Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

ポートプロファイル

ポートプロファイルは、スイッチインターフェイスを手動または自動でプロビジョニングする便利な方法を提供します。Mistは、ポートへのプロファイルの割り当て方法に基づいて、次の2種類のポートプロファイルをサポートしています。

  • 静的ポートプロファイル—静的ポートプロファイルは、特定のスイッチポートに手動で割り当てられるプロファイルです。これらのプロファイルは、スイッチポートの静的プロビジョニングに使用されます。

  • 動的ポートプロファイル—動的ポートプロファイルは、設定されたポート割り当てルールを使用してスイッチポートが接続されているデバイスを検出し、一致するプロファイルをポートに動的に割り当てるのに役立ちます。動的ポートプロファイルは、スイッチポート(無色ポート)の自動プロビジョニングに使用されます。

  • システム定義ポートプロファイル—デフォルトでは、ジュニパーMistは、事前に設定されたシステム定義ポートプロファイルを提供します。これらは通常のポートプロファイルと同じように機能しますが、独自のポートプロファイルを設定したくない場合に使用できます。Mistが提供するシステム定義ポートプロファイルは次のとおりです:AP、IoT、アップリンク、デフォルト、および無効。

静的ポートプロファイル

静的ポートプロファイルの割り当てには、ポートプロファイルの設定と特定のスイッチポートへの手動割り当ての2つのステップが含まれます。ポートプロファイルは、スイッチテンプレートまたはスイッチの詳細ページのポートプロファイルタイルから設定できます。プロファイルは、スイッチテンプレートのスイッチの選択セクションのポート設定タブ、またはスイッチの詳細ページのポート設定セクションからスイッチに手動で割り当てることができます。

Port profiles provide a convenient way to manually or automatically provision EX switch interfaces. Going into the EX4300, we'll first create VLANs. We'll make a camera network with VLAN ID 30 and an IoT network with VLAN ID 29.

You can create as many networks as needed. You can create the profiles, for example, a camera, and map it to the camera network that we just created. Customize the settings as desired, such as PoE and STP.

We'll repeat this process to create profiles for a corporate device enabling 802.1x authentication, an IoT device configured with PoE, and an access point configured as a trunk port. It's very simple to modify profiles to meet your specific requirements. Then we go into the port configuration section to associate the configurations with port profiles.

Here we map ports 1 through 5 to be with an AP profile, ports 6 through 10 with a corporate device profile, ports 11 through 15 with IoT profiles, and ports 16 to 20 with the camera profile. This is how to create port profiles. We can also create port aggregation uplinks to be associated with the appropriate profiles.

When you save all of your changes, this pushes the configuration to the particular switch. This covers how EX switches are manually provisioned with port profiles from the Juniper MIST Cloud.

ダイナミックポートプロファイル

動的ポートプロファイルを使用すると、ポートプロファイルをインターフェイスに動的に割り当てるためのルールを設定できます。ユーザーが動的プロファイル設定でスイッチポートにクライアントデバイスを接続すると、スイッチはデバイスを識別し、適切なポートプロファイルをポートに割り当てます。ダイナミックポートプロファイリングは、クライアントデバイスの一連のデバイスプロパティを利用して、事前設定されたポートとネットワーク設定をインターフェイスに自動的に関連付けます。LLDP名やMACアドレスなどのさまざまなパラメーターに基づいて動的なポートプロファイルを設定できます。

ダイナミックポート設定には、2つのステップが含まれます。

  1. ポートプロファイルを自動的に割り当てるための動的ポート設定(DPC)ルールを設定します。ポートプロファイル「AP」をMist APに自動的に割り当てるルールの例を次に示します。このルールに従って、ポートがシャーシIDがD4:20:B0またはD4:21:B1で始まるデバイスを識別すると、接続されたデバイスに「AP」プロファイルを割り当てます。

    詳細については、スイッチ設定オプションページの表3ダイナミックポート設定行を参照してください。

    手記:DPCルールのテキストが 始まる場合フィールドに複数の値を使用する場合は、カンマで区切り、すべての長さが同じになるようにします。長さが異なる値がある場合は、その値に対して別のルールを作成する必要があります。

  2. ダイナミックポートとして機能させるポートを指定します。これを行うには、スイッチテンプレートのスイッチの選択セクションにあるポート設定タブにあるスイッチを有効にするチェックボックスを選択します。また、スイッチの詳細ページのポート設定セクションから、スイッチレベルでこれを行うこともできます。

    詳細については、スイッチ設定オプションページの表6にあるダイナミックポート設定を有効にする行を参照してください。

動的ポート設定が有効になっているスイッチポートに接続している場合に、不明なデバイスに割り当てることができる制限付きネットワークプロファイルを作成することをお勧めします。上記の例では、ポートは動的ポート設定で有効になっており、制限付きVLANが割り当てられています。この場合、接続されたデバイスが動的プロファイリング属性に一致しない場合、ルーティング不可能なVLANやゲストVLANなどの制限されたVLANに配置されます。

手記:

  • 動的ポート設定で使用されるデフォルトまたは制限付き VLAN で、アクティブな DHCP サーバーが実行されていないことを確認します。そうしないと、特定のレガシーデバイスで古いIPアドレスの問題が発生する可能性があります。

  • ポートベースのネットワークアクセス制御(NAC)認証を備えたスイッチは、VLAN割り当てがRADIUSサーバーによって処理されるため、動的ポート設定は必要ありません。また、MAC認証バイパス(MAB)を備えたRADIUSサーバーを使用する場合は、動的ポートプロファイルの使用はお勧めしません。

  • デバイスがLLDPをサポートしている場合は、MACベースの一致よりもLLDPベースの一致を優先します。

  • 802.1X認証が有効になっているポートでは、MACベースのマッチングを使用しないでください。

  • Filter-ID属性の使用は避けてください。ポートで 802.1X が有効になっている場合、VLAN 割り当ては Filter-ID に依存せずに RADIUS 経由で処理する必要があります。

スイッチの動的ポート設定は、IoTデバイス、AP、ユーザーポートエンドポイントへの接続を確立するためのものです。スイッチ、スイッチとルーター、およびスイッチとファイアウォール間の接続を作成するために使用しないでください。アップリンク ポートで動的ポート設定を有効にしないでください。

接続されたデバイスに基づいてポートプロファイルがスイッチポートに動的に割り当てられると、このイベントはスイッチインサイトページのスイッチイベントセクションに表示されます。スイッチの詳細ページのフロントパネルセクションでポートにカーソルを合わせると、スイッチポートの動的ポートプロファイルの詳細を確認することもできます。

手記:

Junosでは、ポートプロファイルの各インターフェイス範囲に少なくとも1つのメンバーインターフェイスが含まれている必要があります。ダイナミックポート設定を有効にすると、Junosはダミーインターフェイス(ge-168/5/X)をポートプロファイル設定のプレースホルダーとして含めるため、実際のインターフェイスに割り当てられていない場合でも設定が有効です。例えば、インターフェイスが現在ポートプロファイルAに割り当てられているが、ポートプロファイルBが後で動的に適用されることが予想される場合、ge-168/5/0のようなプレースホルダーを使用して、プロファイルBのインターフェイス範囲を有効に保ちます。

また、以下のAPIを使用して、ダイナミックポート設定の詳細を設定および検証することもできます。

Wired Assurance offers dynamic port profiles, so you can simply plug in your device and it will automatically be assigned the appropriate profile. This is also referred to as the provisioning of colorless ports. In this example, we have a Juniper AP assigned to port 5. We also created a port profile called Minimal Access that has access to a guest network on VLAN 99.

Based on what the devices identify themselves as, we can create rules to assign profiles. We'll use the LLDP chassis ID to identify the device, and if it starts with the octet D420B0, it will be given the AP12 profile. So what we just did is set the dynamic profile assignment for port 5. If the wired device does not register as an AP12, then it will get the Minimal Access profile.

If it shows as an AP12, then it gets the AP12 profile. To verify that the port was assigned the right profile, take a look at the switch events log. You can see that the AP12 profile was correctly identified and automatically applied to port 5. Dynamic port profiles are not just limited to Juniper devices alone.

Anything based on LLDP or RADIUS name also falls under the domain of dynamic port profiles. This means that the days of manually assigning profiles to ports or even a range of ports are no longer necessary.

ポート設定におけるベストプラクティス

スイッチポートがMist APとシームレスに連携するための推奨事項をいくつか紹介します。

  • トランクポートで、不要なVLANをすべて除外します。ポートには、必要なVLAN(WLAN設定に基づく)のみが必要です。APはデフォルトで設定を保存しないため、APはネイティブVLAN上のIPアドレスを取得してクラウドに接続して設定できるはずです。

  • すべてのWLANがトンネリングされている場合を除き、ポートセキュリティ(MACアドレス制限)は推奨されません。

  • BPDUは通常、メッシュベースでない限り、AP上で無線接続から有線接続にブリッジングされないため、BPDUガードを自由に有効にしてください。 BPDUは 、スパニングツリープロトコルトポロジーを使用する拡張LAN内のスイッチ間で交換されるデータメッセージです。 BPDU パケットには、ポート、アドレス、優先度、コストに関する情報が含まれており、データが意図した場所に確実に届くようにします。

システム定義のポートプロファイル

システム定義ポートプロファイルは、Mistポータルに組み込まれているポートプロファイルであり、独自のポートプロファイルを設定しない場合に使用できます。これらは事前に設定されているため、使用できるようにするために設定する必要はありません。ただし、これらのシステム定義ポートプロファイルは削除できます。この機能は、スイッチテンプレートレベルの設定からのみ使用できます。

次の手順では、システム定義ポートプロファイルを削除する方法を説明します。

手記:

システム定義のポートプロファイルを削除する機能は、AP、IoT、アップリンクポートプロファイルにのみ適用されます。
  1. Mistポータルから、組織>スイッチテンプレートに移動します。
  2. 適切なスイッチテンプレートを選択します。
  3. 削除するシステム定義ポートプロファイル(ap、iot、またはアップリンク)を選択します。
  4. ポートプロファイルの編集設定の左上隅にあるゴミ箱アイコンを選択します。

  5. 削除アクションが永続的であることを知らせる警告が表示されます。ポートプロファイルを削除すると復元することはできません。ポートプロファイルの名前を入力し、 削除を選択します。

    手記:AP、IoT、またはアップリンクのシステム定義ポートプロファイルを削除すると、サイトレベルまたはデバイスレベルでこれらのプロファイルを参照することはデフォルトプロファイル(ポート設定またはダイナミックポートプロファイル)に戻ります。
    手記:独自のポートプロファイルを作成し、システム定義のポートプロファイルを削除した後に「ap」、「iot」、または「アップリンク」という名前を付けた場合、そのポートプロファイルは他のユーザー定義ポートプロファイルと同様に扱われます。