有线成功连接 SLE

有线成功连接 SLE 衡量什么？

Juniper Mist监控客户端连接尝试并识别故障。数据来源是交换机上的 802.1X 事件。此 SLE 可帮助您评估这些故障的影响，并确定要解决的根本原因。

注意：

仅当您在有线网络上使用 802.1X 来验证客户端，或者配置了 DHCP 侦听时，此 SLE 才会显示数据。

分类器和子分类器

当连接尝试不成功时，Juniper Mist会将问题分类到分类器中。分类器显示在 SLE 模块的右侧。

通过查看分类器，您可以了解哪些因素导致了最多的客户端问题。大多数分类器还具有子分类器，可以更深入地了解问题。（子分类器显示在“根本原因分析”页上，您可以通过单击分类器打开该页。

让我们熟悉一下 Successful Connect 分类器和子分类器：

• DHCP — 动态主机配置协议 （DHCP） 侦听使交换机能够检查 DHCP 数据包并跟踪侦听表中的 IP-MAC 地址绑定。每次客户端连接到网络且未能在一分钟内达到绑定状态（DCHP 超时）时，此分类器都会添加一个失败事件。

  注意：

  • SLE 仪表板仅显示在端口配置文件（在交换机模板中）中启用了 DHCP 侦听的交换机的 DHCP 故障。

  • DHCP 侦听可能并不总是适用于具有静态 IP 的端点。

• 身份验证 — 每次客户端进行身份验证时，都会生成一个客户端事件。此分类器可帮助您识别导致身份验证失败的问题。

  子分类器：

  • RADIUS 服务器拒绝 VLAN — 无法向指定的 VLAN 进行身份验证。

  • 凭据错误 - 凭据无效。

  • RADIUS 服务器无法访问 — RADIUS 服务器已关闭。

• 接入端口安全 — 此分类器可帮助您识别由接入端口安全问题导致的客户端连接故障。您可以在端口配置文件中配置这些安全功能，然后在安全事件发生时触发这些分类器。

  子分类器：

  • BPDU-Guard — 由于交换机端口上的 BPDU 保护配置，检测连接故障。此功能对于防止环路非常重要，例如当交换机连接到交换机时。要启用此功能，请转至端口配置文件，然后启用 STP Edge。
  • MAC 限制 — 检测客户端超过交换机端口上配置的 MAC 限制时报告的连接失败。例如，如果您有室外安全摄像头或公共广播系统，并且希望防止其他设备连接到该端口，则可以将端口配置文件的 MAC 限制配置为 2。如果有人拔下您的相机并尝试连接自己的设备，则将达到 MAC 限制，此事件将由 MAC 限制分类器反映。
  • 动态 ARP 检测 — 当端口丢弃无效的动态 ARP 检测数据包时，识别客户端连接故障。此安全功能可防止人们窥探他人的 ARP 地址以获取访问权限。需要在端口配置文件的 DHCP 侦听部分启用 ARP 检查。
  • 无管理 DHCP 服务器 — 识别由无管理 DHCP 服务器事件导致的客户端连接故障。这可能是一个事件，即不受信任的端口丢弃来自 DHCP 服务器的流量以阻止未经授权的服务器。启用此功能可以防止恶意设备连接。此分类器显示发生的任何此类尝试。需要在端口配置文件中启用 DHCP 侦听。
    注意：

    最佳做法是，请务必在端口配置文件中配置“受信任”或“不受信任”设置——通常，您希望中继端口受信任，访问端口不受信任，以防止未经授权使用端口。这在将摄像头连接到端口的公共环境中尤为重要;此设置可以防止有人断开相机并连接恶意设备。

有线成功连接 SLE 的根本原因分析

单击 SLE 块中的分类器后，您将看到根本原因分析页面。单击分类器和子分类器可查看屏幕下半部分的时间线和范围信息。

注意：

屏幕下半部分的信息取决于您在顶部选择的内容。

屏幕下半部分的有用选项卡包括：

• 时间轴 - 准确查看问题发生的时间。

• 分布 — 查看哪些 VLAN 受到影响。

• 受影响的项目 - 查看哪些接口和客户端受到影响，以及每个接口和客户端对整体影响的贡献程度。另请参阅每个接口或客户端的单独故障率。

让我们看一个涉及身份验证（分类器）和错误凭据（子分类器）的示例。

单击“接口”选项卡，查看哪些接口受到影响。

单击“客户端”选项卡以查看受影响的客户端。

提示：

• 总体影响是客户端或接口导致所选子分类器 的所有 问题的百分比。例如，它可以显示客户端是占问题的 20% 还是 90%。

• 故障率是此问题对此接口或客户端的影响。例如，它可以显示某个接口是在 20% 还是 90% 的连接尝试中不成功。

• 要查看更多详细信息，请单击表中的超链接以转到 Insights 页面，您可以在其中查看所有客户端和交换机事件。