ポートプロファイルの概要
ポートプロファイルは、スイッチのインターフェイスを手動または自動でプロビジョニングする便利な方法を提供します。Mist では、プロファイルをポートに割り当てる方法に基づいて、以下の 2 種類のポート プロファイルをサポートしています。
-
スタティックポートプロファイル:スタティックポートプロファイルは、特定のスイッチポートに手動で割り当てられるプロファイルです。これらのプロファイルは、スイッチポートの静的プロビジョニングに使用されます。
-
ダイナミックポートプロファイル:ダイナミックポートプロファイルは、設定されたポート割り当てルールを使用してスイッチポートが接続されているデバイスを検出し、一致するプロファイルをポートに動的に割り当てるのに役立ちます。ダイナミックポートプロファイルは、スイッチポート(カラーレスポート)の自動プロビジョニングに使用されます。
- システム定義のポートプロファイル—デフォルトでは、Juniper Mist は、あらかじめ設定されたシステム定義のポートプロファイルを提供します。これらは通常のポートプロファイルと同じように機能しますが、独自のプロファイルを設定したくない場合に使用できる点が異なります。Mist が提供するシステム定義ポートのプロファイルは、ap、iot、uplink、default、disabled です。
スタティックポートプロファイル
スタティックポートプロファイルの割り当てには、ポートプロファイルの設定と、特定のスイッチポートへの手動割り当ての2つのステップが含まれます。ポートプロファイルは、スイッチテンプレートのポートプロファイルタイルまたはスイッチの詳細ページから設定できます。スイッチ テンプレートの [スイッチの選択] セクションの [ポート設定] タブ、またはスイッチの詳細ページの [ポート設定] セクションから、プロファイルをポートに手動で割り当てることができます。
Port profiles provide a convenient way to manually or automatically provision EX switch interfaces. Going into the EX4300, we'll first create VLANs. We'll make a camera network with VLAN ID 30 and an IoT network with VLAN ID 29.
You can create as many networks as needed. You can create the profiles, for example, a camera, and map it to the camera network that we just created. Customize the settings as desired, such as PoE and STP.
We'll repeat this process to create profiles for a corporate device enabling 802.1x authentication, an IoT device configured with PoE, and an access point configured as a trunk port. It's very simple to modify profiles to meet your specific requirements. Then we go into the port configuration section to associate the configurations with port profiles.
Here we map ports 1 through 5 to be with an AP profile, ports 6 through 10 with a corporate device profile, ports 11 through 15 with IoT profiles, and ports 16 to 20 with the camera profile. This is how to create port profiles. We can also create port aggregation uplinks to be associated with the appropriate profiles.
When you save all of your changes, this pushes the configuration to the particular switch. This covers how EX switches are manually provisioned with port profiles from the Juniper MIST Cloud.
ダイナミックポートプロファイル
ダイナミックポートプロファイルにより、ポートプロファイルをインターフェイスに動的に割り当てるためのルールを設定できます。ユーザーが動的プロファイル構成を使用してクライアントデバイスをスイッチポートに接続すると、スイッチはデバイスを識別し、適切なポートプロファイルをポートに割り当てます。ダイナミックポートプロファイリングは、クライアントデバイスのデバイスプロパティを利用して、事前に構成されたポートとネットワーク設定をインターフェイスに自動的に関連付けます。LLDP名やMACアドレスなどのさまざまなパラメーターに基づいて、動的ポートプロファイルを設定できます。
動的ポート設定には、2つのステップがあります。
- ポートプロファイルを自動的に割り当てるための動的ポート設定(DPC)ルールを設定します。ポートプロファイル「AP」をMist APに自動的に割り当てるルールの例を示します。このルールに従って、ポートが D4:20:B0 または D4:21:B1 で始まるシャーシ ID を持つデバイスを識別すると、接続されたデバイスに「AP」プロファイルが割り当てられます。
詳細については、「 スイッチの設定」の「Dynamic Port Configuration」のステップを参照してください。
手記:DPC ルールの [ テキストが次で始まる場合] フィールドで複数の値を使用する場合は、カンマで区切り、すべて同じ長さになるようにします。長さが異なる値がある場合は、その値に対して別のルールを作成する必要があります。 ダイナミックポートとして機能するポートを指定します。これを行うには、スイッチ テンプレートの [Select Switches] セクションにある [Port Config] タブにある [ Enable Dynamic Configuration ] チェックボックスをオンにします。また、スイッチの詳細ページの [Port Configuration] セクションから、スイッチレベルでこれを行うこともできます。
動的ポート構成で有効になっているスイッチポートに接続したときに、不明なデバイスに割り当てることができる制限付きネットワーク プロファイルを作成することをお勧めします。上記の例では、ポートは動的ポート設定で有効になり、制限付きVLANで割り当てられています。この場合、接続されたデバイスが動的プロファイリング属性と一致しない場合、ルーティング不可能なVLANやゲストVLANなどの制限されたVLANに配置されます。
動的ポート設定で使用されるデフォルトまたは制限された VLAN で、アクティブな DHCP サーバーが実行されていないことを確認します。そうしないと、特定のレガシーデバイスで古いIPアドレスの問題が発生する可能性があります。
スイッチの動的ポート構成は、IoTデバイス、AP、ユーザーポートエンドポイントへの接続を確立するためのものです。スイッチ、スイッチとルーター、スイッチとファイアウォール間の接続には使用しないでください。アップリンク ポートでダイナミック ポート設定を有効にしないでください。また、アップリンク ポートでダイナミック ポート設定を有効にしないでください。
ポートプロファイルの設定方法については、 スイッチの設定 をご参照ください。
Wired Assurance offers dynamic port profiles, so you can simply plug in your device and it will automatically be assigned the appropriate profile. This is also referred to as the provisioning of colorless ports. In this example, we have a Juniper AP assigned to port 5. We also created a port profile called Minimal Access that has access to a guest network on VLAN 99.
Based on what the devices identify themselves as, we can create rules to assign profiles. We'll use the LLDP chassis ID to identify the device, and if it starts with the octet D420B0, it will be given the AP12 profile. So what we just did is set the dynamic profile assignment for port 5. If the wired device does not register as an AP12, then it will get the Minimal Access profile.
If it shows as an AP12, then it gets the AP12 profile. To verify that the port was assigned the right profile, take a look at the switch events log. You can see that the AP12 profile was correctly identified and automatically applied to port 5. Dynamic port profiles are not just limited to Juniper devices alone.
Anything based on LLDP or RADIUS name also falls under the domain of dynamic port profiles. This means that the days of manually assigning profiles to ports or even a range of ports are no longer necessary.
ポート設定のベストプラクティス
ここでは、スイッチポートがMist APとシームレスに連携するための推奨事項をいくつか紹介します。
-
トランク ポートで、不要な VLAN をすべてプルーニングします。(WLAN 設定に基づく)必要な VLAN のみをポート上に配置します。APはデフォルトで設定を保存しないため、APはネイティブVLANのIPアドレスを取得してクラウドに接続し、設定を行うことができるはずです。
-
すべての WLAN がトンネリングされる場合を除き、ポート セキュリティ(MAC アドレス制限)は推奨されません。
-
BPDU は通常、メッシュ ベースでない限り AP の無線接続から有線接続にブリッジされないため、BPDU ガードを自由に有効にできます。 BPDU は、スパニングツリー プロトコル トポロジーを使用する拡張 LAN 内のスイッチ間で交換されるデータ メッセージです。 BPDU パケットには、ポート、アドレス、優先順位、コストに関する情報が含まれており、データが意図した場所に到達するようにします。
Juniper EXシリーズスイッチのポート構成例を次に示します。この設定は、専用の管理 VLAN、スタッフ VLAN、ゲスト VLAN の存在を前提としています。
interfaces {
ge-0/0/0 {
native-vlan-id 100;
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members [ management staff guest ];
}
}
}
}
}
vlans {
guest {
vlan-id 667;
}
staff {
vlan-id 200;
}
management {
vlan-id 100;
l3-interface irb.100;
}
}
次の例は、スイッチの管理 VLAN(10.10.100.50/24)の IP アドレスを、他のネットワーク(10.10.100.1 のゲートウェイ)からアクセス可能に設定する方法を示しています。
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members [ management staff guest ];
}
native-vlan-id 100;
}
}
}
vlan {
unit 100 {
family inet {
address 10.10.100.50/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 10.10.100.1;
}
}
vlans {
guest {
vlan-id 667;
}
staff {
vlan-id 200;
}
management {
vlan-id 100;
l3-interface vlan.100;
}
}
ジュニパーEXスイッチの場合、LLDP設定にスイッチの管理アドレスを含めることをお勧めします。
この例では、VLAN 100が管理に使用され、LLDP上で同じことがアドバタイズされます。
次の設定例は、設定モードで表示されます。
set interfaces irb unit 400 family inet address 10.33.1.110/24 set routing-options static route 0.0.0.0/0 next-hop 10.33.1.1 set routing-options static route 0.0.0.0/0 no-resolve set protocols lldp management-address 10.33.1.110 set protocols lldp port-id-subtype interface-name set protocols lldp interface all set protocols lldp-med interface all
システム定義のポートプロファイル
システム定義ポートプロファイルは、Mistポータルに組み込まれているポートプロファイルで、独自のポートプロファイルを設定しない場合に使用できます。これらはあらかじめ設定されているため、使用するために設定する必要はありません。ただし、これらのシステム定義ポート プロファイルは削除できます。この機能は、スイッチ テンプレート レベルの設定からのみ使用できます。
以下の手順では、システム定義のポート プロファイルを削除する方法について説明します。
システム定義のポートプロファイルを削除する機能は、ap、iot、アップリンクのポートプロファイルにのみ適用されます。
- Mistポータルから、 組織 > スイッチテンプレートに移動します。
- 適切なスイッチテンプレートを選択します。
- 削除するシステム定義のポート プロファイル(ap、iot、アップリンク)を選択します。
- [ポート プロファイルの編集] 設定の左上隅にあるごみ箱アイコンを選択します。
- 削除アクションが永続的であることを知らせる警告が表示されます。一度削除すると、ポートプロファイルを復元することはできません。ポート プロファイルの名前を入力し、 [削除] を選択します。
手記:ap、iot、またはアップリンク システム定義ポート プロファイルを削除すると、サイトまたはデバイス レベルでこれらのプロファイルを参照すると、デフォルト プロファイル(ポート構成またはダイナミック ポート プロファイル)に戻ります。手記:独自のポートプロファイルを作成し、「ap」、「iot」、または「uplink」という名前を付けた場合(システム定義のポートプロファイルを削除した後)、他のユーザ定義のポートプロファイルとして扱われます。