Anhang: Tag-0-Plan

Aufbau eines Virtual Chassis

Virtual Chassis – Übersicht (Juniper Mist Systems)

Die Virtual Chassis Technologie ermöglicht es Ihnen, mehrere einzelne Switches zu einer logischen Einheit zusammenzuschalten und als eine Einheit zu verwalten. Sie können ein Virtual Chassis über das Portal von Juniper Mist Systems™ konfigurieren und verwalten. Die Switches, die Sie einem Virtual Chassis hinzufügen, werden als Member bezeichnet. In einem Virtual Chassis-Setup verbinden VCPs die Mitglieds-Switches und sind für die Weitergabe der Daten und die Steuerung des Datenverkehrs zwischen den Mitglieds-Switches verantwortlich.

Ein Virtual Chassis hilft Ihnen, das Risiko von Schleifen zu minimieren. Außerdem werden dadurch ältere Redundanz Protokolle wie Spanning-Tree-Protokolle (STPs) und Virtual Router Redundancy Protocol (VRRP) überflüssig. In Core- und Distribution-Bereitstellungen können Sie über LAG-Uplinks (Link Aggregation Group) eine Verbindung mit dem Virtual Chassis herstellen. Diese Uplinks stellen sicher, dass die Mitglieds-Switches in einem Virtual Chassis über Redundanz auf Geräteebene verfügen.

Ein Virtual Chassis kann zwei bis zehn Switches enthalten. Eine solche physische Konfiguration kann eine bessere Ausfallsicherheit bieten, wenn ein Komponenten-Switch ausfällt. Ein möglicher Nachteil der Kombination mehrerer Switches in einem Virtual Chassis ist, dass diese Konfiguration mehr Platz und Strom benötigt als ein einzelnes Gerät.

Link zum Video: Virtual Chassis Übersicht

Sie können ein Virtual Chassis mit der Option Form Virtual Chassis im Portal erstellen. Die Option "Form Virtual Chassis" gilt nur für die Juniper Networks® EX4650 Switches, Juniper Networks® QFX5120 Switches und EX2300 Switches, da diese Switches keine dedizierten VCPs haben. Diese Option ist für Juniper Networks® EX4100-F-Switch, Juniper Networks® EX4300-Switch, Juniper Networks® EX4600-Switch, EX3400, EX4100 und EX4400-Switches nicht verfügbar, da sie mit dedizierten VCPs ausgestattet sind.

Tabelle 1 zeigt die Switch-Modelle zusammen mit der maximalen Anzahl von Mitglieds-Switches, die in einer Virtual Chassis-Konfiguration zulässig sind.

Tabelle 1: Maximale Anzahl von Member Switches, die in einer Virtual Chassis-Konfiguration zulässig sind

Switch-Modell	Maximale Anzahl der Mitglieder
EX2300	4
EX4650	4
EX3400	10
EX4000	6
EX4100	10
EX4100-F	10
EX4100-H	6
EX4300	10
EX4400	10
EX4400-24X	10
EX4600	10
QFX5120-32C, QFX5120-48T, QFX5120-48Y	2
QFX5120-48YM	4
QFX5110	10

Juniper Mist Systems unterstützt nur vorab bereitgestellte Virtual Chassis-Konfigurationen. Nicht bereitgestellte Konfigurationen werden nicht unterstützt. Die vorab bereitgestellte Konfiguration ermöglicht die deterministische Steuerung der Rollen und Mitglieds-IDs, die den Mitglieds-Switches beim Erstellen und Verwalten eines Virtual Chassis zugewiesen werden. Die vorab bereitgestellte Konfiguration unterscheidet Mitglieds-Switches, indem sie ihre Seriennummern mit der Mitglieds-ID verknüpft.

Weitere Informationen finden Sie unter Übersicht über Virtual Chassis für Switches.

Gemischte und nicht gemischte Virtual Chassis

Ein Virtual Chassis, das Switches desselben Modells enthält, kann als nicht gemischtes Virtual Chassis betrieben werden. Ein Virtual Chassis, das verschiedene Modelle desselben Switches enthält (z. B. zwei oder mehr Arten von Switches der EX-Serie), muss jedoch aufgrund von Architekturunterschieden zwischen den verschiedenen Switch-Modellen im gemischten Modus betrieben werden.

Tabelle 2: Unterstützte Kombination von Switches in einem Mixed-Mode Virtual Chassis

Zulässige Routing-Engine-Mitglieder	Erlaubte Linecard-Mitglieder
EX4300	EX4300 und EX4600
EX4300-48MP	EX4300-48MP und EX4300 (außer EX4600)
EX4600	EX4600 und EX4300 (außer EX4300-48MP)

Weitere Informationen zu der Kombination von Switches, die von einer gemischten oder einer nicht gemischten Virtual Chassis Konfiguration unterstützt wird, finden Sie unter Grundlegendes zu gemischten EX-Serie und QFX-Serie Virtual Chassis.

Überlegungen zum Design für Virtual Chassis

Wir empfehlen, dass Sie Ihre Juniper Access Points physisch über eine Etage im Network Operations Center (NOC) verteilen, sodass sie mit mehreren Switches in einem Virtual Chassis verbunden sind. Dies bietet eine bessere Redundanz und ist ein robusteres Design für den Umgang mit Hardwareausfällen im Zusammenhang mit Netzteilen.

Nehmen wir zum Beispiel an, Sie möchten eine Lösung mit 96 Ports bereitstellen. Die beiden wichtigsten Optionen dafür sind:

• Verwenden Sie zwei EX4300-48P-Switches, wobei ein Switch als primärer und einer als Backup dient. Die Vorteile hierbei sind eine kompakte Stellfläche und Kosteneffizienz. Der größte Nachteil besteht darin, dass der Ausfall eines Switches 50 Prozent Ihrer Benutzer betreffen kann.
• Verwenden Sie vier EX4300-24P-Switches, wobei ein Switch als primärer, einer als Backup und zwei Switches als Linecards dienen. Die Vorteile hierbei sind die höhere Verfügbarkeit (der Ausfall eines Switches betrifft nur 25 Prozent der Benutzer) und die Tatsache, dass Uplinks nicht von einem Switch-Ausfall betroffen sind (vorausgesetzt, der ausgefallene Switch enthielt keine Uplinks). Der Hauptnachteil besteht darin, dass Sie mehr Platz, Energie und Kosten benötigen, um die Geräte zu unterstützen. Unabhängig von den gewählten Optionen empfehlen wir, dass Sie, wenn Sie vorhaben, ein oder mehrere Virtual Chassis in Ihrer Bereitstellung zu nutzen, die primären und Backup-Switches im Virtual Chassis so konfigurieren, dass sie sich an unterschiedlichen physischen Standorten befinden. Die Mitgliedsgeräte des Virtual Chassis sollten ebenfalls so verteilt sein, dass nicht mehr als die Hälfte von derselben Stromversorgung oder einem anderen Single Point of Failure abhängig ist, und sie sollten durch einen Mitgliedshop im Virtual Chassis gleichmäßig verteilt sein.

Workflow für die VC-Bildung mit Mist Systems für EX3400-, EX4000-, EX4100-, EX4100-F-, EX4100-H-, EX4300-, EX4400- und EX4600-Switches

Die Switches EX3400, EX4000, EX4100, EX4100-F, EX4100-H, EX4300 und EX4400 verfügen über dedizierte VCPs. Ein dediziertes VCP kann je nach Switch-Modell entweder ein 100-Gbit/s-Port auf der Rückseite des Switches oder ein dedizierter 10-Gbit/s-Port auf der Vorderseite des Switches sein. Um ein Virtual Chassis mit diesen Switches zu erstellen, müssen Sie sie nur über VCPs miteinander verbinden. Die Option "Form Virtual Chassis " auf der Seite "Switches " im Portal von Juniper Mist Systems ist auf diese Switches nicht anwendbar. Sobald jedoch ein Virtual Chassis mit diesen Switches erstellt wurde, können Sie die Option "Virtual Chassis ändern" auf der Seite mit den Switch-Details verwenden, um das Virtual Chassis zu ändern und zu verwalten. Der Virtual Chassis-Workflow für diese Switches umfasst die folgenden zwei Schritte:

1. Bildung von Virtual Chassis durch Verbinden der Switches mit dedizierten VCPs und Einschalten.
2. (Optional, aber dringend empfohlen) Preprovisioning des Virtual Chassis mit der Option "Virtual Chassis ändern" im Portal von Juniper Mist Systems. Juniper Mist Systems unterstützt nur die vorab bereitgestellte Virtual Chassis-Konfiguration. Die vorab bereitgestellte Konfiguration gibt die Seriennummer, die Mitglieds-ID und die Rolle des Gehäuses für beide Mitglieds-Switches im Virtual Chassis an. Wenn ein neuer Router dem Virtual Chassis beitritt, vergleicht Junos OS seine Seriennummer mit den in der vordefinierten Konfiguration angegebenen Werten. Die Vorabbereitstellung verhindert versehentliche Rollenzuweisungen oder das versehentliche Hinzufügen eines neuen Mitglieds zum Virtual Chassis. Jede Rolle, Mitglieds-ID, das Hinzufügen oder Entfernen von Mitgliedern unterliegt der Kontrolle der Konfiguration.

Hinweis:

Juniper Mist Systems aktualisiert ein Virtual Chassis Linecard-Mitglied automatisch, wenn auf diesem eine andere Junos OS-Version als das primäre Mitglied ausgeführt wird. Das Linecard-Mitglied wird auf dieselbe Version wie das primäre Mitglied aktualisiert, wenn die folgenden Bedingungen erfüllt sind:

• Der Switch muss ein Virtual Chassis mit mindestens drei Mitgliedern bilden, d. h. einem primären, einem Backup- und einem Linecard-Mitglied.

• Die Junos OS-Version auf dem Linecard-Member unterscheidet sich von der auf dem primären Member.

• Das Linecard-Element muss sich im Status "Inaktiv" befinden. Beachten Sie, dass ein Linecard-Mitglied nur dann aktualisiert wird, wenn es inaktiv ist und eine deutlich andere Junos OS-Version ausführt. Geringfügige Versionsunterschiede, wie z. B. unterschiedliche Spin-Nummern, lösen kein Upgrade aus.

• Nur die im Portal von Juniper Mist Systems aufgeführten Junos OS-Versionen stehen für Upgrades zur Verfügung.

Zusätzlich zum Erstellen eines Virtual Chassis können Sie ein vorhandenes Virtual Chassis neu nummerieren, ersetzen oder ein Mitglied hinzufügen, indem Sie die Option "Virtual Chassis ändern " auf der Seite "Switch Details" verwenden.

Hinweis:

Die Option "Virtual Chassis modifizieren" ist für Switches verfügbar, für die die Konfigurationsverwaltung in Juniper Mist Systems aktiviert ist.

Sie können das Virtual Chassis im gemischten oder nicht gemischten Modus konfigurieren. Ein Virtual Chassis, das Switches des gleichen Modells enthält, funktioniert als nicht-gemischtes Virtual Chassis. Ein Virtual Chassis, das verschiedene Modelle desselben Switches umfasst, arbeitet jedoch aufgrund von Architekturunterschieden zwischen den verschiedenen Switch-Modellen im gemischten Modus. Weitere Informationen finden Sie unter Mixed and Non-Mixed Virtual Chassis.

So konfigurieren Sie ein Virtual Chassis mit EX3400-, EX4000-, EX4100-, EX4100-F-, EX4100-H-, EX4300- oder EX4400-Switches:

1. Stellen Sie sicher, dass alle Switches, die Sie in das Virtual Chassis aufnehmen möchten, in die Juniper Mist Systems Cloud integriert und demselben Standort zugewiesen sind. Informationen zum Onboarding eines neuen Switches (Greenfield-Bereitstellung) finden Sie unter Onboarding von Switches in die Juniper Mist Cloud. Informationen zum Onboarding eines vorhandenen Switches (Brownfield-Bereitstellung) finden Sie unter Onboarding eines Brownfield-Switches.
2. Schalten Sie die Switches aus, die Sie in das Virtual Chassis aufnehmen möchten.
3. Verbinden Sie die Switches mithilfe der dedizierten VCPs miteinander, vorzugsweise in einer vollständigen Ringtopologie, wie unten gezeigt. Im Folgenden finden Sie ein Beispielbild. Der Standort der VCPs variiert je nach Switch-Modell.
   Abbildung 3: Virtual Chassis VCP-Verbindung als Ring
4. Schalten Sie die Switches ein.
5. Warten Sie, bis die MST-LED am Primär- und Backup-Switch aufleuchtet. Die LED am Primärschalter leuchtet durchgehend. Am Backup-Switch blinkt die LED weiter.
   Hinweis:

   Die MST-LED bleibt an den Switches, die als Linecard-Mitglieder in einem Virtual Chassis ausgewählt wurden, aus.

6. Ein Virtual Chassis ist jetzt physisch geformt, aber nicht vorab bereitgestellt.

   Verbinden Sie das Virtual Chassis mit der Cloud von Juniper Mist Systems, indem Sie den Uplink-Port des primären Switches mit dem Upstream-Switch verbinden.

   Wir empfehlen, den Uplink-Port erst zu verbinden, nachdem sich das Virtual Chassis gebildet hat. Warten Sie, bis die MST-LEDs aufleuchten (die LED leuchtet durchgehend auf dem primären Mitglied und blinkt auf dem Backup-Mitglied), und verbinden Sie dann die Uplink-Ports dieser Komponenten.

   Dieser Schritt initiiert einen ZTP-Prozess auf dem Virtual Chassis und verbindet es mit der Juniper Mist Systems Cloud.

   Nachdem sich ein Virtual Chassis zum ersten Mal mit der Cloud von Juniper Mist Systems verbunden hat, kann es 5 bis 10 Minuten dauern, bis die Statistiken des Virtual Chassis in der Cloud von Juniper Mist Systems für alle Mitglieder angezeigt werden.

7. Klicken Sie auf Switches > Switch-Namen , um zur Seite Virtual Chassis (der Seite mit den Switch-Details) zu gelangen und die Details zu überprüfen.

   Die Switches werden wie unten dargestellt als einzelnes Virtual Chassis angezeigt:

   Abbildung 4: Virtual Chassis in der GUI von Mist Systems
8. Nachdem das Virtual Chassis mit der Cloud von Juniper Mist Systems verbunden wurde, stellen Sie es vorab bereit. Die Vorabbereitstellung ermöglicht es Benutzern, die Rollen zu definieren und entsprechend neu zu nummerieren. Führen Sie die folgenden Schritte aus, um das Virtual Chassis vorab bereitzustellen:
   1. Klicken Sie auf der Seite mit den Switch-Details auf Modify Virtual Chassis.

      Die Seite Virtual Chassis ändern wird angezeigt.

   2. Klicken Sie auf der Seite Virtual Chassis ändern auf Virtual Chassis vorab bereitstellen. Sehen Sie sich unten ein Beispiel für die Seite "Virtual Chassis modifizieren" an:

Dieser Schritt überträgt die vorab bereitgestellte Virtual Chassis-Konfiguration auf das Gerät und überschreibt die alte automatisch bereitgestellte Virtual Chassis-Konfiguration, die während des ZTP-Prozesses auf das Gerät übertragen wurde. Diese Option setzt die aktuelle Positionierung der Mitglieder voraus und stellt sie unverändert bereit.

Hinweis:

Wenn Sie auf der Seite "Virtual Chassis ändern" Änderungen vornehmen, z. B. das Verschieben der Mitglieder oder das Hinzufügen oder Entfernen von Mitgliedern, wird die Schaltfläche "Virtual Chassis vorgeben" deaktiviert und die Schaltfläche "Aktualisieren" aktiviert. Klicken Sie in diesem Fall auf die Schaltfläche Aktualisieren , um die vorgenommenen Änderungen zu übernehmen und das Virtual Chassis vorab bereitzustellen.

Alle Konfigurationen werden sofort nach der Vorabbereitstellung des Virtual Chassis übertragen. Es kann bis zu 15 Minuten dauern, bis die Statistiken auf dem Dashboard von Juniper Mist Systems angezeigt werden.

Workflow für die Bildung von Virtual Chassis mit Juniper Mist Systems für EX2300, EX4650 und QFX5120

Hinweis:

Die Virtual Chassis-Formation auf den folgenden Switches der EX-Serie kann ohne Vorabbereitstellung nicht durchgeführt werden. Möglicherweise müssen Sie dies in einer Labor- oder Staging-Umgebung aktivieren, in der Sie über ordnungsgemäßen Zugriff auf die Juniper Mist Systems Cloud verfügen und die Geräte so verwalten, dass sie auf der Seite "Inventar " angezeigt werden. Dies muss geschehen, bevor Sie die Erstellung des Virtual Chassis ausführen können.

Die EX2300-, EX4650- und QFX5120 Switches bilden standardmäßig keine Virtual Chassis, da diese Switches keine dedizierten VCPs haben. Um ein Virtual Chassis mit diesen Switches zu erstellen, müssen Sie daher die Option Form Virtual Chassis im Portal von Juniper Mist Systems™ verwenden. Die Option Form Virtual Chassis gilt nur für die Switches EX2300, EX4650 und QFX5120. Mit diesem Workflow wird eine vorab bereitgestellte Virtual Chassis-Konfiguration erstellt. Juniper Mist Systems unterstützt nur die vorab bereitgestellte Virtual Chassis-Konfiguration.

Das Verfahren zur Konfiguration eines Virtual Chassis mit den Switches EX3400, EX4000, EX4100, EX4100-F, EX4100-H, EX4300 oder EX4400 unterscheidet sich, da diese Switches über dedizierte VCPs verfügen. Weitere Informationen finden Sie unter Workflow für die VC-Bildung mit Mist Systems für EX3400, EX4000, EX4100, EX4100-F, EX4100-H, EX4300, EX4400 und EX4600.

So konfigurieren Sie ein Virtual Chassis mit EX2300-, EX4650- oder QFX5120-Switches:

1. Verbinden Sie die Switches mit der Cloud von Juniper Mist Systems. Stellen Sie sicher, dass Sie eine Uplink-Verbindung direkt zum Switch haben.
2. Stellen Sie sicher, dass alle Switches, die Sie in das Virtual Chassis aufnehmen möchten, in die Juniper Mist Systems Cloud integriert und demselben Standort zugewiesen sind. Stellen Sie außerdem sicher, dass die Konfigurationsverwaltung auf den Switches aktiviert ist.
3. Klicken Sie links auf die Registerkarte Switches , um zur Seite Switches zu navigieren.
4. Wählen Sie die Switches aus, die Sie in das Virtual Chassis aufnehmen möchten.

   Eine EX2300-Switch-Variante kann mit allen EX2300-Switch-Varianten ein Virtual Chassis bilden. Ein Switch der EX4650-Variante kann mit allen EX4650-Switch-Varianten ein Virtual Chassis bilden. Eine QFX5120 Switch-Variante kann nur mit derselben QFX5120 Switch-Variante ein Virtual Chassis bilden. Daher ist die Option "Form Virtual Chassis " nur verfügbar, wenn Sie die richtigen Switch-Modelle für ein Virtual Chassis auswählen.

5. Klicken Sie > Formular Virtual Chassis auf das Dreipunkt-Menü.
   Abbildung 6: Form Virtual Chassis
   Hinweis:

   Die Option "Form Virtual Chassis " wird nur angezeigt, wenn:Auf den ausgewählten Switches wird dieselbe Junos OS-Version ausgeführt und die Konfigurationsverwaltungsoption ist aktiviert. Alle ausgewählten Switch-Modelle werden vom Virtual Chassis unterstützt.

   Sie können Virtual Chassis auch auf der Seite mit den Switch-Details erstellen, indem Sie die Option Versorgungsunternehmen > Formular Virtual Chassis verwenden.

   Das Fenster Form Virtual Chassis wird angezeigt, wie im folgenden Beispiel gezeigt.

   Abbildung 7: Option für Versorgungsunternehmen
   Hinweis:

   Dieses Beispiel zeigt zwei Switches, die im Virtual Chassis enthalten sind. Ein Virtual Chassis-Gerät, das mit EX2300- oder EX4650-Switches erstellt wurde, unterstützt bis zu 4 Switches. Alle Switches, mit Ausnahme der zugewiesenen Routing-Engine-Rollen, fungieren als Linecard-Mitglieder.

6. Geben Sie im Fenster Form Virtual Chassis Folgendes an:
   1. Port-IDs für die Switches. Dies sind IDs für die VCPs. In diesem Fenster werden alle Switches angezeigt, die Sie auf der Seite "Switches" ausgewählt haben.
   2. Der Switch der Routing-Engine 1 . Der zuerst ausgewählte Switch wird standardmäßig als Switch der Routing-Engine 1 angezeigt. Sie können das ändern.
   3. Der Switch der Routing-Engine 2 . Diese Konfiguration ist optional. Wenn Sie keinen Switch für die Funktion in der Rolle Routing-Engine 2 auswählen, weist Mist Systems diesem Switch die Linecard-Rolle zu.
      Hinweis:

      Juniper Mist Systems aktualisiert ein Virtual Chassis Linecard-Mitglied automatisch, wenn auf diesem eine andere Junos OS-Version als das primäre Mitglied ausgeführt wird. Das Linecard-Mitglied wird auf dieselbe Version wie das primäre Mitglied aktualisiert, wenn die folgenden Bedingungen erfüllt sind:Der Switch muss ein Virtual Chassis mit mindestens drei Mitgliedern bilden, d. h. einem primären, einem Backup- und einem Linecard-Mitglied. Die Junos OS-Version auf dem Linecard-Member unterscheidet sich von der auf dem primären Member. Das Linecard-Element muss sich im Status "Inaktiv" befinden. Beachten Sie, dass ein Linecard-Mitglied nur dann aktualisiert wird, wenn es inaktiv ist und eine deutlich andere Junos OS-Version ausführt. Geringfügige Unterschiede, wie z. B. unterschiedliche Spin-Zahlen, lösen kein Upgrade aus. Nur die im Portal von Juniper Mist Systems aufgeführten Junos OS-Versionen stehen für Upgrades zur Verfügung.

      Bei diesem Vorgang werden die Ports in VCPs konvertiert und das Virtual Chassis vorab bereitgestellt.

7. Klicken Sie auf Form Virtual Chassis und warten Sie, bis das Virtual Chassis erstellt wurde.

   Auf der Seite "Switches" wird eine Meldung angezeigt, die besagt, dass Sie die Switches mithilfe der VCPs miteinander verbinden müssen.

   

8. Verbinden Sie die Switches mithilfe der konfigurierten VCPs miteinander.

   Wenn die Virtual Chassis-Formation im Gange ist, wird auf der Seite "Switches" der Switch-Status als VC-Bildung angezeigt.

   

   Nachdem die Virtual Chassis-Bildung erfolgreich war, wird auf der Seite "Switches" nur ein Eintrag für das Virtual Chassis mit dem Namen des primären Switches angezeigt. In der Spalte "Mist Systems APs " wird jedoch ein AP für jedes Virtual Chassis-Mitglied in einem durch Kommas getrennten Format angezeigt.

   

   Auf der Seite mit den Switch-Details wird die Vorderseite aller Virtual Chassis-Mitglieder angezeigt.

   

   Hinweis:

   Wenn Sie nach der Bildung des Virtual Chassis nur einen Uplink zum Virtual Chassis benötigen, behalten Sie den Uplink zum primären Switch bei und entfernen Sie die Uplinks von den anderen Switches.

   Sie können die Option "Virtual Chassis ändern" auf der Seite "Switch-Details" verwenden, um Virtual Chassis-Mitglieder neu zu nummerieren und zu ersetzen und Mitglieder zu einem Virtual Chassis hinzuzufügen, das mit der Cloud von Juniper Mist Systems verbunden ist. Weitere Informationen finden Sie unter Verwalten eines Virtual Chassis mit Mist Systems (Hinzufügen, Löschen, Ersetzen und Ändern von Mitgliedern).

Workflow für die VC-Bildung mit Juniper Mist Systems für EX4400-24X

Hinweis:

Die Virtual Chassis-Formation auf den folgenden Switches der EX-Serie kann ohne Vorabbereitstellung nicht durchgeführt werden. Möglicherweise müssen Sie dies in einer Labor- oder Staging-Umgebung aktivieren, in der Sie über ordnungsgemäßen Zugriff auf die Juniper Mist Systems Cloud verfügen und die Geräte so verwalten, dass sie auf der Seite "Inventar" angezeigt werden. Planen Sie für EX4400-24X-Switches bei der Vorabbereitstellung des Virtual Chassis den Zugriff auf die serielle Konsole ein.

1. Entpacken Sie die EX4400-24X-Switches aus und schalten sie sie ein.
2. Cloud-Erreichbarkeit: Verbinden Sie die 10-GbE-Frontpanel-Ports oder schließen Sie ein entsprechendes Uplink-Modul des EX4400-24X von jedem Mitglied des Virtual Chassis an jedes der vorgeschalteten Geräte, wie z. B. den WAN-Router, an und stellen Sie sicher, dass die Verbindungen als verbunden angezeigt werden und die Cloud von Juniper Mist Systems erreichen können.
3. Onboarding des Switches im Juniper Mist Systems Dashboard:
   1. Claim-Methode (bevorzugt): Bitte lesen Sie das Kapitel "Aktivieren eines Greenfield-Switches über Claim- und ZTP-basierte Installation" unten mit QR-Code und Mist Systems App / Mist Systems Dashboard.
   2. Adoption-Methode: Bitte lesen Sie das Kapitel "Aktivieren eines Brownfield-Switches über eine codebasierte Adoption-Installation" unten.
4. Bei Verwendung der Claim-Methode sollten die Geräte im Bestand der Juniper Mist Systems automatisch als Teil des Prozesses Cloud erscheinen. Bei Verwendung der Adoption-Methode können die Switches sofort oder nach der Bildung des Virtual Chassis erscheinen.

   In den folgenden Schritten wird beispielsweise die Bildung eines Virtual Chassis aus den beiden Switches EX4400-24X erläutert:

5. Verbinden Sie die VCPs auf dem EX4400-24X mit DAC-Kabeln – 40G/100G. Die VCPs befinden sich auf der Frontplatte des EX4400-24X (wie in der Abbildung unten dargestellt) und unterstützen nur das HGoE-Protokoll für die Bildung von Virtual Chassis.

   

6. Melden Sie sich entweder über die Remote-Konsole oder ein serielles Konsolenkabel, das direkt an den ersten Switch angeschlossen ist, der zum primären Switch Ihres Virtual Chassis wird, bei der Junos OS CLI an und geben Sie den folgenden Befehl ein: request virtual-chassis mode hgoe <reboot>
7. Dieser CLI-Befehl ist erforderlich, um die beiden Frontpanel-Ports der EX4400-24X-Switches von Netzwerkports in VCPs umzuwandeln und so die Bildung von Virtual Chassis zu ermöglichen. Ein Beispiel finden Sie in der Abbildung unten.

   

8. Stellen Sie sicher, dass der Switch jetzt neu gestartet wird.
9. Wiederholen Sie den Befehl auf Ihrem Backup-Switch und führen Sie anschließend einen Neustart durch. Wiederholen Sie außerdem den Befehl, und starten Sie alle optionalen Linecard-Switches neu.
10. Sobald die Geräte nach dem Neustart hochgefahren sind, sollten sie sich im Virtual Chassis-Modus befinden und auf dem Dashboard von Juniper Mist Systems als ein einziges Gerät angezeigt werden:

    

11. OPTIONAL: Überprüfen Sie den Status des Virtual Chassis mithilfe der Remote-Shell, wie in der folgenden Abbildung dargestellt:

    

Wie verbindet sich ein Switch der EX-Serie mit der Juniper Mist Cloud, um verwaltet zu werden?

Wenn ein Switch der EX-Serie von der Juniper Mist Systems Cloud verwaltet werden muss, muss er die Möglichkeit haben, Daten mit der nächstgelegenen erreichbaren Juniper Mist Systems Cloud auszutauschen. Sie können einen Switch der EX-Serie nicht in Air-Gap-Umgebungen ohne Internetzugang verwenden. Sollte zwischen dem Switch der EX-Serie und der Cloud von Juniper Mist Systems eine Firewall bestehen, überprüfen Sie bitte den Link in Ihrem Mist Systems-Konto für "Ports und Endgeräte", um die Firewall so zu konfigurieren, dass dieser Datenverkehr zugelassen wird.

Um zu vermeiden, dass das Gerät vorab für die Konfiguration einer Konfiguration über eine Konsolenverbindung eingerichtet werden muss, sollte der Switch wie jeder andere kabelgebundene oder drahtlose Client eine DHCP-Lease vom lokalen Netzwerk erhalten. In der Regel führt der lokale WAN-Router einen DHCP-Server aus, der so konfiguriert ist, dass er DHCP-Leases und Zugriff auf die Cloud von Juniper Mist Systems für den angeschlossenen Switch bereitstellt.

Nachfolgend sehen wir die werkseitige Standardkonfiguration, die beim ersten Einschalten auf dem Switch erwartet wird.

In der werkseitigen Standardkonfiguration ist der Switch so eingestellt, dass er eine DHCP-Lease über verschiedene Schnittstellen erhält, eine Standardroute installiert und versucht, sich zur Verwaltung mit der Cloud von Juniper Mist Systems zu verbinden. Der Switch initiiert automatisch die Kommunikation mit der Cloud von Juniper Mist Systems, wobei davon ausgegangen wird, dass Quell-NAT irgendwo entlang des Netzwerkpfads zur Cloud angewendet wird. Mit der DHCP-Standard-Lease wird der Switch mit zwei Hauptbetriebsmethoden verwaltet:

• Die DHCP-Lease kann über den dedizierten Out-of-Band-Management-Port bezogen werden (kann bei den Switches der QFX-Serie und der EX9200-Serie unterschiedlich bezeichnet werden). Dieser Port wird in Junos OS als "me0" bezeichnet und die DHCP-Lease wird der virtuellen Schnittstelle namens "vme" zugewiesen (auf den Switches der Serie EX9200 wird sie als "fxp0" bezeichnet). Die Verwendung von dedizierten Out-of-Band-Management-Ports ist für Campus-Fabric-Setups konzipiert und wird in der Regel von diesen verwendet.
• Die DHCP-Lease kann von jedem regulären Umsatzport auf dem Switch abgerufen werden. Die werkseitige Standardkonfiguration konfiguriert ein natives Standard-VLAN auf allen Umsatzports und ordnet dieses VLAN der integrierten Routing- und Bridging-Schnittstelle (IRB.0) namens "irb.0" zu. Die DHCP-Lease wird dann dieser virtuellen Schnittstelle zugewiesen. Es wird davon ausgegangen, dass alle anderen VLANs dieselbe Schnittstelle wie Trunk-VLANs mit zugewiesenen IEEE 802.1q-Tags verwenden. Diese In-Band-Verwaltungsmethode ist in Zweigstellenbereitstellungen sehr beliebt, da Sie keine zusätzlichen Kabel benötigen, nur um den Switch selbst zu verwalten. Stattdessen multiplexen Sie den Upstream-Datenverkehr in dieselbe Verbindung und trennen ihn durch reguläre VLANs.

Ein Standalone-Switch für die empfohlene In-Band-Verwaltungsmethode kann über folgende Weise an den WAN-Router angeschlossen werden:

• Eine einzige Verbindung, die nicht redundant ist. Das native VLAN, über das der Switch von der Cloud von Juniper Mist Systems aus verwaltet wird, ist als erstes Bindeglied vorhanden, wobei die Seite des WAN-Routers beim Start möglicherweise nur ein Zugriffs-VLAN ist. Im Laufe der Zeit können Sie die beiden Seiten ändern, ohne die Möglichkeit zur Verwaltung des Switches zu verlieren, solange Sie über ein nativ konfiguriertes VLAN verfügen, das weiterhin über den verwalteten Switch verfügt, der eine Verbindung zur Juniper Mist Systems Cloud bereitstellt.
• Mehrere redundante Links. In diesem Fall wird davon ausgegangen, dass beide Seiten in der Lage sind, IEEE 802.ad Link-Aggregation und aktives LACP zu konfigurieren, um Ausfälle jeder konfigurierten Verbindung zu erkennen. Da die Link-Aggregation auf dem Switch der EX-Serie nicht anfänglich konfiguriert ist, müssen Sie zunächst sicherstellen, dass er eine erfolgreiche Verbindung zur Juniper Mist Systems-Cloud herstellen kann, und dann die Links als LAG mit aktivem LACP neu konfigurieren. Es gibt mehrere Möglichkeiten, wie Sie dies erreichen können, die im nächsten Kapitel "Best Practices bei der Verwendung von Link Aggregation auf den Uplink-Schnittstellen" erläutert werden.
  Abbildung 8: Switch-In-Band-Management

Für ein Virtual Chassis, das In-Band-Management verwendet, empfehlen wir, sich nicht auf einen einzelnen Uplink zu verlassen, selbst wenn dieser technisch unterstützt wird. Verwenden Sie stattdessen mehrere Uplinks, die zu einer LAG mit aktiviertem aktivem LACP kombiniert werden. Idealerweise sollte jeder Uplink mit einem anderen Komponenten-Switch innerhalb des Virtual Chassis verbunden sein, wie unten dargestellt.

Da die Link-Aggregation nicht standardmäßig konfiguriert ist, müssen Sie zunächst sicherstellen, dass das Virtual Chassis eine Verbindung zur Cloud von Juniper Mist Systems herstellen kann, bevor Sie die Uplinks in eine LAG mit aktivem LACP umkonfigurieren. Hierfür stehen mehrere Methoden zur Verfügung, die im nächsten Kapitel, Best Practices bei der Verwendung von Link-Aggregation auf Uplink-Schnittstellen, beschrieben werden.

Auch wenn es in der Filiale selten verwendet wird, kann man immer noch Out-of-Band-Management verwenden. Hier gehen wir aus Kostengründen davon aus, dass eine Zweigstelle über ein Out-of-Band-Verwaltungsnetzwerk verfügt, das nur innerhalb einer einzigen Zweigstelle eingerichtet ist und nicht auf mehrere Zweigstellen ausgedehnt ist.

Bei Verwendung der Out-of-Band-Verwaltungsmethode kann ein eigenständiger Switch über den dedizierten Management-Port des Switches an den WAN-Router angeschlossen werden. Der WAN-Router muss dann die DHCP-Lease bereitstellen (eine für jeden Standalone-Switch und eine für jedes Virtual Chassis). Sobald der Leasingvertrag abgeschlossen ist, kann sich der Switch der EX-Serie über das Internet mit der Cloud von Juniper Mist Systems verbinden und von Mist Systems verwaltet werden. Sie haben die gleiche Wahl in Bezug auf den Uplink zum WAN-Router:

• Eine einzige Verbindung, die nicht redundant ist. Der Management-Port ist immer als Zugriffs-VLAN konfiguriert, und die Portkonfiguration des WAN-Routers ändert sich im Laufe der Zeit nicht. Daher können Sie den Uplink jederzeit zwischen dem WAN-Router und dem Switch der EX-Serie konfigurieren, ohne befürchten zu müssen, die Fähigkeit zur Verwaltung des Switches zu verlieren.
• Mehrere redundante Links. In diesem Fall wird davon ausgegangen, dass beide Seiten in der Lage sind, IEEE 802.ad Link-Aggregation und aktives LACP zu konfigurieren, um Ausfälle jeder konfigurierten Verbindung zu erkennen. Der Management-Port ist immer als Zugriffs-VLAN konfiguriert, und die Portkonfiguration des WAN-Routers ändert sich im Laufe der Zeit nicht. Daher können Sie den Uplink jederzeit zwischen dem WAN-Router und dem Switch der EX-Serie konfigurieren, ohne befürchten zu müssen, die Fähigkeit zur Verwaltung des Switches zu verlieren.
  Abbildung 10: Out-of-Band-Management wechseln

Für ein Virtual Chassis mit In-Band-Management empfehlen wir, die Verwendung eines einzelnen Uplinks zu vermeiden, auch wenn dieser technisch unterstützt wird. Verwenden Sie stattdessen mehrere Uplinks, die zu einer LAG mit aktiviertem aktivem LACP kombiniert werden.

Im Gegensatz zu einem eigenständigen Switch verwendet ein Virtual Chassis nur eine DHCP-Lease für das gesamte System, selbst wenn es bis zu zehn Mitglieds-Switches umfasst. Dies wird über die virtuelle "vme"-Schnittstelle erreicht, die die DHCP-Lease enthält und bei Bedarf zwischen dem primären und dem Backup-Switch wechseln kann. Mitglieds-Switches (Linecard) innerhalb des Virtual Chassis erhalten keine eigenen individuellen DHCP-Leases.

Wenn Sie den Switch-Management-Port für Out-of-Band-Management verwenden, wird der physische Port als "me0" bezeichnet und einem virtuellen Port mit dem Namen "vme" wird die DHCP-Lease zugewiesen, um eine Verbindung zur Juniper Mist Systems Cloud herzustellen, wie unten dargestellt.

Unabhängig davon, welche Methode zur Verwaltung des Switches Sie verwenden, wird davon ausgegangen, dass die DHCP-Lease auch eine DNS-Serverzuweisung enthält. Daher wird erwartet, dass ICMP-Pings mit DNS-Auflösung wie der unten gezeigten funktionieren.

Best Practices für die Verwendung von Link-Aggregation auf den Uplink-Schnittstellen

Bei der Erstellung einer LAG auf einem Switch der EX-Serie, unabhängig davon, ob er als eigenständiges Gerät oder als Teil eines Virtual Chassis betrieben wird, ergeben sich zwei wesentliche Vorteile:

• Es wird eine Link-Redundanz bereitgestellt, d. h., wenn eine oder mehrere Links ausfallen, arbeiten die verbleibenden Links im Bundle ohne Unterbrechung weiter.
• Eine höhere Gesamt Durchsatz wird erreicht, wenn mehrere Datenverkehrsströme vorhanden sind, da diese Ströme auf alle Links im Bündel verteilt werden können. Die spezifische Load-Balancing-Methode hängt von der Konfiguration ab und wird hier nicht näher erläutert.

Um die Redundanz zu maximieren und einen optimalen Durchsatz zu erzielen, gehen wir davon aus, dass beide Seiten Folgendes unterstützen:

• Link-Aggregation nach IEEE 802.3ad.
• Erkennung toter Verbindungen, wenn für beide Enden der Verbindung für jede Verbindung innerhalb des Pakets ein aktives LACP konfiguriert ist. Es reicht nicht aus, einfach eine LAG ohne LACP zu erstellen und sich bei der Erkennung von Verbindungsfehlern auf die physische Schicht zu verlassen. Wenn eine LAG beispielsweise zwei Glasfaserverbindungen umfasst und eine davon ausfällt, kann es sein, dass eine Seite ihre Schnittstelle immer noch als physisch "aktiv" erkennt, obwohl die Kommunikation nicht mehr bidirektional ist. Die Verwendung eines Protokolls wie LACP ermöglicht eine kontinuierliche Überwachung des Verbindungsstatus, sodass das System Fehler schnell erkennen und den ordnungsgemäßen Betrieb aufrechterhalten kann. Außerdem hilft sie, ein Rebalancing der ECMP-Lastverteilung auszulösen, wenn Änderungen der Netzwerktopologie auftreten.

Dies ist bei der Verwendung von Out-of-Band-Management kein Problem, da die Einrichtung der LAG-Verbindung unabhängig von der Geräteverwaltungsverbindung zur Cloud von Juniper Mist Systems ist. Wenn Sie jedoch die In-Band-Verwaltung verwenden, müssen Sie vermeiden, die Verwaltungsverbindung zum Switch zu verlieren, wenn Sie die LAG zwischen dem WAN-Router und dem Switch der EX-Serie bilden. Dies liegt daran, dass bei der Konfiguration von aktivem LACP für eine bestimmte Seite keine Kommunikation über diese Verbindung stattfindet, bevor die Remote-Seite aktives LACP konfiguriert und LACP-Pakete ausgetauscht hat, um diese Verbindung für die Kommunikation freizugeben. Dies führt zu einer Art Henne-Ei-Problem zwischen dem WAN-Router und dem angeschlossenen Switch der EX-Serie. Es ist nicht möglich, dass eine Seite aktives LACP für das Bundle aktiviert, ohne die andere Seite zu verlieren. Um dieses Problem zu beheben, haben Sie die folgenden Möglichkeiten:

• Die empfohlene Methode ist: Einige Geräte (wie die Firewalls der SRX-Serie von Juniper Networks®) unterstützen spezielle Funktionen wie die sogenannte "Force-Up"-Funktion. Dadurch wird die strenge aktive LACP-Prüfung auf einer Verbindung des WAN-Routers-Bundles gelockert. Daher kann der Switch der EX-Serie diese Verbindung nutzen, um mit der Juniper Mist Systems-Cloud zu kommunizieren, bevor die LAG auf beiden Seiten gebildet wird. Im Folgenden wird der Workflow zum Einrichten beschrieben:
  1. Konfigurieren Sie auf dem WAN-Router das gesamte LAG-Bundle mit allen Mitgliedsverbindungen. Eine Mitgliedsverbindung ist mit der Funktion "Force-Up" konfiguriert.
  2. Der Switch-Anschluss der EX-Serie wird zunächst aktiviert. Die Kommunikation mit der Cloud von Juniper Mist Systems ist nur über die WAN-Router-Verbindung möglich, für die die Option "Force-up" festgelegt ist.
  3. Jetzt können Sie das LAG-Bundle auf dem Switch der EX-Serie mit allen Mitgliedern konfigurieren. Da der WAN-Router bereits über eine gültige Konfiguration verfügt, sollte die gesamte LAG zwischen den beiden automatisch angezeigt werden.
  4. Sobald beide Seiten die LAG mit aktivem LACP auf allen Mitgliedsverbindungen aufgebaut haben, können Sie die "Force-Up"-Funktion auf der Seite des WAN-Routers entfernen.
• Wenn eine solche oder eine ähnliche "Force-up"-Funktion vom WAN-Router nicht unterstützt wird, sollten Sie beim Aufbau der LAG die nächste Methode in Betracht ziehen:
  1. Konfigurieren Sie das Verbindungspaket, schließen Sie eine Verbindung auf dem Switch der EX-Serie aus und lassen Sie die Konfiguration von der Juniper Mist Systems Cloud vorantreiben.
  2. Konfigurieren Sie das Verbindungsbündel mit Ausnahme einer gegenüberliegenden Verbindung auf dem WAN-Router und wenden Sie die Konfiguration an.
  3. Beide Geräte sollten nun eine LAG-Verbindung mit aktivem LACP auf beiden Seiten aufbauen, wobei die Kommunikation über die einzige unberührte Verbindung zwischen den beiden verbleibt.
  4. Jetzt können Sie das LAG-Bundle auf dem Switch der EX-Serie mit allen Mitgliedern aktualisieren. Es wird erwartet, dass die Geräteverwaltung nun ein Failover auf das LAG-Bundle durchführt und fortfährt.
  5. Sie können das LAG-Bundle auf dem WAN-Router mit allen Mitgliedern aktualisieren, um den endgültigen Zustand zu erreichen.
• Die letzte alternative Methode besteht darin, die LAG-Konfiguration auf dem Switch der EX-Serie vorab bereitzustellen. Dadurch wird sichergestellt, dass die erforderliche Konfiguration bereits vorhanden ist und das Gerät der Juniper Mist Systems Cloud bereits bekannt ist.
  • Führen Sie das Gerät in einem Labor oder einer Staging-Umgebung vorab durch, bevor Sie es vor Ort versenden. Sie können diese Gelegenheit auch nutzen, um die Junos OS-Firmware auf dem Gerät zu aktualisieren.
  • Wenn Sie vor Ort mit den richtigen Anweisungen für die Person, die die Installation durchführt, sollten Sie für eine kurze Zeit ein Out-of-Band-Management in Betracht ziehen, bis die LAG konfiguriert ist.

Die folgende Abbildung zeigt die Beispielkonfiguration auf einer SRX als WAN-Router mit der empfohlenen "Force-Up"-Funktion.

Hinweis:

Die hier vorgestellten Methoden zum Verbinden eines WAN-Routers und eines direkt angeschlossenen Switches der EX-Serie funktionieren in Bezug auf eine größere Topologie mit Verteilungs- und Zugriffs-Switches genauso. Es kann verwendet werden, wenn Sie die Verbindung zwischen dem WAN-Router und dem Verteilungs-Switch aufbauen und dann mit der Bereitstellung der Zugriffs-Switches beginnen. Die Funktion "Force-up" ist auf Switches der EX-Serie verfügbar, sodass Sie sie bei der Konfiguration der Downlinks zu den Zugriffs-Switches auf den Distribution-Switches verwenden können.

Überblick über den ZTP-Prozess

Hinweis:

Der hier beschriebene ZTP-Prozess ist nicht zu verwechseln mit einer älteren ZTP-Methode, die in der Dokumentation beschrieben ist und ebenfalls unterstützt wird. Diese Methode benötigt immer einen lokalen DHCP-Server, der spezielle DHCP-Attribute innerhalb des DHCP-Leases an den lokalen Switch der EX-Serie liefert, um den Switch darüber zu informieren, wo er die Erstkonfiguration und andere Elemente abrufen soll (normalerweise über TFTP). Die hier beschriebene ZTP-Methode ist frei von solchen Einschränkungen. Der lokale DHCP-Server muss lediglich reguläre IP-Adresse, Gateway- und DNS-Serverinformationen bereitstellen, wie sie für jeden anderen kabelgebundenen oder drahtlosen Client bereitgestellt werden.

Sobald ein Cloud-fähiger Switch mit dem Internet verbunden und zum ersten Mal eingeschaltet ist, löst er einen integrierten Phone-Home-Client (PHC) aus, um Konfigurationsaktualisierungen vom Phone-Home-Server (PHS) zu erhalten, wie in Abbildung 12 dargestellt. Das Standardverhalten besteht darin, dass das PHC eine Verbindung zu einem Umleitungsserver herstellt, der es dann an einen Telefon-Home-Server umleitet, auf dem der Switch die Konfiguration oder das Software-Image abrufen kann. Dadurch kann der Switch die neueste Junos OS-Konfiguration oder das neueste Software-Image sicher und automatisch abrufen, ohne dass der Switch nur physisch mit dem Netzwerk verbunden werden muss. Alternativ können Sie den Switch so konfigurieren, dass er einen DHCP-Server verwendet, der mit den erforderlichen ZTP-Optionen konfiguriert ist, um den ZTP-Prozess abzuschließen. Um zum ZTP-Standard zurückzukehren, müssen Sie vom werkseitigen Standardzustand starten (oder Sie können den Befehl Junos OS request system zeroize ausgeben, um die Konfiguration zurückzusetzen).

Juniper ZTP folgt IETF RFC 8071 als standardbasierte Methode. Der Switch muss "Cloud-fähig" sein, um diesen Vorgang ohne zusätzliche Vorkonfiguration ausführen zu können. Die Juniper Networks® Cloud-Ready Switches können über das Portal unter https://manage.mist.com installiert und verwaltet werden. Ihr Switch ist Cloud-bereit, wenn er über einen QR-Claim-Code auf der Vorder- oder Rückseite verfügt.

Hinweis:

Die in diesem Handbuch beschriebenen Onboarding-Verfahren gelten nur für Cloud-fähige EX- und QFX-Switches. Eine Liste der Cloud-fähigen EX- und QFX-Switches finden Sie unter Von Juniper Mist Systems unterstützte Hardware .

Switch-Konnektivität hin zur Juniper Mist Cloud

Wenn ein Switch von der Juniper Mist Systems Cloud verwaltet wird, muss er eine Verbindung zur Cloud herstellen, um remote gesteuert und konfiguriert zu werden. Dieser Ansatz ist notwendig, da sich der Switch in der Regel hinter einer Unternehmensfirewall befindet. In den meisten Umgebungen befinden sich mehrere Switches hinter derselben Firewall. Wenn eingehende Verbindungen aus der Cloud erforderlich wären, müssten IT-Mitarbeiter die Portweiterleitung für jedes Gerät manuell konfigurieren.

• Stattdessen ist es für den Switch effizienter, die ausgehende Verbindung zur Cloud von Juniper Mist Systems herzustellen. Dadurch kann die Standardquell-NAT auf der Unternehmensfirewall oder dem Breitband-Router die Verbindung automatisch zulassen. Sobald die Verbindung aktiv ist, wird die gesamte Kommunikation zwischen dem Switch und der Cloud – einschließlich Konfigurationsaktualisierungen, Befehlen und Überwachungsdaten – über diese einzige, bidirektionale Verbindung sicher gemultiplext. Wenden Sie die Gerätekonfiguration über NETCONF an, das von der Juniper Mist Systems Cloud bereitgestellt wird.
• Sammeln Sie Schnittstellenstatistiken und Protokolldateien vom Gerät und laden Sie sie in die Juniper Mist Systems Cloud hoch.
• Erlauben Sie eine Remote-Shell mit dem Portal oder Websocket von Juniper Mist Systems.
• Geben Sie Junos OS-Befehle auf dem Gerät aus.
• Lösen Sie Firmwareupdate-Befehle auf dem Gerät aus.

Ausgehendes SSH zur Juniper Mist Cloud

Die Möglichkeit für Junos OS-Geräte, eine ausgehende SSH-Verbindung zu einem Cloud-basierten Managementsystem zu initiieren, ist seit mehreren Jahren verfügbar und keine neue Funktion. Ursprünglich beinhaltete die Verwaltung über die Cloud von Juniper Mist Systems das Senden von Ereignisskripten an das Gerät, die dann lokal ausgeführt wurden. Dieser Ansatz wurde inzwischen durch ein fortschrittlicheres Modell ersetzt.

Sobald heute die Verbindung zur Cloud von Juniper Mist Systems hergestellt ist, stellt die Cloud einen PyAgent auf dem Gerät bereit. Dieser Agent verarbeitet Verwaltungsaufgaben direkt und bietet die folgenden Vorteile gegenüber der vorherigen Ereignisskriptmethode, die eine größere Flexibilität, Zuverlässigkeit und Effizienz bei der Kommunikation und Konfigurationsverwaltung bietet:

• Push-Modell
• Geringere CPU-Last im Vergleich zu Ereignisskripten
• Bessere WAN-Nutzung
• Schnelleres Event-Framework
• Das Erfassungsintervall für Switch-Statistiken beträgt 180 Sekunden.

Ausgehende SSH nutzt eine vom Switch initiierte TCP-Zielverbindung zu Port 2200, die in der Cloud von Juniper Mist Systems implementiert ist.

Hinweis:

Es gibt eine neuere Methode, die der Switch nun auch nutzen kann. Lesen Sie unten mehr über CloudX.

CloudX HTTPS-Konnektivität

Juniper CloudX, nativ in Junos OS integriert, ist eine fortschrittliche Architektur, die eine schnellere und sichere Kommunikation zwischen Juniper-Switches und der Cloud von Juniper Mist Systems gewährleistet. Es ist dafür verantwortlich, eine sichere Verbindung zwischen dem Switch und der Cloud von Juniper Mist Systems herzustellen. CloudX-fähige Switches können von Cloud-Services überwacht und verwaltet werden.

CloudX gilt sowohl für neue als auch für bestehende Switches. Dadurch können die neuen Switches direkt über HTTPS 443 kommunizieren, wenn sie mit ZTP in die Juniper Mist Systems Cloud eingebunden sind. Wenn CloudX aktiviert ist, wird die Verbindung der vorhandenen Switches, die über TCP-Port 2200 mit dem Juniper Mist Systems Cloud verbunden sind, auf CloudX umgeschaltet, ohne dass dies Auswirkungen auf die Datenebene hat. Damit Switches über CloudX über TCP 443 eine Verbindung herstellen und kommunizieren können, muss der folgende Firewall-Port geöffnet werden: jma-terminator. [xx].mist.com(TCP 443). Die Variable [xx] sollte durch den Umgebungsnamen ersetzt werden.

Vorteile von CloudX:

• Hält die Daten in der Cloud auf dem neuesten Stand. Alle 10 bis 15 Sekunden werden Ereignisse an die Cloud gesendet und die Statistiken werden alle 1 bis 2 Minuten aktualisiert.
• Nutzt das Junos Telemetry Interface (JTI), das eine asynchrone und schnellere Kommunikation gewährleistet, indem es jegliches Polling von der Cloud zum Switch umgeht.
• Ermöglicht Switches die Verbindung zur Cloud über den HTTPS-Port 443, wie Juniper APs. Sie müssen keine nicht standardmäßigen Ports auf der Firewall öffnen.
• Ermöglicht Switches die Kommunikation mit der Juniper Mist Systems Cloud über einen Proxy-Server. Sie können einen Proxyserver statisch definieren oder Proxyserverdetails dynamisch über DHCP-Option 43 senden. Weitere Informationen finden Sie unter Verbinden eines Switch mit der Juniper Mist Cloud über einen Proxyserver mit CloudX.
• Bietet Paketerfassung für Switches in der Cloud von Juniper Mist Systems. Sie können die Paketerfassung für einen einzelnen Switch-Port oder für mehrere Ports initiieren. Sie können die On-Demand-Paketerfassungsfunktion in Mist Systems nutzen, um den Transitverkehr anzuzeigen oder den Datenverkehr zu steuern. Weitere Informationen finden Sie unter Beispiele für die Paketerfassung.

Verfügbarkeit von CloudX

In der folgenden Tabelle sind die Plattformen aufgeführt, die CloudX in verschiedenen Junos OS-Versionen unterstützen. In der Tabelle sind mehrere Junos OS-Versionen für jede Plattform aufgeführt. Verschiedene Modelle (Varianten) innerhalb jeder Plattform werden ebenfalls unterstützt. Daher werden auch die EX4100-F- und EX4100-H-Varianten der EX4100-Serie unterstützt. Wir empfehlen Ihnen, den Switch auf eine von Junos empfohlene Version für die CloudX-Unterstützung zu aktualisieren.

Hinweis:

Damit CloudX funktioniert, müssen Sie sicherstellen, dass der Firewall-Port zur jma-terminator.xx.mist.com geöffnet ist und die SSL-Verschlüsselung auf der Firewall deaktiviert ist (weitere Informationen finden Sie unter Juniper Mist Systems Firewall-Ports und IP-Adressen für die Firewall-Konfiguration). Um zu überprüfen, ob Ihr Switch mithilfe von CloudX mit der Juniper Mist Systems Cloud kommuniziert, lesen Sie die unter Fehlerbehebung bei Juniper CloudX aufgeführten Schritte. Wenn CloudX auf Ihrem Switch auch nach dem Upgrade auf eine unterstützte Junos OS-Version immer noch nicht aktiviert ist, wenden Sie sich an den Juniper Support.

Tabelle 3: CloudX-unterstützte Plattformen

Plattformen	Unterstützte Versionen von Junos OS	CloudX-Verfügbarkeit
EX2300/EX3400	23.4R2-S4 und höher 24.2R1-S2 und höher	Allgemein verfügbar
EX4000	24.4R1 und höher 24.4R1-S2 und höher	Allgemein verfügbar
EX4400/EX4100	22.4R2-S1 und höher 22.4R3 und höher 23.4R2 und höher 24.2R1 und höher	Allgemein verfügbar
EX4650/QFX5120	23.4R2-S4 und höher 24.2R1-S2 und höher	Allgemein verfügbar

Seit April 2025 ist CloudX auch auf EX2300-, EX3400-, EX4650- und QFX5120-Switches automatisch aktiviert, wie in der folgenden Ankündigung erwähnt:

Zusätzliche Änderungen bei Verwendung von CloudX:

• CloudX ermöglicht zwar die Durchführung von Paketerfassungen und das Senden der Ergebnisse an die Cloud von Juniper Mist Systems, aber nicht alle Plattformen unterstützen diese Fähigkeit in Hardware. Derzeit unterstützen nur die EX4000, EX4100 und EX4400 Paketerfassungen.
• Wenn CloudX aktiviert ist, wird die Art und Weise, wie die dynamische Portkonfiguration beibehalten wird, geändert. Weitere Informationen finden Sie unter Wann verwenden wir dynamische Portprofile und wann eine NAC-Infrastruktur? .

Entwerfen einer Switch-Vorlage

Eine wichtige Funktion des Switch-Managements über die Cloud von Juniper Mist Systems ist die Möglichkeit, Konfigurationsvorlagen und ein hierarchisches Modell zu verwenden, um die Switches zu gruppieren und Massenaktualisierungen vorzunehmen. Vorlagen bieten Einheitlichkeit und Komfort, während die Hierarchie (Organisation, Standort und Switch) sowohl Skalierbarkeit als auch Granularität bietet.

In der Praxis bedeutet Vorlagen und das hierarchische Modell, dass Sie eine Vorlagenkonfiguration erstellen und diese Einstellungen dann auf alle Geräte in jeder Gruppe anwenden können. Wenn ein Konflikt auftritt, z. B. wenn sowohl auf der Standort- als auch auf der Organisationsebene Einstellungen vorhanden sind, die für dasselbe Gerät gelten, überschreiben die engeren Einstellungen (in diesem Fall die Standorthierarchie) die umfassenderen Einstellungen, die auf der Organisationsebene definiert sind.

Einzelne Switches am unteren Ende der Hierarchie können die auf Organisationsebene und wiederum auf Standortebene definierte Konfiguration ganz oder teilweise übernehmen. Natürlich können einzelne Switches auch ihre eigenen einzigartigen Konfigurationen haben.

Sie können einzelne CLI-Befehle auf jeder Ebene der Hierarchie einschließen, die dann an alle Switches in dieser Gruppe auf einer "UND"-Basis angehängt werden, d. h., einzelne CLI-Einstellungen werden an die vorhandene Konfiguration angehängt (vorhandene Einstellungen werden nicht ersetzt).

Wir empfehlen, dass alle Switches in einem Unternehmen ausschließlich über die Cloud von Juniper Mist Systems verwaltet werden und nicht über die CLI des Geräts.

Die Konfiguration eines Switches mit Juniper Mist Systems Wired Assurance umfasst zwei Hauptschritte: Erstellen einer Switch-Konfigurationsvorlage und Anwenden auf einen oder mehrere Standorte. Die Konfigurationseinstellungen, die mit einem bestimmten Standort verknüpft sind, werden auf die Switches innerhalb dieses Standorts angewendet. Auf diese Weise können Sie konsistente und standardisierte Konfigurationen in Ihrer gesamten Netzwerkinfrastruktur verwalten und anwenden, wodurch der Konfigurationsprozess effizienter und rationalisiert wird.

Einen kurzen Überblick über die Switch-Vorlagen erhalten Sie im folgenden Video.

Um einen Switch zu konfigurieren, muss Ihnen eine Superuser-Rolle zugewiesen sein. Mit dieser Rolle erhalten Sie die erforderlichen Berechtigungen zum Vornehmen von Änderungen und Anpassen der Switch-Einstellungen. Andere Rollen erlauben es Ihnen möglicherweise, nur einen Port zu ändern oder nur eine Konfiguration zu überprüfen, ohne sie ändern zu können.

Erstellen einer Switch-Konfigurationsvorlage

Switch-Konfigurationsvorlagen machen es einfach, dieselben Einstellungen auf Switches an Ihren Standorten anzuwenden. Unabhängig davon, ob es sich um einen oder mehrere Standorte handelt, können Sie die Vorlage verwenden, um schnell neue Switches zu konfigurieren. Wenn Sie einem Standort einen Switch zuweisen, übernimmt er automatisch die Konfiguration aus der zugehörigen Vorlage.

Hinweis:

Die Konfiguration, die auf dem Switch über das Juniper Mist Systems Dashboard vorgenommen wird, überschreibt alle Konfigurationen, die über die Geräte-CLI vorgenommen werden. Auf der Seite mit den Switch-Details werden keine Konfigurationsänderungen angezeigt, die Sie direkt am Switch über die Switch-CLI vornehmen.

So erstellen Sie eine Switch-Konfigurationsvorlage:

1. Öffnen Sie das Portal, und klicken Sie auf Organisations- > Switch-Vorlagen.
2. Klicken Sie auf Vorlage erstellen, geben Sie einen Namen für die Vorlage in das Feld Vorlagenname ein, und klicken Sie dann auf Erstellen. Die Seite Switch Templates: <Template Name> wird angezeigt.
   Hinweis:

   Sie haben die Flexibilität, die Vorlageneinstellungen aus einer JSON-Datei zu importieren, anstatt die Informationen manuell einzugeben. Um die Einstellungen zu importieren, klicken Sie auf Vorlage importieren. Um eine JSON-Datei mit den Konfigurationseinstellungen zu erhalten, die angepasst und importiert werden können, öffnen Sie eine vorhandene Konfigurationsvorlage Ihrer Wahl, und klicken Sie auf Exportieren.

3. Im Abschnitt Alle Switches Konfiguration die Grundeinstellungen für die Switches konfigurieren. Verwenden Sie die Tipps auf dem Bildschirm, um die Einstellungen zu konfigurieren.

   

   Tabelle 4: Beschreibungen aller Switch-Konfigurationsfelder

   Feld	Beschreibung
   RADIUS	Wählen Sie einen Authentifizierungsserver für die Validierung von Benutzernamen und Kennwörtern, Zertifikaten oder anderen von Benutzern bereitgestellten Authentifizierungsfaktoren. Mist Systems Auth: Wählen Sie diese Option, wenn Sie Juniper Mist Access Assurance, einen Cloud-basierten Authentifizierungsservice von Mist Systems, auf Ihrem Switch konfigurieren möchten. Damit diese Option funktioniert, müssen Sie auch einen Port mit dot1x- oder MAB-Authentifizierung verwenden. Hinweis: Mist Systems Auth auf kabelgebundenen Switches erfordert Junos OS 20.4R3-S7 oder höher, 22.3R3 oder höher, 22.4R2 oder höher oder 23.1R1 oder höher. Um Juniper Mist Access Assurance Funktionen wie Authentifizierung Richtlinien, Richtlinienbezeichnungen, Zertifikate und Identitätsanbieter zu konfigurieren, navigieren Sie zu Organization > Access. RADIUS: Wählen Sie diese Option aus, um einen RADIUS-Authentifizierungsserver und einen Accounting-Server zu konfigurieren, um die dot1x-Port-Authentifizierung auf Switch-Ebene zu aktivieren. Damit die dot1x-Port-Authentifizierung funktioniert, müssen Sie auch ein Portprofil erstellen, das die dot1x-Authentifizierung verwendet, und Sie müssen dieses Profil einem Port auf dem Switch zuweisen. Die Standardportnummern sind: Port 1812 für den Authentifizierungsserver Port 1813 für den Accounting-Server Hinweis: Wenn Sie die dot1x-Authentifizierung für den Zugriff auf die Switch-Verwaltung (für die Switch-CLI-Anmeldung) einrichten möchten, müssen Sie die folgenden CLI-Befehle in den Abschnitt Zusätzliche CLI-Befehle der Vorlage aufnehmen: set system authentication-order radius set system radius-server <radius-server-IP> port 1812 set system radius-server <radius-server-IP> secret <secret-code> set system radius-server <radius-server-IP> source-address <radius-Source-IP>
   TACACS+	Konfigurieren Sie TACACS+ für die zentralisierte Benutzer-Authentifizierung auf Netzwerkgeräten. Darüber hinaus können Sie TACACS+-Accounting auf dem Gerät aktivieren, um statistische Daten über Benutzeranmeldungen und -abmeldungen in einem LAN zu sammeln und diese Daten an einen TACACS+-Accounting-Server zu senden. Der für TACACS+ und Accounting-Server unterstützte Portbereich liegt zwischen 1 und 65535.
   NTP (Englisch)	Geben Sie die IP-Adresse oder den Hostnamen des NTP-Servers (Network Time Protocol) an. NTP wird verwendet, um die Uhren des Switches und anderer Hardwaregeräte im Internet zu synchronisieren.
   DNS-EINSTELLUNGEN	Konfigurieren Sie die DNS-Einstellungen (Domain Name Server). Sie können bis zu drei DNS-IP-Adressen und Suffixe im kommagetrennten Format konfigurieren.
   SNMP	Konfigurieren Sie SNMP (Simple Network Management Protocol) auf dem Switch, um die Netzwerkverwaltung und -überwachung zu unterstützen. Sie können SNMPv2 oder SNMPv3 konfigurieren. Hier sind die SNMP-Optionen, die Sie konfigurieren können: Optionen unter SNMPv2 (V2) Allgemein: Geben Sie den Namen des Systems, den Speicherort, die Kontaktinformationen für den Administrator sowie eine kurze Beschreibung des verwalteten Systems an. Wenn Sie SNMPv2 verwenden, haben Sie die Möglichkeit, die Quelladresse für SNMP-Trap-Pakete anzugeben, die vom Gerät gesendet werden. Wenn Sie keine Quelladresse angeben, wird standardmäßig die Adresse der ausgehenden Schnittstelle verwendet. Client: Definieren Sie eine Liste von SNMP-Clients. Sie können mehrere Clientlisten hinzufügen. Diese Konfiguration enthält einen Namen für die Client-Liste und IP-Adressen der Clients (im durch Kommas getrennten Format). Jede Clientliste kann mehrere Clients haben. Ein Client hat ein Präfix mit einer /32-Maske. Trap-Gruppe: Erstellen Sie eine benannte Gruppe von Hosts, die die angegebenen Trap-Benachrichtigungen erhalten sollen. Damit SNMP-Traps gesendet werden können, muss mindestens eine Trap-Gruppe konfiguriert sein. Die Konfiguration umfasst die folgenden Felder: Gruppenname (Group Name) – Geben Sie einen Namen für die Trap-Gruppe an. Kategorien: Wählen Sie aus der folgenden Liste von Kategorien aus. Sie können mehrere Werte auswählen, z. B.: Authentifizierung, Gehäuse, Konfiguration, Link, Remote-Operationen, Routing, Services, Start und VRRP-Ereignisse Ziele: Geben Sie die Ziel-IP-Adressen an. Sie können mehrere Ziele angeben. Version: Geben Sie die Versionsnummer der SNMP-Traps an. Community: Definieren Sie eine SNMP-Community. Eine SNMP-Community wird verwendet, um SNMP-Clients anhand ihrer Quell-IP-Adresse zu autorisieren. Außerdem werden die Barrierefreiheit und die Berechtigungen (schreibgeschützt oder Lese-/Schreib) für bestimmte in einer Ansicht definierte MIB-Objekte festgelegt. Sie können eine Clientliste, Autorisierungsinformationen und eine Ansicht in die Communitykonfiguration aufnehmen. Ansicht (gilt sowohl für SNMPv2 als auch für SNMPv3) – Definieren Sie eine MIB-Ansicht, um eine Gruppe von MIB-Objekten zu identifizieren. Jedes Objekt in der Ansicht hat ein gemeinsames OID-Präfix (Object Identifier). MIB-Ansichten ermöglichen einem Agenten mehr Kontrolle über den Zugriff auf bestimmte Zweige und Objekte in seiner MIB-Struktur. Eine Ansicht besteht aus einem Namen und einer Sammlung von SNMP-OIDs, die explizit ein- oder ausgeschlossen werden können. Optionen unter SNMPv3 (V3) Allgemein: Geben Sie den Namen des Systems, den Speicherort, die Kontaktinformationen für den Administrator sowie eine kurze Beschreibung des verwalteten Systems an. Wenn Sie SNMPv2 verwenden, konfigurieren Sie eine Engine-ID, die als eindeutige Kennung für SNMPv3-Entitäten dient. USM: Konfigurieren Sie die Einstellungen für das benutzerbasierte Sicherheitsmodell (USM). Diese Konfiguration umfasst einen Benutzernamen, einen Authentifizierungstyp und einen Verschlüsselungstyp. Sie können eine lokale Engine oder eine Remote-Engine für USM konfigurieren. Wenn Sie eine ferne Engine auswählen, geben Sie eine Engine-ID im Hexadezimalformat an. Diese ID wird verwendet, um den Sicherheits-Digest für die Authentifizierung und Verschlüsselung von Paketen zu berechnen, die an einen Benutzer auf dem Remote-Host gesendet werden. Wenn Sie die Option Lokale Engine angeben, wird die auf der Registerkarte Allgemein angegebene Engine-ID berücksichtigt. Wenn keine Engine-ID angegeben ist, wird local mist als Standardwert konfiguriert. VACM: Definieren Sie ein ansichtsbasiertes Zugriffssteuerungsmodell (VACM). Mit einem VACM können Sie Zugriffsrechte für eine Gruppe festlegen. Sie können den Zugriff steuern, indem Sie die für Lese-, Schreib- und Benachrichtigungsvorgänge verfügbaren MIB-Objekte mithilfe einer vordefinierten Ansicht filtern (Sie müssen die erforderlichen Ansichten zuerst auf der Registerkarte Ansichten definieren). Jede Ansicht kann einem bestimmten Sicherheitsmodell (v1, v2c oder USM) und einer bestimmten Sicherheitsstufe (authentifiziert, Datenschutz oder keine) zugeordnet werden. Sie können Sicherheitseinstellungen (Sie haben hier die Möglichkeit, bereits definierte USM-Einstellungen zu verwenden) auch über die Einstellungen Sicherheit zu Gruppe auf die Zugriffsgruppe anwenden. Benachrichtigen: Wählen Sie SNMPv3-Verwaltungsziele für Benachrichtigungen aus und geben Sie den Benachrichtigungstyp an. Um dies zu konfigurieren, weisen Sie der Benachrichtigung einen Namen zu, wählen Sie die Ziele oder Tags aus, die die Benachrichtigungen erhalten sollen, und geben Sie an, ob es sich um eine Trap- (unbestätigte) oder eine Inform-Benachrichtigung (bestätigt) handeln soll. Ziel: Konfigurieren Sie die Nachrichtenverarbeitungs- und Sicherheitsparameter zum Senden von Benachrichtigungen an ein bestimmtes Verwaltungsziel. Sie können hier auch die Ziel-IP-Adresse angeben. Ansicht (gilt sowohl für SNMPv2 als auch für SNMPv3) – Definieren Sie eine MIB-Ansicht, um eine Gruppe von MIB-Objekten zu identifizieren. Jedes Objekt in der Ansicht hat ein gemeinsames OID-Präfix (Object Identifier). MIB-Ansichten ermöglichen einem Agenten mehr Kontrolle über den Zugriff auf bestimmte Zweige und Objekte in seiner MIB-Struktur. Eine Ansicht besteht aus einem Namen und einer Sammlung von SNMP-OIDs, die explizit ein- oder ausgeschlossen werden können.
   STATISCHE ROUTE	Konfigurieren Sie statische Routen. Der Switch verwendet statische Routen, wenn: Es gibt keine Route mit einem besseren (niedrigeren) Präferenzwert. Es kann die Route zu einem Ziel nicht bestimmen. Es muss Pakete weiterleiten, die nicht geroutet werden können. Unterstützte Arten von statischen Routen: Subnetz: Enthält die IP-Adressen für das Zielnetzwerk und den nächsten Hop. Netzwerk: Enthält ein VLAN (mit einer VLAN-ID und einem Subnetz) und die IP-Adresse des nächsten Hops.
   CLI-KONFIGURATION	Für alle zusätzlichen Einstellungen, die nicht in der GUI der Vorlage verfügbar sind, können Sie sie weiterhin mit set CLI-Befehlen konfigurieren. Sie können beispielsweise eine benutzerdefinierte Anmeldenachricht einrichten, um Benutzern eine Warnung anzuzeigen, die sie anweist, keine CLI-Änderungen direkt am Switch vorzunehmen. Hier ist ein Beispiel dafür, wie Sie es tun können: set system login message "\n\n Warning! This switch is managed by Mist. Do not make any CLI changes." Um einen bereits hinzugefügten CLI-Befehl zu löschen, verwenden Sie den Befehl delete, wie im folgenden Beispiel gezeigt: delete system login message "\n\n Warning! This switch is managed by Mist. Do not make any CLI changes." Hinweis: Stellen Sie sicher, dass Sie den vollständigen CLI-Befehl eingeben, damit die Konfiguration erfolgreich ist.
   OSPF-BEREICHE	Definieren Sie bei Bedarf einen Open Shortest Path First (OSPF)-Bereich. OSPF ist ein Link-State-Routing-Protokoll, das verwendet wird, um den besten Pfad für die Weiterleitung von IP-Paketen innerhalb eines IP-Netzwerks zu bestimmen. OSPF unterteilt ein Netzwerk in Bereiche, um die Skalierbarkeit zu verbessern und den Fluss der Routing-Informationen zu steuern.
   DHCP-SNOOPING	Aktivieren Sie die DHCP-Snooping-Option, um DHCP-Nachrichten von nicht vertrauenswürdigen Geräten zu überwachen, die mit dem Switch verbunden sind. DHCP-Snooping erstellt eine Datenbank, um diese Nachrichten zu verfolgen. Dies hilft, die Annahme von DHCPOFFER-Paketen auf nicht vertrauenswürdigen Ports zu verhindern, vorausgesetzt, sie stammen von nicht autorisierten DHCP-Servern. Die DHCP-Konfiguration hat die folgenden Optionen: Alle Netzwerke— Aktivieren Sie das Kontrollkästchen Alle Netzwerke, um DHCP-Snooping auf allen VLANs zu aktivieren. Netzwerke: Wenn Sie DHCP-Snooping nur in bestimmten Netzwerken aktivieren möchten, klicken Sie im Feld Netzwerke auf Hinzufügen (+), und fügen Sie die erforderlichen VLANs hinzu. Address Resolution Protocol (ARP) Inspection: Aktivieren Sie diese Funktion, um Man-in-the-Middle-Angriffe zu blockieren. ARP Inspection untersucht die Quell-MAC-Adresse in ARP-Paketen, die auf nicht vertrauenswürdigen Ports empfangen wurden. Die Adresse wird mit der DHCP-Snooping-Datenbank abgeglichen. Wenn die Quell-MAC-Adresse keinen übereinstimmenden Eintrag (IP-MAC-Bindung) in der Datenbank hat, werden die Pakete verworfen. Sie können ARP-Statistiken mit den folgenden CLI-Befehlen überprüfen: show dhcp-security arp inspection statistics und show log messages | DAI entsprechen. Das Gerät protokolliert die Anzahl der ungültigen ARP-Pakete, die es auf jeder Schnittstelle empfängt, zusammen mit der IP- und MAC-Adresse des Absenders. Sie können diese Protokollmeldungen verwenden, um ARP-Spoofing im Netzwerk zu erkennen. IP-Quellschutz: Der IP-Quellschutz validiert die Quell-IP- und MAC-Adressen, die auf nicht vertrauenswürdigen Ports empfangen wurden, anhand von Einträgen in der DHCP-Snooping-Datenbank. Wenn die Quelladressen keine übereinstimmenden Einträge in der Datenbank haben, verwirft IP Source Guard das Paket. Hinweis: IP Source Guard funktioniert nur mit dem Single-Supplicant 802.1X-Benutzer-Authentifizierung-Modus. Hinweis: Wenn ein DHCP-Server mit einem nicht vertrauenswürdigen Zugriffsport verbunden ist, funktioniert DHCP nicht ordnungsgemäß. In solchen Fällen müssen Sie möglicherweise Anpassungen vornehmen, um sicherzustellen, dass DHCP wie vorgesehen funktioniert. Standardmäßig betrachtet DHCP alle Trunk-Ports als vertrauenswürdig und alle Zugriffsports als nicht vertrauenswürdig. Sie müssen VLAN auf dem Switch aktivieren, damit die DHCP-Snooping-Konfiguration wirksam wird. Daher müssen Sie Portprofile (weiter unten in diesem Dokument beschrieben) auf die Ports anwenden. Ein Gerät mit einer statischen IP-Adresse verfügt möglicherweise nicht über eine übereinstimmende MAC-IP-Bindung in der DHCP-Snooping-Datenbank, wenn Sie das Gerät mit einem nicht vertrauenswürdigen Port auf dem Switch verbunden haben. Um die DHCP-Snooping-Datenbank auf Ihrem Switch zu überprüfen und die Bindungen anzuzeigen, verwenden Sie den CLI-Befehl show dhcp-security binding. Mit diesem Befehl erhalten Sie Informationen zu den DHCP-Bindungen, die in der Snooping-Datenbank aufgezeichnet sind. Hinweis: Sie müssen diese Funktion aktivieren, wenn Sie die DHCP-Probleme für den Switch unter der Metrik "Successful Connect SLE" anzeigen möchten.
   SYSLOG	Konfigurieren Sie die SYSLOG-Einstellungen, um festzulegen, wie Systemprotokollmeldungen behandelt werden. Sie können Einstellungen konfigurieren, um die Systemprotokollmeldungen an Dateien, Remoteziele, Benutzerterminals oder an die Systemkonsole zu senden. Hier sind die Konfigurationsoptionen, die für SYSLOG-Einstellungen verfügbar sind: Dateien: Sendet Protokollmeldungen an eine benannte Datei. Hosts: Protokollmeldungen an einen Remote-Standort senden. Dies kann eine IP-Adresse oder ein Hostname eines Geräts sein, das benachrichtigt wird, wenn diese Protokollmeldungen generiert werden. Benutzer: Benachrichtigen Sie einen bestimmten Benutzer über das Protokollereignis. Konsole: Sendet Protokollmeldungen einer bestimmten Klasse und eines bestimmten Schweregrads an die Konsole. Protokollmeldungen enthalten Prioritätsinformationen, die Details zur Einrichtung und zum Schweregrad der Protokollmeldungen enthalten. Archivieren: Parameter für die Archivierung von Protokollmeldungen definieren. Allgemein: Geben Sie allgemeine Informationen wie ein Zeitformat, eine Routing-Instanz und eine Quelladresse für die Protokollmeldungen an.
   PORT-SPIEGELUNG	Konfigurieren Sie die Portspiegelung. Portspiegelung ist die Fähigkeit eines Routers, eine Kopie eines Pakets zur Analyse an eine externe Hostadresse oder einen Sniffer zu senden. In der Konfiguration der Portspiegelung können Sie Folgendes angeben: Input: Die Quelle (eine Schnittstelle oder ein Netzwerk) des Datenverkehrs, der überwacht werden soll. Zusammen mit der Eingabe können Sie angeben, ob Mist Systems den eingehenden oder den ausgehenden Datenverkehr für eine Schnittstelle überwachen soll. Wenn sowohl eingehender als auch ausgehender Datenverkehr überwacht werden soll, fügen Sie zwei Eingabeeinträge für dieselbe Schnittstelle hinzu – einen mit dem Eingangsflag und den anderen mit dem Ausgangsflag. Ausgabe: Die Zielschnittstelle, an die Sie den Datenverkehr spiegeln möchten. Sie können nicht dieselbe Schnittstelle oder dasselbe Netzwerk in den Eingabe- und Ausgabefeldern angeben.

4. Konfigurieren Sie im Abschnitt Verwaltung der Seite Konfiguration der Switch-Vorlage Folgendes:
   1. Configuration Revert Timer: Diese Funktion hilft bei der Wiederherstellung der Konnektivität zwischen einem Switch und der Juniper Mist Systems Cloud, wenn der Switch aufgrund einer Konfigurationsänderung die Verbindung verliert. Die von einem Benutzer vorgenommenen Änderungen werden automatisch rückgängig gemacht und innerhalb eines bestimmten Zeitraums wieder eine Verbindung zur Cloud hergestellt. Standardmäßig ist diese Zeitdauer für Switches der EX-Serie auf 10 Minuten festgelegt. Hier können Sie eine andere Zeitdauer angeben.
   2. Root-Kennwort: Ein Nur-Text-Kennwort für den Benutzer auf Root-Ebene (dessen Benutzername root ist).
   3. Schutz der Routing-Engine: Aktivieren Sie diese Funktion, um sicherzustellen, dass die Routing-Engine nur Datenverkehr von vertrauenswürdigen Systemen akzeptiert. Diese Konfiguration erstellt einen zustandslosen Firewallfilter, der den gesamten für die Routing-Engine bestimmten Datenverkehr verwirft, mit Ausnahme von SSH- und BGP-Protokollpaketen aus bestimmten vertrauenswürdigen Quellen.
5. Im Abschnitt Gemeinsame Elemente konfigurieren Sie Folgendes:
   1. Klicken Sie in der Kachel Netzwerke auf Netzwerk hinzufügen und konfigurieren Sie die VLANs, die in den Portprofilen verwendet werden sollen. Zu den Einstellungen gehören ein Name, eine VLAN-ID und ein Subnetz.
   2. Im Abschnitt Port-Profile , wählen Sie ein vordefiniertes Portprofil aus oder klicken Sie auf Profil hinzufügen , um ein neues Profil zu erstellen und ihm ein Netzwerk zuzuweisen. Portprofile bieten eine Möglichkeit, die Bereitstellung mehrerer Switch-Schnittstellen zu automatisieren. Verwenden Sie die Tipps auf dem Bildschirm, um die Portprofileinstellungen zu konfigurieren.

      Tabelle 5 enthält Tipps zu Schlüsselfeldern im Portprofil.

      Hinweis:

      Diese Tabelle enthält keine grundlegenden Felder wie Name, Aktiviert, Deaktiviert, Beschreibung usw.

      Tabelle 5: Portprofilfelder

      Feld	Beschreibung
      Modus	Trunk: Trunk-Schnittstellen sind in der Regel mit anderen Switches, APs und Routern im LAN verbunden. In diesem Modus kann sich die Schnittstelle in mehreren VLANs befinden und Datenverkehr zwischen verschiedenen VLANs multiplexen. Geben Sie das Portnetzwerk, das VoIP-Netzwerk (falls zutreffend) und das Trunk-Netzwerk an. Zugriff: Standardmodus. Zugriffsschnittstellen stellen in der Regel mit Netzwerkgeräten wie PCs, Druckern, IP-Telefonen und IP-Kameras verbunden. In diesem Modus kann sich die Schnittstelle nur in einem einzelnen VLAN befinden. Geben Sie das Portnetzwerk und das VoIP-Netzwerk (falls zutreffend) an.
      dot1x-Authentifizierung verwenden	Wählen Sie diese Option aus, um die IEEE 802.1X-Authentifizierung für die portbasierte Netzwerkzugriffssteuerung zu aktivieren. Die 802.1X-Authentifizierung wird auf Schnittstellen unterstützt, die Mitglieder von privaten VLANs (PVLANs) sind. Die folgenden Optionen sind verfügbar, wenn Sie die dot1x-Authentifizierung auf einem Port aktivieren: Mehrere Supplicants zulassen: Wählen Sie diese Option aus, damit mehrere Endgeräte eine Verbindung zum Port herstellen können. Jedes Gerät wird einzeln authentifiziert. Dynamisches VLAN: Geben Sie dynamische VLANs an, die vom RADIUS-Serverattribut "Tunnel-private-group-ID" oder "Egress-VLAN-Name" zurückgegeben werden. Diese Konfiguration ermöglicht es einem Port, eine dynamische VLAN-Zuweisung durchzuführen. MAC-Authentifizierung: Wählen Sie diese Option aus, um die MAC-Authentifizierung für den Port zu aktivieren. Wenn diese Option ausgewählt ist, können Sie auch ein Authentifizierungsprotokoll angeben. Wenn Sie ein Protokoll angeben, muss es von Supplicants verwendet werden, um Anmeldeinformationen für die Authentifizierung bereitzustellen. Gastnetzwerk verwenden: Wählen Sie diese Option aus, um ein Gastnetzwerk für die Authentifizierung zu verwenden. Wählen Sie dann ein Gastnetzwerk aus der Dropdown-Liste aus. Authentifizierung umgehen, wenn der Server ausgefallen ist: Wenn Sie diese Option auswählen, können Clients ohne Authentifizierung dem Netzwerk beitreten, wenn der Server ausgefallen ist. Sie müssen auch die folgenden Schritte ausführen, damit die dot1x-Authentifizierung funktioniert: Konfigurieren Sie einen RADIUS-Server für die dot1x-Authentifizierung über die Kachel Authentifizierungsserver im Abschnitt All Switches Configuration der Vorlage. Weisen Sie einem Switch-Port ein dot1x-Portprofil zu, damit die RADIUS-Konfiguration an den Switch übertragen wird. Sie können dies über die Registerkarte Port Config im Abschnitt Select Switches Configuration der Vorlage tun.
      MAC-Limit	Konfigurieren Sie die maximale Anzahl von MAC-Adressen, die von einer Schnittstelle dynamisch erlernt werden können. Wenn die Schnittstelle das konfigurierte MAC-Limit überschreitet, werden die Frames gelöscht. Ein MAC-Limit führt ebenfalls zu einem Protokolleintrag. Der Standardwert: 0 Unterstützter Bereich: 0 bis 16383
      PoE	Aktivieren Sie den Port für die Unterstützung von Power over Ethernet (PoE).
      STP-Edge	Konfigurieren Sie den Port als STP-Edgeport (Spanning Tree Protocol), wenn Sie den BPDU-Schutz (Bridge Protocol Data Unit) auf einem Port aktivieren möchten. Diese Einstellung stellt sicher, dass der Port als Edge-Port behandelt wird, und schützt vor dem Empfang von BPDUs, bei denen es sich um Steuernachrichten im STP handelt. Wenn Sie ein Nicht-Edge-Gerät an einen mit STP Edge konfigurierten Port anschließen, wird der Port deaktiviert. Darüber hinaus generiert die Seite "Switch Insights" ein Ereignis "Port BPDU blockiert". Auf der Vorderseite der Switch-Details wird auch ein BPDU-Fehler für diesen Port angezeigt. Sie können den Port des BPDU-Fehlers löschen, indem Sie den Port auf der Vorderseite auswählen und dann auf BPDU-Fehler löschen klicken. Sie können STP Edge auch auf Switch-Ebene im Abschnitt "Portprofil" auf der Seite mit den Switch-Details konfigurieren.
      QoS	Aktivieren Sie Quality of Service (QoS) für den Port, um latenzempfindlichen Datenverkehr wie Sprache gegenüber anderem Datenverkehr auf einem Port zu priorisieren. Hinweis: Um optimale Ergebnisse zu erzielen, ist es wichtig, Quality of Service (QoS) sowohl für den Downstream- (eingehenden) als auch für den Upstream-Datenverkehr (ausgehend) zu aktivieren. Dadurch wird sichergestellt, dass das Netzwerk den Datenverkehr in beide Richtungen effektiv priorisieren und verwalten kann, was zu einer verbesserten Leistung und insgesamt besseren Servicequalität führt. Sie haben die Möglichkeit, die QoS Konfiguration auf der Seite WLAN Einstellungen (Site > WLANs > <WLAN name>) zu überschreiben. Um die QoS-Konfiguration zu überschreiben, aktivieren Sie das Kontrollkästchen QoS überschreiben, und wählen Sie eine drahtlose Zugriffsklasse aus. Der Downstreamdatenverkehr (AP > Client) wird mit dem angegebenen Wert für die Überschreibungszugriffsklasse markiert. Die Außerkraftsetzungskonfiguration unterstützt keinen Upstreamdatenverkehr (Client > AP).
      Sturmkontrolle	Aktivieren Sie die Sturmkontrolle, um den Datenverkehr zu überwachen und Broadcast-, Multicast- und unbekannte Unicast-Pakete automatisch zu verwerfen, wenn der Datenverkehr ein Datenverkehrsniveau (angegeben in Prozent) überschreitet. Diese angegebene Datenverkehrsebene wird als Sturmkontrollebene bezeichnet. Diese Funktion verhindert aktiv die Verbreitung von Paketen und erhält die Leistung des LAN. Wenn Sie Storm Control aktivieren, können Sie auch Broadcast-, Multicast- und unbekannte Unicast-Pakete von der Überwachung ausschließen.
      Persistentes (sticky) MAC-Lernen	Aktivieren Sie Persistent (Sticky) MAC, um zu verhindern, dass nicht autorisierte Geräte eine Verbindung zu Ihrem Netzwerk herstellen. Wenn diese Option aktiviert ist, lernt der Switch die MAC-Adressen der Geräte, die am Port ankommen, und speichert sie im Speicher. Wenn die Anzahl der gelernten MAC-Adressen das oben angegebene "MAC-Limit" überschreitet, verwirft der Port die Frames. Außerdem wird auf der Seite "Einblicke" das Ereignis "MAC-Limit überschritten" angezeigt. Sie können den Mauszeiger auf der Vorderseite der Switch-Detailseite über den Port bewegen, um das MAC-Limit und die MAC-Anzahl (die Anzahl der MAC-Adressen, die der Port dynamisch gelernt hat) anzuzeigen. Hinweis: Sie können diese Funktion nicht auf einem Trunk-Port oder auf einem Port mit 802.1X-Authentifizierung aktivieren, da Junos OS diese Kombination nicht unterstützt. Aktivieren Sie diese Funktion für statische kabelgebundene Clients. Aktivieren Sie diese Funktion nicht für Juniper AP-Schnittstellen. Das Portal zeigt nicht die MAC-Adressen an, die eine Schnittstelle gelernt hat. Es zeigt nur die maximale Anzahl von MAC-Adressen an. Um die MAC-Adressen anzuzeigen, die eine Schnittstelle gelernt hat, wählen Sie auf der Seite mit den Switch-Details die Option Versorgungsunternehmen > Remote-Shell , und führen Sie die folgenden Befehle aus: show ethernet-switching table persistent-learning show ethernet-switching table persistent-learning interface Der MAC-Anzahl-Wert bleibt auf dem Port, bis Sie ihn auf der Vorderseite der Switch-Details löschen oder bis Sie die Funktion Persistent (Sticky) MAC Learning deaktivieren. Um die MAC-Adressen zu löschen, die ein Port gelernt hat, wählen Sie den Port auf der Vorderseite des Switches aus und klicken Sie dann auf MAC löschen [Dynamisch/Persistent]. Diese Aktion generiert ein MAC-Limit-Reset-Ereignis auf der Seite Switch Insights.

   3. Konfigurieren Sie auf der VRF-Kachel das virtuelle Routing und die Weiterleitung (VRF).
   4. Mit VRF können Sie einen Switch der EX-Serie in mehrere virtuelle Routing-Instanzen aufteilen und so den Datenverkehr innerhalb des Netzwerks effektiv isolieren. Sie können einen Namen für das VRF definieren, die zugehörigen Netzwerke angeben und alle zusätzlichen erforderlichen Routen angeben.
      Hinweis:

      Sie können einem VRF nicht das Standardnetzwerk (VLAN-ID = 1) zuweisen.

6. Richten Sie in der Kachel Dynamische Portkonfiguration Regeln für die dynamische Zuweisung von Portprofilen ein. Wenn ein Benutzer ein Client-Gerät mit einem Switch-Port verbindet, bei dem diese Funktion aktiviert ist, identifiziert der Switch das Gerät und weist dem Port ein geeignetes Portprofil zu. Die dynamische Portprofilerstellung nutzt eine Reihe von Geräteeigenschaften des Client-Geräts, um der Schnittstelle automatisch vorkonfigurierte Port- und Netzwerkeinstellungen zuzuordnen. Sie können ein dynamisches Portprofil basierend auf den folgenden Parametern konfigurieren:
   • LLDP-Systemname
   • LLDP-Beschreibung
   • LLDP-Chassis-ID
   • Radius-Benutzername
   • Radius-Filter-ID
   • MAC (Ethernet-MAC-Adresse)
   Hinweis:

   Vermeiden Sie die dynamische Portkonfiguration, wenn der Port eine große Anzahl von Port-Flaps aufweist. Jede Port-Flapping löst eine Konfigurationsänderung am Switch aus (Junos Commit). In einem solchen Fall ist es besser, die dynamische VLAN-Konfiguration über RADIUS anzuwenden.

   Hier ist ein Beispiel für eine Regel, die einem Juniper AP automatisch das Portprofil "access-point" zuweist. Gemäß dieser Regel weist der Port dem angeschlossenen Gerät das Profil "access-point" zu, wenn er ein Gerät mit einer Chassis-ID identifiziert, die mit "5c:5b:35" beginnt.

   

7. Damit Ihre dynamischen Portkonfigurationen wirksam werden, müssen Sie auch die Ports angeben, die als dynamische Ports fungieren sollen. Aktivieren Sie dazu das Kontrollkästchen Dynamische Konfiguration aktivieren auf der Registerkarte Port Config im Abschnitt Select Switches der Switch-Vorlage. Sie können dies auch auf Switch-Ebene im Abschnitt "Port Configuration " auf der Seite "Switch-Details " tun.
   Hinweis:

   Es dauert einige Minuten, bis ein Portprofil auf einen Port angewendet wird, nachdem ein Client erkannt wurde, und einige Minuten danach, bis der Status der Portprofilzuweisung im Portal angezeigt wird. Im Falle eines Switch-Neustarts oder eines Massenverbindungs-Up- oder -Down-Ereignisses, das alle Ports eines Switches betrifft, dauert es ungefähr 20 Minuten, bis alle Ports dem richtigen Profil zugewiesen sind (vorausgesetzt, die dynamische Portkonfiguration ist auf allen Ports aktiviert).

8. Konfigurieren Sie im Abschnitt Select Switches Configuration (Konfiguration auswählen ) Folgendes:
   1. Erstellen Sie auf der Registerkarte Info eine Regel, um die freigegebenen Elemente mit Ihrem Switch zu verknüpfen. Hier ist ein Beispiel für das Hinzufügen einer Regel, die den EX4300-Switch eineraccess "-Rolle zuordnet.

      

9. Klicken Sie auf der Registerkarte "Port Config " auf "Port Range hinzufügen ", um einem Port ein Portprofil zuzuordnen. Hier haben Sie auch die folgenden wichtigen Optionen:
   1. Aktivieren Sie die dynamische Konfiguration auf dem Port. Mit der dynamischen Portprofilerstellung können Sie einem angeschlossenen Gerät basierend auf definierten Attributen ein dynamisches Profil zuweisen. Wenn das Gerät den Attributen entspricht, weist Mist Systems dem Gerät ein passendes dynamisches Profil zu. Wenn das Gerät jedoch nicht mit den Attributen übereinstimmt, wird es in ein bestimmtes VLAN eingeordnet. Im folgenden Beispiel ist der Port mit dynamischer Portzuweisung aktiviert und erhält ein eingeschränktes VLAN. Wenn das verbundene Gerät in diesem Fall nicht den Attributen für die dynamische Profilerstellung entspricht, wird es in ein eingeschränktes VLAN eingeordnet, z. B. in ein nicht routingfähiges VLAN oder ein Gast-VLAN. Schnittstellen, die mit Portaggregation aktiviert sind, unterstützen keine dynamische Portkonfiguration.

      

   2. Aktivieren Sie die Portaggregation. Mit Portaggregation oder Link-Aggregation können Sie Ethernet-Schnittstellen gruppieren, um eine einzige Link-Layer-Schnittstelle zu bilden. Diese Schnittstelle wird auch als Link Aggregation Group (LAG) oder Bundle bezeichnet. Die Anzahl der Schnittstellen, die Sie in einer LAG gruppieren können, und die Gesamtzahl der LAGs, die ein Switch unterstützt, variieren je nach Switch-Modell. Sie können LAG mit oder ohne aktiviertes LACP verwenden. Wenn das Gerät am anderen Ende LACP nicht unterstützt, können Sie LACP hier deaktivieren. Sie können auch den LACP-Force-Up-Status für den Switch konfigurieren. Diese Konfiguration legt den Status der Schnittstelle als "aktiv" fest, wenn der Peer über eine eingeschränkte LACP-Fähigkeit verfügt. Sie können auch ein LACP-Paketübertragungsintervall konfigurieren. Wenn Sie die Option LACP Periodic Slow auf einer AE-Schnittstelle konfigurieren, werden die LACP-Pakete alle 30 Sekunden übertragen. Standardmäßig ist das Intervall auf schnell eingestellt, in dem die Pakete jede Sekunde übertragen werden. Das folgende Beispiel zeigt die Verwendung von LAG in einer Uplink-Portkonfiguration:

      

   3. Konfigurieren Sie Warnmeldungen und E-Mail-Benachrichtigungen für die Up- und Down-Ereignisse der Schnittstelle an bestimmten Ports eines Switches. Um einen Switch-Port für die Unterstützung von Warnungen zu konfigurieren, aktivieren Sie das Kontrollkästchen "Up/Down-Port"-Warnungen aktivieren. Außerdem müssen Sie auf der Seite Überwachung > Warnungen > Konfiguration von Warnungen eines der folgenden Kontrollkästchen auswählen, um Warnungen für die Ports zu aktivieren.
      1. Kritischer WAN-Edge-Port nach oben
      2. Kritischer WAN-Edge-Port ausgefallen
      3. Kritischer Switch-Port nach oben
      4. Kritischer Switch-Port ausgefallen
   4. Auf der Registerkarte IP-Konfiguration können Sie ein Netzwerk für den In-Band-Management-Datenverkehr angeben.
   5. Auf der Registerkarte IP Config (OOB) können Sie eine dedizierte VRF-Instanz (Virtual Routing and Forwarding) auf dem Switch aktivieren. Durch Aktivieren dieser Funktion wird die Verwaltungsschnittstelle (em0/me0/fxp0, vme) auf eine nicht standardmäßige VRF-Instanz beschränkt. Diese Funktion funktioniert für eigenständige Geräte und Virtual Chassis-Systeme mit Junos OS Version 21.4 oder höher. Mit der dedizierten VRF-Verwaltungsinstanz muss der Verwaltungsdatenverkehr keine Routing-Tabelle mit anderem Steuer- oder Protokolldatenverkehr teilen.
   6. Fügen Sie auf der Registerkarte CLI-Konfiguration CLIs (im festgelegten Format) ein, um zusätzliche regelbasierte Einstellungen zu konfigurieren, für die die Vorlage keine GUI-Option bereitstellt.
      Hinweis:

      Für dieses JVD wurde der Abschnitt über die Konfiguration gruppenbasierter Richtlinien (GBP) und Switch-Richtlinien mit GBP entfernt. Diese Funktionen sind nur in Campus Fabric-Bereitstellungen mit einer IP-Clos-Architektur anwendbar und für Zweigstellennetzwerkdesigns nicht relevant.

10. Klicken Sie auf Speichern , um die Switch-Vorlage zu speichern.

    Das Fenster Änderungen bestätigen wird angezeigt.

11. Klicken Sie im Fenster Änderungen bestätigen auf Speichern.

    Die Vorlage wird gespeichert. Um die neue Vorlage anzuzeigen, gehen Sie zu Organisations- > Switch-Vorlagen.

Zuweisen einer Vorlage zu Websites

Nachdem Sie eine Switch-Konfigurationsvorlage erstellt haben, müssen Sie sie den entsprechenden Standorten zuweisen. Dadurch wird sichergestellt, dass die Konfigurationseinstellungen auf die Geräte an diesen Standorten angewendet werden. Sie haben die Flexibilität, die Vorlage je nach Ihren spezifischen Anforderungen auf einen oder mehrere Standorte anzuwenden.

So weisen Sie eine Vorlage einem oder mehreren Standorten zu:

1. Klicken Sie auf Organisation > Switch-Vorlagen.
   1. Die Seite Switch-Vorlagen wird angezeigt.
2. Klicken Sie auf die Vorlage, die Sie Websites zuweisen möchten.
   1. Die Seite Switch Templates: Template-Name wird angezeigt.
3. Klicken Sie auf Sites zuweisen.
   1. Das Fenster Vorlage zu Sites zuweisen wird angezeigt.
4. Wählen Sie die Websites aus, auf die Sie die Vorlage anwenden möchten, und klicken Sie dann auf Übernehmen.

Alternativ können Sie eine Vorlage auf der Seite Websitekonfiguration auf eine Website anwenden, indem Sie die folgenden Schritte ausführen:

1. Klicken Sie auf Site > Switch Configuration.
2. Klicken Sie in der Liste auf eine Website, um sie zu öffnen.
3. Wählen Sie im Feld Konfigurationsvorlage eine Vorlage aus, und klicken Sie dann auf Speichern.

Rangfolge und Hierarchie von Konfigurationen und Vorlagen

Konfigurationsvorlagen verfügen über eine Hierarchie von Zuweisungen, die Sie bei ihrer Verwendung beachten müssen:

• Alle Konfigurationen werden von einer Vorlage an eine Site vererbt. Alle Switches, die einem Standort zugewiesen sind, erben die entsprechende Konfiguration.
• Jedes Konfigurationselement verfügt über eine Überschreibungsoption sowohl auf Standort- als auch auf Geräteebene, wodurch das Konfigurationsmodell äußerst flexibel wird.
• Der Vorrang für die Konfiguration:
  • Die höchste Konfigurationsebene wird auf den Switch (das Gerät) selbst > das Netzwerk (Standort) > die Vorlage (Org) angewendet.

Konfigurationshierarchie von Vorlagen

Abbildung 15 zeigt ein Beispiel für die Konfigurationshierarchie:

Es ist möglich, die Konfiguration von oberen Ebenen in der Hierarchie zu überschreiben, um bei Bedarf eine individuellere Konfiguration zu erstellen. Abbildung 16 zeigt ein Beispiel:

Hinweis:

Sofern nicht erforderlich, wird empfohlen, die Netzwerk-/Standortkonfiguration nicht zu überschreiben. Sie können stattdessen Standortvariablen verwenden, die unten erläutert werden.

Standort-Variablen

Um die Anzahl der Konfigurationsüberschreibungen auf Standortebene zu minimieren, können wir das Konzept der Standortvariablen verwenden.

Im Folgenden finden Sie ein Beispiel für die Verwendung von Standortvariablen, bei denen wir die zu verwendenden DNS-Server und DNS-Suffixe einzeln konfigurieren möchten:

1. Wechseln Sie zu Organisations- > Standortkonfiguration , und wählen Sie einen vorhandenen Standort aus, oder erstellen Sie einen neuen.
2. Erstellen Sie eine Variable, die Ihre DNS-Server als Zeichenfolge enthält.
3. Erstellen Sie eine Variable, die Ihr DNS-Suffix als Zeichenfolge enthält.
4. Speichern Sie die Site-Einstellung.

   Ihre beiden Beispielvariablen sollten nun wie in der folgenden Abbildung aussehen:

   

5. Wechseln Sie zu Organisations- > Switch-Vorlagen , und wählen Sie eine vorhandene Vorlage aus, oder erstellen Sie eine neue.
6. Unter DNS-Einstellungen:
   1. Für DNS-Server={{dns_servers}}
   2. Für DNS Suffix={{dns_suffix}}.example.com
7. Stellen Sie sicher, dass die Vorlage dieser Website zugewiesen ist.
8. Speichern Sie die Site-Einstellung.

Ihre beiden Beispielkonfigurationsfelder sollten nun wie in der folgenden Abbildung aussehen, damit die richtigen Werte ersetzt werden:

Weitere Details: https://www.juniper.net/documentation/us/en/software/mist/mist-management/topics/task/site-variables.html