端口配置文件概述
端口配置文件提供了一种手动或自动配置交换机接口的便捷方式。Mist根据配置文件分配给端口的方式支持以下两种类型的端口配置文件:
-
静态端口配置文件 — 静态端口配置文件是手动分配给特定交换机端口的配置文件。这些配置文件用于交换机端口的静态配置。
-
动态端口配置文件 — 动态端口配置文件可帮助交换机端口使用配置的端口分配规则检测与其连接的设备,并将匹配的配置文件动态分配给端口。动态端口配置文件用于自动调配交换机端口(无色端口)。
- 系统定义的端口配置文件 — 默认情况下,Juniper Mist为您提供预配置的系统定义端口配置文件。它们的工作方式与常规端口配置文件相同,只是如果您不想配置自己的端口配置文件,可以使用这些配置文件。Mist提供的系统定义端口配置文件如下:接入点、物联网、上行链路、默认和禁用。
静态端口配置文件
静态端口配置文件分配包含两个步骤:配置端口配置文件和手动将其分配给特定的交换机端口。您可以从交换机模板上的端口配置文件磁贴或交换机详细信息页面上的端口配置文件配置端口配置文件。您可以通过交换机模板的“选择交换机”部分的“端口配置”选项卡或交换机详细信息页面上的“端口配置”部分手动将配置文件分配给端口。
Port profiles provide a convenient way to manually or automatically provision EX switch interfaces. Going into the EX4300, we'll first create VLANs. We'll make a camera network with VLAN ID 30 and an IoT network with VLAN ID 29.
You can create as many networks as needed. You can create the profiles, for example, a camera, and map it to the camera network that we just created. Customize the settings as desired, such as PoE and STP.
We'll repeat this process to create profiles for a corporate device enabling 802.1x authentication, an IoT device configured with PoE, and an access point configured as a trunk port. It's very simple to modify profiles to meet your specific requirements. Then we go into the port configuration section to associate the configurations with port profiles.
Here we map ports 1 through 5 to be with an AP profile, ports 6 through 10 with a corporate device profile, ports 11 through 15 with IoT profiles, and ports 16 to 20 with the camera profile. This is how to create port profiles. We can also create port aggregation uplinks to be associated with the appropriate profiles.
When you save all of your changes, this pushes the configuration to the particular switch. This covers how EX switches are manually provisioned with port profiles from the Juniper MIST Cloud.
动态端口配置文件
通过动态端口配置文件,您可以配置用于将端口配置文件动态分配给接口的规则。当用户通过动态配置文件配置将客户端设备连接到交换机端口时,交换机会识别设备并为该端口分配合适的端口配置文件。动态端口分析利用客户端设备的一组设备属性,自动将预配置的端口和网络设置与接口相关联。您可以根据 LLDP 名称和 MAC 地址等各种参数配置动态端口配置文件。
动态端口配置包含两个步骤:
- 设置动态端口配置 (DPC) 规则以自动分配端口配置文件。下面是一个自动将端口配置文件“AP”分配给Mist AP 的规则示例。根据此规则,当端口识别机箱 ID 以 D4:20:B0 或 D4:21:B1 开头的设备时,它会将“AP”配置文件分配给连接的设备。
有关更多信息,请参阅 配置交换机中的动态端口配置步骤。
注意:如果在 DPC 规则的“ 如果文本以开头”字段中使用多个值,请用逗号分隔这些值,并确保它们的长度相同。如果任何值的长度不同,则必须为其创建单独的规则。 指定要用作动态端口的端口。为此,可以在交换机模板的“选择交换机”部分的“端口配置”选项卡上选中“ 启用动态配置 ”复选框。您也可以从交换机详细信息页面上的端口配置部分从交换机级别执行此作。
我们建议您创建一个受限网络配置文件,当连接到通过动态端口配置启用的交换机端口时,可以将其分配给未知设备。在上述示例中,该端口通过动态端口配置启用,并为其分配了受限 VLAN。在这种情况下,如果连接的设备与动态分析属性不匹配,则会将其放入受限的 VLAN 中,例如不可路由 的 VLAN 或访客 VLAN。
确保动态端口配置中使用的默认或受限 VLAN 没有运行活动 DHCP 服务器。否则,您可能会在某些旧设备上遇到过时的 IP 地址问题。
交换机上的动态端口配置用于建立与物联网设备、接入点和用户端口端点的连接。不应使用它在交换机、交换机和路由器以及交换机和防火墙之间创建连接。不应在上行链路端口上启用动态端口配置。此外,您不应在上行链路端口上启用动态端口配置。
有关如何配置端口配置文件的更多信息 ,请参阅配置交换机 。
Wired Assurance offers dynamic port profiles, so you can simply plug in your device and it will automatically be assigned the appropriate profile. This is also referred to as the provisioning of colorless ports. In this example, we have a Juniper AP assigned to port 5. We also created a port profile called Minimal Access that has access to a guest network on VLAN 99.
Based on what the devices identify themselves as, we can create rules to assign profiles. We'll use the LLDP chassis ID to identify the device, and if it starts with the octet D420B0, it will be given the AP12 profile. So what we just did is set the dynamic profile assignment for port 5. If the wired device does not register as an AP12, then it will get the Minimal Access profile.
If it shows as an AP12, then it gets the AP12 profile. To verify that the port was assigned the right profile, take a look at the switch events log. You can see that the AP12 profile was correctly identified and automatically applied to port 5. Dynamic port profiles are not just limited to Juniper devices alone.
Anything based on LLDP or RADIUS name also falls under the domain of dynamic port profiles. This means that the days of manually assigning profiles to ports or even a range of ports are no longer necessary.
端口配置最佳实践
以下是您的交换机端口与Mist接入点无缝协作的一些建议:
-
在中继端口上,删除所有不需要的 VLAN。端口上应仅存在所需的 VLAN(基于 WLAN 配置)。由于 AP 默认不保存配置,因此 AP 应该能够获取本机 VLAN 上的 IP 地址,以便连接到云并进行配置。
-
不建议使用端口安全(MAC 地址限制),除非所有 WLAN 都采用隧道方式。
-
请随意启用 BPDU 保护,因为 BPDU 通常不会在 AP 上从无线连接到有线连接,除非它是网状基层。 BPDU 是在使用生成树协议拓扑的扩展 LAN 内的交换机之间交换的数据消息。 BPDU 数据包包含有关端口、地址、优先级和成本的信息,并确保数据最终到达预期目的地。
下面是瞻博网络 EX 系列交换机的端口配置示例。此配置假定存在一个专用管理 VLAN、一个员工 VLAN 和一个访客 VLAN。
interfaces {
ge-0/0/0 {
native-vlan-id 100;
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members [ management staff guest ];
}
}
}
}
}
vlans {
guest {
vlan-id 667;
}
staff {
vlan-id 200;
}
management {
vlan-id 100;
l3-interface irb.100;
}
}
以下示例说明如何在交换机 (10.10.100.50/24) 的管理 VLAN 上设置可从其他网络(网关 10.10.100.1)访问的 IP 地址。
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members [ management staff guest ];
}
native-vlan-id 100;
}
}
}
vlan {
unit 100 {
family inet {
address 10.10.100.50/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 10.10.100.1;
}
}
vlans {
guest {
vlan-id 667;
}
staff {
vlan-id 200;
}
management {
vlan-id 100;
l3-interface vlan.100;
}
}
对于瞻博网络 EX 交换机,建议您在 LLDP 配置中包含交换机的管理地址。
在本例中,VLAN 100 用于管理,同样通过 LLDP 播发。
以下示例配置以设置模式显示。
set interfaces irb unit 400 family inet address 10.33.1.110/24 set routing-options static route 0.0.0.0/0 next-hop 10.33.1.1 set routing-options static route 0.0.0.0/0 no-resolve set protocols lldp management-address 10.33.1.110 set protocols lldp port-id-subtype interface-name set protocols lldp interface all set protocols lldp-med interface all
系统定义的端口配置文件
系统定义的端口配置文件是内置于 Mist 门户中的端口配置文件,如果您不想配置自己的端口配置文件,可以使用该配置文件。这些都是为您预先配置的,因此您无需进行任何配置即可使用它们。但是,您可以删除这些系统定义的端口配置文件。此功能仅在交换机模板配置级别可用。
以下步骤介绍如何删除系统定义的端口配置文件。
删除系统定义的端口配置文件的功能仅适用于接入点、IoT 和上行链路端口配置文件。
- 在Mist门户中,导航到 “组织 ” >“交换机模板”。
- 选择适当的交换机模板。
- 选择要删除的系统定义端口配置文件(接入点、IoT 或上行链路)。
- 选择“编辑端口配置文件”配置左上角的垃圾桶图标。
- 将出现一条警告,告知您删除作是永久性的。删除后,您将无法恢复端口配置文件。输入端口配置文件的名称,然后选择 “删除”。
注意:如果删除接入点、IoT 或上行链路系统定义的端口配置文件,则在站点或设备级别对这些配置文件的任何引用都将恢复为默认配置文件(端口配置或动态端口配置文件)。注意:如果您要创建自己的端口配置文件并将其命名为“ap”、“iot”或“uplink”(在删除系统定义的端口配置文件后),它将被视为任何其他用户定义的端口配置文件。