Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuraciones manuales de conmutadores de la serie EX

Requisitos

Todas las funciones que necesita para configurar la interoperabilidad entre los puntos de acceso de Juniper con conmutadores de la serie EX están disponibles en Junos OS versión 18.4R2.7 y posteriores. Los procedimientos son los mismos para cualquier conmutador Ethernet EX2300, EX3400 o EX4300 de Juniper, y para cualquier punto de acceso de Juniper (AP43, AP41, AP 21 y AP61).

Visión general

Para conectar manualmente los puntos de acceso de Juniper a un conmutador de la serie EX, comience por configurar el conmutador y, luego, muévase al portal de Juniper Mist en la nube para terminar los detalles de la conexión. Una vez conectado, también puede volver a SSH al conmutador desde el portal de Juniper Mist para realizar cualquier configuración adicional que pueda tener.

Figura 1: Conexiones Switch Connections de conmutador

Configure el conmutador de la serie EX

Antes de comenzar

Configure un nombre de host y una contraseña en el conmutador de la serie EX

Procedimiento paso a paso

La primera tarea es configurar algunos ajustes del sistema en el conmutador de la serie EX, incluidos un nombre de host y una contraseña.

  1. Inicie sesión en la CLI del dispositivo y escriba configure para iniciar el modo de configuración, lo que le permite editar la configuración.

  2. En la CLI, escriba los siguientes comandos (tenga en cuenta que se le pedirá que cree una contraseña como parte del segundo comando).

  3. A continuación, agregue un servidor DNS para que el conmutador pueda resolver las direcciones IP obtenidas del portal de Juniper Mist.

  4. Configure su zona horaria y agregue un servidor NTP al conmutador.

  5. En el caso de los conmutadores de la serie EX que actúen como cliente DHCP, no permitir descargas automáticas de software.

  6. Para permitir la administración remota del conmutador EX desde el portal de Juniper Mist, debe habilitar el inicio de sesión raíz a través de SSH.

Configure las redes de invitados y empleados

En conmutadores de la serie EX, puede configurar una interfaz de puerto como un puerto de acceso de capa 2, un puerto de troncalización de capa 2 o un puerto de interfaz de capa 3. Por lo general, se utiliza un puerto de troncalización de capa 2 cuando hay tráfico de varias VLAN que se conectan a él. Para diferenciar los flujos de VLAN independientes, los paquetes que ingresan al puerto se etiquetan con un identificador VLAN (como se define en IEEE 802.1Q) de su elección.

Puede conectar los puntos de acceso de Juniper a un puerto etiquetado o un puerto sin etiqueta configurado para VLAN nativa. Esta NCE utiliza sin etiquetar (también conocida como nativa), ya que los puntos de acceso de Juniper arrancan en VLAN sin etiquetar de forma predeterminada.

Para proteger la LAN contra tormentas de difusión, también habilitaremos el control de tormentas en las interfaces (brevemente, el control de tormentas es una función que previene las tormentas de difusión mediante la caída automática de paquetes cuando los niveles de tráfico superan un límite establecido).

Procedimiento

Procedimiento paso a paso

  1. Configure los ID de VLAN para las redes de administración, invitados y empleados mediante los siguientes ID de VLAN: VLAN 180, VLAN 188 y VLAN 189, respectivamente.

  2. Para enrutar localmente entre redes VLAN o subredes en el conmutador local, necesita interfaces de enrutamiento y puente integrados (IRB). Las creamos aquí y también asignamos a cada IRB una dirección IP para conectarse al portal de Juniper Mist.

  3. A continuación, debe adjuntar cada una de las IRB que acaba de crear a su VLAN respectiva.

  4. Asocie las interfaces físicas con sus respectivas VLAN y aplique el control de tormentas. En el caso de la red de invitados, este ejemplo utiliza ge-0/0/0 configurado como una interfaz de acceso . La red de empleados usa ge-0/0/2, también como interfaz de acceso .

    La interfaz a la que se conectarán los puntos de acceso de Juniper es ge-0/0/1, que está configurada como una interfaz troncal . Establezca la VLAN de administración como una interfaz nativa (sin etiquetar) porque un punto de acceso se inicia en una VLAN sin etiquetar de forma predeterminada.

  5. Cree un perfil de control de tormenta predeterminado para admitir la configuración de control de tormentas en el paso anterior.

  6. Agregue una puerta de enlace predeterminada al conmutador. Utilice la dirección IP del enrutador de próximo salto.

  7. Para mostrar sus clientes por cable en el portal de Juniper Mist, debe habilitar dhcp-security en las interfaces IRB.

  8. Compruebe la configuración para comprobar la validez ejecutando el comando Junos OS commit check o ejecute los siguientes show comandos para mostrar la configuración como se ha especificado (la información de VLAN que se incluye a continuación solo aparece después de confirmar la configuración).

Habilite PoE+ en las interfaces

Procedimiento

Procedimiento paso a paso

La siguiente tarea es habilitar PoE+ en las interfaces. Comience por comprobar qué versión del software del controlador está ejecutando el conmutador. (Una versión más reciente puede estar en el dispositivo como parte de una actualización de Junos OS, y si es así, debe actualizar el software del controlador.) Puede encontrar instrucciones para hacer la actualización en este documento: Actualizar el software del controlador PoE.

  1. Encuentre qué versión del software del controlador está ejecutando el conmutador.

    Para mantenerse bien dentro de la capacidad de la fuente de alimentación (individual o dual) aprovisionada en la mayoría de conmutadores de la serie EX, le recomendamos que presupuesta el 75 % o menos de los puertos de conmutador para (físicamente) conectar puntos de acceso 802.11at con capacidad De Juniper.

  2. Habilite PoE+ en las interfaces de conmutador diseñadas para conexiones de punto de acceso de Juniper.

  3. Verifique la configuración (los detalles a continuación aparecen solo después de confirmar la configuración).

  4. Habilite la supervisión de alimentación PoE en el conmutador para ver estadísticas en tiempo real, incluido el consumo de energía, y admitir telemetría a nivel de puerto. Haga esto para todos los puertos de conmutador o, al menos, para aquellos que se conectan a un punto de acceso de Juniper.

  5. Ejecute los siguientes comandos para ver estadísticas de PoE (los detalles que se muestran a continuación solo aparecen después de confirmar la configuración).

Habilite el conmutador para recibir solicitudes DHCP o BOOTP

Procedimiento

Procedimiento paso a paso

Permite que el conmutador reciba solicitudes DHCP o BOOTP para que pueda recibir mensajes de difusión, enviados desde clientes y asociados a los puntos de acceso de Juniper y, luego, retransmitir estas solicitudes a un servidor DHCP o BOOTP. Esto es especialmente importante para los clientes inalámbricos, de modo que puedan llegar a un servidor DHCP o BOOTP remoto determinado, aunque ni el punto de acceso ni los clientes tengan adyacencia de capa 2 con el servidor DHCP.

  1. Habilite las solicitudes BOOTP en el conmutador, escriba el siguiente comando.

    (Debe escribir explícitamente "bootp" para que aparezca el comando, es decir, no puede usar solo la tecla de tabulación o espacio.)

  2. También puede configurar el conmutador para que actúe como un servidor DHCP. Hacerlo es útil para implementaciones de sandbox, pero en un entorno de producción, recomendamos que use un servidor DHCP externo (es decir, no DHCP en el conmutador). Los siguientes comandos crean grupos DHCP para las VLAN de invitados, empleados y administración, y también para cualquier punto de acceso de Juniper y clientes asociados.

  3. (Opcional) Configure una URL de proxy mediante la opción 43 de DHCP. Este paso se proporciona para admitir el caso en el que tiene puntos de acceso de Juniper que necesitan conectarse al conmutador de la serie EX mediante un servidor proxy. El primer conjunto de comandos muestra cómo agregar la dirección IP del proxy en texto sin formato para las VLAN de invitado, empleado y administración. El segundo hace lo mismo con las direcciones hexadecimales (solo necesita ejecutar una). Consulte Configuración de URL de proxy mediante la opción 43 de DHCP con Microsoft Windows Server para obtener más información.

    O

Verificar

Procedimiento paso a paso

Confirme la configuración ejecutando show comandos en los distintos niveles de la jerarquía para mostrar la configuración como se ha especificado. Confirme la validez ejecutando el comando Junos OS commit check (debe confirmar realmente la configuración para ver el enlace real del servidor DHCP).

  1. Vea las configuraciones que ingresó.

  2. Ejecute los show dhcp server binding comandos y show dhcp server statistics para comprobar las estadísticas de mensajes DHCP entre el servidor y los clientes. El resultado de ejemplo que se muestra aquí muestra que los grupos DHCP para las VLAN de invitado, empleado y administración están enlazados, y que el cliente está recibiendo mensajes DHCP.

Habilite la autenticación 802.1x en los puertos del conmutador

Le recomendamos que habilite la autenticación de control de acceso de red (PNAC) basada en puertos 802.1x en los conmutadores para autenticar los puntos de acceso de Juniper. Hay tres maneras de hacerlo:

  • Autentifique el primer dispositivo de extremo (suplicante) en un puerto de autenticador y permita que todos los demás dispositivos finales que se conecten también tengan acceso a la LAN

  • Autentificar un dispositivo de extremo único en un puerto de autenticador a la vez

  • Autentificar varios dispositivos finales en un puerto de autenticador (esto se suele utilizar en configuraciones VoIP)

Procedimiento

Procedimiento paso a paso

  1. Configure la interfaz de administración para autenticar varios dispositivos de extremo. Para la autenticación 802.1x, este ejemplo utiliza protocol dot1x, que se admite en interfaces que son miembros de VLAN privadas. Reemplace ge-0/0/0.0 con la interfaz correcta para su conmutador.

  2. Confirme la configuración mediante la ejecución show protocols dot1x de comandos para mostrar la configuración como se escribió. Ejecute commit check para confirmar la validez de la configuración, o commit si ha terminado.

Administrar registros en conmutadores de la serie EX

Junos OS escribe mensajes de registro en un archivo, que, cuando alcanza un tamaño especificado, se comprime y se archiva y se inicia un nuevo archivo de registro. Le recomendamos que habilite esta función. Ver el acceso a estos archivos de registro está restringido al usuario raíz y a los usuarios que tienen permiso de mantenimiento de Junos OS.

Procedimiento

Procedimiento paso a paso

  1. Establezca el tamaño del archivo syslog en 1 MB, después de lo cual se archiva el registro y se inicia uno nuevo. Después de que se archivan 10 archivos de registro, el más antiguo se sustituye por el más nuevo.

  2. Puede confirmar la configuración ejecutando el show system syslog comando para mostrar la configuración tal y como se ha especificado. Ejecute el commit comando para guardar la configuración. Los registros del sistema se escriben en el directorio /var/log .

(Opcional) Automatizar el aprovisionamiento de puertos de conmutador

Junos OS puede ejecutar scripts basados en eventos del sistema. Puede usar secuencias de comandos de eventos para aprovisionar automáticamente puertos de conmutador para los puntos de acceso de Juniper, y puede hacer que monitoree eventos LLDP para identificar cuándo se ha conectado un punto de acceso de Juniper a un puerto de conmutador o para activar una acción en respuesta a eventos de vínculo hacia arriba y hacia abajo. Puede obtener la secuencia de comandos de ejemplo que se utiliza aquí poniéndose en contacto con su representante técnico de Juniper.

Una vez identificado un punto de acceso de Juniper, la secuencia de comandos busca en la configuración de Junos OS una VLAN coincidente y, cuando se encuentra, actualiza la configuración de Junos OS para hacer que esa VLAN sea la VLAN nativa para los puertos conectados a puntos de acceso de Juniper.

Utilice la cuenta de Juniper Mist que acaba de crear para copiar la secuencia de comandos de Python en el conmutador de modo que, cuando se ejecute la secuencia de comandos, se ejecute con esos privilegios de acceso.

Procedimiento

Procedimiento paso a paso

  1. Cree un usuario de juniper-mist para que se ejecuten las secuencias de comandos de eventos.

  2. Configure el conmutador para ejecutar scripts de Python sin signo.

  3. Confirme la configuración ejecutando el commit comando.

  4. Cambie a la cuenta de juniper-mist escribiendo exit en la ventana de comandos de la CLI para finalizar esa sesión y, luego, vuelva a iniciar sesión con la cuenta de juniper-mist .

  5. Copie la wlan-config-interface.py secuencia de comandos que recibió de su representante técnico de Juniper desde su ubicación a la ubicación del archivo de secuencia de comandos de eventos de Junos en el conmutador (utilice run file copy si está en modo de configuración).

  6. Confirme la configuración mediante la ejecución show de comandos en el system login user juniper-mist nivel de la jerarquía para mostrar la configuración como se escribió. Puede confirmar la validez ejecutando el comando Junos OS commit check .

  7. Escriba configure para volver al modo de configuración y, a continuación, escriba los siguientes comandos para crear políticas de eventos en el conmutador para ejecutar la secuencia de comandos cada vez que los vínculos supervisados vayan hacia abajo o hacia arriba.

  8. Ejecute los siguientes show comandos en el event-options nivel de la jerarquía para ver los comandos introducidos. Ejecutar commit para guardar la configuración.

  9. Deje abierta la conexión de CLI cuando haya terminado. Después de iniciar sesión en el portal de Juniper Mist, debe obtener alguna configuración adicional del portal de Juniper Mist para obtener actualizaciones adicionales que aún necesita realizar en el conmutador.