Switch-Konfigurationsoptionen | Mist

Überblick

Sie können Switch-Einstellungen auf Organisationsebene oder Standortebene eingeben.

Um organisationsweite Einstellungen zu konfigurieren, wählen Sie im linken Menü des Juniper Mist Portals die Option Organisations- > Switch-Vorlagen aus. Erstellen Sie dann Ihre Vorlage, und wenden Sie sie auf eine oder mehrere Websites oder Websitegruppen an.
Um die Switch-Einstellungen auf Site-Ebene zu konfigurieren , wählen Sie im linken Menü des Juniper Mist-Portals Site > Switch-Konfiguration aus. Wählen Sie dann den Standort aus, den Sie einrichten möchten, und geben Sie Ihre Switch-Einstellungen ein.

Wenn dem Standort eine Switch-Vorlage auf Organisationsebene zugewiesen wurde, wird die Standortkonfiguration im schreibgeschützten Modus angezeigt. Sie können die Einstellungen aus der Vorlage beibehalten oder Anpassungen vornehmen. In jedem Abschnitt der Seite können Sie Konfigurationsvorlage überschreiben auswählen und dann Ihre Änderungen eingeben. Diese Änderungen gelten nur für diese Website, nicht für die Vorlage.

Das folgende Beispiel zeigt, wie Sie eine Vorlage überschreiben und ein standortspezifisches Root-Kennwort festlegen.

Anmerkung:

Die Felder, die die Konfiguration über die Standortvariable unterstützen, verfügen über einen Hilfetext, der das Konfigurationsformat der Standortvariablen darunter anzeigt. Um Standortvariablen zu konfigurieren, führen Sie die unter Konfigurieren von Standortvariablen angegebenen Schritte aus. Weitere Informationen zum Switch-Konfigurationsprozess und zu den Switch-Vorlagen finden Sie unter Konfigurieren von Switches.

Sowohl auf Organisations- als auch auf Standortebene werden die Switch-Einstellungen wie unten beschrieben in Abschnitte gruppiert.

Alle Switches

Konfigurieren Sie diese Optionen im Abschnitt "Alle Switches" auf der Seite "Organization > Switch-Vorlagen " und auf der Seite "Site > Switch-Konfiguration ".

Tabelle 1: Alle Konfigurationsoptionen für Switches
Feldbeschreibung
RADIUS	Wählen Sie einen Authentifizierungsserver aus, um Benutzernamen und Kennwörter, Zertifikate oder andere von Benutzern bereitgestellte Authentifizierungsfaktoren zu überprüfen. Mist Auth: Konfigurieren Sie Juniper Mist Access Assurance, einen Cloud-basierten Authentifizierungsservice, auf Ihrem Switch. Damit diese Option funktioniert, müssen Sie einen Port mit dot1x- oder MAB-Authentifizierung verwenden. Weitere Informationen finden Sie im Juniper Mist Access Assurance-Handbuch. RADIUS: Wählen Sie diese Option aus, um einen RADIUS-Authentifizierungsserver und einen Accounting-Server zu konfigurieren, um die dot1x-Portauthentifizierung auf Switch-Ebene zu aktivieren. Damit die dot1x-Portauthentifizierung funktioniert, müssen Sie auch ein Portprofil erstellen, das die dot1x-Authentifizierung verwendet, und Sie müssen dieses Profil einem Port auf dem Switch zuweisen. Die Standardportnummern sind: Port 1812 für den Authentifizierungsserver Port 1813 für den Buchhaltungsserver Anmerkung: Wenn Sie die RADIUS-Authentifizierung für den Zugriff auf das Switch-Management (für die Switch-CLI-Anmeldung) einrichten möchten, müssen Sie die folgenden CLI-Befehle in den Abschnitt Zusätzliche CLI-Befehle in der Vorlage einfügen: set system authentication-order radius set system radius-server `radius-server-IP` port 1812 set system radius-server `radius-server-IP` secret `secret-code` set system radius-server `radius-server-IP` source-address `radius-Source-IP` set system login user remote class `class` Für die lokale RADIUS- oder TACACS+-Authentifizierung am Switch ist es erforderlich, ein Remote-Benutzerkonto oder eine andere Anmeldeklasse zu erstellen. Um unterschiedliche Anmeldeklassen für unterschiedliche RADIUS-authentifizierte Benutzer zu verwenden, erstellen Sie mehrere Benutzervorlagen in der Junos OS-Konfiguration mithilfe der folgenden CLI-Befehle im Abschnitt Zusätzliche CLI-Befehle: set system login user RO class read-only set system login user OP class operator set system login user SU class super-user set system login user remote full-name "default remote access user template" set system login user remote class read-only
TACACS+	Aktivieren Sie TACACS+ für die zentralisierte Benutzerauthentifizierung auf Netzwerkgeräten. Um die TACACS+-Authentifizierung auf dem Gerät verwenden zu können, müssen Sie Informationen zu einem oder mehreren TACACS+-Servern im Netzwerk konfigurieren. Sie können auch die TACACS+-Abrechnung auf dem Gerät konfigurieren, um statistische Daten über die Benutzer zu sammeln, die sich bei einem LAN an- oder anmelden, und die Daten an einen TACACS+-Abrechnungsserver zu senden. Darüber hinaus können Sie eine Benutzerrolle für TACACS+-authentifizierte Benutzer in der Switch-Konfiguration angeben. Die folgenden Benutzerrollen sind verfügbar: Keine, Admin, Lesen, Helpdesk. Wenn für die TACACs+-authentifizierten Benutzer kein Benutzerkonto auf dem lokalen Gerät konfiguriert ist, weist Junos ihnen standardmäßig ein Benutzerkonto mit dem Namen "remote" zu. Der für TACACS+- und Buchhaltungsserver unterstützte Portbereich liegt zwischen 1 und 65535. Anmerkung: Damit sich TACACS+ beim Switch authentifizieren kann, muss ein ähnlicher Anmeldebenutzer wie im obigen Abschnitt RADIUS definiert werden.
NTP	Geben Sie die IP-Adresse oder den Hostnamen des NTP-Servers (Network Time Protocol) an. NTP wird verwendet, um die Uhren des Switches und anderer Hardwaregeräte im Internet zu synchronisieren.
DNS-EINSTELLUNGEN	Konfigurieren Sie die DNS-Einstellungen (Domain Name Server). Sie können bis zu drei DNS-IP-Adressen und -Suffixe im kommagetrennten Format konfigurieren.
SNMP	Konfigurieren Sie Simple Network Management Protocol (SNMP) auf dem Switch, um die Netzwerkverwaltung und -überwachung zu unterstützen. Sie können SNMPv2 oder SNMPv3 konfigurieren. Hier sind die SNMP-Optionen, die Sie konfigurieren können: Optionen unter SNMPv2 (V2) Allgemein: Geben Sie den Namen, den Standort, die administrativen Kontaktinformationen und eine kurze Beschreibung des verwalteten Systems an. Wenn Sie SNMPv2 verwenden, haben Sie die Möglichkeit, die Quelladresse für SNMP-Trap-Pakete anzugeben, die vom Gerät gesendet werden. Wenn Sie keine Quelladresse angeben, wird standardmäßig die Adresse der ausgehenden Schnittstelle verwendet. Client: Definieren Sie eine Liste von SNMP-Clients. Sie können mehrere Kundenlisten hinzufügen. Diese Konfiguration enthält einen Namen für die Clientliste und IP-Adressen der Clients (im kommagetrennten Format). Jede Client-Liste kann mehrere Clients haben. Ein Client ist ein Präfix mit der Maske /32. Trap-Gruppe: Erstellt eine benannte Gruppe von Hosts, die die angegebenen Trap-Benachrichtigungen erhalten sollen. Mindestens eine Trap-Gruppe muss konfiguriert sein, damit SNMP-Traps gesendet werden können. Die Konfiguration umfasst die folgenden Felder: Gruppenname: Geben Sie einen Namen für die Trap-Gruppe an. Kategorien: Wählen Sie aus der folgenden Liste von Kategorien aus. Sie können mehrere Werte auswählen. Authentifizierung Fahrgestell Konfiguration verbinden Remote-Betrieb Routing Dienste Start vrrp-Ereignisse Ziele: Geben Sie die Ziel-IP-Adressen an. Sie können mehrere Ziele angeben. Version: Geben Sie die Versionsnummer der SNMP-Traps an. Community: Definieren Sie eine SNMP-Community. Eine SNMP-Community wird verwendet, um SNMP-Clients anhand ihrer Quell-IP-Adresse zu autorisieren. Außerdem werden der Zugriff und die Berechtigungen (schreibgeschützt oder Lese-/Schreibzugriff) für bestimmte MIB-Objekte bestimmt, die in einer Ansicht definiert sind. Sie können eine Client-Liste, Autorisierungsinformationen und eine Ansicht in die Community-Konfiguration aufnehmen. Ansicht (gilt sowohl für SNMPv2 als auch für SNMPv3) – Definieren Sie eine MIB-Ansicht, um eine Gruppe von MIB-Objekten zu identifizieren. Jedes Objekt in der Ansicht hat ein gemeinsames OID-Präfix (Common Object Identifier). MIB-Ansichten ermöglichen es einem Agenten, mehr Kontrolle über den Zugriff auf bestimmte Zweige und Objekte innerhalb seiner MIB-Struktur zu haben. Eine Ansicht besteht aus einem Namen und einer Sammlung von SNMP-OIDs, die explizit ein- oder ausgeschlossen werden können. Optionen unter SNMPv3 (V3) Allgemein: Geben Sie den Namen, den Standort, die administrativen Kontaktinformationen und eine kurze Beschreibung des verwalteten Systems an. Konfigurieren Sie bei Verwendung von SNMPv2 eine Modul-ID, die als eindeutiger Bezeichner für SNMPv3-Entitäten dient. USM: Konfigurieren Sie die Einstellungen für das benutzerbasierte Sicherheitsmodell (USM). Diese Konfiguration umfasst einen Benutzernamen, einen Authentifizierungstyp und einen Verschlüsselungstyp. Sie können ein lokales Modul oder ein Remotemodul für USM konfigurieren. Wenn Sie ein Remotemodul auswählen, geben Sie eine Modulkennung im Hexadezimalformat an. Diese ID wird verwendet, um den Security Digest für die Authentifizierung und Verschlüsselung von Paketen zu berechnen, die an einen Benutzer auf dem Remote-Host gesendet werden. Wenn Sie die Option Lokales Modul angeben, wird die auf der Registerkarte Allgemein angegebene Modul-ID berücksichtigt. Wenn keine Modul-ID angegeben ist, wird die lokale mist als Standardwert konfiguriert. VACM: Definieren Sie ein ansichtsbasiertes Zugriffssteuerungsmodell (VACM). Mit einem VACM können Sie Zugriffsrechte für eine Gruppe festlegen. Sie können den Zugriff steuern, indem Sie die MIB-Objekte, die für Lese-, Schreib- und Benachrichtigungsvorgänge verfügbar sind, mithilfe einer vordefinierten Ansicht filtern (Sie müssen die erforderlichen Ansichten zuerst auf der Registerkarte Ansichten definieren). Jede Ansicht kann einem bestimmten Sicherheitsmodell (v1, v2c oder usm) und einer bestimmten Sicherheitsstufe (authentifiziert, Datenschutz oder keine) zugeordnet werden. Sie können auch Sicherheitseinstellungen (Sie haben hier die Möglichkeit, bereits definierte USM-Einstellungen zu verwenden) über die Einstellungen Sicherheit zu Gruppe auf die Zugriffsgruppe anwenden. Benachrichtigen – Wählen Sie SNMPv3-Managementziele für Benachrichtigungen aus und geben Sie den Benachrichtigungstyp an. Um dies zu konfigurieren, weisen Sie der Benachrichtigung einen Namen zu, wählen Sie die Ziele oder Tags aus, die die Benachrichtigungen erhalten sollen, und geben Sie an, ob es sich um eine Trap-Benachrichtigung (unbestätigt) oder eine Inform-Benachrichtigung (bestätigt) handeln soll. Ziel: Konfigurieren Sie die Nachrichtenverarbeitungs- und Sicherheitsparameter für das Senden von Benachrichtigungen an ein bestimmtes Verwaltungsziel. Hier können Sie auch die Ziel-IP-Adresse angeben. Ansicht (gilt sowohl für SNMPv2 als auch für SNMPv3) – Definieren Sie eine MIB-Ansicht, um eine Gruppe von MIB-Objekten zu identifizieren. Jedes Objekt in der Ansicht hat ein gemeinsames OID-Präfix (Common Object Identifier). MIB-Ansichten ermöglichen es einem Agenten, mehr Kontrolle über den Zugriff auf bestimmte Zweige und Objekte innerhalb seiner MIB-Struktur zu haben. Eine Ansicht besteht aus einem Namen und einer Sammlung von SNMP-OIDs, die explizit ein- oder ausgeschlossen werden können. Weitere Informationen finden Sie unter Konfigurieren von SNMP auf Switches.
STATISCHE ROUTE	Konfigurieren Sie statische Routen. Der Switch verwendet statische Routen in folgenden Fällen: Es gibt keine Route mit einem besseren (niedrigeren) Präferenzwert. Die Route zu einem Ziel kann nicht bestimmt werden. Er muss Pakete weiterleiten, die nicht weitergeleitet werden können. Mist unterstützt IPv4- und IPv6-Adressen für statische Routen. Die IPv6-Unterstützung ist für Ziel- und Next-Hop-Adressen verfügbar. Unterstützte statische Routentypen: Subnetz: Wenn Sie diese Option auswählen, geben Sie die IP-Adressen für das Zielnetzwerk und den nächsten Hop an. Netzwerk: Wenn Sie diese Option auswählen, geben Sie ein VLAN (mit einer VLAN-ID und einem Subnetz) und die IP-Adresse des nächsten Hops an. Metrik: Der Metrikwert für die statische Route. Dieser Wert hilft dabei, die beste Route unter mehreren Routen zu einem Ziel zu ermitteln. Bereich: 0 bis 4294967295. Präferenz: Der Voreinstellungswert wird verwendet, um Routen zu Zielen in externen autonomen Systemen (ASs) oder Routing-Domänen auszuwählen. Routen innerhalb eines AS werden vom IGP ausgewählt und basieren auf der Metrik oder dem Kostenwert dieses Protokolls. Bereich: 0 bis 4294967295. Verwerfen: Wenn Sie dieses Kontrollkästchen aktivieren, werden an dieses Ziel adressierte Pakete verworfen. Verwerfen hat Vorrang vor anderen Parametern. Nachdem Sie die Details angegeben haben, klicken Sie auf das Häkchen (✓) oben rechts im Fenster Statische Route hinzufügen , um die Konfiguration zur Vorlage hinzuzufügen.
CLI-KONFIGURATION	Um zusätzliche Einstellungen zu konfigurieren, die nicht in der GUI der Vorlage verfügbar sind, können Sie set CLI-Befehle verwenden. Sie können beispielsweise eine benutzerdefinierte Anmeldenachricht einrichten, um Benutzern eine Warnung anzuzeigen, die sie davon abhält, CLI-Änderungen direkt am Switch vorzunehmen. Hier ist ein Beispiel, wie Sie das machen können: set system login message \n\n Warning! This switch is managed by Mist. Do not make any CLI changes. Um einen bereits hinzugefügten CLI-Befehl zu löschen, verwenden Sie den `delete` Befehl, wie im folgenden Beispiel gezeigt: delete system login message \n\n Warning! This switch is managed by Mist. Do not make any CLI changes. Anmerkung: Stellen Sie sicher, dass Sie den vollständigen CLI-Befehl eingeben, damit die Konfiguration erfolgreich ist.
OSPF	Von dieser Kachel aus haben Sie folgende Möglichkeiten: Definieren Sie einen OSPF-Bereich (Open Shortest Path First). OSPF ist ein Link-State-Routing-Protokoll, mit dem der beste Pfad für die Weiterleitung von IP-Paketen innerhalb eines IP-Netzwerks bestimmt wird. OSPF unterteilt ein Netzwerk in Bereiche, um die Skalierbarkeit zu verbessern und den Fluss von Routing-Informationen zu steuern. Weitere Informationen zu OSPF-Bereichen finden Sie in dieser Junos-Dokumentation: Konfigurieren von OSPF-Bereichen. Aktivieren oder deaktivieren Sie die OSPF-Konfiguration auf dem Switch.
DHCP-SNOOPING	Juniper Switches der EX- und QFX-Serie bieten hervorragende Portsicherheit, einschließlich DHCP-Snooping, ARP-Prüfung (Address Resolution Protocol) und IP-Quellschutz. Sie können diese Optionen für alle oder ausgewählte VLANs auf dem Switch über das Mist-Portal aktivieren. DHCP-Snooping muss aktiviert sein, damit DHCP-Probleme in die SLE-Metrik "Successful Connect SLE " aufgenommen werden. DHCP-Snooping überwacht DHCP-Nachrichten von nicht vertrauenswürdigen Geräten, die mit dem Switch verbunden sind. Wenn diese Option aktiviert ist, extrahiert DHCP-Snooping die IP-Adresse und die Lease-Informationen aus den DHCP-Paketen und speichert sie in einer Snooping-Datenbank. Die Portsicherheit auf den EX-Switches verwendet diese Informationen, um DHCP-Anforderungen zu überprüfen und DHCPOFFERs zu blockieren, die auf nicht vertrauenswürdigen Ports empfangen werden (DHCP DISCOVER und DHCP REQUEST sind nicht betroffen). IP Source Guard funktioniert nur mit dem 802.1X-Benutzerauthentifizierungsmodus mit einem Supplicant. Er verwendet die DHCP-Datenbank, um Quell-IP-Adressen und MAC-Adressen zu überprüfen, die an einem nicht vertrauenswürdigen Port empfangen werden, und löscht die Pakete, für die keine übereinstimmenden Einträge in der Datenbank vorhanden sind. Die ARP-Prüfung untersucht die Quell-MAC-Adresse in ARP-Paketen, die über nicht vertrauenswürdige Ports empfangen werden. Die Adresse wird anhand der DHCP-Snooping-Datenbank validiert, und wenn die MAC-Adresse nicht gefunden werden kann, wird das Paket verworfen. Sie können die CLI verwenden, um ARP-Statistiken zu überprüfen, z. B. die Anzahl der ungültigen ARP-Pakete, die auf jeder Schnittstelle empfangen werden, und die IP- und MAC-Adressen des Absenders, indem Sie die folgenden Befehle in die CLI-Shell eingeben: `show dhcp-security arp inspection statistics`und `show log messages \| match DAI` Standardmäßig betrachtet das DHCP-Protokoll alle Trunk-Ports als vertrauenswürdig und alle Zugriffsports als nicht vertrauenswürdig. Es wird empfohlen, einen DHCP-Server nur über einen Trunk-Port mit dem Switch zu verbinden oder, falls Sie einen Zugriffsport verwenden müssen, diesen Port im Portprofil explizit als vertrauenswürdig zu konfigurieren, da DHCP sonst nicht funktioniert. Beachten Sie, dass, wenn Sie ein Gerät, das mit einer statischen IP-Adresse konfiguriert ist, mit einem nicht vertrauenswürdigen Port auf dem Switch verbinden, die MAC-IP-Bindung in der DHCP-Snooping-Datenbank möglicherweise nicht vorhanden ist. Die Pakete werden verworfen. Sie können diesen Befehl `show dhcp-security binding` in einer CLI-Shell verwenden, um DHCP-Probleme zu beheben und zu sehen, welche Bindungen in der DHCP-Snooping-Datenbank für den Switch aufgeführt sind. Weitere Informationen finden Sie unter Überlegungen zu DHCP-Snooping und Portsicherheit.
SYSLOG	Konfigurieren Sie die SYSLOG-Einstellungen, um festzulegen, wie Systemprotokollmeldungen behandelt werden. Sie können die Einstellungen so konfigurieren, dass die Systemprotokollmeldungen an Dateien, Remote-Ziele, Benutzer-Terminals oder an die Systemkonsole gesendet werden. Hilfe zu den Konfigurationsoptionen finden Sie unter Konfigurieren des Systemprotokolls.
PORT-SPIEGELUNG	Konfigurieren Sie die Portspiegelung. Portspiegelung ist die Fähigkeit eines Routers, eine Kopie eines Pakets zur Analyse an eine externe Hostadresse oder einen Sniffer zu senden. In der Portspiegelungskonfiguration können Sie Folgendes angeben: Eingabe: Die Quelle (eine Schnittstelle oder ein Netzwerk) des zu überwachenden Datenverkehrs. Zusammen mit der Eingabe können Sie angeben, ob Mist den eingehenden Datenverkehr oder den ausgehenden Datenverkehr für eine Schnittstelle überwachen soll. Wenn sowohl eingehender als auch ausgehender Datenverkehr überwacht werden sollen, fügen Sie zwei Eingabeeinträge für dieselbe Schnittstelle hinzu – einen mit dem Eingangs-Flag und den anderen mit dem Ausgangs-Flag. Ausgabe: Die Zielschnittstelle, auf die Sie den Datenverkehr spiegeln möchten. Sie können nicht gleichzeitig die gleiche Schnittstelle oder das gleiche Netzwerk in den Eingabe- und Ausgabefeldern angeben.
Routing-Richtlinie	Konfigurieren Sie Routing-Richtlinien für die gesamte Organisation (Organization > Switch Templates) oder für einen Standort (Site > Switch Configuration). Diese Routing-Richtlinien werden nur dann an die Switch-Konfiguration übertragen, wenn diese an das BGP-Routing-Protokoll gebunden ist. Die Routing-Richtlinien, die bereits auf der Registerkarte BGP eines Switches definiert sind, werden jetzt auf der Registerkarte Routing-Richtlinie angezeigt. Die Routing-Richtlinien sind an Protokolle wie BGP oder OSPF gebunden. Ein Framework für Routing-Richtlinien besteht aus Standardregeln für jedes Routing-Protokoll. Diese Regeln bestimmen, welche Routen das Protokoll in der Routing-Tabelle platziert und von der Routing-Tabelle ankündigt. Die Konfiguration einer Routing-Richtlinie umfasst die Definition von Begriffen, die aus Übereinstimmungsbedingungen und Aktionen bestehen, die auf übereinstimmende Routen angewendet werden sollen. So konfigurieren Sie eine Routing-Richtlinie: Klicken Sie auf der Kachel Routing-Richtlinie auf Routing-Richtlinie hinzufügen . Geben Sie der Richtlinie einen Namen an, und klicken Sie dann auf Bedingungen hinzufügen. Geben Sie dem Begriff einen Namen und andere Übereinstimmungsdetails an, z. B.: Präfix AS-Pfad Protokoll Community: Ein Routenattribut, das von BGP verwendet wird, um Routen mit ähnlichen Eigenschaften administrativ zu gruppieren. Then: Dann: Die Aktion "Annehmen" oder "Ablehnen" wird auf die entsprechenden Routen angewendet. Aktion hinzufügen: Zusätzliche Aktionen wie AS-Pfad voranstellen, Community festlegen und lokale Präferenz festlegen. Klicken Sie auf das Häkchen (✓) rechts neben dem Titel Begriff hinzufügen, um den Begriff zu speichern. Sie können mehrere Begriffe hinzufügen. Klicken Sie auf Hinzufügen , um die Routing-Richtlinie zu speichern.

Management

Konfigurieren Sie diese Optionen im Abschnitt "Verwaltung" der Seite "Organization > Switch Templates " und der Seite "Site > Switch Configuration ".

Tabelle 2: Konfigurationsoptionen für die Verwaltung
Hinweise zur	Option
Timer für das Zurücksetzen der Konfiguration	Diese Funktion hilft dabei, die Konnektivität zwischen einem Switch und der Mist Cloud wiederherzustellen, wenn der Switch aufgrund einer Konfigurationsänderung die Verbindung verliert. Die von einem Benutzer vorgenommenen Änderungen werden automatisch rückgängig gemacht und innerhalb einer bestimmten Zeitdauer erneut eine Verbindung zur Cloud hergestellt. Standardmäßig ist diese Zeitdauer für Switches der EX-Serie auf 10 Minuten festgelegt. Sie können eine andere Zeitdauer angeben. Bereich: 3 bis 30 Minuten. Im Falle eines Ereignisses, bei dem die Konfiguration zurückgesetzt wurde, können Sie auf der Seite "Switch-Ereignisse" nachsehen, warum die Switch-Konfiguration zurückgesetzt wurde.
Root-Passwort	Ein Nur-Text-Kennwort für den Benutzer auf Root-Ebene (dessen Benutzername root ist).
Schutz der Routing-Engine	Aktivieren Sie diese Funktion, um sicherzustellen, dass die Routing-Engine nur Datenverkehr von vertrauenswürdigen Systemen akzeptiert. Durch diese Konfiguration wird ein zustandsloser Firewallfilter erstellt, der den gesamten für die Routing-Engine bestimmten Datenverkehr verwirft, mit Ausnahme von Paketen aus angegebenen vertrauenswürdigen Quellen. Zum Schutz der Routing-Engine gehört das Filtern des eingehenden Datenverkehrs auf der lo0-Schnittstelle des Routers. Die Aktivierung des Schutzes der Routing-Engine auf Juniper Switches wird als Best Practice empfohlen. Wenn Protection of Routing-Engine aktiviert ist, stellt Mist standardmäßig sicher, dass die folgenden Services (falls konfiguriert) mit dem Switch kommunizieren dürfen: BGP, BFD, NTP, DNS, SNMP, TACACS und RADIUS. Wenn Sie zusätzliche Services benötigen, die Zugriff auf den Switch benötigen, können Sie den Abschnitt "Vertrauenswürdige Netzwerke" oder "Vertrauenswürdige Services" verwenden. Wenn Sie den Zugriff auf den Switch über SSH einrichten möchten, wählen Sie unter Vertrauenswürdige Dienste die Option ssh. Wenn Sie zulassen möchten, dass Switch auf Pings reagiert, wählen Sie die icmp-Option unter Vertrauenswürdige Dienste aus. Wenn Sie andere Segmente haben, von denen aus Sie den Switch erreichen möchten, können Sie diese unter Vertrauenswürdige Netzwerke oder Vertrauenswürdige IP/Port/Protokoll hinzufügen. Weitere Informationen finden Sie unter Beispiel: Konfigurieren eines zustandslosen Firewallfilters zum Akzeptieren von Datenverkehr aus vertrauenswürdigen Quellen und Beispiel: Konfigurieren eines zustandslosen Firewallfilters zum Schutz vor TCP- und ICMP-Floods.
Lokale Benutzer	Erstellen Sie ein lokales Benutzerkonto auf dem Switch für die Geräteverwaltung. Um ein Benutzerkonto zu erstellen, klicken Sie auf Benutzer hinzufügen , und definieren Sie dann einen Benutzernamen, eine Anmeldeklasse (Operator, Schreibgeschützt, Superuser oder Nicht autorisiert) und ein Kennwort.
Zeitüberschreitung im Leerlauf	Die maximale Anzahl von Minuten, die eine Remote-Shell-Sitzung im Leerlauf sein kann. Wenn dieser Grenzwert erreicht ist, werden Benutzer abgemeldet. (Gültiger Bereich: 1-60).
Login-Banner	Geben Sie den Text ein, den Benutzer sehen sollen, wenn sie sich beim Switch anmelden. Beispiel: "Warnung! Dieser Switch wird von Juniper Mist verwaltet. Nehmen Sie keine CLI-Änderungen vor." Sie können bis zu 2048 Zeichen eingeben.
DHCP-Option 81 (für dynamisches DNS)	Aktivieren Sie Switches mit Unterstützung für DHCP Option 81. Wenn diese Option auf einem Switch aktiviert ist, können die mit diesem Switch verbundenen Clients ihren vollqualifizierten Domänennamen (FQDN) an den DHCP-Server senden und dabei eine IP-Adresse anfordern. Auf diese Weise kann der DHCP-Server DNS-Einträge entsprechend aktualisieren. Sie können die DHCP-Option 81 auch auf Standortebene (Standort - > Switch-Konfiguration) und Geräteebene (Switches > Switch-Name) aktivieren.

Gemeinsame Elemente

Konfigurieren Sie diese Optionen im Abschnitt "Freigegebene Elemente" auf der Seite " Organization > Switch Templates " und auf der Seite "Site > Switch Configuration ".

Tabelle 3: Konfigurationsoptionen für gemeinsam genutzte Elemente
Hinweise zur	Option
Netzwerke	Fügen Sie VLANs hinzu oder aktualisieren Sie sie, die Sie dann in Ihren Portprofilen verwenden können. Geben Sie für jedes VLAN den Namen, die VLAN-ID und das Subnetz ein. Sie können eine IPv4- oder IPv6-Adresse für das Subnetz angeben. Weitere Tipps finden Sie in den Informationen auf dem Bildschirm. Auf dieser Kachel haben Sie die Möglichkeit, die Netzwerke auszublenden, die nicht in einem benutzerdefinierten Portprofil oder einer L3-Unterschnittstelle verwendet werden. Mit dieser Funktion können Sie schnell die Netzwerke identifizieren, die verwendet werden, und diejenigen, die nicht verwendet werden.
Portprofile	Fügen Sie Portprofile hinzu oder aktualisieren Sie sie. Hilfe zu den Profiloptionen finden Sie in den Tipps auf dem Bildschirm und unter Freigegebene Elemente – Portprofile. Auf dieser Kachel haben Sie die Möglichkeit, die Portprofile auszublenden, die nicht in statischen oder dynamischen Portkonfigurationen verwendet werden, die von Benutzern definiert wurden. Mit dieser Funktion können Sie schnell die verwendeten und nicht verwendeten Portprofile identifizieren.
Konfiguration dynamischer Ports	Bei der dynamischen Portprofilerstellung werden eine Reihe von Geräteeigenschaften des angeschlossenen Client-Geräts verwendet, um der Schnittstelle automatisch vorkonfigurierte Port- und Netzwerkeinstellungen zuzuordnen. Sie können ein dynamisches Portprofil basierend auf den folgenden Parametern konfigurieren: LLDP-Systemname LLDP – Beschreibung LLDP-Chassis-ID Radius-Benutzername Radius-Filter-ID MAC (Ethernet-MAC-Adresse) In diesem Beispiel wendet die Regel ein Portprofil auf alle Geräte mit dem angegebenen LLDP-Systemnamen an. Anmerkung: Wenn Sie mehrere Werte im Feld Wenn Text beginnt mit in einer DPC-Regel verwenden, trennen Sie diese durch Kommas, und stellen Sie sicher, dass sie alle die gleiche Länge haben. Wenn ein Wert in der Länge abweicht, müssen Sie eine separate Regel dafür erstellen. Damit Ihre dynamischen Portkonfigurationen wirksam werden, müssen Sie auch die Ports angeben, die als dynamische Ports fungieren sollen. Sie können dies tun, indem Sie das Kontrollkästchen "Dynamische Konfiguration aktivieren " auf der Registerkarte "Port Config" im Abschnitt "Select Switches" der Switch-Vorlage oder im Abschnitt "Port Configuration" der Switch-Detailseite aktivieren. Es dauert einige Minuten, bis ein Portprofil auf einen Port angewendet wird, nachdem ein Client erkannt wurde, und einige Minuten danach, bis der Status der Portprofilzuweisung im Mist Portal angezeigt wird. Im Falle eines Neustarts eines Switches oder eines Massenereignisses nach oben oder unten mit einem Link, das alle Ports auf einem Switch betrifft, dauert es ungefähr 20 Minuten, bis alle Ports dem richtigen Profil zugewiesen sind (vorausgesetzt, die dynamische Portkonfiguration ist auf allen Ports aktiviert). Die dynamische Portkonfiguration auf einem Switch ist für den Verbindungsaufbau zu IoT-Geräten, APs und Benutzer-Port-Endgeräten vorgesehen. Sie sollten es nicht zum Erstellen von Verbindungen zwischen Switches, Switches und Routern sowie Switches und Firewalls verwenden. Außerdem sollten Sie die dynamische Portkonfiguration nicht auf dem Uplink-Port aktivieren.
VRF	Mit VRF können Sie einen Switch der EX-Serie in mehrere virtuelle Routing-Instanzen unterteilen, um den Datenverkehr innerhalb des Netzwerks effektiv zu isolieren. Sie können einen Namen für das VRF definieren, die damit verknüpften Netzwerke angeben und alle zusätzlich benötigten Routen einschließen. Sie können IPv4- oder IPv6-Adressen für die zusätzliche Route angeben. Anmerkung: Das Standardnetzwerk (VLAN-ID = 1) kann VRF nicht zugewiesen werden.

Shared Elements: Portprofile

Im Abschnitt "Freigegebene Elemente " können Sie Portprofile konfigurieren. Diese Optionen werden angezeigt, wenn Sie auf "Profil hinzufügen" klicken oder wenn Sie auf ein Profil klicken, das Sie bearbeiten möchten.

Anmerkung:

Allgemeine Informationen zu Profilen finden Sie unter Übersicht über Portprofile.
Wenn Sie auf Standortebene arbeiten, werden möglicherweise Sternchen (*) neben den Portprofilnamen angezeigt. Diese Portprofile wurden in der Switch-Vorlage erstellt. Wenn Sie darauf klicken, werden die Einstellungen im schreibgeschützten Modus angezeigt. Wenn Sie standortspezifische Änderungen vornehmen möchten (die sich nur auf diesen Standort und nicht auf die Switch-Vorlage selbst auswirken), wählen Sie Vorlagendefiniertes Profil überschreiben aus und bearbeiten Sie dann die Einstellungen.

Tabelle 4: Konfigurationsoptionen für Portprofile
Hinweise zur	Option
Name, aktivierter Port und Beschreibung	Grundeinstellungen zum Identifizieren und Aktivieren des Ports.
Modus	Trunk: Trunk-Schnittstellen stellen in der Regel Verbindungen zu anderen Switches, APs und Routern im LAN her. In diesem Modus kann sich die Schnittstelle in mehreren VLANs befinden und Datenverkehr zwischen verschiedenen VLANs multiplexen. Geben Sie das Portnetzwerk, das VoIP-Netzwerk (falls zutreffend) und die Trunk-Netzwerke an. Zugriff: Standardmodus. Zugriffsschnittstellen stellen in der Regel eine Verbindung zu Netzwerkgeräten wie PCs, Druckern, IP-Telefonen und IP-Kameras her. In diesem Modus kann sich die Schnittstelle nur in einem einzelnen VLAN befinden. Geben Sie das Portnetzwerk und das VoIP-Netzwerk an (falls zutreffend). Portnetzwerk und VoIP-Netzwerk: Wählen Sie die VLANs für diesen Port aus.
Verwenden der dot1x-Authentifizierung	Wählen Sie diese Option aus, um die IEEE 802.1X-Authentifizierung für die portbasierte Netzwerkzugriffssteuerung zu aktivieren. Die 802.1X-Authentifizierung wird für Schnittstellen unterstützt, die Mitglieder privater VLANs (PVLANs) sind. Die folgenden Optionen sind verfügbar, wenn Sie die dot1x-Authentifizierung für einen Port aktivieren: Mehrere Supplicants zulassen: Wählen Sie diese Option aus, damit mehrere Endgeräte eine Verbindung zum Port herstellen können. Jedes Gerät wird einzeln authentifiziert. Dynamisches VLAN: Geben Sie dynamische VLANs an, die vom RADIUS-Serverattribut "tunnel-private-group-ID" oder "Egress-VLAN-Name" zurückgegeben werden. Diese Konfiguration ermöglicht es einem Port, eine dynamische VLAN-Zuweisung durchzuführen. MAC-Authentifizierung: Wählen Sie diese Option aus, um die MAC-Authentifizierung für den Port zu aktivieren. Wenn diese Option ausgewählt ist, können Sie auch ein Authentifizierungsprotokoll angeben. Wenn Sie ein Protokoll angeben, muss es von Supplicants verwendet werden, um Authentifizierungsinformationen bereitzustellen. Gastnetzwerk verwenden: Wählen Sie diese Option aus, um ein Gastnetzwerk für die Authentifizierung zu verwenden. Wählen Sie dann ein Gastnetzwerk aus der Dropdown-Liste aus. Authentifizierung umgehen, wenn der Server ausgefallen ist: Wenn Sie diese Option auswählen, können Clients dem Netzwerk ohne Authentifizierung beitreten, wenn der Server ausgefallen ist. Intervall für erneute Authentifizierung: In einem Switch-Portprofil, das die dot1x-Authentifizierung verwendet, können Sie einen Timer konfigurieren, der steuert, wie oft sich ein Client beim RADIUS-Server erneut authentifiziert. Der empfohlene Wert liegt zwischen 6 und 12 Stunden (21600 bis 43200 Sekunden). Der Standardwert ist 65000 Sekunden. Sie müssen auch die folgenden Schritte ausführen, damit die dot1x-Authentifizierung funktioniert: Konfigurieren Sie einen RADIUS-Server für die dot1x-Authentifizierung über die Kachel Authentifizierungsserver im Abschnitt Konfiguration aller Switches der Vorlage. Weisen Sie einem Switch-Port ein dot1x-Portprofil zu, damit die RADIUS-Konfiguration an den Switch übertragen werden kann. Sie können dies über die Registerkarte "Port Config" im Abschnitt "Select Switches Configuration" der Vorlage tun. Bewegen Sie den Mauszeiger über den Port, um das Feld "RADIUS-zugewiesenes VLAN" anzuzeigen. Ports mit aktiviertem dot1x wird vom RADIUS-Server ein neues VLAN zugewiesen, wenn die 802.1x-Authentifizierung erfolgreich ist. Diese Ansicht ist besonders nützlich, wenn Sie überprüfen möchten, ob sich ein bestimmtes VLAN an einem Port nach der dot1x-Authentifizierung geändert hat. Abbildung 1: VLAN mit Radiuszuweisung an einem Dot1x-Port
Geschwindigkeit	Behalten Sie die Standardeinstellung "Auto" bei, oder wählen Sie eine Geschwindigkeit aus
Doppelhaus	Behalten Sie die Standardeinstellung "Auto" bei, oder wählen Sie "Halb" oder "Ganz" aus.
MAC-Limit	Konfigurieren Sie die maximale Anzahl von MAC-Adressen, die dynamisch von einer Schnittstelle gelernt werden können. Wenn die Schnittstelle das konfigurierte MAC-Limit überschreitet, werden die Frames gelöscht. Eine MAC-Begrenzung führt auch zu einem Protokolleintrag. Der konfigurierte Wert bleibt aktiv, bis er ersetzt oder gelöscht wird, und bleibt auch nach einem Neustart des Geräts erhalten. Der Standardwert: 0 Unterstützter Bereich: 0 bis 16383
Poe	Aktivieren Sie den Port für die Unterstützung von Power over Ethernet (PoE).
Pro VLAN STP	Konfigurieren Sie einen Switch mit VLAN Spanning Tree Protocol (VSTP) oder Spanning Tree pro VLAN. VSTP hilft dabei, Schleifen in Layer-2-Netzwerken auf VLAN-Basis zu vermeiden. Ein Spanning Tree pro VLAN ermöglicht ein fein abgestuftes Load Balancing. Mist empfiehlt, diese Funktion für Geräte anderer Anbieter (z. B. Cisco) zu aktivieren, die standardmäßig mit einem Spanning Tree pro VLAN arbeiten. Diese Einstellung ist auch auf Standort- und Switch-Ebene verfügbar.
STP-Edge	Konfigurieren Sie den Port als STP-Edge-Port (Spanning Tree Protocol), wenn Sie den BPDU-Schutz (Bridge Protocol Data Unit) auf einem Port aktivieren möchten. STP-Edge ist auf Ports aktiviert, mit denen Clients verbunden sind, die nicht am STP teilnehmen. Diese Einstellung stellt sicher, dass der Port als Edge-Port behandelt wird und schützt vor dem Empfang von BPDUs. Wenn Sie ein Nicht-Edge-Gerät an einen Port anschließen, der mit STP-Edge konfiguriert ist, wird der Port deaktiviert. Darüber hinaus wird auf der Seite "Switch Insights" das Ereignis "Port BPDU blockiert" generiert. Auf der Vorderseite der Switch-Details wird auch ein BPDU-Fehler für diesen Port angezeigt. Sie können den Port von dem BPDU-Fehler befreien, indem Sie den Port auf der Vorderseite auswählen und dann auf BPDU-Fehler löschen klicken. Sie sollten STP-Edge nicht am Uplink-Port aktivieren. Sie können STP-Edge auch auf Switch-Ebene im Abschnitt "Portprofil" auf der Detailseite des Switches konfigurieren.
STP Punkt-zu-Punkt-Analyse	Mit dieser Konfiguration wird der Schnittstellenmodus in Punkt-zu-Punkt-Modus geändert. Punkt-zu-Punkt-Verbindungen sind dedizierte Verbindungen zwischen zwei Netzwerkknoten oder Switches, die einen Port mit einem anderen verbinden.
STP Kein Root-Port	Diese Konfiguration verhindert, dass die Schnittstelle zu einem Root-Port wird.
QoS	Aktivieren Sie Quality of Service (QoS) für den Port, um latenzempfindlichen Datenverkehr, wie z. B. Sprach, gegenüber anderem Datenverkehr auf einem Port zu priorisieren. Anmerkung: Um optimale Ergebnisse zu erzielen, ist es wichtig, Quality of Service (QoS) sowohl für den nachgelagerten (eingehenden) als auch für den Upstream-Datenverkehr (ausgehenden) Datenverkehr zu aktivieren. Dadurch wird sichergestellt, dass das Netzwerk den Datenverkehr in beide Richtungen effektiv priorisieren und verwalten kann, was zu einer verbesserten Leistung und einer besseren Gesamtdienstqualität führt. Sie haben die Möglichkeit, die QoS-Konfiguration auf der Seite "WLAN-Einstellungen" (Standort > WLANs > WLAN-Name) zu überschreiben. Um die QoS-Konfiguration außer Kraft zu setzen, aktivieren Sie das Kontrollkästchen QoS überschreiben und wählen Sie eine Wireless-Zugriffsklasse aus. Der Downstream-Datenverkehr (AP > Client) wird mit dem angegebenen Wert für die Überschreibungszugriffsklasse markiert. Die Überschreibungskonfiguration unterstützt keinen Upstream-Datenverkehr (Client > AP). Siehe auch: QoS-Konfiguration.
Sturmkontrolle	Aktivieren Sie die Sturmsteuerung, um das Datenverkehrsvolumen zu überwachen und Broadcast-, Multicast- und unbekannte Unicast-Pakete automatisch zu verwerfen, wenn der Datenverkehr ein Datenverkehrsniveau (angegeben in Prozent) überschreitet. Diese angegebene Datenverkehrsmenge wird als Sturmkontrollstufe bezeichnet. Diese Funktion verhindert aktiv die Ausbreitung von Paketen und hält die Leistung des LANs aufrecht. Wenn Sie Storm Control aktivieren, können Sie auch Broadcast-, Multicast- und unbekannte Unicastpakete von der Überwachung ausschließen. Weitere Informationen finden Sie unter Grundlegendes zur Sturmsteuerung.
Persistentes (sticky) MAC-Lernen	Aktivieren Sie Persistente (sticky) MAC-Adressen , um MAC-Adressen für vertrauenswürdige Workstations und Server, die von der Schnittstelle gelernt wurden, auch nach einem Neustart des Geräts beizubehalten. Sie können Sticky MAC für statische kabelgebundene Clients konfigurieren. Sticky MAC ist nicht für die Verwendung auf Juniper Mist AP-Schnittstellen vorgesehen und wird auch nicht für Trunk-Ports oder solche mit 802.1X-Authentifizierung unterstützt. In Verbindung mit MAC-Limits (siehe oben) schützt Sticky MAC vor Layer 2-Denial-of-Service-Angriffen (DoS), Überlaufangriffen auf die Ethernet-Switching-Tabelle und DHCP-Hungerattacken. Gleichzeitig kann die Schnittstelle MAC-Adressen dynamisch lernen. Im Mist Portal werden diese Ereignisse auf der Seite "Einblicke" als `MAC Limit Exceeded` gemeldet. Sie konfigurieren sowohl Sticky MAC als auch MAC-Limits als Teil des Portprofils für den Switch. Die allgemeine Vorgehensweise wird in diesem Video demonstriert: Port profiles provide a convenient way to manually or automatically provision EX switch interfaces. Going into the EX4300, we'll first create VLANs. We'll make a camera network with VLAN ID 30 and an IoT network with VLAN ID 29. You can create as many networks as needed. You can create the profiles, for example, a camera, and map it to the camera network that we just created. Customize the settings as desired, such as PoE and STP. We'll repeat this process to create profiles for a corporate device enabling 802.1x authentication, an IoT device configured with PoE, and an access point configured as a trunk port. It's very simple to modify profiles to meet your specific requirements. Then we go into the port configuration section to associate the configurations with port profiles. Here we map ports 1 through 5 to be with an AP profile, ports 6 through 10 with a corporate device profile, ports 11 through 15 with IoT profiles, and ports 16 to 20 with the camera profile. This is how to create port profiles. We can also create port aggregation uplinks to be associated with the appropriate profiles. When you save all of your changes, this pushes the configuration to the particular switch. This covers how EX switches are manually provisioned with port profiles from the Juniper MIST Cloud. Sie müssen die Option "Persistent (Sticky) MAC Learning " am unteren Rand des Konfigurationsblocks "Port Profile" explizit aktivieren, um "Sticky MAC" als Teil des Portprofils einzuschließen, das Sie der Schnittstelle zuordnen. Für MAC-Grenzwerte ist der Standardwert 0 (unbegrenzt, d. h. deaktiviert), aber Sie können ihn aktivieren, indem Sie einen Wert von bis zu 16383 zulässigen eindeutigen MAC-Adressen festlegen. Um im Mist Portal zu sehen, welcher Wert für das MAC-Limit oder die MAC-Anzahl festgelegt wurde, wählen Sie auf der Seite Switches einen Switch aus und bewegen Sie den Mauszeiger über einen Switch-Port. Sie können sehen, welches (Port-)Profil auf die Schnittstelle angewendet wird, und somit den Sticky MAC-Status kennen. Abbildung 2: Portdetails mit Sticky MAC Das konfigurierte MAC-Limit und die Anzahl der erlernten MACs werden nach einigen Minuten angezeigt, während das dynamische Lernen auf der Schnittstelle fortschreitet. Im Mist Dashboard wird nur die maximale Anzahl MAC-Adresse angezeigt. Sie können jedoch jede MAC-Adresse anzeigen, die eine bestimmte Schnittstelle gelernt hat, indem Sie eine Remote-Shell für den Switch öffnen und die folgenden Junos CLI-Befehle ausführen: `show ethernet-switching table persistent-learning` `show ethernet-switching table persistent-learning interface` Die MAC-Anzahl ist ein persistenter Wert, der so lange bestehen bleibt, bis die MAC-Adresse gelöscht wird (oder bis sie im Portprofil deaktiviert wird und diese Konfiguration dann an den Switch übertragen wird). Um die MAC-Adressen einer bestimmten Schnittstelle über das Mist-Dashboard zu löschen, müssen Sie als Netzwerkadministrator oder Superuser angemeldet sein. Wählen Sie dann einfach den gewünschten Port auf der Vorderseite des Switches aus (wie in Abbildung 1 dargestellt) und klicken Sie auf die angezeigte Schaltfläche MAC löschen [Dynamisch/Persistent]. Auf der Seite "Switch Insights" wird das Ereignis als `MAC Limit Reset` Ereignis angezeigt. Weitere Informationen zur Vorderseite finden Sie unter Switch-Details.

Select Switches Configuration

Erstellen Sie Regeln, um Konfigurationseinstellungen basierend auf dem Namen, der Rolle oder dem Modell des Switches anzuwenden.

Klicken Sie auf eine Regel, um sie zu bearbeiten, oder klicken Sie auf Regel hinzufügen. Füllen Sie dann jede Registerseite aus. Klicken Sie beim Eingeben der Einstellungen auf das Häkchen oben rechts, um Ihre Änderungen zu speichern. Sie können auch einen Switch-Regeleintrag erstellen, indem Sie eine vorhandene Regel klonen. Dazu müssen Sie nur auf die Schaltfläche "Klonen" klicken und der neuen Regel einen Namen geben.

Die verschiedenen Registerkarten werden in separaten Tabellen unten beschrieben.

Tabelle 5: Select Switches – Registerkarte "Info"
Hinweise zur	Option
Name	Geben Sie einen Namen ein, um diese Regel zu identifizieren.
Gilt für den Namen des Switches	Aktivieren Sie diese Option, wenn diese Regel für alle Switches gelten soll, die dem angegebenen Namen entsprechen. Geben Sie dann den Text und die Anzahl der Versatzzeichen ein. Wenn Sie z. B. abc mit einem Offset von 0 eingeben, gilt die Regel für Switches, deren Namen mit abc beginnen. Wenn der Offset 5 ist, ignoriert die Regel die ersten 5 Zeichen des Switch-Namens.
Gilt für die Switch-Rolle	Aktivieren Sie diese Option, wenn diese Regel für alle Switches gelten soll, die dieselbe Rolle haben. Geben Sie die Rolle mithilfe von Kleinbuchstaben, Zahlen, Unterstrichen (_) oder Bindestrichen (-) ein.
Gilt für Switch-Modell	Aktivieren Sie diese Option, wenn diese Regel für alle Switches desselben Modells gelten soll. Wählen Sie dann das Modell aus.

Tabelle 6: Select Switches – Registerkarte "Port Config"
Hinweise zur	Option
Konfigurationsliste	Klicken Sie auf Portkonfiguration hinzufügen, oder wählen Sie eine Portkonfiguration aus, die bearbeitet werden soll.
Port-IDs	Geben Sie den/die zu konfigurierenden(n) Port(s) ein.
Konfigurationsprofil	Wählen Sie das Konfigurationsprofil aus, das auf die angegebenen Ports angewendet werden soll. Anmerkung: Wenn Sie Switch-Ports mit Q-in-Q-Tunneling konfigurieren möchten, wählen Sie Q-in-Q aus dieser Dropdown-Liste aus. Weitere Informationen finden Sie unter Konfigurieren von Q-in-Q-Tunneling an einem Switch-Port.
Portnetzwerk (S-VLAN)	Geben Sie ein Service-VLAN (S-VLAN) an, wenn der Port Q-in-Q-Tunneling verwendet. S-VLAN ist ein externes, zusätzliches VLAN-Tag, das zur Erweiterung von Layer-2-Ethernet-Verbindungen zwischen Kundenstandorten verwendet wird. Dies ist besonders nützlich, wenn Kunden überlappende VLAN-IDs haben.
Geschwindigkeit	Anmerkung: Gilt nur, wenn Sie Q-in-Q als Konfigurationsprofil ausgewählt haben. Behalten Sie die Standardeinstellung "Auto" bei, oder wählen Sie eine Geschwindigkeit aus.
Doppelhaus	Anmerkung: Gilt nur, wenn Sie Q-in-Q als Konfigurationsprofil ausgewählt haben. Behalten Sie die Standardeinstellung "Auto" bei, oder wählen Sie "Halb" oder "Ganz" aus.
Poe	Anmerkung: Gilt nur, wenn Sie Q-in-Q als Konfigurationsprofil ausgewählt haben. Aktivieren Sie den Port für die Unterstützung von Power over Ethernet (PoE).
MTU	Anmerkung: Gilt nur, wenn Sie Q-in-Q als Konfigurationsprofil ausgewählt haben. Geben Sie die maximale Übertragungseinheit (MTU) für den Port an. Standardwert: 1514. Bereich: 256 - 9216. Die maximale Übertragungseinheit (MTU) für eine Schnittstelle ist die größte Dateneinheit, die ohne Fragmentierung über diese Schnittstelle weitergeleitet werden kann .
Sturmkontrolle	Anmerkung: Gilt nur, wenn Sie Q-in-Q als Konfigurationsprofil ausgewählt haben. Aktivieren Sie die Sturmsteuerung, um das Datenverkehrsvolumen zu überwachen und Broadcast-, Multicast- und unbekannte Unicast-Pakete automatisch zu verwerfen, wenn der Datenverkehr ein Datenverkehrsniveau (angegeben in Prozent) überschreitet. Diese angegebene Datenverkehrsmenge wird als Sturmkontrollstufe bezeichnet. Diese Funktion verhindert aktiv die Ausbreitung von Paketen und hält die Leistung des LANs aufrecht. Wenn Sie Storm Control aktivieren, können Sie auch Broadcast-, Multicast- und unbekannte Unicastpakete von der Überwachung ausschließen. Weitere Informationen finden Sie unter Grundlegendes zur Sturmsteuerung.
Beschreibung	Geben Sie eine Beschreibung für den Port an.
Aktivieren der dynamischen Konfiguration	Anmerkung: Nicht anwendbar, wenn Sie Q-in-Q als Konfigurationsprofil ausgewählt haben. Wenn Sie diese Funktion aktivieren, wird ein Portprofil basierend auf den definierten Attributen des angeschlossenen Geräts zugewiesen. Wenn das Gerät mit den Attributen übereinstimmt, weist Mist dem Gerät ein entsprechendes dynamisches Profil zu. Wenn das Gerät jedoch nicht den Attributen entspricht, wird es in einem bestimmten VLAN platziert. Im folgenden Beispiel wird der Port mit dynamischer Portzuweisung aktiviert und mit einem eingeschränkten VLAN zugewiesen. Wenn das angeschlossene Gerät in diesem Fall nicht den Attributen für die dynamische Profilerstellung entspricht, wird es in ein eingeschränktes VLAN verschoben, z. B. in ein nicht routingfähiges VLAN oder ein Gast-VLAN. Schnittstellen, die mit Portaggregation aktiviert sind, unterstützen keine dynamische Portkonfiguration.
Warnmeldungen bei Up/Down-Port	Wenn Sie diese Funktion aktivieren, überwacht Juniper Mist die Übergänge zwischen dem Status "nach oben" und "unten" auf diesen Ports. Wenn Sie diese Funktion aktivieren, aktivieren Sie auch Critical Switch Port Up/Down auf der Seite Monitor > Alerts > Alerts Configuration.
Port-Aggregation	Anmerkung: Nicht anwendbar, wenn Sie Q-in-Q als Konfigurationsprofil ausgewählt haben. Wenn Sie diese Funktion aktivieren, werden Ethernet-Schnittstellen gruppiert, um eine Single-Link-Layer-Schnittstelle zu bilden. Diese Schnittstelle wird auch als Link Aggregation Group (LAG) oder Bundle bezeichnet. Die Anzahl der Schnittstellen, die Sie in einer LAG gruppieren können, und die Gesamtzahl der LAGs, die ein Switch unterstützt, variieren je nach Switch-Modell. Sie können LAG mit oder ohne aktiviertem LACP verwenden. Wenn das Gerät am anderen Ende LACP nicht unterstützt, können Sie LACP hier deaktivieren. Sie können auch den LACP-Force-up-Status für den Switch konfigurieren. Mit dieser Konfiguration wird der Status der Schnittstelle als "Aktiv" festgelegt, wenn der Peer über eine eingeschränkte LACP-Funktion verfügt. Sie können auch ein LACP-Paketübertragungsintervall konfigurieren. Wenn Sie die Option LACP Periodic Slow auf einer AE-Schnittstelle konfigurieren, werden die LACP-Pakete alle 30 Sekunden übertragen. Standardmäßig ist das Intervall, in dem die Pakete pro Sekunde übertragen werden, auf schnell eingestellt.
Dem Switch-Port-Betreiber erlauben, das Portprofil zu ändern	Wenn Sie diese Funktion aktivieren, können Benutzer mit der Administratorrolle "Switch-Port-Betreiber" diese Konfiguration anzeigen und verwalten.

Tabelle 7: Select Switches Configuration—Registerkarte IP Config
Hinweise zur	Option
Netzwerkliste (VLAN)	Wählen Sie ein Netzwerk für In-Band-Management-Datenverkehr aus. Oder klicken Sie auf Netzwerk hinzufügen, und füllen Sie die Felder Neues Netzwerk aus, wie in den verbleibenden Zeilen dieser Tabelle beschrieben.
Name	Geben Sie einen Namen ein, um dieses Netzwerk zu identifizieren.
VLAN-ID	Geben Sie die VLAN-ID zwischen 1 und 4094 ein, oder geben Sie eine Standortvariable ein, um dynamisch eine ID einzugeben.
Subnetz	Geben Sie die Subnetz- oder Standortvariable ein.

Wählen Sie die Registerkarte Switches – IP-Konfiguration (OOB) aus
Switches auswählen – Registerkarte "Port Mirroring"
Select Switches – Registerkarte "CLI Config"

Wählen Sie die Registerkarte Switches – IP-Konfiguration (OOB) aus

Aktivieren oder deaktivieren Sie Dedicated Management VRF (Out-of-Band). Bei allen Standalone-Geräten oder Virtual Chassis mit Junos Version 21.4 oder höher beschränkt diese Funktion die Verwaltungsschnittstelle auf nicht standardmäßige VRF-Instanzen (Virtual Routing and Forwarding). Der Verwaltungsdatenverkehr muss sich keine Routing-Tabelle mehr mit anderem Kontrolldatenverkehr oder Protokolldatenverkehr teilen.

Switches auswählen – Registerkarte "Port Mirroring"

Auf dieser Registerkarte wird die Liste der bereits hinzugefügten Portspiegelungskonfigurationen angezeigt. Klicken Sie auf einen Eintrag, um ihn zu bearbeiten. Oder klicken Sie auf Portspiegelung hinzufügen , um die Portspiegelung zu aktivieren. Mit dieser Funktion können Sie die Portspiegelung dynamisch auf Switches anwenden, basierend auf Parametern wie Switch-Rolle, Switch-Name und Switch-Modell, wie in den Regeln angegeben. Diese Funktion wird in der Regel für die Überwachung und Fehlerbehebung verwendet. Wenn die Portspiegelung aktiviert ist, sendet der Switch eine Kopie des Netzwerkpakets von den gespiegelten Ports an den Monitor-Port. Die Konfigurationsoptionen umfassen die folgenden:

Eingabe: Die Quelle (eine Schnittstelle oder ein Netzwerk) des zu überwachenden Datenverkehrs. Zusammen mit der Eingabe können Sie angeben, ob Mist den eingehenden Datenverkehr oder den ausgehenden Datenverkehr für eine Schnittstelle überwachen soll. Wenn sowohl eingehender als auch ausgehender Datenverkehr überwacht werden sollen, fügen Sie zwei Eingabeeinträge für dieselbe Schnittstelle hinzu – einen mit dem Eingangs-Flag und den anderen mit dem Ausgangs-Flag.
Ausgabe: Die Zielschnittstelle, auf die der Datenverkehr gespiegelt werden soll. Sie können nicht gleichzeitig die gleiche Schnittstelle oder das gleiche Netzwerk in den Eingabe- und Ausgabefeldern angeben.

Die Regeln unter "Select Switches Configuration" haben Vorrang vor der globalen Port Mirroring-Konfiguration. Wenn die globale Portspiegelung konfiguriert ist, wird sie als Standardregel im Konfigurationsabschnitt "Select Switches Configuration" (Switches auswählen) und als schreibgeschützt angezeigt. Sie können es auf globaler Ebene bearbeiten.

Select Switches – Registerkarte "CLI Config"

Geben Sie bei Bedarf weitere CLI-Befehle ein.

Switch-Richtlinienbezeichnungen (Beta)

Fügen Sie in diesem Abschnitt GBP-Tags hinzu, um Gruppen von Benutzern und Ressourcen zu identifizieren, auf die in Ihren Switch-Richtlinien verwiesen werden soll.

Anmerkung:

Nur die folgenden Geräte, die Junos OS Version 22.4R1 und höher ausgeführt werden, unterstützen GBPs: EX4400, EX4100, EX4650, QFX5120-32C und QFX5120-48Y.

Das folgende Beispiel zeigt die Tags, die ein Benutzer erstellt hat, zusammen mit den Richtlinien, die darauf verweisen.

Anmerkung:

Diese Funktion ist derzeit nur für Beta-Teilnehmer verfügbar.

Klicken Sie zunächst auf GBP-Tag hinzufügen. Geben Sie dann einen Namen ein, wählen Sie den Typ aus und geben Sie den Wert ein. Klicken Sie dann in der unteren rechten Ecke des Bildschirms auf Hinzufügen.

Wenn Sie ein Tag aktivieren, wird auf dem Bildschirm eine Warnung über die Auswirkungen auf eigenständige Switches und Virtual Chassis angezeigt. Lesen Sie die Informationen auf dem Bildschirm, bevor Sie fortfahren.

Anmerkung:

Wenn Sie die 802.1X-Authentifizierung mit dem Multiple-Supplicant-Modus konfigurieren, erfolgt das GBP-Tagging MAC-basiert. Wenn Sie die 802.1X-Authentifizierung mit dem Single-Supplicant-Modus konfigurieren, erfolgt das GBP-Tagging portbasiert.

Tabelle 8: Konfigurationsoptionen für Switch-Richtlinienbezeichnung (GBP-Tag)
Hinweise zur	Option
Dynamisch oder statisch	Standardmäßig wählt Juniper Mist die Option Dynamisch aus. Wenn Sie Statisch auswählen, geben Sie eine GBP-Tag-Quelle an. Dabei kann es sich um eine MAC-Adresse, ein Netzwerk oder ein IP-Subnetz handeln.
GBP-Tag	Geben Sie einen Wert oder ein GBP-Quell-Tag für vom Host stammende Pakete ein (Bereich: 1 bis 65535).

Switch-Richtlinie (Beta)

Konfigurieren Sie gruppenbasierte Richtlinien (GBPs), die Sie in Ihren IP-Clos-Bereitstellungen für Campus-Fabrics verwenden können. Wenn Sie eine Richtlinie erstellen, verwenden Sie Bezeichnungen auf Organisations- und Standortebene sowie Ihre GBP-Tags (aus dem Abschnitt Switch-Richtlinienbezeichnungen), um Benutzer zu identifizieren, die auf bestimmte Ressourcen zugreifen können oder nicht.

Anmerkung:

Nur die folgenden Geräte, die Junos OS Version 22.4R1 und höher ausgeführt werden, unterstützen GBPs: EX4400, EX4100, EX4650, QFX5120-32C und QFX5120-48Y.

Die folgende Abbildung zeigt eine Beispielrichtlinie mit Tags, die im Abschnitt "Switch-Richtlinienbezeichnungen" definiert wurden.

Klicken Sie zunächst auf Add Switch Policy (Switch-Richtlinie hinzufügen). Geben Sie dann die Einstellungen ein, wie in der folgenden Tabelle beschrieben.

Tabelle 9: Konfigurationsoptionen für Switch-Richtlinien
Hinweise zur	Option
BENUTZER/GRUPPE	Klicken Sie auf + , und fügen Sie die Benutzer oder Gruppen hinzu, die Zugriff auf die Ressourcen benötigen. Hier können Sie die GBT-Tags verwenden, wenn Sie diese bereits definiert haben.
RESSOURCE	Klicken Sie auf + , und fügen Sie die Ressourcen hinzu, die Sie den ausgewählten Benutzern oder Gruppen zuordnen müssen. Sie können auch hier die GBT-Tags verwenden, wenn Sie diese bereits definiert haben. Standardmäßig erhalten Benutzer Zugriff auf die hinzugefügten Ressourcen. Wenn Sie dem Benutzer den Zugriff auf bestimmte Ressourcen verweigern möchten, klicken Sie auf die Ressourcenbezeichnung, die Sie hinzugefügt haben, und legen Sie den Zugriff auf Verweigern fest.

AUF DIESER SEITE

Konfigurationsoptionen für Switches

Überblick

Alle Switches

Management

Gemeinsame Elemente

Shared Elements: Portprofile

Select Switches Configuration

Wählen Sie die Registerkarte Switches – IP-Konfiguration (OOB) aus

Switches auswählen – Registerkarte "Port Mirroring"

Select Switches – Registerkarte "CLI Config"

Switch-Richtlinienbezeichnungen (Beta)

Switch-Richtlinie (Beta)