Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Opções de configuração de switches

Use essas informações para configurar seus switches.

Visão geral

Você pode inserir as configurações do switch no nível da organização ou do site.

  • Para configurar configurações de toda a organização, selecione Modelos de switches da Organização > do menu esquerdo do portal Juniper Mist. Em seguida, crie seu modelo e aplique-o a um ou mais sites ou grupos de sites.

  • Para configurar as configurações do switch no nível do site, selecione a Configuração do switch > do site no menu esquerdo do portal Juniper Mist. Em seguida, selecione o site que deseja configurar e insira as configurações do seu switch.

    Se um modelo de switch de nível de organização foi atribuído ao site, a configuração do site aparecerá no modo somente de visualização. Você pode manter as configurações do modelo ou fazer ajustes. Em cada seção da página, você pode selecionar o Modelo de configuração de substituição e, em seguida, inserir suas alterações. Essas mudanças se aplicarão apenas a este site, não ao modelo.

    O exemplo a seguir mostra como substituir um modelo e definir uma senha raiz específica do site.

    Override Configuration Template Example
Nota:

Os campos que oferecem suporte à configuração por meio da variável local têm um texto de ajuda mostrando o formato de configuração variável do site por baixo deles. Para configurar variáveis de site, siga as etapas fornecidas na configuração de variáveis de site. Para obter mais informações sobre o processo de configuração do switch e os modelos de switches, veja Configurar switches.

Nos níveis de organização e local, as configurações do switch são agrupadas em seções conforme descrito abaixo.

Todos os switches

Configure essas opções na seção Todos os switches da página de modelos de switches da Organização > e na página de configuração de switches > do site.

All Switches
Tabela 1: todas as opções de configuração dos switches
Descrição do campo
RAIO

Escolha um servidor de autenticação para validar nomes de usuário e senhas, certificados ou outros fatores de autenticação fornecidos pelos usuários.

  • Mist Auth — Configure o Juniper Mist Access Assurance, um serviço de autenticação baseado em nuvem, em seu switch. Para que essa opção funcione, você deve usar uma porta com autenticação dot1x ou MAB. Para obter informações, veja o Guia de garantia de acesso da Juniper Mist.

  • RADIUS — Selecione essa opção para configurar um servidor de autenticação RADIUS e um servidor de contabilidade, para permitir a autenticação de portas dot1x no nível do switch. Para que a autenticação de porta dot1x funcione, você também precisa criar um perfil de porta que use autenticação dot1x, e você deve atribuir esse perfil a uma porta no switch.

    Os números de porta padrão são:

    • porta 1812 para o servidor de autenticação

    • porta 1813 para o servidor de contabilidade

Nota:

Se você quiser configurar a autenticação RADIUS para acesso ao gerenciamento de switches (para o login CLI do switch), você precisa incluir os seguintes comandos CLI na seção de comandos CLI adicionais no modelo:

set system authentication-order radius
set system radius-server radius-server-IP port 1812
set system radius-server radius-server-IP secret secret-code
set system radius-server radius-server-IP source-address radius-Source-IP
set system login user remote class class

Para a autenticação local do RADIUS ou TACACS+ ao Switch, é necessário criar uma conta de usuário remota ou uma classe de login diferente. Para usar diferentes classes de login para diferentes usuários autenticados por RADIUS, crie vários modelos de usuário na configuração do Junos OS usando os seguintes comandos CLI na seção de comandos CLI adicionais:

set system login user RO class read-only
set system login user OP class operator
set system login user SU class super-user
set system login user remote full-name "default remote access user template"
set system login user remote class read-only
TACACS+ Habilite o TACACS+ para autenticação centralizada de usuários em dispositivos de rede.

Para usar a autenticação do TACACS+ no dispositivo, você deve configurar informações sobre um ou mais servidores TACACS+ na rede. Você também pode configurar a contabilidade TACACS+ no dispositivo para coletar dados estatísticos sobre os usuários fazendo login em ou fora de uma LAN e enviar os dados para um servidor de contabilidade TACACS+.

Além disso, você pode especificar uma função de usuário para usuários autenticados do TACACS+ dentro da configuração do switch. As seguintes funções de usuário estão disponíveis: Nenhuma, administradora, leitura, helpdesk. Quando os usuários autenticados do TACACs+ não têm uma conta de usuário configurada no dispositivo local, o Junos atribui a eles uma conta de usuário nomeada como "remota" por padrão.

A faixa de portas suportada para TACACS+ e servidores de contabilidade é de 1 a 65535.

Nota:

Para que o TACACS+ seja autenticado no Switch, um usuário de login semelhante conforme definido na seção RADIUS acima precisa ser criado.

NTP Especifique o endereço IP ou o nome de host do servidor de protocolo de tempo de rede (NTP). O NTP é usado para sincronizar os clocks do switch e outros dispositivos de hardware na Internet.
CONFIGURAÇÕES DE DNS

Configure as configurações do servidor de nome de domínio (DNS). Você pode configurar até três endereços IP DNS e sufixos em formato separado de vírgula.

SNMP

Configure o Simple Network Management Protocol (SNMP) no switch para oferecer suporte ao gerenciamento e monitoramento da rede. Você pode configurar o SNMPv2 ou o SNMPv3. Aqui estão as opções de SNMP que você pode configurar:

  • Opções em SNMPv2 (V2)

    • Geral — Especifique o nome, a localização, as informações de contato administrativo e uma breve descrição do sistema gerenciado. Ao usar o SNMPv2, você tem a opção de especificar o endereço fonte para pacotes de armadilha SNMP enviados pelo dispositivo. Se você não especificar um endereço de origem, o endereço da interface de saída é usado por padrão.

    • Cliente — defina uma lista de clientes SNMP. Você pode adicionar várias listas de clientes. Essa configuração inclui um nome para a lista de clientes e endereços IP dos clientes (em formato separado de vírgula). Cada lista de clientes pode ter vários clientes. Um cliente é um prefixo com /32 máscara.

    • Trap Group — Crie um grupo de hosts nomeado para receber as notificações de armadilha especificadas. Pelo menos um grupo de armadilhas deve ser configurado para que as armadilhas SNMP sejam enviadas. A configuração inclui os seguintes campos:

      • Nome do grupo — Especifique um nome para o grupo trap.

      • Categorias — Escolha entre a lista a seguir das categorias. Você pode selecionar vários valores.

        • autenticação

        • chassi

        • configuração

        • link

        • operações remotas

        • roteamento

        • Serviços

        • inicialização

        • eventos vrrp

      • Alvos — Especifique os endereços IP alvo. Você pode especificar vários alvos.

      • Versão — Especifique o número de versão das armadilhas SNMP.

    • Comunidade — definir uma comunidade SNMP. Uma comunidade SNMP é usada para autorizar clientes SNMP por seu endereço IP de origem. Ele também determina a acessibilidade e as permissões (somente leitura ou leitura) para objetos MIB específicos definidos em uma visão. Você pode incluir uma lista de clientes, informações de autorização e uma visão na configuração da comunidade.

    • Visualização (aplicável tanto ao SNMPv2 quanto ao SNMPv3) — Defina uma visão MIB para identificar um grupo de objetos MIB. Cada objeto na vista compartilha um prefixo de identificador de objeto comum (OID). As visualizações do MIB permitem que um agente tenha mais controle sobre o acesso a galhos e objetos específicos em sua árvore MIB. Uma visão é composta por um nome e uma coleção de OIDs SNMP, que podem ser explicitamente incluídos ou excluídos.

  • Opções em SNMPv3 (V3)

    • Geral — Especifique o nome, a localização, as informações de contato administrativo e uma breve descrição do sistema gerenciado. Ao usar o SNMPv2, configure um ID do mecanismo, que serve como um identificador exclusivo para entidades SNMPv3.

    • USM — Configure as configurações do modelo de segurança baseado no usuário (USM). Essa configuração inclui um nome de usuário, tipo de autenticação e um tipo de criptografia. Você pode configurar um mecanismo local ou um mecanismo remoto para o USM. Se você selecionar um mecanismo remoto, especifique um identificador de motor no formato hexadecimal. Este ID é usado para computar o digestão de segurança para autenticar e criptografar pacotes enviados a um usuário no host remoto. Se você especificar a opção local engine, a ID do mecanismo especificada na guia geral é considerada. Se nenhuma ID do mecanismo for especificada, a mist local está configurada como o valor padrão.

    • VACM — Definir um modelo de controle de acesso baseado em visualização (VACM). Um VACM permite definir privilégios de acesso para um grupo. Você pode controlar o acesso filtrando os objetos MIB disponíveis para operações de leitura, gravação e notificar usando uma visualização predefinida (você deve definir as visualizações necessárias primeiro na guia Visualizações). Cada vista pode ser associada a um modelo de segurança específico (v1, v2c ou usm) e nível de segurança (autenticado, privacidade ou nenhum). Você também pode aplicar configurações de segurança (você tem a opção de usar configurações de USM já definidas aqui) ao grupo de acesso das configurações de Segurança a Grupo.

    • Notificar — Selecione as metas de gerenciamento do SNMPv3 para notificações e especifique o tipo de notificação. Para configurar isso, atribua um nome à notificação, escolha os alvos ou tags que devem receber as notificações e indique se deve ser uma armadilha (não confirmada) ou uma notificação de informação (confirmada).

    • Target — Configure os parâmetros de processamento e segurança de mensagens para o envio de notificações a um determinado alvo de gerenciamento. Você também pode especificar o endereço IP alvo aqui.

    • Visualização (aplicável tanto ao SNMPv2 quanto ao SNMPv3) — Defina uma visão MIB para identificar um grupo de objetos MIB. Cada objeto na vista compartilha um prefixo de identificador de objeto comum (OID). As visualizações do MIB permitem que um agente tenha mais controle sobre o acesso a galhos e objetos específicos em sua árvore MIB. Uma visão é composta por um nome e uma coleção de OIDs SNMP, que podem ser explicitamente incluídos ou excluídos.

Para obter mais informações, veja Configurar SNMP em switches.

ROTA ESTÁTICA

Configure rotas estáticas. O switch usa rotas estáticas quando:

  • Ele não tem uma rota com um valor de preferência melhor (menor).

  • Ele não pode determinar a rota para um destino.

  • Ele precisa encaminhar pacotes que não podem ser roteados.

A Mist oferece suporte a endereços IPv4 e IPv6 para rotas estáticas. O suporte IPv6 está disponível para endereços de destino e próximo salto.

Tipos de rotas estáticas suportadas:

  • Sub-rede — Se você selecionar essa opção, especifique os endereços IP para a rede de destino e o próximo salto.

  • Rede — Se você selecionar essa opção, especifique um VLAN (contendo um ID VLAN e uma sub-rede) e o endereço IP do próximo salto.

  • Métrica — O valor métrica para a rota estática. Esse valor ajuda a determinar a melhor rota entre várias rotas para um destino. Faixa: 0 a 4294967295.

  • Preferência — O valor de preferência é usado para selecionar rotas para destinos em sistemas autônomos externos (ASs) ou domínios de roteamento. As rotas dentro de um AS são selecionadas pelo IGP e são baseadas na métrica ou valor de custo desse protocolo. Faixa: 0 a 4294967295.

  • Descarte — Se você selecionar esta caixa de verificação, os pacotes endereçados a este destino serão descartados. Descartar tem precedência sobre outros parâmetros.

Depois de especificar os detalhes, clique na marca de verificação (✓) no canto superior direito da janela adicionar rotas estáticas para adicionar a configuração ao modelo.

CONFIGURAÇÃO DA CLI

Para configurar quaisquer configurações adicionais que não estejam disponíveis na GUI do modelo, você pode usar comandos de CLI definidos .

Por exemplo, você pode configurar uma mensagem de login personalizada para exibir um aviso aos usuários, aconselhando-os a não fazer nenhuma alteração de CLI diretamente no switch. Aqui está um exemplo de como você pode fazê-lo:

set system login message \n\n Warning! This switch is managed by Mist. Do not make any CLI changes.

Para excluir um comando CLI que já foi adicionado, use o delete comando, conforme mostrado no exemplo a seguir:

delete system login message \n\n Warning! This switch is managed by Mist. Do not make any CLI changes.
Nota:

Garanta que você insira o comando CLI completo para que a configuração seja bem sucedida.

OSPF A partir deste azulejo, você pode:
  • Definir uma área de caminho mais curto aberto primeiro (OSPF). OSPF é um protocolo de roteamento de estado de enlace usado para determinar o melhor caminho para o encaminhamento de pacotes IP em uma rede IP. O OSPF divide uma rede em áreas para melhorar a escalabilidade e controlar o fluxo de informações de roteamento. Para obter mais informações sobre as áreas de OSPF, veja esta documentação do Junos: Configurando áreas de OSPF.

  • Habilite ou desabite a configuração de OSPF no switch.

ESPIONAGEM DHCP

Habilite a opção de espionagem DHCP para monitorar mensagens DHCP de dispositivos não confiáveis conectados ao switch. A espionagem do DHCP cria um banco de dados para acompanhar essas mensagens. Isso ajuda a evitar a aceitação de pacotes DHCPOFFER em portas não confiáveis, assumindo que eles se originam de servidores DHCP não autorizados.

A configuração de DHCP tem as seguintes opções:

  • All Networks — Selecione a caixa de verificação All Networks para permitir a espionagem de DHCP em todas as VLANs.

  • Redes — Se você quiser habilitar a espionagem de DHCP apenas em redes específicas, clique em Adicionar (+) na caixa de Redes e adicione as VLANs necessárias.

  • Inspeção do Protocolo de Resolução de Endereços (ARP) — permite que esse recurso bloqueie qualquer ataque homem-no-meio. A Inspeção de ARP examina o endereço MAC de origem em pacotes ARP recebidos em portas não confiáveis. Ele valida o endereço contra o banco de dados de espionagem DHCP. Se o endereço MAC de origem não tiver uma entrada correspondente (vinculação IP-MAC) no banco de dados, ele derruba os pacotes.

    Você pode verificar as estatísticas de ARP usando os seguintes comandos CLI: show dhcp-security arp inspection statisticse show log messages | match DAI.

    O dispositivo registra o número de pacotes ARP inválidos que recebe em cada interface, juntamente com os endereços IP e MAC do remetente. Você pode usar essas mensagens de log para descobrir a spoofing de ARP na rede.

  • Proteção de origem IP — o proteção de origem IP valida os endereços IP e MAC de origem recebidos em portas não confiáveis contra entradas no banco de dados de espionagem DHCP. Se os endereços de origem não tiverem entradas correspondentes no banco de dados, o IP Source Guard descarta o pacote.

    Nota:

    O IP Source Guard funciona apenas com o modo de autenticação de usuário 802.1X de um único suplicante.

Nota:
  • Se você tiver um servidor DHCP conectado a uma porta de acesso não confiável, o DHCP não funcionará corretamente. Nesses casos, você pode precisar fazer ajustes para garantir que o DHCP funcione como desejado. Por padrão, o DHCP considera todas as portas de tronco como confiáveis e todas as portas de acesso como não confiáveis.

  • Você precisa habilitar a VLAN no switch para que a configuração de espionagem DHCP entre em vigor. Então, você precisa criar um perfil de porta (descrito mais tarde neste documento) com o VLAN incluído e aplicar o perfil na porta do switch.

Um dispositivo com um endereço IP estático pode não ter uma ligação MAC-IP correspondente no banco de dados de espionagem DHCP, se você tiver conectado o dispositivo a uma porta não confiável no switch. Para verificar o banco de dados de espionagem DHCP em seu switch e visualizar as ligações, use o comando show dhcp-security bindingCLI. Este comando fornecerá a você informações sobre as ligações DHCP registradas no banco de dados de espionagem.

Para obter mais informações, veja considerações sobre snooping de DHCP e segurança de porta.
Nota:

Você precisa habilitar esse recurso se quiser ver os problemas de DHCP para o switch sob a métrica Bem-sucedida do Connect SLE.

SYSLOG

Configure as configurações do SYSLOG para configurar como as mensagens de log do sistema são tratadas. Você pode configurar configurações para enviar mensagens de log do sistema para arquivos, destinos remotos, terminais de usuário ou para o console do sistema. Aqui estão as opções de configuração disponíveis para configurações do SYSLOG:

  • Arquivos — Envie mensagens de log para um arquivo nomeado.

  • Hosts — Envie mensagens de log para um local remoto. Este pode ser um endereço IP ou nome de host de um dispositivo que será notificado sempre que essas mensagens de log forem geradas.

  • Usuários — notifiquem um usuário específico do evento de log.

  • Console — Envie mensagens de log de uma classe e gravidade específicas para o console. As mensagens de log incluem informações prioritárias, que fornecem detalhes sobre a instalação e os níveis de gravidade das mensagens de log.

  • Arquivo — Definir parâmetros para arquivar mensagens de log.

  • Geral — Especifique informações gerais, como um formato de tempo, instância de roteamento e endereço fonte para as mensagens de log.

ESPELHAMENTO DE PORTA

Configure o espelhamento de porta.

Espelhamento de porta é a capacidade de um roteador enviar uma cópia de um pacote para um endereço de host externo ou um analisador de pacotes para análise. Na configuração de espelhamento de porta, você pode especificar o seguinte:

  • Entrada: A origem (uma interface ou rede) do tráfego a ser monitorado. Junto com a entrada, você pode especificar se deseja que a Mist monitore o tráfego de entrada ou o tráfego de saída para uma interface. Se você quiser que o tráfego de entrada e saída seja monitorado, adicione duas entradas de entrada para a mesma interface — uma com a bandeira de entrada e outra com a bandeira de saída.

  • Saída: a interface de destino à qual você deseja espelhar o tráfego. Você não pode especificar a mesma interface ou rede nos campos de entrada e saída.

Política de roteamento

Configure políticas de roteamento para toda a organização (Organização > modelos de switches) ou para um site (Configuração do switch > do site). Essas políticas de roteamento só serão empurradas para a configuração do switch se estiverem vinculadas ao Protocolo de roteamento BGP. As políticas de roteamento que já estão definidas na guia BGP de um switch agora serão exibidas na guia Política de roteamento. As políticas de roteamento estão vinculadas a protocolos como BGP ou OSPF. Uma estrutura de política de roteamento é composta por regras padrão para cada protocolo de roteamento. Essas regras determinam quais rotas o protocolo coloca na tabela de roteamento e anuncia a partir da tabela de roteamento. A configuração de uma política de roteamento envolve a definição de termos, que consistem em condições e ações de correspondência a serem aplicadas a rotas correspondentes.

Para configurar uma política de roteamento:

  1. Clique em Adicionar política de roteamento no azulejo da política de roteamento.

  2. Forneça um nome à política e clique em Adicionar Termos.

  3. Forneça um nome ao termo e especifique outros detalhes de correspondência, como:

    • Prefixo

    • Como caminho

    • Protocolo

    • Comunidade — um atributo de rota usado pelo BGP para agrupar rotas administrativamente com propriedades semelhantes.

    • Em seguida , ação (Aceitar ou rejeitar) a ser aplicada nas rotas correspondentes.

    • Adicionar ação — ações adicionais, como o caminho AS do prepend, definir a comunidade e definir a preferência local.

  4. Clique na marca de verificação (✓) à direita do título add term para salvar o termo. Você pode adicionar vários termos.

  5. Clique em Adicionar para salvar a política de roteamento.

Gestão

Configure essas opções na seção de gerenciamento da página de modelos de switches da Organização > e na página de configuração de switches > do site.

Management Section of the Configuration Page
Tabela 2: Opções de configuração de gerenciamento
Notas de opção

Timer de reversão de configuração

Esse recurso ajuda a restaurar a conectividade entre um switch e a Mist Cloud se uma mudança de configuração fizer com que o switch perca a conexão. Ele reverte automaticamente as mudanças feitas por um usuário e se reconecta à nuvem dentro de uma duração de tempo especificada. Por padrão, essa duração de tempo é definida para 10 minutos para os switches da Série EX. Você pode especificar uma duração de tempo diferente.

Senha-raiz

Uma senha de texto simples para o usuário de nível raiz (cujo nome de usuário é raiz).

Proteção do mecanismo de roteamento

Habilite esse recurso para garantir que o Mecanismo de Roteamento aceite o tráfego apenas de sistemas confiáveis. Essa configuração cria um filtro de firewall sem estado que descarta todo o tráfego destinado ao Mecanismo de Roteamento, exceto pacotes de fontes confiáveis especificadas. Proteger o mecanismo de roteamento envolve filtrar o tráfego de entrada na interface lo0 do roteador. Habilitar a proteção do mecanismo de roteamento nos switches da Juniper é sugerido como a melhor prática.

Quando a proteção do mecanismo de roteamento é habilitada, a Mist por padrão garante que os seguintes serviços (se configurados) podem se comunicar com o switch: BGP, BFD, NTP, DNS, SNMP, TACACS e RADIUS.

Se você precisar de serviços adicionais que precisem de acesso ao switch, você pode usar a seção Redes confiáveis ou serviços. Se você quiser configurar o acesso ao switch por meio do ssh, selecione a opção ssh nos Serviços confiáveis. Se você precisar permitir que o switch responda aos pings, selecione a opção de icmp nos Serviços confiáveis.

Se você tiver outros segmentos de que gostaria de alcançar o switch, você pode adicioná-los em redes confiáveis ou IP/porta/protocolo confiáveis.

Para obter mais informações, consulte Exemplo: Configuração de um filtro de firewall sem estado para aceitar tráfego de fontes confiáveis e exemplo: configuração de um filtro de firewall sem estado para proteger contra inundações de TCP e ICMP.

Usuários locais

Crie uma conta de usuário local no switch para fins de gerenciamento de dispositivos. Para criar uma conta de usuário, clique em Adicionar usuário e, em seguida, definir um nome de usuário, aula de login (Operador, somente leitura, Super usuário ou não autorizado) e uma senha.

Tempo limite ocioso

O número máximo de minutos que uma sessão remota de shell pode ficar ocioso. Quando esse limite é alcançado, os usuários ficam logados. (Faixa válida: 1-60).

Login Banner

Digite um texto que deseja que os usuários vejam quando fazem login no switch. Exemplo: "Aviso! Este switch é gerenciado pela Juniper Mist. Não faça nenhuma alteração de CLI." Você pode inserir até 2048 caracteres.

Elementos compartilhados

Configure essas opções na seção de elementos compartilhados da página de modelos de switches da Organização > e na página de configuração de switches do site >.

Shared Elements Section
Tabela 3: Opções de configuração de elementos compartilhados
Notas de opção

Redes

Adicione ou atualize as VLANs, que você pode então usar em seus perfis de porta.

Para cada VLAN, digite o nome, ID VLAN e sub-rede. Você pode especificar o endereço IPv4 ou IPv6 para a sub-rede. Veja as informações na tela para obter mais dicas.

Neste azulejo, você tem a opção de ocultar as redes que não são usadas em perfis de porta definidos pelo usuário ou sub-interfaces L3. Esse recurso ajuda você a identificar rapidamente as redes que estão em uso e aquelas que não estão em uso.

Perfis de portas

Adicione ou atualize os perfis das portas. Para obter ajuda com as opções de perfil, veja as dicas na tela e elementos compartilhados — Perfis de porta.

Neste azulejo, você tem a opção de ocultar os perfis de porta que não são usados em nenhuma configuração de porta estática ou dinâmica definida pelos usuários. Esse recurso ajuda você a identificar rapidamente os perfis de porta que estão em uso e aqueles que não estão em uso.

Configuração dinâmica de porta

O perfil dinâmico de porta usa um conjunto de propriedades de dispositivo do dispositivo cliente conectado para associar automaticamente as configurações de porta e rede pré-configuradas à interface.

Você pode configurar um perfil dinâmico de porta com base nos seguintes parâmetros:

  • Nome do sistema LLDP

  • Descrição do LLDP

  • ID do chassi do LLDP

  • Nome de usuário radius

  • ID de filtro de raio

  • MAC (endereço mac da Ethernet)

Neste exemplo, a regra aplica um perfil de porta a todos os dispositivos com o nome do sistema LLDP especificado.

Para que suas configurações dinâmicas de porta entrem em vigor, você também precisa especificar as portas que deseja funcionar como portas dinâmicas. Você pode fazer isso selecionando a caixa de verificação ativar configuração dinâmica na guia Configuração de porta na seção de switches selecionados do modelo do switch ou na seção de configuração de portas da página de detalhes do switch.

Leva alguns minutos para que um perfil de porta seja aplicado em uma porta após o reconhecimento de um cliente, e alguns minutos depois disso para que o status de atribuição do perfil da porta seja exibido no portal Mist.

No caso de reinicializações de switches ou um evento em massa para cima ou para baixo que afetem todas as portas em um switch, leva aproximadamente 20 minutos para que todas as portas sejam atribuídas ao perfil certo (assumindo que a configuração dinâmica da porta esteja habilitada em todas as portas).

A configuração dinâmica de portas em um switch destina-se a estabelecer a conexão com dispositivos IoT, APs e endpoints de porta do usuário. Você não deve usá-lo para criar conexão entre switches, switches e roteadores, e switches e firewalls. Além disso, você não deve habilitar a configuração dinâmica de portas na porta de uplink.

VRF

Com o VRF, você pode dividir um switch da Série EX em várias instâncias de roteamento virtual, isolando efetivamente o tráfego dentro da rede. Você pode definir um nome para VRF, especificar as redes associadas a ele e incluir quaisquer rotas adicionais necessárias. Você pode especificar endereços IPv4 ou IPv6 para a rota adicional.

Nota:

Você não pode atribuir a rede padrão (VLAN ID = 1) ao VRF.

Elementos compartilhados — perfis de porta

Na seção elementos compartilhados , você pode configurar perfis de porta. Essas opções aparecem quando você clica em Adicionar perfil ou quando você clica em um perfil para editar.

Nota:
  • Para obter informações gerais sobre perfis, veja a visão geral dos perfis de porta.

  • Se você estiver trabalhando no nível do site, você pode ver asterisco (*) ao lado dos nomes de perfil da porta. Esses perfis de porta foram criados no modelo do switch. Se você clicar neles, verá as configurações no modo somente de visualização. Para fazer alterações específicas do site (afetando apenas este site e não o modelo do switch em si), selecione o perfil definido por modelo de substituição e, em seguida, edite as configurações.

Tabela 4: Opções de configuração do perfil da porta
Notas de opção
Nome, porta habilitada e descrição

Configurações básicas para identificar e habilitar a porta.

Modo
  • Tronco — As interfaces de tronco normalmente se conectam a outros switches, APs e roteadores na LAN. Nesse modo, a interface pode estar em várias VLANs e pode multiplexar o tráfego entre diferentes VLANs. Especifique a rede de portas, a rede VoIP (se aplicável) e as redes tronco.

  • Acesso — modo padrão. As interfaces de acesso normalmente se conectam a dispositivos de rede, como PCs, impressoras, telefones IP e câmeras IP. Neste modo, a interface pode ser apenas em um único VLAN. Especifique a rede de porta e a rede VoIP (se aplicável).

  • Rede de portas e rede VoIP — selecione as VLANs para esta porta.

Use autenticação dot1x

Selecione esta opção para habilitar a autenticação IEEE 802.1X para controle de acesso à rede baseado em porta. A autenticação 802.1X é suportada em interfaces que são membros de VLANs privadas (PVLANs).

As opções a seguir estão disponíveis se você habilitar a autenticação dot1x em uma porta:

  • Permita várias suplicantes — Selecione essa opção para permitir que vários dispositivos finais se conectem à porta. Cada dispositivo é autenticado individualmente.

  • VLAN dinâmico — Especifique VLANs dinâmicas que serão devolvidas pelo atributo do servidor RADIUS "tunnel-private-group-ID" ou "Egress-VLAN-Name". Essa configuração permite que uma porta realize uma atribuição VLAN dinâmica.

  • Autenticação MAC — Selecione esta opção para habilitar a autenticação MAC para a porta. Quando essa opção é selecionada, você também pode especificar um Protocolo de Autenticação. Se você especificar um protocolo, ele deve ser usado por suplicantes para fornecer credenciais de autenticação.

  • Use a Guest Network — Selecione esta opção para usar uma rede de convidados para autenticação. Em seguida, selecione uma Rede de convidados na lista de quedas.

  • Contorne a autenticação quando o servidor estiver desativado — se você selecionar essa opção, os clientes podem entrar na rede sem autenticação se o servidor estiver desativado.

  • Intervalo de reauthenticação — Em um perfil de porta de switch que usa autenticação dot1x, você pode configurar um timer que controla com que frequência um cliente se reauthentica com o servidor RADIUS. O valor recomendado é de 6 a 12 horas (21600 a 43200 segundos). O valor padrão é de 65000 segundos.

Você também precisa fazer o seguinte para que a autenticação dot1x funcione:

  • Configure um servidor RADIUS para autenticação do ponto1x do azulejo dos servidores de autenticação na seção de configuração de todos os switches do modelo.

  • Atribua um perfil de porta do ponto1x a uma porta de switch para que a configuração RADIUS seja empurrada para o switch. Você pode fazer isso a partir da guia Configuração de porta na seção de configuração de switches selecionados do modelo.

    Passe o mouse sobre a porta para ver o campo VLAN atribuído por RADIUS. As portas com dot1x habilitados recebem uma nova VLAN pelo servidor RADIUS quando a autenticação 802.1x for bem sucedida. Essa visão é especialmente útil ao verificar se uma determinada VLAN em uma porta mudou após a autenticação do ponto1x.

    Figura 1: VLAN atribuída por raio em uma porta Radius Assigned VLAN on a Dot1x Port Dot1x

Velocidade

Mantenha a configuração padrão, Auto ou selecione uma velocidade

Duplex

Mantenha a configuração padrão, auto ou selecione metade ou inteira.

Limite mac Configure o número máximo de endereços MAC que podem ser aprendidos dinamicamente por uma interface. Quando a interface excede o limite MAC configurado, ela derruba os quadros. Um limite MAC também resulta em uma entrada de log.

O valor padrão: 0

Alcance suportado: 0 a 16383

Poe

Habilite a porta para oferecer suporte ao poder sobre ethernet (PoE).

Borda RSTP

Configure a porta como uma porta de borda de protocolo de spanning tree rápida (RSTP), se quiser habilitar a proteção da Unidade de Dados de Protocolo de Ponte (BPDU) em uma porta. O RSTP é habilitado em portas às quais os clientes que não participam do RSTP estão conectados. Essa configuração garante que a porta seja tratada como uma porta de borda e protege contra a recepção de BPDUs. Se você conectar um dispositivo sem borda em uma porta configurada com o RSTP Edge, a porta será desativada. Além disso, a página Switch Insights gera um evento bloqueado por BPDU de porta. O painel frontal sobre os detalhes do switch também exibirá um erro de BPDU para esta porta.

Você pode limpar a porta do erro de BPDU selecionando a porta no Painel frontal e, em seguida, clicando em Erros claros de BPDU.

Você não deve habilitar o RSTP Edge na porta Uplink.

Você também pode configurar o RSTP Edge no nível do switch, a partir da seção de perfil de porta na página de detalhes do switch.

Ponto a ponto do RSTP

Essa configuração muda o modo de interface para ponto a ponto. Os links ponto a ponto são links dedicados entre dois nós de rede ou switches que conectam uma porta a outra.

RSTP sem porta raiz

Essa configuração impede que a interface se torne uma porta raiz.

QoS

Habilite a qualidade de serviço (QoS) para que a porta priorize o tráfego sensível à latência, como voz, sobre outros tráfegos em uma porta.

Nota:

Para obter resultados ideais, é importante habilitar a qualidade de serviço (QoS) tanto para o tráfego downstream (próximo) quanto para upstream (de saída). Isso garante que a rede possa priorizar e gerenciar o tráfego de forma eficaz em ambas as direções, levando a um melhor desempenho e melhor qualidade geral de serviço.

Você tem a opção de substituir a configuração de QoS na página de configurações de WLAN (Site > WLANs > nome WLAN). Para substituir a configuração de QoS, selecione a caixa de verificação QoS override e escolha uma aula de acesso sem fio. O tráfego downstream (AP > cliente) fica marcado com o valor de classe de acesso de substituição especificado. A configuração de substituição não oferece suporte ao tráfego upstream (> AP do cliente).

Veja também: Configuração de QoS.

Controle de tempestade Permita que o controle de tempestade monitore os níveis de tráfego e solucione automaticamente pacotes de transmissão, multicast e unicast desconhecidos quando o tráfego excede um nível de tráfego (especificado em porcentagem). Este nível de tráfego especificado é conhecido como o nível de controle de tempestade. Esse recurso evita ativamente a proliferação de pacotes e mantém o desempenho da LAN. Ao habilitar o Controle de Tempestade, você também pode optar por excluir pacotes de broadcast, multicast e unicast desconhecidos do monitoramento.

Para obter mais informações, veja Entendendo o Controle de Tempestades.

Aprendizado MAC persistente (pegajoso)

Habilite o MAC persistente (Sticky) para reter endereços MAC para estações de trabalho e servidores confiáveis aprendidos pela interface, mesmo após a reinicialização de um dispositivo. Você pode configurar o Sticky MAC para clientes com fio estático. O Sticky MAC não se destina a ser usado em interfaces AP da Juniper Mist, nem é compatível com portas de tronco ou aquelas configuradas com autenticação 802.1X.

Usado em conjunto com o MAC Limits (explicado acima), o Sticky MAC protege contra ataques de negação de serviço (DoS) de Camada 2, ataques de transbordamento na tabela de comutação Ethernet e ataques dhCP, ao mesmo tempo em que permite que a interface aprenda endereços MAC dinamicamente. No portal Mist, a página Insights relata esses eventos como MAC Limit Exceeded .

Você configura os limites sticky MAC e MAC como parte do perfil de porta para o switch. O procedimento geral é demonstrado neste vídeo:

Port profiles provide a convenient way to manually or automatically provision EX switch interfaces. Going into the EX4300, we'll first create VLANs. We'll make a camera network with VLAN ID 30 and an IoT network with VLAN ID 29.

You can create as many networks as needed. You can create the profiles, for example, a camera, and map it to the camera network that we just created. Customize the settings as desired, such as PoE and STP.

We'll repeat this process to create profiles for a corporate device enabling 802.1x authentication, an IoT device configured with PoE, and an access point configured as a trunk port. It's very simple to modify profiles to meet your specific requirements. Then we go into the port configuration section to associate the configurations with port profiles.

Here we map ports 1 through 5 to be with an AP profile, ports 6 through 10 with a corporate device profile, ports 11 through 15 with IoT profiles, and ports 16 to 20 with the camera profile. This is how to create port profiles. We can also create port aggregation uplinks to be associated with the appropriate profiles.

When you save all of your changes, this pushes the configuration to the particular switch. This covers how EX switches are manually provisioned with port profiles from the Juniper MIST Cloud.

Você deve habilitar explicitamente a opção de aprendizado MAC persistente (Sticky), localizada na parte inferior do bloco de configuração do Perfil de Porta, para incluir o Sticky MAC como parte do perfil de porta que você associa com a interface. Para limites MAC, o valor padrão é 0 (ilimitado, ou seja, desativado), mas você pode habilitá-lo estabelecendo um valor de até 16383 endereços MAC exclusivos permitidos.

Para ver no portal da Mist qual valor foi definido para o MAC Limit ou o MAC Count, selecione um switch na página dos switches e passe o mouse sobre uma porta de switch. Você pode ver qual (porta) perfil é aplicado à interface e, por extensão, conhecer seu status Sticky MAC.

Figura 2: Detalhes da porta mostrando MAC Port Details Showing Sticky MAC pegajoso

O limite mac configurado e o número de MACs aprendidos aparecerão após alguns minutos, à medida que o aprendizado dinâmico na interface progride. No painel da Mist, apenas a contagem máxima de endereços MAC é mostrada. No entanto, você pode ver todos os endereços MAC que uma determinada interface aprendeu abrindo uma Shell remota para o switch e executando os seguintes comandos Junos CLI:

show ethernet-switching table persistent-learning
show ethernet-switching table persistent-learning interface

A contagem de MAC é um valor persistente que permanece até que o endereço MAC seja liberado (ou até que ele seja desativado no Perfil de Porta e, em seguida, essa configuração é empurrada para o switch).

Para limpar os endereços MAC em uma determinada interface do painel da Mist, você precisa estar logado como Administrador de rede ou Super Usuário. Em seguida, basta selecionar a porta que deseja no painel frontal do switch (conforme mostrado na Figura 1) e clicar no botão Clear MAC [Dinâmico/Persistente] que aparece.

Na página do Switch Insights, o evento aparece como um MAC Limit Reset evento.

Para obter mais informações sobre o painel frontal, veja detalhes do switch.

Selecione a configuração dos switches

Crie regras para aplicar configurações de configuração com base no nome, função ou modelo do switch.

Clique em uma regra para editá-la ou clique em Adicionar regra. Em seguida, preencha cada página. Ao inserir as configurações, clique na marca de verificação no canto superior direito para salvar suas mudanças. Você também pode criar uma entrada de regra do switch clonando uma regra existente. Para fazer isso, você só precisa clicar no botão de clone e nomear a nova regra.

Select Switches Configuration

As várias guias são descritas em tabelas separadas abaixo.

Tabela 5: Selecione switches — Guia de informações
Notas de opção

Nome

Digite um nome para identificar essa regra.

Aplica-se ao nome do switch

Habilite essa opção se quiser que essa regra se aplique a todos os switches que combinem com o nome especificado. Em seguida, insira o texto e o número de caracteres de compensação. Por exemplo, se você entrar no ABC com uma compensação de 0, a regra se aplica a switches cujos nomes começam com o ABC. Se a compensação for 5, a regra ignora os primeiros 5 caracteres do nome do switch.

Aplica-se à função de switch

Habilite essa opção se quiser que essa regra se aplique a todos os switches que tenham a mesma função. Insira a função usando letras minúsculas, números, sublinhados (_) ou dashes (-).

Aplica-se ao modelo de switch

Habilite essa opção se quiser que essa regra se aplique a todos os switches que tenham o mesmo modelo. Em seguida, selecione o modelo.

Tabela 6: Selecione switches — Guia de configuração de porta
Notas de opção
Lista de configuração

Clique em Adicionar configuração de porta ou selecionar uma configuração de porta para editar.

Port Configuration Tab Showing List of Port Configurations

IDs de porta e perfil de configuração

Insira a(s) porta(s) para configurar e o perfil de configuração a ser aplicado a eles.

Habilite a configuração dinâmica

Quando você habilita esse recurso, um perfil de porta é atribuído com base em atributos definidos do dispositivo conectado. Se o dispositivo corresponder aos atributos, a Mist atribui um perfil dinâmico correspondente ao dispositivo. No entanto, se o dispositivo não corresponder aos atributos, ele será colocado em uma VLAN especificada.

No exemplo a seguir, a porta é habilitada com alocação dinâmica de portas e é atribuída com uma VLAN restrita. Neste caso, se o dispositivo conectado não corresponder aos atributos dinâmicos de perfil, ele será colocado em uma VLAN restrita, como um VLAN não roteável ou um VLAN convidado. As interfaces habilitadas com a agregação de portas não oferecem suporte à configuração dinâmica de portas.

Alertas de porta para cima/para baixo

Quando você habilita esse recurso, a Juniper Mist monitora transições entre estados para cima e para baixo nessas portas. Se você habilitar esse recurso, também habilite a porta crítica para cima/para baixo no monitor > alertas > a página de configuração de alertas.

Agregação de portas

Quando você habilita esse recurso, as interfaces Ethernet são agrupadas para formar uma interface de camada de link única. Essa interface também é conhecida como um grupo de agregação de enlaces (LAG) ou pacote.

O número de interfaces que você pode agrupar em um LAG e o número total de LAGs que um switch suporta variam dependendo do modelo do switch. Você pode usar o LAG com ou sem o LACP habilitado. Se o dispositivo do outro lado não oferece suporte ao LACP, você pode desabilitar o LACP aqui.

Você também pode configurar o estado de força-up LACP para o switch. Essa configuração define o estado da interface como quando o peer tem recursos LACP limitados.

Você também pode configurar um intervalo de transmissão de pacotes LACP. Se você configurar a opção LACP Periodic Slow em uma interface AE, os pacotes LACP serão transmitidos a cada 30 segundos. Por padrão, o intervalo é definido para acelerar em que os pacotes são transmitidos a cada segundo.

Permitir que o operador de porta de switch modifique o perfil da porta

Quando você habilita esse recurso, os usuários com a função de administrador do Operador de Porta de Switch podem visualizar e gerenciar essa configuração.
Tabela 7: Selecione a configuração dos switches — Guia de configuração de IP
Notas de opção

Lista de redes (VLAN)

Selecione uma rede para tráfego de gerenciamento em banda. Ou clique em Adicionar rede e concluir os novos campos de rede conforme descrito nas linhas restantes desta tabela.

Select Switches - IP Config Tab

Nome

Digite um nome para identificar essa rede.

VLAN ID

Insira o ID de VLAN de 1-4094 ou insira uma variável de site para inserir dinamicamente em um ID.

Sub-rede

Insira a variável de sub-rede ou local.

Selecione switches — Configuração de IP (OOB)

Habilite ou desabile o VRF de gerenciamento dedicado (fora da banda). Para todos os dispositivos autônomos ou Virtual Chassis que executam a versão Junos 21.4 ou posteriores, esse recurso limita a interface de gerenciamento a instâncias de roteamento e encaminhamento virtual (VRF) não padrão. O tráfego de gerenciamento não precisa mais compartilhar uma tabela de roteamento com outro tráfego de controle ou tráfego de protocolo.

Selecione switches — Guia de espelhamento de portas

Essa guia exibe a lista de configurações de espelhamento de portas já adicionadas. Clique em uma entrada para editá-la. Ou clique em Adicionar espelho de porta para habilitar o espelhamento de portas. Esse recurso permite que você aplique espelhamento de porta dinamicamente em switches com base nos parâmetros como a função do switch, nome do switch e modelo de switch conforme especificado nas regras. Esse recurso normalmente é usado para monitoramento e resolução de problemas. Quando o espelhamento de porta é habilitado, o switch envia uma cópia do pacote de rede das portas espelhadas para a porta do monitor. As opções de configuração incluem:

  • Entrada — A origem (uma interface ou rede) do tráfego a ser monitorado. Junto com a entrada, você pode especificar se deseja que a Mist monitore o tráfego de entrada ou o tráfego de saída para uma interface. Se você quiser que o tráfego de entrada e saída seja monitorado, adicione duas entradas de entrada para a mesma interface — uma com a bandeira de entrada e outra com a bandeira de saída.

  • Saída — a interface de destino à qual você deseja espelhar o tráfego. Você não pode especificar a mesma interface ou rede nos campos de entrada e saída.

As regras da configuração de switches selecionados têm precedência sobre a configuração global de espelhamento de porta. Além disso, se o espelhamento de porta global estiver configurado, ele será exibido como a regra padrão na seção de configuração de Switches selecionados e será exibido apenas como leitura. Você pode editá-lo a nível global.

Selecione switches — Guia de configuração CLI

Insira comandos CLI adicionais, conforme necessário.

Rótulos de políticas de switch (Beta)

Nesta seção, adicione tags GBP para identificar grupos de usuários e recursos para referência em suas políticas de switch.

Nota:

Apenas os seguintes dispositivos que executam o Junos OS Release 22.4R1 e posteriores oferecem suporte a GBPs: EX4400, EX4100, EX4650, QFX5120-32C e QFX5120-48Y.

O exemplo a seguir mostra as tags que um usuário criou, juntamente com as políticas que as fazem referência.

Switch Policy Labels (Beta)
Nota:

Este recurso está atualmente disponível apenas para participantes beta.

Para começar, clique em Adicionar tag GBP. Em seguida, insira um nome, selecione o tipo e digite o valor. Em seguida, clique em Adicionar no canto inferior direito da tela.

Ao ativar uma tag, você verá um alerta na tela sobre o impacto em switches autônomos e chassis virtuais. Leia as informações na tela antes de prosseguir.

Nota:

Se você configurar a autenticação 802.1X com modo multi-suplicante, a tagagem GBP é baseada em MAC. Se você configurar a autenticação 802.1X com modo único suplicante, a tagagem GBP é baseada em porta.

Tabela 8: Opções de configuração de rótulo de política de switch (TAG GBP)
Notas de opção

Dinâmico ou estático

Por padrão, a Juniper Mist escolhe a opção Dinâmica. Se você selecionar a Static, especifique uma fonte de tag GBP. Pode ser um endereço MAC, rede ou uma sub-rede IP.

GBP Tag

Digite valor ou tag de origem GBP para pacotes originados por host (intervalo: 1 a 65535).

Política de switch (Beta)

Configure políticas baseadas em grupo (GBPs) que você pode usar em implantações IP Clos de malha de campus. Ao criar uma política, você usa rótulos de nível de organização e de site e suas etiquetas GBP (da seção Rótulos de políticas do switch) para identificar usuários que podem ou não acessar recursos especificados.

Nota:

Apenas os seguintes dispositivos que executam o Junos OS Release 22.4R1 e posteriores oferecem suporte a GBPs: EX4400, EX4100, EX4650, QFX5120-32C e QFX5120-48Y.

A imagem a seguir mostra uma política de amostra, usando tags que foram definidas na seção Rótulos de políticas do switch.

Switch Policy (Beta)

Para começar, clique em Adicionar política do switch. Em seguida, insira as configurações, conforme descrito na tabela a seguir.

Tabela 9: Opções de configuração de políticas de switch
Notas de opção

USUÁRIO/GRUPO

Clique + e adicione os usuários ou grupos que precisam de acesso aos recursos. Você pode usar as tags GBT aqui, se já as tiver definido.

RECURSO

Clique + e adicione os recursos que você precisa para mapear para os usuários ou grupos selecionados. Você pode usar as tags GBT aqui também, se você já as definiu.

Por padrão, os usuários têm acesso aos recursos adicionados. Se você quiser negar o acesso do usuário a determinados recursos, clique no rótulo de recursos que você adicionou e defina o acesso para negar.

Changing Access to Deny