Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

ポートプロファイル

ポートプロファイルは、スイッチインターフェイスを手動または自動でプロビジョニングする便利な方法を提供します。Mistは、次のタイプのポートプロファイルをサポートしています。

  • システム定義—システム定義ポートプロファイルは、Mistポータルに組み込まれているポートプロファイルであり、独自のポートプロファイルを設定しない場合に使用できます。これらは事前に設定されているため、使用できるようにするために設定する必要はありません。Mistが提供するシステム定義ポートプロファイルには、AP、IoT、アップリンク、デフォルト、無効が含まれます。

  • ユーザー定義—システム定義のプロファイルが要件を満たしていない場合、ユースケースに基づいてこれらのカスタムポートプロファイルを作成できます。

大まかに言うと、ポートプロファイルの設定には、ポートプロファイルの定義(または既存のシステム定義プロファイルの使用)とスイッチポートへの割り当ての2つのステップが含まれます。

ポートプロファイルの定義

既存のプロファイルを使用することも、要件を満たすプロファイルを定義することもできます。Mistは、スイッチテンプレートレベルまたは個々のスイッチレベルでのポートプロファイルの作成をサポートしています。

ポートプロファイルを定義するには:

  1. [Organization > Switch Templates]に移動し、適切なスイッチテンプレートを選択します。
    スイッチレベルでポートプロファイルを定義する場合は、スイッチの詳細ページ( スイッチ > switch-name)に移動します。
    注:

    ポートプロファイルを作成する前に、 ネットワーク タイルから必要なネットワークが作成されていることを確認してください。スイッチテンプレートでは、[共有要素]セクションにこのタイルがあります。スイッチの詳細ページの[ネットワークとポートプロファイル]セクションにこのタイルがあります。
  2. ポートプロファイルタイルに移動します。
    スイッチテンプレートでは、[共有要素]セクションにこのタイルがあります。スイッチの詳細ページ(スイッチレベルのアクション用)の[ネットワークとポートプロファイル]セクションにこのタイルがあります。
  3. ポート プロファイルタイルで、 プロファイルの追加をクリックします。
    新しいポートプロファイルウィンドウが表示されます。
  4. 共有要素 - ポートプロファイルの説明に従ってプロファイル設定を指定します。
  5. 設定を指定した後、新しいポートプロファイルウィンドウの右上にあるチェックマーク(✓)をクリックします。

    新しく作成されたポートプロファイルが、ポートプロファイルタイル内のプロファイルのリストに表示されます。

  6. テンプレートまたはスイッチの詳細ページの右上にある保存をクリックして、変更を確認して保存します。

スイッチポートへのポートプロファイルの割り当て

スイッチポートへのプロファイルの割り当て方法に基づいて、Mistは以下のタイプのポートプロファイルをサポートします。

  • 静的ポートプロファイル—静的ポートプロファイルは、特定のスイッチポートに手動で割り当てられるプロファイルです。これらのプロファイルは、スイッチポートの静的プロビジョニングに使用されます。

  • 動的ポートプロファイル—動的ポートプロファイルは、設定されたポート割り当てルールを使用してスイッチポートが接続されているデバイスを検出し、一致するプロファイルをポートに動的に割り当てるのに役立ちます。動的ポートプロファイルは、スイッチポート(無色ポート)の自動プロビジョニングに使用されます。

ポートプロファイルを手動で割り当てる

ポートプロファイルを定義した後、スイッチテンプレートのスイッチの選択セクションのポート設定タブ、またはスイッチの詳細ページのポート設定セクションから、特定のスイッチポートに手動で割り当てることができます。

スイッチテンプレートを介してポートプロファイルをポートに手動で割り当てるには:

  1. 組織>有線>スイッチテンプレートに移動し、テンプレートをクリックして開きます。
  2. スイッチ設定の選択セクションに移動します。
  3. 既存のルールをクリックして開きます。
    ポート割り当て設定を使用して新しいルールを作成する場合は、セクションの右上にある ルールを追加をクリックします
  4. ルールのポート設定タブに移動します。
  5. ポート設定の追加をクリックします。
    新しいポート設定ウィンドウが表示されます。
  6. ポートIDフィールドにポートを指定します。
  7. 設定プロファイルドロップダウンリストから、指定したポートに割り当てるポートプロファイルを選択します。
  8. 必要に応じてその他の設定を指定し、新しいポート設定ウィンドウの右上にあるチェックマーク(✓)をクリックします。
  9. ルールに加えた変更を適用するには、ルールウィンドウの右上にあるチェックマーク(✓)をクリックします。
  10. テンプレートの右上にある「保存」をクリックして、変更を確認して保存します。

また、スイッチレベルでスイッチポートにポートプロファイルを割り当てることもできます。これは、スイッチの詳細ページのデバイスセクションにあるポートタイルから実行できます。ポートタイルでポート設定を追加をクリックし、設定を指定します。詳細については、次のビデオをご覧ください。

Port profiles provide a convenient way to manually or automatically provision EX switch interfaces. Going into the EX4300, we'll first create VLANs. We'll make a camera network with VLAN ID 30 and an IoT network with VLAN ID 29.

You can create as many networks as needed. You can create the profiles, for example, a camera, and map it to the camera network that we just created. Customize the settings as desired, such as PoE and STP.

We'll repeat this process to create profiles for a corporate device enabling 802.1x authentication, an IoT device configured with PoE, and an access point configured as a trunk port. It's very simple to modify profiles to meet your specific requirements. Then we go into the port configuration section to associate the configurations with port profiles.

Here we map ports 1 through 5 to be with an AP profile, ports 6 through 10 with a corporate device profile, ports 11 through 15 with IoT profiles, and ports 16 to 20 with the camera profile. This is how to create port profiles. We can also create port aggregation uplinks to be associated with the appropriate profiles.

When you save all of your changes, this pushes the configuration to the particular switch. This covers how EX switches are manually provisioned with port profiles from the Juniper MIST Cloud.

ダイナミックポートプロファイル割り当ての設定

このセクションの手順を使用して、ポートプロファイルをインターフェイスに動的に割り当てるルールを設定します。ユーザーが動的プロファイル設定でスイッチポートにクライアントデバイスを接続すると、スイッチはデバイスを識別し、適切なポートプロファイルをポートに割り当てます。ダイナミックポートプロファイリングは、クライアントデバイスの一連のデバイスプロパティを利用して、事前設定されたポートとネットワーク設定をインターフェイスに自動的に関連付けます。LLDP名やMACアドレスなどのさまざまなパラメーターに基づいて動的なポートプロファイルを設定できます。

テンプレートレベルまたはスイッチレベルで、動的なポートプロファイル割り当てを設定できます。

テンプレートレベルでポートプロファイルの動的割り当てを設定するには:

  1. 組織>有線>スイッチテンプレートに移動し、テンプレートをクリックして開きます。
  2. 共有要素セクションの動的ポート設定タイルに移動します。
  3. 的ポート設定タイルで、 ルールを追加をクリックします。
    新しいルールウィンドウが表示されます。
  4. ポートプロファイルを自動的に割り当てるための動的ポート設定(DPC)ルールを設定します。ポートプロファイル「AP」をMist APに自動的に割り当てるルールの例を次に示します。このルールに従って、ポートがシャーシIDがD4:20:B0またはD4:21:B1で始まるデバイスを識別すると、接続されたデバイスに「AP」プロファイルを割り当てます。

    詳細については、スイッチ設定オプションページの共有 要素 - 動的ポート設定 を参照してください。

    注:DPCルールのテキストが 始まる場合フィールドに複数の値を使用する場合は、カンマで区切り、すべての長さが同じになるようにします。長さが異なる値がある場合は、その値に対して別のルールを作成する必要があります。
  5. 変更を適用するには、新しいルールウィンドウの右上にあるチェックマーク(✓)をクリックします。
  6. スイッチ設定の選択セクションに移動します。
  7. 既存のルールをクリックして開きます。
    動的なポート割り当て設定を含む新しいルールを作成する場合は、セクションの右上にある ルールを追加をクリックします
  8. ルールのポート設定タブに移動します。
  9. ポート設定の追加をクリックします。
    新しいポート設定ウィンドウが表示されます。
  10. ポートIDフィールドにポートを指定します。
  11. 設定プロファイルドロップダウンリストから、ポートプロファイルを選択します。このプロファイルは、接続されたデバイスが動的割り当てルールを満たさない場合にポートに適用されます。

    動的ポート設定が有効になっているスイッチポートに接続している場合に、不明なデバイスに割り当てることができる制限付きネットワークプロファイルを作成することをお勧めします。上記の例では、ポートは動的ポート設定で有効になっており、制限付きVLANが割り当てられています。この場合、接続されたデバイスが動的プロファイリング属性に一致しない場合、ルーティング不可能なVLANやゲストVLANなどの制限されたVLANに配置されます。

  12. 的設定を有効にするチェックボックスを選択します。

    詳細については、「スイッチ設定の選択—ポート設定タブ」の「ダイナミックポート設定を有効にする」の行を参照してください。

  13. 必要に応じてその他の設定を指定し、新しいポート設定ウィンドウの右上にあるチェックマーク(✓)をクリックします。
  14. ルールに加えた変更を適用するには、ルールウィンドウの右上にあるチェックマーク(✓)をクリックします。
  15. テンプレートの右上にある「保存」をクリックして、変更を確認して保存します。
  16. ポートプロファイルがスイッチポートに動的に割り当てられているかどうかを確認するには、次の手順に従います。
    1. 左側のメニューからスイッチを選択して、スイッチリストに移動します。
    2. スイッチリストのインサイト列にあるスイッチインサイトリンクをクリックします。
    3. スイッチイベントでポート割り当てイベントを探します。

また、スイッチレベルで動的なポートプロファイル割り当てを設定することもできます。スイッチの詳細ページから行うことができます。詳細については、次のビデオをご覧ください。

Wired Assurance offers dynamic port profiles, so you can simply plug in your device and it will automatically be assigned the appropriate profile. This is also referred to as the provisioning of colorless ports. In this example, we have a Juniper AP assigned to port 5. We also created a port profile called Minimal Access that has access to a guest network on VLAN 99.

Based on what the devices identify themselves as, we can create rules to assign profiles. We'll use the LLDP chassis ID to identify the device, and if it starts with the octet D420B0, it will be given the AP12 profile. So what we just did is set the dynamic profile assignment for port 5. If the wired device does not register as an AP12, then it will get the Minimal Access profile.

If it shows as an AP12, then it gets the AP12 profile. To verify that the port was assigned the right profile, take a look at the switch events log. You can see that the AP12 profile was correctly identified and automatically applied to port 5. Dynamic port profiles are not just limited to Juniper devices alone.

Anything based on LLDP or RADIUS name also falls under the domain of dynamic port profiles. This means that the days of manually assigning profiles to ports or even a range of ports are no longer necessary.
注:

  • 動的ポート設定で使用されるデフォルトまたは制限付き VLAN で、アクティブな DHCP サーバーが実行されていないことを確認します。そうしないと、特定のレガシーデバイスで古いIPアドレスの問題が発生する可能性があります。

  • ポートベースのネットワークアクセス制御(NAC)認証を備えたスイッチは、VLAN割り当てがRADIUSサーバーによって処理されるため、動的ポート設定は必要ありません。また、MAC認証バイパス(MAB)を備えたRADIUSサーバーを使用する場合は、動的ポートプロファイルの使用はお勧めしません。

  • デバイスがLLDPをサポートしている場合は、MACベースの一致よりもLLDPベースの一致を優先します。

  • 802.1X認証が有効になっているポートでは、MACベースのマッチングを使用しないでください。

  • Filter-ID属性の使用は避けてください。ポートで 802.1X が有効になっている場合、VLAN 割り当ては Filter-ID に依存せずに RADIUS 経由で処理する必要があります。

スイッチの動的ポート設定は、IoTデバイス、AP、ユーザーポートエンドポイントへの接続を確立するためのものです。スイッチ、スイッチとルーター、およびスイッチとファイアウォール間の接続を作成するために使用しないでください。アップリンク ポートで動的ポート設定を有効にしないでください。

接続されたデバイスに基づいてポートプロファイルがスイッチポートに動的に割り当てられると、このイベントはスイッチインサイトページのスイッチイベントセクションに表示されます。スイッチの詳細ページのフロントパネルセクションでポートにカーソルを合わせると、スイッチポートの動的ポートプロファイルの詳細を確認することもできます。

注:

Junosでは、ポートプロファイルの各インターフェイス範囲に少なくとも1つのメンバーインターフェイスが含まれている必要があります。ダイナミックポート設定を有効にすると、Junosはダミーインターフェイス(ge-168/5/X)をポートプロファイル設定のプレースホルダーとして含めるため、実際のインターフェイスに割り当てられていない場合でも設定が有効です。例えば、インターフェイスが現在ポートプロファイルAに割り当てられているが、ポートプロファイルBが後で動的に適用されることが予想される場合、ge-168/5/0のようなプレースホルダーを使用して、プロファイルBのインターフェイス範囲を有効に保ちます。

また、以下のAPIを使用して、ダイナミックポート設定の詳細を設定および検証することもできます。

ポートプロファイルの変更

ポートプロファイルは、スイッチテンプレートレベルと個々のスイッチレベルの両方で変更できます。

注:

  • システム定義のポートプロファイルは、スイッチテンプレートからのみ変更できます。ただし、Mistでは、 デフォルト および 無効のシステム定義ポートプロファイルを変更することはできません。

  • スイッチテンプレートからシステム定義のポートプロファイルを変更した場合、その変更されたバージョンのプロファイルはそのテンプレートでのみ使用できます。

ポートプロファイルを変更するには:

  1. [Organization]> [Switch Templates]に移動し、適切なスイッチテンプレートを選択します。
    スイッチレベルで定義されたポートプロファイルを変更する場合は、スイッチの詳細ページ( スイッチ > switch-name)に移動します。
  2. ポートプロファイルタイルに移動します。
    スイッチテンプレートでは、[共有要素]セクションにこのタイルがあります。スイッチの詳細ページの[ネットワークとポートプロファイル]セクションにこのタイルがあります。
  3. 変更するポートプロファイルを選択します。
  4. 共有要素 - ポートプロファイルの説明に従って、設定に必要な変更を行います。
  5. 設定を指定した後、新しいポートプロファイルウィンドウの右上にあるチェックマーク(✓)をクリックします。
  6. テンプレートまたはスイッチの詳細ページの右上にある保存をクリックして、変更を確認して保存します。

ポートプロファイルの削除

ポートプロファイルは、テンプレートレベルまたは個々のスイッチレベルで削除できます。

ポートプロファイルを削除するには:

  1. [Organization > Switch Templates]に移動し、適切なスイッチテンプレートを選択します。
    スイッチレベルで定義されたポートプロファイルを削除する場合は、スイッチの詳細ページ( スイッチ > switch-name)に移動します。
    注:

    • システム定義のポートプロファイルは、スイッチテンプレートからのみ削除できます。ただし、 デフォルト および 無効のシステム定義ポートプロファイルは削除できません。

    • スイッチの詳細ページからは、スイッチレベルで定義されたプロファイルのみを削除できます。
  2. ポートプロファイルタイルに移動します。
    スイッチ テンプレートの [共有要素] セクションにこのタイルがあります。スイッチの詳細ページの[ネットワークとポートプロファイル]セクションにこのタイルがあります。
  3. 削除するポートプロファイルを選択します。
  4. ポートプロファイルの編集設定の左上隅にあるゴミ箱アイコンをクリックします。
  5. 削除アクションが永続的であることを知らせる警告が表示されます。ポートプロファイルを削除すると復元することはできません。ポートプロファイルの名前を入力し、削除をクリックします
    注:

    • AP、IoT、またはアップリンクのシステム定義ポートプロファイルを削除すると、サイトレベルまたはデバイスレベルでこれらのプロファイルを参照することはデフォルトプロファイル(ポート設定またはダイナミックポートプロファイル)に戻ります。

    • 独自のポートプロファイルを作成し、システム定義のポートプロファイルを削除した後に「ap」、「iot」、または「アップリンク」という名前を付けた場合、そのポートプロファイルは他のユーザー定義ポートプロファイルと同様に扱われます。
  6. テンプレートの右上にある「保存」をクリックして、変更を確認して保存します。

ポート設定におけるベストプラクティス

スイッチポートがMist APとシームレスに連携するための推奨事項をいくつか紹介します。

  • トランクポートで、不要なVLANをすべて除外します。ポートには、必要なVLAN(WLAN設定に基づく)のみが必要です。APはデフォルトで設定を保存しないため、APはネイティブVLAN上のIPアドレスを取得してクラウドに接続して設定できるはずです。

  • すべてのWLANがトンネリングされている場合を除き、ポートセキュリティ(MACアドレス制限)は推奨されません。

  • BPDUは通常、メッシュベースでない限り、AP上で無線接続から有線接続にブリッジングされないため、BPDUガードを自由に有効にしてください。 BPDUは 、スパニングツリープロトコルトポロジーを使用する拡張LAN内のスイッチ間で交換されるデータメッセージです。 BPDU パケットには、ポート、アドレス、優先度、コストに関する情報が含まれており、データが意図した場所に確実に届くようにします。