Options de configuration des commutateurs | Mist

Aperçu

Vous pouvez entrer les paramètres du commutateur au niveau de l’organisation ou du site.

Pour configurer les paramètres à l’échelle de l’organisation, sélectionnez Modèles de commutateur d’organisation > dans le menu de gauche du portail Juniper Mist. Créez ensuite votre modèle et appliquez-le à un ou plusieurs sites ou groupes de sites.
Pour configurer les paramètres du commutateur au niveau du site, sélectionnez Configuration du commutateur > du site dans le menu de gauche du portail Juniper Mist. Sélectionnez ensuite le site que vous souhaitez configurer, puis entrez les paramètres de votre commutateur.

Si un modèle de commutateur au niveau de l’organisation a été attribué au site, la configuration du site s’affiche en mode lecture seule. Vous pouvez conserver les paramètres du modèle ou effectuer des ajustements. Dans chaque section de la page, vous pouvez sélectionner Remplacer le modèle de configuration , puis saisir vos modifications. Ces modifications ne s’appliqueront qu’à ce site, et non au modèle.

L’exemple suivant montre comment remplacer un modèle et définir un mot de passe root spécifique au site.

Note:

Les champs qui prennent en charge la configuration via une variable de site ont un texte d’aide indiquant le format de configuration de la variable de site en dessous. Pour configurer des variables de site, suivez les étapes indiquées dans la section Configurer les variables de site. Pour plus d’informations sur le processus de configuration des commutateurs et les modèles de commutateurs, reportez-vous à la section Configurer les commutateurs.

Au niveau de l’organisation et du site, les paramètres du commutateur sont regroupés en sections, comme décrit ci-dessous.

Tous les commutateurs

Configurez ces options dans la section Tous les commutateurs de la page Organisation > modèles de commutateurs et dans la page Configuration du commutateur > du site.

Tableau 1 : options de configuration de tous les commutateurs
Description	du champ
RAYON	Choisissez un serveur d’authentification pour valider les noms d’utilisateur et les mots de passe, les certificats ou d’autres facteurs d’authentification fournis par les utilisateurs. Mist authentification : configurez Juniper Mist Access Assurance, un service d’authentification basé sur le cloud, sur votre commutateur. Pour que cette option fonctionne, vous devez utiliser un port avec authentification dot1x ou MAB. Pour plus d’informations, consultez le guide Juniper Mist Access Assurance. RADIUS : sélectionnez cette option pour configurer un serveur d’authentification RADIUS et un serveur de comptabilité, afin d’activer l’authentification de port dot1x au niveau du commutateur. Pour que l’authentification de port dot1x fonctionne, vous devez également créer un profil de port qui utilise l’authentification dot1x, et vous devez affecter ce profil à un port du commutateur. Les numéros de port par défaut sont les suivants : Port 1812 pour le serveur d’authentification Port 1813 pour le serveur de comptabilité Note: Si vous souhaitez configurer l’authentification RADIUS pour l’accès à la gestion des commutateurs (pour la connexion à l’interface de ligne de commande du commutateur), vous devez inclure les commandes CLI suivantes dans la section Commandes CLI supplémentaires du modèle : set system authentication-order radius set system radius-server `radius-server-IP` port 1812 set system radius-server `radius-server-IP` secret `secret-code` set system radius-server `radius-server-IP` source-address `radius-Source-IP` set system login user remote class `class` Pour l’authentification locale RADIUS ou TACACS+ au commutateur, il est nécessaire de créer un compte d’utilisateur distant ou une classe de connexion différente. Pour utiliser différentes classes de connexion pour différents utilisateurs authentifiés RADIUS, créez plusieurs modèles d’utilisateur dans la configuration de Junos OS à l’aide des commandes CLI suivantes dans la section Commandes CLI supplémentaires : set system login user RO class read-only set system login user OP class operator set system login user SU class super-user set system login user remote full-name "default remote access user template" set system login user remote class read-only
TACACS+	Activez TACACS+ pour une authentification centralisée des utilisateurs sur les équipements du réseau. Pour utiliser l’authentification TACACS+ sur l’appareil, vous devez configurer les informations relatives à un ou plusieurs serveurs TACACS+ sur le réseau. Vous pouvez également configurer la comptabilité TACACS+ sur l’appareil pour collecter des données statistiques sur les utilisateurs qui se connectent ou se déconnectent d’un réseau local et envoyer les données à un serveur de comptabilité TACACS+. En outre, vous pouvez spécifier un rôle d’utilisateur pour les utilisateurs authentifiés TACACS+ dans la configuration du commutateur. Les rôles d’utilisateur suivants sont disponibles : Aucun, Administrateur, Lecture, Service d’assistance. Lorsque les utilisateurs authentifiés TACACs+ n'ont pas de compte utilisateur configuré sur l'équipement local, Junos leur attribue un compte d'utilisateur nommé « distant » par défaut. La plage de ports prise en charge pour les serveurs TACACS+ et de comptabilité est comprise entre 1 et 65535. Note: Pour que TACACS+ puisse s’authentifier dans le commutateur, un utilisateur de connexion similaire à celui défini dans la section RADIUS ci-dessus doit être créé.
NTP	Spécifiez l’adresse IP ou le nom d’hôte du serveur NTP (Network Time Protocol). NTP est utilisé pour synchroniser les horloges du commutateur et d’autres périphériques matériels sur Internet.
PARAMÈTRES DNS	Configurez les paramètres du serveur de noms de domaine (DNS). Vous pouvez configurer jusqu’à trois adresses IP DNS et des suffixes dans un format séparé par des virgules.
SNMP	Configurez le protocole SNMP (Simple Network Management Protocol) sur le commutateur pour prendre en charge la gestion et la surveillance du réseau. Vous pouvez configurer SNMPv2 ou SNMPv3. Voici les options SNMP que vous pouvez configurer : Options sous SNMPv2 (V2) Général : spécifiez le nom du système, son emplacement, les coordonnées administratives et une brève description du système géré. Lorsque vous utilisez SNMPv2, vous avez la possibilité de spécifier l’adresse source des paquets d’interruption SNMP envoyés par l’appareil. Si vous ne spécifiez pas d'adresse source, l'adresse de l'interface sortante est utilisée par défaut. Client (Client) : définissez une liste de clients SNMP. Vous pouvez ajouter plusieurs listes de clients. Cette configuration comprend un nom pour la liste des clients et les adresses IP des clients (au format séparé par des virgules). Chaque liste de clients peut avoir plusieurs clients. Un client est un préfixe avec /32 mask. Trap Group (Groupe d’interruptions) : créez un groupe nommé d’hôtes qui recevront les notifications d’interruption spécifiées. Au moins un groupe d’interruptions doit être configuré pour l’envoi des interruptions SNMP. La configuration comprend les champs suivants : Group Name (Nom du groupe) : spécifiez un nom pour le groupe de recouvrements. Categories (Catégories) : faites votre choix dans la liste de catégories suivante. Vous pouvez sélectionner plusieurs valeurs. authentification châssis configuration lien opérations à distance routage services démarrage vrrp-événements Targets (Cibles) : spécifiez les adresses IP cibles. Vous pouvez spécifier plusieurs cibles. Version (Version) : spécifiez le numéro de version des interruptions SNMP. Community (Communauté) : définissez ce qu’est une communauté SNMP. Une communauté SNMP permet d’autoriser les clients SNMP en fonction de leur adresse IP source. Il détermine également l’accessibilité et les autorisations (en lecture seule ou en lecture-écriture) pour des objets MIB spécifiques définis dans une vue. Vous pouvez inclure une liste de clients, des informations d’autorisation et une vue dans la configuration de la communauté. View(Applicable à SNMPv2 et SNMPv3) : définit une vue MIB pour identifier un groupe d’objets MIB. Chaque objet de la vue partage un préfixe d’identificateur d’objet (OID) commun. Les vues MIB permettent à un agent d’avoir plus de contrôle sur l’accès à des branches et des objets spécifiques au sein de son arborescence MIB. Une vue est composée d’un nom et d’un ensemble d’OID SNMP, qui peuvent être explicitement inclus ou exclus. Options sous SNMPv3 (V3) Général : spécifiez le nom du système, son emplacement, les coordonnées administratives et une brève description du système géré. Lorsque vous utilisez SNMPv2, configurez un ID de moteur, qui sert d’identifiant unique pour les entités SNMPv3. USM : configurez les paramètres du modèle de sécurité basé sur l’utilisateur (USM). Cette configuration comprend un nom d’utilisateur, un type d’authentification et un type de chiffrement. Vous pouvez configurer un moteur local ou un moteur distant pour USM. Si vous sélectionnez un moteur distant, spécifiez un identificateur de moteur au format hexadécimal. Cet ID est utilisé pour calculer le résumé de sécurité pour authentifier et chiffrer les paquets envoyés à un utilisateur sur l’hôte distant. Si vous spécifiez l’option Moteur local, l’ID de moteur spécifié dans l’onglet Général est pris en compte. Si aucun ID de moteur n’est spécifié, le mist local est configuré comme valeur par défaut. VACM : définissez un modèle de contrôle d’accès basé sur la vue (VACM). Un VACM vous permet de définir les privilèges d’accès d’un groupe. Vous pouvez contrôler l’accès en filtrant les objets MIB disponibles pour les opérations de lecture, d’écriture et de notification à l’aide d’une vue prédéfinie (vous devez d’abord définir les vues requises dans l’onglet Vues). Chaque vue peut être associée à un modèle de sécurité spécifique (v1, v2c ou usm) et à un niveau de sécurité (authentifié, de confidentialité ou aucun). Vous pouvez également appliquer des paramètres de sécurité (vous avez la possibilité d’utiliser les paramètres USM déjà définis ici) au groupe d’accès à partir des paramètres Sécurité vers Groupe. Notifier : sélectionnez les cibles de gestion SNMPv3 pour les notifications, puis spécifiez le type de notification. Pour configurer cela, attribuez un nom à la notification, choisissez les cibles ou les balises qui doivent recevoir les notifications, et indiquez s’il doit s’agir d’une notification d’interruption (non confirmée) ou d’une notification d’information (confirmée). Cible : configurez les paramètres de traitement et de sécurité des messages pour l’envoi de notifications à une cible de gestion particulière. Vous pouvez également spécifier l’adresse IP cible ici. View(Applicable à SNMPv2 et SNMPv3) : définit une vue MIB pour identifier un groupe d’objets MIB. Chaque objet de la vue partage un préfixe d’identificateur d’objet (OID) commun. Les vues MIB permettent à un agent d’avoir plus de contrôle sur l’accès à des branches et des objets spécifiques au sein de son arborescence MIB. Une vue est composée d’un nom et d’un ensemble d’OID SNMP, qui peuvent être explicitement inclus ou exclus. Pour plus d’informations, reportez-vous à la section Configurer SNMP sur les commutateurs.
ROUTE STATIQUE	Configurez les routes statiques. Le commutateur utilise des routes statiques dans les cas suivants : Il n'a pas de route avec une valeur de préférence meilleure (inférieure). Il ne peut pas déterminer l'itinéraire vers une destination. Il doit transférer les paquets qui ne peuvent pas être acheminés. Mist prend en charge les adresses IPv4 et IPv6 pour les routes statiques. La prise en charge IPv6 est disponible pour les adresses de destination et de saut suivant. Types de routes statiques prises en charge : Sous-réseau : si vous sélectionnez cette option, spécifiez les adresses IP du réseau de destination et du saut suivant. Network (Réseau) : si vous sélectionnez cette option, spécifiez un VLAN (contenant un ID de VLAN et un sous-réseau) et l’adresse IP du saut suivant. Metric (Métrique) : valeur de métrique de l’itinéraire statique. Cette valeur permet de déterminer le meilleur itinéraire parmi plusieurs itinéraires vers une destination. Plage : 0 à 4294967295. Préférence : la valeur de préférence est utilisée pour sélectionner des itinéraires vers des destinations dans des systèmes autonomes (AS) externes ou des domaines de routage. Les routes à l’intérieur d’un AS sont sélectionnées par l’IGP et sont basées sur la métrique ou la valeur de coût de ce protocole. Plage : 0 à 4294967295. Ignorer : si vous cochez cette case, les paquets adressés à cette destination sont abandonnés. Ignorer est prioritaire sur les autres paramètres. Après avoir spécifié les détails, cliquez sur la coche (✓) en haut à droite de la fenêtre Ajouter une route statique pour ajouter la configuration au modèle.
CONFIGURATION DE L’INTERFACE DE LIGNE DE COMMANDE	Pour configurer des paramètres supplémentaires qui ne sont pas disponibles dans l'interface graphique du modèle, vous pouvez utiliser les commandes de définition de l'interface de ligne de commande. Par exemple, vous pouvez configurer un message de connexion personnalisé pour afficher un avertissement aux utilisateurs, leur conseillant de ne pas apporter de modifications à la CLI directement sur le commutateur. Voici un exemple de la façon dont vous pouvez le faire : set system login message \n\n Warning! This switch is managed by Mist. Do not make any CLI changes. Pour supprimer une commande CLI qui a déjà été ajoutée, utilisez la `delete` commande, comme illustré dans l’exemple suivant : delete system login message \n\n Warning! This switch is managed by Mist. Do not make any CLI changes. Note: Assurez-vous d’entrer la commande CLI complète pour que la configuration réussisse.
OSPF	À partir de cette vignette, vous pouvez : Définissez une zone Open Shortest Path First (OSPF). OSPF est un protocole de routage à état de liaison utilisé pour déterminer le meilleur chemin pour transférer des paquets IP au sein d’un réseau IP. OSPF divise un réseau en zones pour améliorer l’évolutivité et contrôler le flux d’informations de routage. Pour plus d’informations sur les zones OSPF, reportez-vous à la documentation Junos : Configuration des zones OSPF. Activez ou désactivez la configuration OSPF sur le commutateur.
SURVEILLANCE DHCP	Les commutateurs Juniper EX Series et QFX Series offrent une excellente sécurité des ports, notamment la surveillance DHCP, l’inspection ARP (Address Resolution Protocol) et IP Source Guard. Vous pouvez activer ces options pour tous les VLAN du commutateur ou pour certains d’entre eux à partir du portail Mist. La surveillance DHCP doit être activée pour que les problèmes DHCP soient inclus dans le SLE de connexion réussie filaire. La surveillance DHCP surveille les messages DHCP provenant d’appareils non approuvés connectés au commutateur. Lorsqu’elle est activée, la surveillance DHCP extrait l’adresse IP et les informations de location des paquets DHCP et les stocke dans une base de données d’espionnage. La sécurité des ports des commutateurs EX utilise ces informations pour vérifier les requêtes DHCP et bloquer les demandes DHCPOFFER reçues sur des ports non approuvés (DHCP DISCOVER et DHCP REQUEST ne sont pas affectés). IP Source Guard ne fonctionne qu’avec le mode d’authentification utilisateur 802.1X à demandeur unique. Il utilise la base de données DHCP pour valider les adresses IP sources et les adresses MAC reçues sur un port non approuvé, et supprime les paquets qui n’ont pas d’entrées correspondantes dans la base de données. L’inspection ARP examine l’adresse MAC source dans les paquets ARP reçus sur des ports non approuvés. Il valide l’adresse par rapport à la base de données d’écoute DHCP, et si l’adresse MAC est introuvable, le paquet est abandonné. Vous pouvez utiliser la CLI pour vérifier les statistiques ARP, telles que le nombre de paquets ARP non valides qu’elle reçoit sur chaque interface et les adresses IP et MAC de l’expéditeur, en tapant les commandes suivantes dans l’interpréteur de commandes CLI : `show dhcp-security arp inspection statistics`, et `show log messages \| match DAI` Par défaut, le protocole DHCP considère que tous les ports trunk sont fiables et que tous les ports d’accès ne sont pas fiables. Nous vous recommandons de ne connecter un serveur DHCP au commutateur qu’à l’aide d’un port trunk ou, si vous devez utiliser un port d’accès, veillez à configurer explicitement ce port comme approuvé dans le profil de port, sinon DHCP ne fonctionnera pas. Notez que si vous connectez un périphérique configuré avec une adresse IP statique à un port non approuvé du commutateur, la liaison MAC-IP peut ne pas exister dans la base de données d’écoute DHCP ; les paquets seront abandonnés. Vous pouvez utiliser cette commande `show dhcp-security binding` dans un shell CLI pour résoudre les problèmes DHCP et voir quelles liaisons sont répertoriées dans la base de données de surveillance DHCP pour le commutateur. Pour plus d’informations, reportez-vous à la section Surveillance DHCP et considérations relatives à la sécurité des ports.
SYSLOG	Configurez les paramètres SYSLOG pour définir la façon dont les messages du journal système sont traités. Vous pouvez configurer les paramètres pour envoyer les messages du journal système aux fichiers, aux destinations distantes, aux terminaux utilisateur ou à la console système. Pour obtenir de l’aide sur les options de configuration, reportez-vous à la section Configurer le journal système.
MISE EN MIROIR DES PORTS	Configurez la mise en miroir des ports. La mise en miroir de ports est la capacité d’un routeur à envoyer une copie d’un paquet à une adresse d’hôte externe ou à un outil d’analyse des paquets pour analyse. Dans la configuration de mise en miroir des ports, vous pouvez spécifier les éléments suivants : Entrée : source (une interface ou un réseau) du trafic à surveiller. Avec l’entrée, vous pouvez spécifier si vous souhaitez que Mist surveilliez le trafic entrant ou le trafic sortant d’une interface. Si vous souhaitez surveiller à la fois le trafic entrant et sortant, ajoutez deux entrées d’entrée pour la même interface, l’une avec l’indicateur d’entrée et l’autre avec l’indicateur de sortie. Sortie : interface de destination vers laquelle vous souhaitez mettre en miroir le trafic. Vous ne pouvez pas spécifier la même interface ou le même réseau dans les champs d’entrée et de sortie.
Stratégie de routage	Configurez des stratégies de routage pour l’ensemble de l’organisation (Organisation > modèles de commutateurs) ou pour un site (Configuration du commutateur > du site). Ces stratégies de routage ne seront appliquées à la configuration du commutateur que si celle-ci est liée au protocole de routage BGP. Les stratégies de routage déjà définies dans l’onglet BGP d’un commutateur s’affichent désormais dans l’onglet Stratégie de routage. Les stratégies de routage sont liées à des protocoles tels que BGP ou OSPF. Un cadre de stratégie de routage est composé de règles par défaut pour chaque protocole de routage. Ces règles déterminent les routes que le protocole place dans la table de routage et annonce à partir de la table de routage. La configuration d’une stratégie de routage implique de définir des termes, qui consistent en des conditions de correspondance et des actions à appliquer aux routes correspondantes. Pour configurer une stratégie de routage, procédez comme suit : Cliquez sur Ajouter une stratégie de routage dans la vignette Stratégie de routage. Donnez un nom à la stratégie, puis cliquez sur Ajouter des termes. Attribuez un nom au terme et spécifiez d’autres détails de correspondance, tels que : Préfixe Chemin AS Protocole Community (Communauté) : attribut de route utilisé par BGP pour regrouper administrativement les itinéraires ayant des propriétés similaires. Then : action Then (Accept ou Reject) à appliquer sur les routes correspondantes. Add Action (Ajouter une action) : des actions supplémentaires, telles que le préfixe du chemin d’accès AS, la définition de la communauté et la définition des préférences locales. Cliquez sur la coche (✓) à droite du titre Ajouter un terme pour enregistrer le terme. Vous pouvez ajouter plusieurs termes. Cliquez sur Ajouter pour enregistrer la stratégie de routage.

Gestion

Configurez ces options dans la section Gestion de la page Modèles de commutateur > de l’organisation et de la page Configuration du commutateur > du site.

Management Section of the Configuration Page

Tableau 2 : options de configuration de la gestion
Notes sur les options
Minuterie de retour à la configuration	Cette fonctionnalité permet de rétablir la connectivité entre un commutateur et le cloud Mist si un changement de configuration entraîne une perte de connexion du commutateur. Il annule automatiquement les modifications apportées par un utilisateur et se reconnecte au cloud dans un délai spécifié. Par défaut, cette durée est définie sur 10 minutes pour les commutateurs EX Series. Vous pouvez spécifier une durée différente. Autonomie : 3 à 30 minutes. En cas d’annulation de la configuration, vous pouvez consulter la page des événements du commutateur pour obtenir des informations spécifiques sur la raison pour laquelle la configuration du commutateur a été rétablie.
Mot de passe root	Mot de passe en texte brut de l’utilisateur de niveau racine (dont le nom d’utilisateur est root).
Protection du moteur de routage	Activez cette fonctionnalité pour vous assurer que le moteur de routage n’accepte que le trafic provenant de systèmes approuvés. Cette configuration crée un filtre de pare-feu sans état qui rejette tout le trafic destiné au moteur de routage, à l’exception des paquets provenant de sources de confiance spécifiées. La protection du moteur de routage implique de filtrer le trafic entrant sur l’interface lo0 du routeur. Il est recommandé d’activer la protection du moteur de routage sur les commutateurs Juniper comme bonne pratique. Lorsque la protection des moteur de routage est activée, Mist s’assure par défaut que les services suivants (s’ils sont configurés) sont autorisés à communiquer avec le commutateur : BGP, BFD, NTP, DNS, SNMP, TACACS et RADIUS. Si vous avez besoin de services supplémentaires ayant besoin d’accéder au commutateur, vous pouvez utiliser la section Réseaux ou services approuvés. Si vous souhaitez configurer l’accès au commutateur via SSH, sélectionnez l’option ssh sous Services de confiance. Si vous devez autoriser le commutateur à répondre aux pings, sélectionnez l’option icmp sous Services de confiance. Si vous souhaitez accéder au commutateur d’autres segments, vous pouvez les ajouter sous Réseaux de confiance ou IP/Port/Protocole de confiance. Pour plus d’informations, reportez-vous à Exemple : Configuration d’un filtre de pare-feu sans état pour accepter le trafic provenant de sources fiables et Exemple : Configuration d’un filtre de pare-feu sans état pour se protéger contre les inondations TCP et ICMP.
Utilisateurs locaux	Créez un compte d’utilisateur local sur le commutateur à des fins de gestion des périphériques. Pour créer un compte d’utilisateur, cliquez sur Ajouter un utilisateur , puis définissez un nom d’utilisateur, une classe de connexion (Opérateur, Lecture seule, Super utilisateur ou Non autorisé) et un mot de passe.
Délai d’inactivité	Nombre maximal de minutes pendant lesquelles une session shell distante peut être inactive. Lorsque cette limite est atteinte, les utilisateurs sont déconnectés. (Plage valide : 1-60).
Bannière de connexion	Saisissez le texte que vous souhaitez que les utilisateurs voient lorsqu’ils se connectent au commutateur. Exemple : « Attention ! Ce commutateur est géré par Juniper Mist. N’apportez aucune modification à la CLI. Vous pouvez saisir jusqu’à 2048 caractères.
Option DHCP 81 (pour DNS dynamique)	Activez les commutateurs avec prise en charge de l’option DHCP 81. Lorsque cette option est activée sur un commutateur, les clients connectés à ce commutateur peuvent envoyer leur nom de domaine complet (FQDN) au serveur DHCP tout en demandant une adresse IP. Cela permet au serveur DHCP de mettre à jour les enregistrements DNS en conséquence. Vous pouvez également activer l’option DHCP 81 au niveau du site (Configuration du commutateur > du site) et de l’équipement (Commutateurs > Nom du commutateur).

Éléments partagés

Configurez ces options dans la section Éléments partagés de la page Organisation > modèles de commutateur et dans la page Configuration du commutateur > du site.

Tableau 3 : options de configuration des éléments partagés
Notes sur les options
Réseau	Ajoutez ou mettez à jour des VLAN, que vous pourrez ensuite utiliser dans vos profils de ports. Pour chaque VLAN, saisissez le nom, l’ID de VLAN et le sous-réseau. Vous pouvez spécifier une adresse IPv4 ou IPv6 pour le sous-réseau. Consultez les informations à l’écran pour plus de conseils. Sur cette vignette, vous avez la possibilité de masquer les réseaux qui ne sont pas utilisés dans les profils de port définis par l’utilisateur ou les sous-interfaces L3. Cette fonctionnalité vous permet d’identifier rapidement les réseaux en cours d’utilisation et ceux qui ne le sont pas.
Profils de ports	Ajoutez ou mettez à jour des profils de ports. Pour obtenir de l’aide sur les options de profil, reportez-vous aux conseils à l’écran et à Éléments partagés - Profils de ports. Sur cette vignette, vous avez la possibilité de masquer les profils de port qui ne sont pas utilisés dans les configurations de port statiques ou dynamiques définies par les utilisateurs. Cette fonctionnalité vous permet d’identifier rapidement les profils de port en cours d’utilisation et ceux qui ne le sont pas.
Configuration dynamique des ports	Le profilage dynamique des ports utilise un ensemble de propriétés de périphérique de l’appareil client connecté pour associer automatiquement des paramètres de port et de réseau préconfigurés à l’interface. Vous pouvez configurer un profil de port dynamique en fonction des paramètres suivants : Nom du système LLDP LLDP Description ID de châssis LLDP Nom d’utilisateur Radius ID de filtre de rayon MAC (adresse MAC Ethernet) Dans cet exemple, la règle applique un profil de port à tous les périphériques portant le nom de système LLDP spécifié. Note: Si vous utilisez plusieurs valeurs dans le champ Si le texte commence par d’une règle DPC, séparez-les par des virgules et assurez-vous qu’elles ont toutes la même longueur. Si la longueur d’une valeur diffère, vous devez créer une règle distincte pour celle-ci. Pour que vos configurations de ports dynamiques prennent effet, vous devez également spécifier les ports que vous souhaitez utiliser en tant que ports dynamiques. Pour ce faire, cochez la case Activer la configuration dynamique dans l’onglet Port Config (Configuration du port) de la section Select Switches (Sélectionner les commutateurs) du modèle de commutateur ou dans la section Port Configuration (Port Configuration) de la page des détails du commutateur. Il faut quelques minutes pour qu’un profil de port soit appliqué, un port après la reconnaissance d’un client, et quelques minutes plus tard pour que l’état d’attribution du profil de port apparaisse sur le portail Mist. En cas de redémarrage d’un commutateur ou d’un événement affectant tous les ports d’un commutateur, il faut environ 20 minutes pour que tous les ports soient affectés au profil approprié (en supposant que la configuration dynamique des ports est activée sur tous les ports). La configuration dynamique des ports sur un commutateur permet d’établir la connexion aux appareils IoT, aux points d’accès et aux points de terminaison des ports utilisateur. Vous ne devez pas l’utiliser pour créer une connexion entre des commutateurs, des commutateurs et des routeurs, ainsi que des commutateurs et des pare-feu. De plus, vous ne devez pas activer la configuration de port dynamique sur le port de liaison montante.
VRF (VRF)	Avec le VRF, vous pouvez diviser un commutateur EX Series en plusieurs instances de routage virtuelles, isolant ainsi efficacement le trafic au sein du réseau. Vous pouvez définir un nom pour le VRF, spécifier les réseaux qui lui sont associés et inclure les routes supplémentaires nécessaires. Vous pouvez spécifier des adresses IPv4 ou IPv6 pour l’itinéraire supplémentaire. Note: Vous ne pouvez pas affecter le réseau par défaut (ID VLAN = 1) au VRF. Mist recommande d’utiliser des VRF dans les segments de réseau où l’isolation du trafic et le chevauchement des espaces d’adressage IP sont nécessaires.

Shared Elements (Éléments partagés) - Profils de ports

Dans la section Éléments partagés , vous pouvez configurer des profils de port. Ces options s’affichent lorsque vous cliquez sur Ajouter un profil ou lorsque vous cliquez sur un profil à modifier.

Note:

Pour obtenir des informations générales sur les profils, reportez-vous à la section Présentation des profils de ports.
Si vous travaillez au niveau du site, vous pouvez voir des astérisques (*) à côté des noms de profil de port. Ces profils de ports ont été créés dans le modèle de commutateur. Si vous cliquez dessus, vous verrez les paramètres en mode lecture seule. Pour apporter des modifications spécifiques au site (affectant uniquement ce site et non le modèle de commutateur lui-même), sélectionnez Remplacer le profil défini par le modèle , puis modifiez les paramètres.

Tableau 4 : options de configuration du profil de port
Notes sur les options
Nom, port activé et description	Paramètres de base pour identifier et activer le port.
Mode	Trunk : les interfaces trunk se connectent généralement à d’autres commutateurs, points d’accès et routeurs sur le LAN. Dans ce mode, l’interface peut se trouver dans plusieurs VLAN et multiplexer le trafic entre différents VLAN. Spécifiez le réseau de ports, le réseau VoIP (le cas échéant) et les réseaux trunk. Access (Accès) : mode par défaut. Les interfaces d’accès se connectent généralement à des périphériques réseau, tels que des PC, des imprimantes, des téléphones IP et des caméras IP. Dans ce mode, l’interface ne peut se trouver que dans un seul VLAN.
Réseau de ports (VLAN non étiqueté/natif)	Spécifiez le port, le réseau ou le VLAN natif.
Réseau VoIP	Spécifiez le réseau VoIP (le cas échéant).
Réseaux trunk	Spécifiez un réseau trunk si vous avez choisi le mode Trunk.
Utiliser l’authentification dot1x	Sélectionnez cette option pour activer l’authentification IEEE 802.1X pour le contrôle d’accès réseau basé sur les ports. L’authentification 802.1X est prise en charge sur les interfaces membres de VLAN privés (PVLAN). Les options suivantes sont disponibles si vous activez l’authentification dot1x sur un port : Allow Multiple Supplicants (Autoriser plusieurs demandeurs) : sélectionnez cette option pour autoriser plusieurs terminaux à se connecter au port. Chaque appareil est authentifié individuellement. VLAN dynamique : spécifiez les VLAN dynamiques qui seront renvoyés par l'attribut de serveur RADIUS « tunnel-private-group-ID » ou « Egress-VLAN-Name ». Cette configuration permet à un port d’effectuer une affectation VLAN dynamique. Authentification MAC : sélectionnez cette option pour activer l’authentification MAC pour le port. Lorsque cette option est sélectionnée, vous pouvez également spécifier un protocole d’authentification. Si vous spécifiez un protocole, il doit être utilisé par les demandeurs pour fournir les informations d’authentification. Use Guest Network (Utiliser le réseau invité) : sélectionnez cette option pour utiliser un réseau invité à des fins d’authentification. Sélectionnez ensuite un réseau invité dans la liste déroulante. Ignorer l’authentification lorsque le serveur est en panne : si vous sélectionnez cette option, les clients peuvent rejoindre le réseau sans s’authentifier si le serveur est en panne. Intervalle de réauthentification : dans un profil de port de commutateur qui utilise l’authentification dot1x, vous pouvez configurer un minuteur qui contrôle la fréquence à laquelle un client se réauthentifie auprès du serveur RADIUS. La valeur recommandée est de 6 à 12 heures (21600 à 43200 secondes). La valeur par défaut est de 65000 secondes. Réseau de rejet du serveur : sélectionnez cette option pour connecter les utilisateurs à un VLAN spécifié (tel que le réseau invité) dans le cas où le serveur d’authentification rejette la tentative d’authentification de l’utilisateur. Vous pouvez configurer cette option au niveau du commutateur, du modèle de site ou du modèle d’organisation. Réseau défaillant au serveur : sélectionnez cette option pour connecter les utilisateurs à un VLAN spécifié (tel que le réseau invité) dans le cas où le serveur d’authentification est inaccessible ou ne répond pas. Vous pouvez configurer cette option au niveau du commutateur, du modèle de site ou du modèle d’organisation. Pour que l’authentification dot1x fonctionne, vous devez également effectuer les opérations suivantes : Configurez un serveur RADIUS pour l’authentification dot1x à partir de la vignette Serveurs d’authentification dans la section Configuration de tous les commutateurs du modèle. Attribuez un profil de port dot1x à un port de commutateur pour que la configuration RADIUS soit transmise au commutateur. Vous pouvez le faire à partir de l’onglet Port Config de la section Select Switches Configuration (Sélectionner la configuration des commutateurs) du modèle. Passez la souris sur le port pour afficher le champ VLAN attribué par RADIUS. Les ports sur lesquels dot1x est activé se voient attribuer un nouveau VLAN par le serveur RADIUS lorsque l’authentification 802.1x réussit. Cette vue est particulièrement utile pour vérifier si un VLAN donné sur un port a changé après l’authentification dot1x. Figure 1 : VLAN attribué à Radius sur un port dot1x
Vitesse	Conservez le réglage par défaut, Auto, ou sélectionnez une vitesse
Duplex	Conservez le paramètre par défaut, Auto, ou sélectionnez un Demi ou Complet.
Limite MAC	Configurez le nombre maximal d’adresses MAC pouvant être apprises dynamiquement par une interface. Lorsque l’interface dépasse la limite MAC configurée, elle abandonne les trames. Une limite MAC entraîne également une entrée de journal. La valeur configurée reste active jusqu’à ce qu’elle soit remplacée ou effacée, et persiste jusqu’au redémarrage de l’appareil. La valeur par défaut : 0 Plage prise en charge : 0 à 16383
Poe	Activez le port pour qu’il prenne en charge la puissance PoE (Power over Ethernet).
Par VLAN STP	Configurez un commutateur avec le protocole VSTP (VLAN Spanning Tree Protocol) ou le protocole VLAN Spanning Tree par VLAN. VSTP permet d’éviter les boucles dans les réseaux de couche 2 pour chaque VLAN. Un Spanning Tree par VLAN permet un équilibrage de charge précis. Mist recommande d’activer cette fonctionnalité pour les équipements d’autres fournisseurs (par exemple, Cisco) qui fonctionnent par défaut en Spanning Tree par VLAN. Ce paramètre est également disponible au niveau du site et du commutateur.
Périphérie STP	Configurez le port en tant que port périphérique STP (Spanning Tree Protocol) si vous souhaitez activer la protection BPDU (Bridge Protocol Data Unit) sur un port. STP Edge est activé sur les ports auxquels les clients qui ne participent pas à STP sont connectés. Ce paramètre garantit que le port est traité comme un port périphérique et empêche la réception de BPDU. Si vous branchez un périphérique autre qu’Edge sur un port configuré avec STP Edge, le port est désactivé. En outre, la page Switch Insights génère un événement Port BPDU bloqué. Le panneau avant des détails du commutateur affiche également une erreur BPDU pour ce port. Vous pouvez effacer le port de l’erreur BPDU en sélectionnant le port sur le panneau avant, puis en cliquant sur Effacer les erreurs BPDU. Vous ne devez pas activer STP Edge sur le port de liaison montante. Vous pouvez également configurer STP Edge au niveau du commutateur, à partir de la section Port Profile (Profil de port) de la page des détails du commutateur.
STP point à point	Cette configuration change le mode d’interface en point à point. Les liaisons point à point sont des liaisons dédiées entre deux nœuds de réseau, ou commutateurs, qui connectent un port à un autre.
STP sans port racine	Cette configuration empêche l’interface de devenir un port racine.
QoS (QoS)	Activez la qualité de service (QoS) pour le port afin de donner la priorité au trafic sensible à la latence, tel que la voix, par rapport aux autres types de trafic sur un port. Note: Pour des résultats optimaux, il est important d'activer la qualité de service (QoS) pour le trafic en aval (entrant) et en amont (sortant). Le réseau est ainsi en mesure de hiérarchiser et de gérer efficacement le trafic dans les deux sens, ce qui se traduit par de meilleures performances et une meilleure qualité de service globale. Vous avez la possibilité de remplacer la configuration QoS sur la page des paramètres du WLAN (Site > WLAN > nom du WLAN). Pour remplacer la configuration QoS, cochez la case Remplacer QoS et choisissez une classe d’accès sans fil. Le trafic en aval (point d’accès > client) est marqué avec la valeur de classe d’accès de remplacement spécifiée. La configuration de remplacement ne prend pas en charge le trafic en amont (client > point d'accès). Voir aussi : Configuration QoS.
Storm Control	Activez le contrôle de tempête pour surveiller les niveaux de trafic et abandonner automatiquement les paquets de diffusion, multicast et unicast inconnus lorsque le trafic dépasse un niveau de trafic (spécifié en pourcentage). Ce niveau de trafic spécifié est connu sous le nom de niveau de contrôle des tempêtes. Cette fonctionnalité empêche activement la prolifération des paquets et préserve les performances du réseau local. Lorsque vous activez Storm Control, vous pouvez également choisir d’exclure la diffusion, la multidiffusion et les paquets unicast inconnus de la surveillance. Pour plus d’informations, reportez-vous à la rubrique Présentation de Storm Control.
Apprentissage MAC persistant (persistant)	Activez l’adresse MAC persistante (rémanente) pour conserver les adresses MAC des postes de travail et des serveurs approuvés apprises par l’interface, même après le redémarrage d’un périphérique. Vous pouvez configurer Sticky MAC pour les clients filaires statiques. L’adresse MAC rémanente n’est pas destinée à être utilisée sur les interfaces des points d’accès Juniper Mist, ni pour les ports trunk ou ceux configurés avec l’authentification 802.1X. Utilisé conjointement avec les limites MAC (expliquées ci-dessus), le Sticky MAC protège contre les attaques par déni de service (DoS) de couche 2, les attaques par dépassement de capacité sur la table de commutation Ethernet et les attaques par famine DHCP, tout en permettant à l’interface d’apprendre dynamiquement les adresses MAC. Dans le portail Mist, la page Insights signale ces événements sous la forme `MAC Limit Exceeded` . Vous configurez à la fois l’adresse MAC rémanente et les limites MAC dans le profil de port du commutateur. La procédure générale est illustrée dans cette vidéo : Port profiles provide a convenient way to manually or automatically provision EX switch interfaces. Going into the EX4300, we'll first create VLANs. We'll make a camera network with VLAN ID 30 and an IoT network with VLAN ID 29. You can create as many networks as needed. You can create the profiles, for example, a camera, and map it to the camera network that we just created. Customize the settings as desired, such as PoE and STP. We'll repeat this process to create profiles for a corporate device enabling 802.1x authentication, an IoT device configured with PoE, and an access point configured as a trunk port. It's very simple to modify profiles to meet your specific requirements. Then we go into the port configuration section to associate the configurations with port profiles. Here we map ports 1 through 5 to be with an AP profile, ports 6 through 10 with a corporate device profile, ports 11 through 15 with IoT profiles, and ports 16 to 20 with the camera profile. This is how to create port profiles. We can also create port aggregation uplinks to be associated with the appropriate profiles. When you save all of your changes, this pushes the configuration to the particular switch. This covers how EX switches are manually provisioned with port profiles from the Juniper MIST Cloud. Vous devez explicitement activer l’option d’apprentissage MAC persistant (rémanent), située en bas du bloc de configuration Profil de port, pour inclure MAC persistant dans le profil de port que vous associez à l’interface. Pour les limites MAC, la valeur par défaut est 0 (illimitée, c’est-à-dire désactivée), mais vous pouvez l’activer en définissant une valeur allant jusqu’à 16383 adresses MAC uniques autorisées. Pour voir dans le portail Mist quelle valeur a été définie pour la limite MAC ou le nombre MAC, sélectionnez un commutateur sur la page Commutateurs et passez votre souris sur un port de commutateur. Vous pouvez voir quel profil (port) est appliqué à l’interface et, par extension, connaître son état MAC rémanent. Figure 2 : détails des ports affichant un MAC rémanent La limite MAC configurée et le nombre de MAC appris s’affichent au bout de quelques minutes, au fur et à mesure de la progression de l’apprentissage dynamique sur l’interface. Dans le tableau de bord Mist, seul le nombre maximal de adresse MAC est affiché. Toutefois, vous pouvez voir chaque adresse MAC apprise par une interface donnée en ouvrant un shell distant sur le commutateur et en exécutant les commandes CLI Junos suivantes : `show ethernet-switching table persistent-learning` `show ethernet-switching table persistent-learning interface` Le nombre d’adresses MAC est une valeur persistante qui reste jusqu’à ce que l’adresse MAC soit effacée (ou jusqu’à ce qu’elle soit désactivée dans le profil de port, puis que cette configuration soit transmise au commutateur). Pour effacer les adresses MAC d’une interface donnée à partir du tableau de bord Mist, vous devez être connecté en tant qu’administrateur réseau ou super utilisateur. Ensuite, il vous suffit de sélectionner le port souhaité sur le panneau avant du commutateur (comme illustré sur la Figure 1) et de cliquer sur le bouton Clear MAC [Dynamic/Persistent] qui apparaît. Sur la page Switch Insights, l’événement s’affiche en tant qu’événement `MAC Limit Reset` . Pour plus d’informations sur le panneau avant, reportez-vous à la section Détails du commutateur.

Sélectionner la configuration des commutateurs

Créez des règles pour appliquer les paramètres de configuration en fonction du nom, du rôle ou du modèle du commutateur.

Cliquez sur une règle pour la modifier ou cliquez sur Ajouter une règle. Complétez ensuite chaque page à onglets. Lorsque vous entrez les paramètres, cliquez sur la coche en haut à droite pour enregistrer vos modifications. Vous pouvez également créer une entrée de règle de commutation en clonant une règle existante. Pour ce faire, il vous suffit de cliquer sur le bouton Cloner et de nommer la nouvelle règle.

Les différents onglets sont décrits dans des tableaux distincts ci-dessous.

Tableau 5 : Sélection des commutateurs - onglet Infos
Notes sur les options
Nom	Entrez un nom pour identifier cette règle.
S’applique au nom du commutateur	Activez cette option si vous souhaitez que cette règle s’applique à tous les commutateurs qui correspondent au nom spécifié. Saisissez ensuite le texte et le nombre de caractères décalés. Par exemple, si vous entrez abc avec un décalage de 0, la règle s’applique aux commutateurs dont le nom commence par abc. Si le décalage est égal à 5, la règle ignore les 5 premiers caractères du nom du commutateur.
S’applique au rôle de commutation	Activez cette option si vous souhaitez que cette règle s’applique à tous les commutateurs qui ont le même rôle. Saisissez le rôle à l’aide de lettres minuscules, de chiffres, de traits de soulignement (_) ou de tirets (-).
S’applique au modèle de commutateur	Activez cette option si vous souhaitez que cette règle s’applique à tous les commutateurs qui ont le même modèle. Sélectionnez ensuite le modèle.

Tableau 6 : sélection des commutateurs - onglet Port Config
Notes sur les options
Liste de configuration	Cliquez sur Ajouter une configuration de port ou sélectionnez une configuration de port à modifier.
ID de port	Entrez le(s) port(s) à configurer.
Profil de configuration	Sélectionnez le profil de configuration à appliquer aux ports spécifiés. Note: Si vous souhaitez configurer des ports de commutation avec un tunneling Q-in-Q, choisissez Q-in-Q dans cette liste déroulante. Pour plus d’informations, reportez-vous à la section Configurer la tunnelisation Q-in-Q sur un port de commutateur.
Réseau de ports (S-VLAN)	Spécifiez un VLAN de service (S-VLAN) si le port utilise la tunnelisation Q-in-Q. S-VLAN est une balise VLAN externe supplémentaire utilisée pour étendre les connexions Ethernet de couche 2 entre les sites des clients. Ceci est particulièrement utile lorsque les clients ont des ID VLAN qui se chevauchent.
Vitesse	Note: Applicable uniquement si vous avez sélectionné Q-in-Q comme profil de configuration. Conservez le paramètre par défaut, Auto, ou sélectionnez une vitesse.
Duplex	Note: Applicable uniquement si vous avez sélectionné Q-in-Q comme profil de configuration. Conservez le paramètre par défaut, Auto, ou sélectionnez un Demi ou Complet.
Poe	Note: Applicable uniquement si vous avez sélectionné Q-in-Q comme profil de configuration. Activez le port pour qu’il prenne en charge la puissance PoE (Power over Ethernet).
MTU	Note: Applicable uniquement si vous avez sélectionné Q-in-Q comme profil de configuration. Spécifiez l’unité de transmission maximale (MTU) du port. Valeur par défaut : 1514. Plage : 256 - 9216. L’unité de transmission maximale (MTU) d’une interface est l’unité de données la plus grande qui peut être transférée via cette interface sans fragmentation.
Storm Control	Note: Applicable uniquement si vous avez sélectionné Q-in-Q comme profil de configuration. Activez le contrôle de tempête pour surveiller les niveaux de trafic et abandonner automatiquement les paquets de diffusion, multicast et unicast inconnus lorsque le trafic dépasse un niveau de trafic (spécifié en pourcentage). Ce niveau de trafic spécifié est connu sous le nom de niveau de contrôle des tempêtes. Cette fonctionnalité empêche activement la prolifération des paquets et préserve les performances du réseau local. Lorsque vous activez Storm Control, vous pouvez également choisir d’exclure la diffusion, la multidiffusion et les paquets unicast inconnus de la surveillance. Pour plus d’informations, reportez-vous à la rubrique Présentation de Storm Control.
Description	Fournissez une description du port.
Activer la configuration dynamique	Note: Ne s’applique pas si vous avez sélectionné Q-in-Q comme profil de configuration. Lorsque vous activez cette fonctionnalité, un profil de port est attribué en fonction des attributs définis de l’équipement connecté. Si l’appareil correspond aux attributs, Mist lui attribue un profil dynamique correspondant. Mais si l'appareil ne correspond pas aux attributs, il est placé dans un VLAN spécifié. Dans l’exemple suivant, le port est activé avec une allocation de ports dynamique et se voit attribuer un VLAN restreint. Dans ce cas, si l'équipement connecté ne correspond pas aux attributs de profilage dynamique, il sera placé dans un VLAN restreint tel qu'un VLAN non routable ou un VLAN invité. Les interfaces activées avec l'agrégation de ports ne prennent pas en charge la configuration de ports dynamique.
Alertes sur les ports haut/bas	Lorsque vous activez cette fonctionnalité, Juniper Mist surveille les transitions entre les états actif et descendant sur ces ports. Si vous activez cette fonctionnalité, activez également Port de commutateur critique haut/bas sur la page Surveiller les alertes > > Configuration des alertes.
Agrégation de ports	Note: Ne s’applique pas si vous avez sélectionné Q-in-Q comme profil de configuration. Lorsque vous activez cette fonctionnalité, les interfaces Ethernet sont regroupées pour former une interface de couche de liaison unique. Cette interface est également connue sous le nom de groupe d’agrégation de liens (LAG) ou bundle. Le nombre d’interfaces que vous pouvez regrouper dans un LAG et le nombre total de LAG qu’un commutateur prend en charge varient en fonction du modèle de commutateur. Vous pouvez utiliser LAG avec ou sans LACP activé. Si l'appareil à l'autre extrémité ne prend pas en charge LACP, vous pouvez désactiver LACP ici. Vous pouvez également configurer l’état de force LACP pour le commutateur. Cette configuration définit l’état de l’interface comme actif lorsque l’homologue dispose d’une capacité LACP limitée. Vous pouvez également configurer un intervalle de transmission de paquets LACP. Si vous configurez l’option LACP Periodic Slow sur une interface AE, les paquets LACP sont transmis toutes les 30 secondes. Par défaut, l’intervalle de transmission des paquets par seconde est défini sur rapide.
Autoriser l’opérateur du port de commutation à modifier le profil du port	Lorsque vous activez cette fonctionnalité, les utilisateurs disposant du rôle d’administrateur de port de commutation peuvent afficher et gérer cette configuration.

Tableau 7 : Sélection de la configuration des commutateurs - onglet Configuration IP
Notes sur les options
Liste des réseaux (VLAN)	Sélectionnez un réseau pour le trafic de gestion intrabande. Vous pouvez également cliquer sur Ajouter un réseau et remplir les champs Nouveau réseau comme décrit dans les lignes restantes de ce tableau.
Nom	Entrez un nom pour identifier ce réseau.
VLAN ID	Entrez l’ID de VLAN compris entre 1 et 4094 ou entrez une variable de site pour entrer dynamiquement un ID.
Sous-réseau	Entrez la variable de sous-réseau ou de site.

Select Switches (Sélectionner des commutateurs) - Onglet IP Config (OOB))
Select Switches (Select Switches) - onglet Port Mirroring (Mise en miroir des ports)
Select Switches (Sélectionner des commutateurs) - Onglet CLI Config (Configuration CLI)

Select Switches (Sélectionner des commutateurs) - Onglet IP Config (OOB))

Activez ou désactivez la gestion dédiée VRF (hors bande). Pour tous les équipements autonomes ou Virtual Chassis exécutant Junos version 21.4 ou ultérieure, cette fonctionnalité limite l’interface de gestion aux instances VRF (Virtual Routing and Forwarding) autres que celles par défaut. Le trafic de gestion n’a plus besoin de partager une table de routage avec d’autres types de trafic de contrôle ou de protocole.

Select Switches (Select Switches) - onglet Port Mirroring (Mise en miroir des ports)

Cet onglet affiche la liste des configurations de mise en miroir de ports déjà ajoutées. Cliquez sur une entrée pour la modifier. Vous pouvez également cliquer sur Ajouter un miroir de port pour activer la mise en miroir des ports. Cette fonctionnalité vous permet d’appliquer dynamiquement la mise en miroir des ports sur les commutateurs en fonction de paramètres tels que le rôle du commutateur, le nom du commutateur et le modèle du commutateur, comme spécifié dans les règles. Cette fonctionnalité est généralement utilisée pour la surveillance et le dépannage. Lorsque la mise en miroir des ports est activée, le commutateur envoie une copie du paquet réseau des ports en miroir au port de surveillance. Les options de configuration sont les suivantes :

Input (Entrée) : source (une interface ou un réseau) du trafic à surveiller. Avec l’entrée, vous pouvez spécifier si vous souhaitez que Mist surveilliez le trafic entrant ou le trafic sortant d’une interface. Si vous souhaitez surveiller à la fois le trafic entrant et sortant, ajoutez deux entrées d’entrée pour la même interface, l’une avec l’indicateur d’entrée et l’autre avec l’indicateur de sortie.
Output (Sortie) : interface de destination sur laquelle vous souhaitez mettre en miroir le trafic. Vous ne pouvez pas spécifier la même interface ou le même réseau dans les champs d’entrée et de sortie.

Les règles sous Sélectionner la configuration des commutateurs sont prioritaires sur la configuration globale de la mise en miroir des ports. De plus, si la mise en miroir globale des ports est configurée, elle s’affiche en tant que règle par défaut dans la section Configuration de sélection des commutateurs et s’affiche en lecture seule. Vous pouvez le modifier au niveau global.

Select Switches (Sélectionner des commutateurs) - Onglet CLI Config (Configuration CLI)

Entrez des commandes CLI supplémentaires, si nécessaire.

Étiquettes de politique de commutateur, balises GBP et stratégies de commutation

Utilisez cette section pour créer des listes de contrôle d’accès (ACL) (également appelées filtres de pare-feu) et des stratégies basées sur des groupes (GBP).

Étiquettes source/destination : créez des étiquettes pour identifier les adresses IP source/destination des stratégies de liste de contrôle d’accès (ACL) (filtres de pare-feu basés sur RADIUS). Pour plus d’informations, reportez-vous à la section Filtres de pare-feu basés sur RADIUS.
Balises GBP : (pour les déploiements IP-Clos de fabric de campus) Créez des balises pour les stratégies basées sur des groupes (GBP), qui exploitent la technologie VXLAN. GBP simplifie la configuration et fournit un contrôle d’accès aux points de terminaison sur votre campus. Pour plus d’informations, consultez Stratégies basées sur les groupes.

SUR CETTE PAGE

Options de configuration du commutateur