{dns_servers}}”
   2. 对于 DNS 后缀 = “{{dns_suffix}}.example.com”
7. 确保模板已分配给此站点。
8. 保存网站设置。

   您的两个示例配置字段现在应如下图所示，以便替换正确的值：

   

更多详细信息： https://www.juniper.net/documentation/us/en/software/mist/mist-management/topics/task/site-variables.html