Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Perfiles de puertos

Los perfiles de puerto proporcionan una forma conveniente de aprovisionar manual o automáticamente las interfaces del conmutador. Mist admite los siguientes dos tipos de perfiles de puerto según la forma en que un perfil esté asignado a un puerto:

  • Perfiles de puertos estáticos: un perfil de puerto estático es el perfil que se asigna manualmente a un puerto de conmutador específico. Estos perfiles se utilizan para el aprovisionamiento estático de puertos de conmutación.

  • Perfiles de puertos dinámicos: los perfiles de puertos dinámicos ayudan al puerto de conmutación a detectar el dispositivo conectado a él mediante las reglas de asignación de puertos configuradas y a asignar un perfil coincidente al puerto de forma dinámica. Los perfiles de puertos dinámicos se utilizan para el autoaprovisionamiento de puertos de conmutación (puertos sin color).

  • Perfiles de puertos definidos por el sistema: de forma predeterminada, Juniper Mist le proporciona perfiles de puertos definidos por el sistema que vienen preconfigurados para usted. Estos funcionan de la misma manera que los perfiles de puertos normales, excepto que están disponibles para que los use si no desea configurar los suyos propios. Los perfiles de puertos definidos por el sistema proporcionados por Mist son los siguientes: AP, IoT, enlace ascendente, predeterminado y deshabilitado.

Perfiles de puertos estáticos

La asignación de un perfil de puerto estático consta de dos pasos: configurar un perfil de puerto y asignarlo manualmente a un puerto de conmutación específico. Puede configurar perfiles de puerto desde el mosaico Perfiles de puerto de la plantilla del conmutador o de la página de detalles del conmutador. Puede asignar manualmente el perfil a un puerto desde la pestaña Configuración de puerto en la sección Seleccionar conmutadores de la plantilla del conmutador o desde la sección Configuración de puerto en la página de detalles del conmutador.

Port profiles provide a convenient way to manually or automatically provision EX switch interfaces. Going into the EX4300, we'll first create VLANs. We'll make a camera network with VLAN ID 30 and an IoT network with VLAN ID 29.

You can create as many networks as needed. You can create the profiles, for example, a camera, and map it to the camera network that we just created. Customize the settings as desired, such as PoE and STP.

We'll repeat this process to create profiles for a corporate device enabling 802.1x authentication, an IoT device configured with PoE, and an access point configured as a trunk port. It's very simple to modify profiles to meet your specific requirements. Then we go into the port configuration section to associate the configurations with port profiles.

Here we map ports 1 through 5 to be with an AP profile, ports 6 through 10 with a corporate device profile, ports 11 through 15 with IoT profiles, and ports 16 to 20 with the camera profile. This is how to create port profiles. We can also create port aggregation uplinks to be associated with the appropriate profiles.

When you save all of your changes, this pushes the configuration to the particular switch. This covers how EX switches are manually provisioned with port profiles from the Juniper MIST Cloud.

Perfiles de puertos dinámicos

Los perfiles de puerto dinámicos permiten configurar reglas para asignar dinámicamente perfiles de puerto a una interfaz. Cuando un usuario conecta un dispositivo cliente a un puerto de conmutación con configuración de perfil dinámico, el conmutador identifica el dispositivo y asigna un perfil de puerto adecuado al puerto. El perfil de puerto dinámico utiliza un conjunto de propiedades de dispositivo del dispositivo cliente para asociar automáticamente un puerto preconfigurado y una configuración de red a la interfaz. Puede configurar un perfil de puerto dinámico basado en los distintos parámetros, como el nombre LLDP y la dirección MAC.

La configuración de puertos dinámicos implica dos pasos:

  1. Configure reglas de configuración dinámica de puertos (CPC) para asignar automáticamente perfiles de puerto. Este es un ejemplo de una regla que asigna automáticamente el perfil de puerto "AP" a un AP de Mist. Según esta regla, cuando el puerto identifica un dispositivo con un ID de chasis que comienza con D4:20:B0 o D4:21:B1, asigna el perfil "AP" al dispositivo conectado.

    Para obtener más información, consulte la fila Configuración de puerto dinámico en la Tabla 3 de la página Opciones de configuración del conmutador.

    Nota: Si utiliza varios valores en el campo Si el texto comienza por en una regla CPC, sepárelos con comas y asegúrese de que todos tengan la misma longitud. Si la longitud de algún valor difiere, debe crear una regla independiente para él.

  2. Especifique los puertos que desea que funcionen como puertos dinámicos. Para ello, seleccione la casilla de verificación Habilitar configuración dinámica en la pestaña Configuración de puerto en la sección Seleccionar conmutadores de la plantilla del conmutador. También puede hacer esto a nivel del conmutador, desde la sección Configuración de puerto en la página de detalles del conmutador.

    Para obtener más información, consulte la fila Habilitar configuración dinámica de puerto en la tabla 6 de la página Opciones de configuración del conmutador.

Le recomendamos que cree un perfil de red restringido que se pueda asignar a dispositivos desconocidos cuando se conecte a los puertos de conmutador habilitados con la configuración de puertos dinámicos. En el ejemplo anterior, el puerto se habilita con la configuración de puerto dinámico y se asigna con una VLAN restringida. En este caso, si el dispositivo conectado no coincide con los atributos de perfil dinámico, se colocará en una VLAN restringida, como una VLAN no enrutable o una VLAN invitada.

Nota:

  • Asegúrese de que la VLAN predeterminada o restringida utilizada en la configuración de puerto dinámico no tenga un servidor DHCP activo en ejecución. De lo contrario, es posible que encuentre un problema de dirección IP obsoleta en ciertos dispositivos heredados.

  • Un conmutador con autenticación de control de acceso a la red (NAC) basada en puertos no requiere configuración de puerto dinámico, ya que las asignaciones de VLAN las gestiona el servidor de RADIUS. Además, no se recomienda utilizar perfiles de puertos dinámicos cuando se utiliza un servidor RADIUS con anulación de autenticación MAC (MAB).

  • Prefiera la coincidencia basada en LLDP sobre la coincidencia basada en MAC cuando el dispositivo admite LLDP.

  • No use la coincidencia basada en MAC en puertos habilitados con autenticación 802.1X.

  • Evite usar Filter-ID atributos. Cuando 802.1X está habilitado en los puertos, la asignación de VLAN debe manejarse a través de RADIUS sin depender de Filter-ID.

La configuración de puerto dinámico en un conmutador está diseñada para establecer conexión con dispositivos de IoT, puntos de acceso y puntos de conexión de puertos de usuario. No debe usarlo para crear conexiones entre conmutadores, conmutadores y enrutadores, y conmutadores y firewalls. No debe habilitar la configuración dinámica de puertos en el puerto de vínculo superior.

Cuando se asigna un perfil de puerto a un puerto de conmutación dinámicamente en función del dispositivo conectado, este evento se muestra en la sección Eventos del conmutador en la página Información del conmutador. También puede ver los detalles del perfil de puerto dinámico en un puerto de conmutador al pasar el cursor sobre el puerto en la sección Panel frontal en la página de detalles del conmutador.

Nota:

Junos requiere que cada intervalo de interfaces en un perfil de puerto contenga al menos una interfaz miembro. Cuando la configuración dinámica de puertos está habilitada, Junos incluye una interfaz ficticia (ge-168/5/X) como marcador de posición en la configuración del perfil de puerto, de modo que la configuración sigue siendo válida incluso cuando no está asignada a una interfaz real. Por ejemplo, si una interfaz está asignada actualmente al perfil de puerto A, pero se espera que el perfil de puerto B se aplique dinámicamente más adelante, se usa un marcador de posición como ge-168/5/0 para mantener válido el rango de interfaz del perfil B.

También puede configurar y verificar los detalles de configuración del puerto dinámico mediante la siguiente API:

Wired Assurance offers dynamic port profiles, so you can simply plug in your device and it will automatically be assigned the appropriate profile. This is also referred to as the provisioning of colorless ports. In this example, we have a Juniper AP assigned to port 5. We also created a port profile called Minimal Access that has access to a guest network on VLAN 99.

Based on what the devices identify themselves as, we can create rules to assign profiles. We'll use the LLDP chassis ID to identify the device, and if it starts with the octet D420B0, it will be given the AP12 profile. So what we just did is set the dynamic profile assignment for port 5. If the wired device does not register as an AP12, then it will get the Minimal Access profile.

If it shows as an AP12, then it gets the AP12 profile. To verify that the port was assigned the right profile, take a look at the switch events log. You can see that the AP12 profile was correctly identified and automatically applied to port 5. Dynamic port profiles are not just limited to Juniper devices alone.

Anything based on LLDP or RADIUS name also falls under the domain of dynamic port profiles. This means that the days of manually assigning profiles to ports or even a range of ports are no longer necessary.

Prácticas recomendadas en la configuración de puertos

Estas son algunas recomendaciones para que sus puertos de conmutación funcionen a la perfección con los AP de Mist:

  • En un puerto de troncalización, pode todas las VLAN no deseadas. Solo las VLAN necesarias (según la configuración de la WLAN) deben estar en el puerto. Dado que los AP no guardan la configuración de forma predeterminada, los AP deberían poder obtener la dirección IP en la VLAN nativa para conectarse a la nube y configurarse.

  • No recomendamos la seguridad de puertos (límite de dirección MAC), excepto en el caso de que todas las WLAN estén tunelizadas.

  • Siéntase libre de habilitar la protección de BPDU, ya que las BPDU normalmente no se puentean de una conexión inalámbrica a una por cable en un AP a menos que sea una base de malla. Las BPDU son mensajes de datos que se intercambian a través de los conmutadores dentro de una LAN extendida que usa una topología de protocolo árbol de expansión. Los paquetes de BPDU contienen información sobre puertos, direcciones, prioridades y costos, y garantizan que los datos terminen donde estaban destinados a ir.

Perfiles de puertos definidos por el sistema

Los perfiles de puertos definidos por el sistema son perfiles de puertos integrados en el portal de Mist y que están disponibles para su uso si no desea configurar sus propios perfiles de puertos. Estos están preconfigurados para usted, por lo que no es necesario realizar ninguna configuración para que pueda usarlos. Sin embargo, puede eliminar estos perfiles de puertos definidos por el sistema. Esta funcionalidad solo está disponible en el nivel de configuración Plantillas de conmutador.

Los siguientes pasos describen cómo eliminar un perfil de puerto definido por el sistema.

Nota:

La capacidad de eliminar un perfil de puerto definido por el sistema solo se aplica a los perfiles de puerto de AP, IoT y uplink.
  1. En el portal de Mist, vaya a Plantillas de organización > conmutador.
  2. Seleccione la plantilla de conmutador adecuada.
  3. Seleccione el perfil de puerto definido por el sistema que desea eliminar (AP, IoT o uplink).
  4. Seleccione el icono de la papelera en la esquina superior izquierda de la configuración Editar perfil de puerto .

  5. Aparecerá una advertencia que le informará que la acción de eliminación es permanente. No podrá recuperar el perfil del puerto una vez eliminado. Escriba el nombre del perfil de puerto y, a continuación, seleccione Eliminar.

    Nota: Si elimina los perfiles de puerto definidos por el sistema de AP, IoT o uplink, cualquier referencia a estos perfiles en el nivel de sitio o dispositivo revertirá al perfil predeterminado (configuraciones de puerto o perfiles de puerto dinámico).
    Nota: Si tuviera que crear su propio perfil de puerto y asignarle el nombre "ap", "iot" o "uplink" (después de haber eliminado los perfiles de puerto definidos por el sistema), se tratará como cualquier otro perfil de puerto definido por el usuario.