Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

静态和动态端口配置文件

端口配置文件提供了一种手动或自动配置交换机接口的便捷方法。Mist 支持以下类别的端口配置文件:

  • 系统定义 — 内置于 Mist 门户中的预配置端口配置文件。可用配置文件:接入点、物联网、上行链路、默认和禁用。

  • 用户定义 - 如果系统定义的配置文件不满足您的要求,则创建的自定义端口配置文件。

概括而言,端口配置文件配置包括两个步骤:定义端口配置文件(或使用现有系统定义的配置文件)并将其分配给交换机端口。

根据配置文件分配给交换机端口的方式,Mist 支持静态和动态端口配置文件。

  • 静态端口配置文件 — 静态端口配置文件可手动分配给特定交换机端口。这些配置文件用于交换机端口的静态调配。

  • 动态端口配置文件 — 动态端口配置文件允许交换机端口使用配置的端口分配规则自动识别连接的设备。然后交换机动态应用适当的配置文件。这支持自动调配“无色”交换机端口,端口的行为会根据检测到的设备进行调整。

定义端口配置文件

您可以使用现有配置文件,也可以定义满足您要求的配置文件。Mist 支持在交换机模板级别或单个交换机级别创建端口配置文件。

要定义端口配置文件:

  1. 转至组织>交换机模板,然后选择相应的交换机模板。
    如果希望在交换机级别定义端口配置文件,请导航至交换机详细信息页面 ( 交换机 > switch-name)。
    注意:

    在创建端口配置文件之前,请确保已从 “网络 ”磁贴创建所需的网络。在交换机模板中,您可以在“ 共享元素” 部分中找到此磁贴。在交换机详细信息页面的 Networks & Port Profiles 部分中找到此磁贴。
  2. 导航至“端口配置文件”磁贴。
    在交换机模板中,您可以在“ 共享元素” 部分中找到此磁贴。在交换机详细信息页面(用于交换机级别操作)上,您可以在 Networks & Port Profiles 部分找到此磁贴。
  3. 在“端口配置文件”磁贴上,单击“添加配置文件”。
    此时将显示 “新建端口配置文件” 窗口。
  4. 按照共享元素 - 端口配置文件中的说明指定配置文件设置。
  5. 指定设置后,单击“新建端口配置文件”窗口右上角的复选标记 (✓)。

    新创建的端口配置文件将显示在“端口配置文件”磁贴中的配置文件列表中。

  6. 点击模板或交换机详情页面右上角的保存,确认并保存更改。

手动分配端口配置文件

本主题介绍如何为交换机端口分配静态端口配置文件。

定义端口配置文件后,您可以从交换机模板的 Select 交换机 部分的 Port Config 选项卡或交换机详细信息页面的 Port Configuration 部分手动将其分配给特定交换机端口。

要通过交换机模板手动将端口配置文件分配给端口:

  1. 转到组织>有线>交换机模板,然后单击模板将其打开。
  2. 导航至“选择交换机配置”部分。
  3. 单击现有规则将其打开。
    如果要使用端口分配设置创建新规则,请单击该部分右上角的 添加规则
  4. 转到规则的端口配置选项卡。
  5. 单击添加端口配置
    此时将显示“新建端口配置”窗口。
  6. 端口 ID 字段中指定端口。
  7. “配置文件”下拉列表中,选择要分配给指定端口的端口配置文件。
  8. 根据需要指定其他设置,然后单击“新建端口配置”窗口右上角的复选标记 (✓)。
  9. 要应用对规则所做的更改,请单击规则窗口右上角的复选标记 (✓)。
  10. 单击模板右上角的“保存”以确认并保存更改。

您还可以在交换机级别为交换机端口分配端口配置文件。您可以通过交换机详细信息页面上的 Device 部分中的 Port 磁贴进行操作。单击“端口”磁贴上的“添加端口配置”并指定设置。观看以下视频,了解更多信息:

Port profiles provide a convenient way to manually or automatically provision EX switch interfaces. Going into the EX4300, we'll first create VLANs. We'll make a camera network with VLAN ID 30 and an IoT network with VLAN ID 29.

You can create as many networks as needed. You can create the profiles, for example, a camera, and map it to the camera network that we just created. Customize the settings as desired, such as PoE and STP.

We'll repeat this process to create profiles for a corporate device enabling 802.1x authentication, an IoT device configured with PoE, and an access point configured as a trunk port. It's very simple to modify profiles to meet your specific requirements. Then we go into the port configuration section to associate the configurations with port profiles.

Here we map ports 1 through 5 to be with an AP profile, ports 6 through 10 with a corporate device profile, ports 11 through 15 with IoT profiles, and ports 16 to 20 with the camera profile. This is how to create port profiles. We can also create port aggregation uplinks to be associated with the appropriate profiles.

When you save all of your changes, this pushes the configuration to the particular switch. This covers how EX switches are manually provisioned with port profiles from the Juniper MIST Cloud.

配置动态端口配置文件分配

使用本部分中的步骤配置规则,以便将端口配置文件动态分配给接口。当用户使用动态配置文件配置将客户端设备连接到交换机端口时,交换机会识别设备并为端口分配合适的端口配置文件。动态端口分析利用客户端设备的一组设备属性自动将预配置的端口和网络设置与接口相关联。您可以根据各种参数(如 LLDP 名称和 MAC 地址)配置动态端口配置文件。

您可以在模板级别或交换机级别配置动态端口配置文件分配。

要在模板级别设置端口配置文件的动态分配:

  1. 转到组织>有线>交换机模板,然后单击模板将其打开。
  2. 导航到 Shared Elements 部分中的 Dynamic Port Configuration 磁贴。
  3. 在动态端口配置磁贴上,单击添加规则。
    此时将显示 “新建规则” 窗口。
  4. 设置动态端口配置 (DPC) 规则以自动分配端口配置文件。下面是一个自动将端口配置文件“接入点”分配给Mist接入点的规则示例。根据此规则,当端口识别出机箱 ID 以 D4:20:B0 或 D4:21:B1 开头的设备时,它会将“接入点”配置文件分配给连接的设备。

    有关更多信息,请参阅交换机配置选项页面上的 共享元素 — 动态端口配置

    注意:如果在 DPC 规则中的“ 如果文本开头为”字段中使用多个值,请用逗号分隔它们,并确保它们都具有相同的长度。如果任何值的长度不同,则必须为其创建单独的规则。
  5. 要应用更改,请单击“新建规则”窗口右上角的复选标记 (✓)。
  6. 导航至“选择交换机配置”部分。
  7. 单击现有规则将其打开。
    如果要创建具有动态端口分配设置的新规则,请单击该部分右上角的 添加规则
  8. 转到规则的端口配置选项卡。
  9. 单击添加端口配置
    此时将显示“ 新建端口配置 ”窗口。
  10. 端口 ID 字段中指定端口。
  11. “配置文件”下拉列表中,选择端口配置文件。当连接的设备不满足动态分配规则时,此配置文件将应用于端口。

    我们建议创建一个受限网络配置文件,当连接到启用了动态端口配置的交换机端口时,该配置文件可分配给未知设备。在上述示例中,端口启用了动态端口配置,并分配了受限 VLAN。在这种情况下,如果连接的设备与动态分析属性不匹配,则会将其放入受限 VLAN(如不可路由 VLAN 或访客 VLAN)中。

  12. 选中“启用动态配置”复选框。

    有关更多信息,请参阅“选择交换机配置 - 端口配置选项卡中的启用动态端口配置”行。

  13. 根据需要指定其他设置,然后单击“新建端口配置”窗口右上角的复选标记 (✓)。
  14. 要应用对规则所做的更改,请单击规则窗口右上角的复选标记 (✓)。
  15. 单击模板右上角的“保存”以确认并保存更改。
  16. 要验证端口配置文件是否已动态分配给交换机端口,请执行以下步骤:
    1. 左侧菜单中选择 交换机 以转到交换机列表。
    2. 单击交换机列表中的 Insights 列中的 Switch Insights 链接。
    3. 交换机事件下查找端口分配事件。

识别客户端后,端口配置文件需要几分钟才能应用到端口中,端口配置文件分配状态才会显示在 Mist 门户上。

如果交换机重新启动或大规模链路启动或关闭事件影响交换机上的所有端口,则大约需要 20 分钟才能将所有端口分配到正确的配置文件(假设所有端口都启用了动态端口配置)。

您还可以在交换机级别设置动态端口配置文件分配。您可以从交换机详情页面进行操作。观看以下视频,了解更多信息:

Wired Assurance offers dynamic port profiles, so you can simply plug in your device and it will automatically be assigned the appropriate profile. This is also referred to as the provisioning of colorless ports. In this example, we have a Juniper AP assigned to port 5. We also created a port profile called Minimal Access that has access to a guest network on VLAN 99.

Based on what the devices identify themselves as, we can create rules to assign profiles. We'll use the LLDP chassis ID to identify the device, and if it starts with the octet D420B0, it will be given the AP12 profile. So what we just did is set the dynamic profile assignment for port 5. If the wired device does not register as an AP12, then it will get the Minimal Access profile.

If it shows as an AP12, then it gets the AP12 profile. To verify that the port was assigned the right profile, take a look at the switch events log. You can see that the AP12 profile was correctly identified and automatically applied to port 5. Dynamic port profiles are not just limited to Juniper devices alone.

Anything based on LLDP or RADIUS name also falls under the domain of dynamic port profiles. This means that the days of manually assigning profiles to ports or even a range of ports are no longer necessary.
注意:

  • 确保动态端口配置中使用的默认或受限 VLAN 没有运行活动的 DHCP 服务器。否则,您可能会在某些旧设备上遇到过时的 IP 地址问题。

  • 具有基于端口的网络访问控制 (NAC) 身份验证的交换机不需要动态端口配置,因为 VLAN 分配由 RADIUS 服务器处理。此外,当使用具有 MAC 身份验证旁路 (MAB) 的 RADIUS 服务器时,我们不建议使用动态端口配置文件。

  • 当设备支持 LLDP 时,优先选择基于 LLDP 的匹配,而不是基于 MAC 的匹配。

  • 请勿在启用了 802.1X 身份验证的端口上使用基于 MAC 的匹配。

  • 避免使用 Filter-ID 属性。在端口上启用 802.1X 后,应通过 RADIUS 处理 VLAN 分配,而不依赖 Filter-ID

  • 交换机上的动态端口配置用于建立与 IoT 设备、接入点和用户端口端点的连接。您不应使用它在交换机、交换机和路由器以及交换机和防火墙之间建立连接。您不应在上行链路端口上启用动态端口配置。

当根据连接的设备将端口配置文件动态分配给交换机端口时,此事件将显示在 Switch Insights 页面的 Switch Events 部分中。您还可以将光标悬停在交换机详细信息页面的“前面板”部分中的端口上,查看交换机端口上的动态端口配置文件详细信息。

注意:

Junos 要求端口配置文件中的每个接口范围至少包含一个成员接口。启用动态端口配置后,Junos 会在端口配置文件配置中包括一个虚拟接口 (ge-168/5/X) 作为占位符,这样即使未分配给实际接口,配置也仍然有效。例如,如果接口当前已分配给端口配置文件 A,但端口配置文件 B 预计稍后会动态应用,则使用像 ge-168/5/0 这样的占位符来保持配置文件 B 的接口范围有效。

您还可以使用以下 API 配置和验证动态端口配置详细信息:

修改端口配置文件

您可以在交换机模板级别和单个交换机级别修改端口配置文件。

注意:

  • 只能从交换机模板修改系统定义的端口配置文件。但是,Mist 不允许修改以下系统定义的端口配置文件: 默认禁用

  • 如果从交换机模板修改系统定义的端口配置文件,则该配置文件的修改版本仅适用于该模板。

要修改端口配置文件:

  1. 转至组织>交换机模板,然后选择相应的交换机模板。
    如果要修改在交换机级别定义的端口配置文件,请导航至交换机详细信息页面 ( 交换机 > switch-name)。
  2. 导航至“端口配置文件”磁贴。
    在交换机模板中,您可以在“共享元素”部分中找到此磁贴。在交换机详细信息页面的 Networks & Port Profiles 部分中找到此磁贴。
  3. 选择要修改的端口配置文件。
  4. 按照共享元素 - 端口配置文件中所述对设置进行必要的更改。
  5. 指定设置后,单击“新建端口配置文件”窗口右上角的复选标记 (✓)。
  6. 点击模板或交换机详情页面右上角的保存,确认并保存更改。

删除端口配置文件

您可以在模板级别或单个交换机级别删除端口配置文件。

要删除端口配置文件:

  1. 转到组织>交换机模板,然后选择相应的交换机模板。
    如果要删除在交换机级别定义的端口配置文件,请导航至交换机详细信息页面( 交换机 > switch-name)。
    注意:

    • 您只能从交换机模板中删除系统定义的端口配置文件。但是,无法删除以下系统定义的端口配置文件: 默认禁用

    • 在交换机详细信息页面中,您只能删除在交换机级别定义的配置文件。
  2. 导航至“端口配置文件”磁贴。
    在交换机模板中,您可以在共享元素部分找到此磁贴。在交换机详细信息页面的 Networks & Port Profiles 部分中找到此磁贴。
  3. 选择要删除的端口配置文件。
  4. 单击“编辑端口配置文件”配置左上角的垃圾桶图标。
  5. 将出现一条警告,告知您删除操作是永久性的。端口配置文件一旦删除,您将无法恢复。输入端口配置文件的名称,然后单击删除
    注意:

    • 如果删除接入点、物联网或上行链路系统定义的端口配置文件,则在站点或设备级别对这些配置文件的任何引用都将恢复为默认配置文件(端口配置或动态端口配置文件)。

    • 如果您要创建自己的端口配置文件并将其命名为“ap”、“iot”或“uplink”(在删除系统定义的端口配置文件后),它将被视为任何其他用户定义的端口配置文件。
  6. 单击模板右上角的“保存”以确认并保存更改。

端口配置最佳实践

以下是一些建议您的交换机端口,以便与 Mist 接入点无缝配合:

  • 在中继端口上,删除所有不需要的 VLAN。端口上仅应包含所需的 VLAN(基于 WLAN 配置)。由于默认情况下接入点不会保存配置,因此接入点应该能够获取本征 VLAN 上的 IP 地址,以便连接到云并进行配置。

  • 不建议使用端口安全(MAC 地址限制),除非所有 WLAN 都以隧道方式连接。

  • 您可以随意启用BPDU保护,因为除非是网状底座,否则BPDU通常不会在接入点上从无线连接桥接到有线连接。 BPDU 是在使用生成树协议拓扑的扩展 LAN 内交换机之间交换的数据消息。 BPDU 数据包包含有关端口、地址、优先级和成本的信息,并确保数据最终到达预期位置。