Opções de configuração de switches
Use essas informações para configurar seus switches.
Visão geral
Você pode inserir as configurações do switch no nível da organização ou do site.
-
Para configurar configurações de toda a organização, selecione Modelos de switches da Organização > do menu esquerdo do portal Juniper Mist. Em seguida, crie seu modelo e aplique-o a um ou mais sites ou grupos de sites.
Para configurar as configurações do switch no nível do site, selecione a Configuração do switch > do site no menu esquerdo do portal Juniper Mist. Em seguida, selecione o site que deseja configurar e insira as configurações do seu switch.
Se um modelo de switch de nível de organização foi atribuído ao site, a configuração do site aparecerá no modo somente de visualização. Você pode manter as configurações do modelo ou fazer ajustes. Em cada seção da página, você pode selecionar o Modelo de configuração de substituição e, em seguida, inserir suas alterações. Essas mudanças se aplicarão apenas a este site, não ao modelo.
O exemplo a seguir mostra como substituir um modelo e definir uma senha raiz específica do site.
Os campos que oferecem suporte à configuração por meio da variável local têm um texto de ajuda mostrando o formato de configuração variável do site por baixo deles. Para configurar variáveis de site, siga as etapas fornecidas na configuração de variáveis de site. Para obter mais informações sobre o processo de configuração do switch e os modelos de switches, veja Configurar switches.
Nos níveis de organização e local, as configurações do switch são agrupadas em seções conforme descrito abaixo.
Todos os switches
Configure essas opções na seção Todos os switches da página de modelos de switches da Organização > e na página de configuração de switches > do site.
Descrição do campo | |
---|---|
RAIO | Escolha um servidor de autenticação para validar nomes de usuário e senhas, certificados ou outros fatores de autenticação fornecidos pelos usuários.
Nota:
Se você quiser configurar a autenticação RADIUS para acesso ao gerenciamento de switches (para o login CLI do switch), você precisa incluir os seguintes comandos CLI na seção de comandos CLI adicionais no modelo: set system authentication-order radius set system radius-server radius-server-IP port 1812 set system radius-server radius-server-IP secret secret-code set system radius-server radius-server-IP source-address radius-Source-IP set system login user remote class class Para a autenticação local do RADIUS ou TACACS+ ao Switch, é necessário criar uma conta de usuário remota ou uma classe de login diferente. Para usar diferentes classes de login para diferentes usuários autenticados por RADIUS, crie vários modelos de usuário na configuração do Junos OS usando os seguintes comandos CLI na seção de comandos CLI adicionais: set system login user RO class read-only set system login user OP class operator set system login user SU class super-user set system login user remote full-name "default remote access user template" set system login user remote class read-only |
TACACS+ | Habilite o TACACS+ para autenticação centralizada de usuários em dispositivos de rede. Para usar a autenticação do TACACS+ no dispositivo, você deve configurar informações sobre um ou mais servidores TACACS+ na rede. Você também pode configurar a contabilidade TACACS+ no dispositivo para coletar dados estatísticos sobre os usuários fazendo login em ou fora de uma LAN e enviar os dados para um servidor de contabilidade TACACS+. Além disso, você pode especificar uma função de usuário para usuários autenticados do TACACS+ dentro da configuração do switch. As seguintes funções de usuário estão disponíveis: Nenhuma, administradora, leitura, helpdesk. Quando os usuários autenticados do TACACs+ não têm uma conta de usuário configurada no dispositivo local, o Junos atribui a eles uma conta de usuário nomeada como "remota" por padrão. A faixa de portas suportada para TACACS+ e servidores de contabilidade é de 1 a 65535.
Nota:
Para que o TACACS+ seja autenticado no Switch, um usuário de login semelhante conforme definido na seção RADIUS acima precisa ser criado. |
NTP | Especifique o endereço IP ou o nome de host do servidor de protocolo de tempo de rede (NTP). O NTP é usado para sincronizar os clocks do switch e outros dispositivos de hardware na Internet. |
CONFIGURAÇÕES DE DNS | Configure as configurações do servidor de nome de domínio (DNS). Você pode configurar até três endereços IP DNS e sufixos em formato separado de vírgula. |
SNMP | Configure o Simple Network Management Protocol (SNMP) no switch para oferecer suporte ao gerenciamento e monitoramento da rede. Você pode configurar o SNMPv2 ou o SNMPv3. Aqui estão as opções de SNMP que você pode configurar:
Para obter mais informações, veja Configurar SNMP em switches. |
ROTA ESTÁTICA | Configure rotas estáticas. O switch usa rotas estáticas quando:
A Mist oferece suporte a endereços IPv4 e IPv6 para rotas estáticas. O suporte IPv6 está disponível para endereços de destino e próximo salto. Tipos de rotas estáticas suportadas:
Depois de especificar os detalhes, clique na marca de verificação (✓) no canto superior direito da janela adicionar rotas estáticas para adicionar a configuração ao modelo. |
CONFIGURAÇÃO DA CLI | Para configurar quaisquer configurações adicionais que não estejam disponíveis na GUI do modelo, você pode usar comandos de CLI definidos . Por exemplo, você pode configurar uma mensagem de login personalizada para exibir um aviso aos usuários, aconselhando-os a não fazer nenhuma alteração de CLI diretamente no switch. Aqui está um exemplo de como você pode fazê-lo: set system login message \n\n Warning! This switch is managed by Mist. Do not make any CLI changes. Para excluir um comando CLI que já foi adicionado, use o delete system login message \n\n Warning! This switch is managed by Mist. Do not make any CLI changes.
Nota:
Garanta que você insira o comando CLI completo para que a configuração seja bem sucedida. |
OSPF | A partir deste azulejo, você pode:
|
ESPIONAGEM DHCP | Habilite a opção de espionagem DHCP para monitorar mensagens DHCP de dispositivos não confiáveis conectados ao switch. A espionagem do DHCP cria um banco de dados para acompanhar essas mensagens. Isso ajuda a evitar a aceitação de pacotes DHCPOFFER em portas não confiáveis, assumindo que eles se originam de servidores DHCP não autorizados. A configuração de DHCP tem as seguintes opções:
Nota:
Um dispositivo com um endereço IP estático pode não ter uma ligação MAC-IP correspondente no banco de dados de espionagem DHCP, se você tiver conectado o dispositivo a uma porta não confiável no switch. Para verificar o banco de dados de espionagem DHCP em seu switch e visualizar as ligações, use o comando
Nota:
Você precisa habilitar esse recurso se quiser ver os problemas de DHCP para o switch sob a métrica Bem-sucedida do Connect SLE. |
SYSLOG | Configure as configurações do SYSLOG para configurar como as mensagens de log do sistema são tratadas. Você pode configurar configurações para enviar mensagens de log do sistema para arquivos, destinos remotos, terminais de usuário ou para o console do sistema. Aqui estão as opções de configuração disponíveis para configurações do SYSLOG:
|
ESPELHAMENTO DE PORTA |
Configure o espelhamento de porta. Espelhamento de porta é a capacidade de um roteador enviar uma cópia de um pacote para um endereço de host externo ou um analisador de pacotes para análise. Na configuração de espelhamento de porta, você pode especificar o seguinte:
|
Política de roteamento |
Configure políticas de roteamento para toda a organização (Organização > modelos de switches) ou para um site (Configuração do switch > do site). Essas políticas de roteamento só serão empurradas para a configuração do switch se estiverem vinculadas ao Protocolo de roteamento BGP. As políticas de roteamento que já estão definidas na guia BGP de um switch agora serão exibidas na guia Política de roteamento. As políticas de roteamento estão vinculadas a protocolos como BGP ou OSPF. Uma estrutura de política de roteamento é composta por regras padrão para cada protocolo de roteamento. Essas regras determinam quais rotas o protocolo coloca na tabela de roteamento e anuncia a partir da tabela de roteamento. A configuração de uma política de roteamento envolve a definição de termos, que consistem em condições e ações de correspondência a serem aplicadas a rotas correspondentes. Para configurar uma política de roteamento:
|
Gestão
Configure essas opções na seção de gerenciamento da página de modelos de switches da Organização > e na página de configuração de switches > do site.
Notas | de opção |
---|---|
Timer de reversão de configuração |
Esse recurso ajuda a restaurar a conectividade entre um switch e a Mist Cloud se uma mudança de configuração fizer com que o switch perca a conexão. Ele reverte automaticamente as mudanças feitas por um usuário e se reconecta à nuvem dentro de uma duração de tempo especificada. Por padrão, essa duração de tempo é definida para 10 minutos para os switches da Série EX. Você pode especificar uma duração de tempo diferente. |
Senha-raiz |
Uma senha de texto simples para o usuário de nível raiz (cujo nome de usuário é raiz). |
Proteção do mecanismo de roteamento |
Habilite esse recurso para garantir que o Mecanismo de Roteamento aceite o tráfego apenas de sistemas confiáveis. Essa configuração cria um filtro de firewall sem estado que descarta todo o tráfego destinado ao Mecanismo de Roteamento, exceto pacotes de fontes confiáveis especificadas. Proteger o mecanismo de roteamento envolve filtrar o tráfego de entrada na interface lo0 do roteador. Habilitar a proteção do mecanismo de roteamento nos switches da Juniper é sugerido como a melhor prática. Quando a proteção do mecanismo de roteamento é habilitada, a Mist por padrão garante que os seguintes serviços (se configurados) podem se comunicar com o switch: BGP, BFD, NTP, DNS, SNMP, TACACS e RADIUS. Se você precisar de serviços adicionais que precisem de acesso ao switch, você pode usar a seção Redes confiáveis ou serviços. Se você quiser configurar o acesso ao switch por meio do ssh, selecione a opção ssh nos Serviços confiáveis. Se você precisar permitir que o switch responda aos pings, selecione a opção de icmp nos Serviços confiáveis. Se você tiver outros segmentos de que gostaria de alcançar o switch, você pode adicioná-los em redes confiáveis ou IP/porta/protocolo confiáveis. Para obter mais informações, consulte Exemplo: Configuração de um filtro de firewall sem estado para aceitar tráfego de fontes confiáveis e exemplo: configuração de um filtro de firewall sem estado para proteger contra inundações de TCP e ICMP. |
Usuários locais |
Crie uma conta de usuário local no switch para fins de gerenciamento de dispositivos. Para criar uma conta de usuário, clique em Adicionar usuário e, em seguida, definir um nome de usuário, aula de login (Operador, somente leitura, Super usuário ou não autorizado) e uma senha. |
Tempo limite ocioso |
O número máximo de minutos que uma sessão remota de shell pode ficar ocioso. Quando esse limite é alcançado, os usuários ficam logados. (Faixa válida: 1-60). |
Login Banner |
Digite um texto que deseja que os usuários vejam quando fazem login no switch. Exemplo: "Aviso! Este switch é gerenciado pela Juniper Mist. Não faça nenhuma alteração de CLI." Você pode inserir até 2048 caracteres. |
Elementos compartilhados
Configure essas opções na seção de elementos compartilhados da página de modelos de switches da Organização > e na página de configuração de switches do site >.
Notas | de opção |
---|---|
Redes |
Adicione ou atualize as VLANs, que você pode então usar em seus perfis de porta. Para cada VLAN, digite o nome, ID VLAN e sub-rede. Você pode especificar o endereço IPv4 ou IPv6 para a sub-rede. Veja as informações na tela para obter mais dicas. Neste azulejo, você tem a opção de ocultar as redes que não são usadas em perfis de porta definidos pelo usuário ou sub-interfaces L3. Esse recurso ajuda você a identificar rapidamente as redes que estão em uso e aquelas que não estão em uso. |
Perfis de portas |
Adicione ou atualize os perfis das portas. Para obter ajuda com as opções de perfil, veja as dicas na tela e elementos compartilhados — Perfis de porta. Neste azulejo, você tem a opção de ocultar os perfis de porta que não são usados em nenhuma configuração de porta estática ou dinâmica definida pelos usuários. Esse recurso ajuda você a identificar rapidamente os perfis de porta que estão em uso e aqueles que não estão em uso. |
Configuração dinâmica de porta |
O perfil dinâmico de porta usa um conjunto de propriedades de dispositivo do dispositivo cliente conectado para associar automaticamente as configurações de porta e rede pré-configuradas à interface. Você pode configurar um perfil dinâmico de porta com base nos seguintes parâmetros:
Neste exemplo, a regra aplica um perfil de porta a todos os dispositivos com o nome do sistema LLDP especificado. Para que suas configurações dinâmicas de porta entrem em vigor, você também precisa especificar as portas que deseja funcionar como portas dinâmicas. Você pode fazer isso selecionando a caixa de verificação ativar configuração dinâmica na guia Configuração de porta na seção de switches selecionados do modelo do switch ou na seção de configuração de portas da página de detalhes do switch. Leva alguns minutos para que um perfil de porta seja aplicado em uma porta após o reconhecimento de um cliente, e alguns minutos depois disso para que o status de atribuição do perfil da porta seja exibido no portal Mist. No caso de reinicializações de switches ou um evento em massa para cima ou para baixo que afetem todas as portas em um switch, leva aproximadamente 20 minutos para que todas as portas sejam atribuídas ao perfil certo (assumindo que a configuração dinâmica da porta esteja habilitada em todas as portas). A configuração dinâmica de portas em um switch destina-se a estabelecer a conexão com dispositivos IoT, APs e endpoints de porta do usuário. Você não deve usá-lo para criar conexão entre switches, switches e roteadores, e switches e firewalls. Além disso, você não deve habilitar a configuração dinâmica de portas na porta de uplink. |
VRF |
Com o VRF, você pode dividir um switch da Série EX em várias instâncias de roteamento virtual, isolando efetivamente o tráfego dentro da rede. Você pode definir um nome para VRF, especificar as redes associadas a ele e incluir quaisquer rotas adicionais necessárias. Você pode especificar endereços IPv4 ou IPv6 para a rota adicional.
Nota:
Você não pode atribuir a rede padrão (VLAN ID = 1) ao VRF. |
Elementos compartilhados — perfis de porta
Na seção elementos compartilhados , você pode configurar perfis de porta. Essas opções aparecem quando você clica em Adicionar perfil ou quando você clica em um perfil para editar.
-
Para obter informações gerais sobre perfis, veja a visão geral dos perfis de porta.
-
Se você estiver trabalhando no nível do site, você pode ver asterisco (*) ao lado dos nomes de perfil da porta. Esses perfis de porta foram criados no modelo do switch. Se você clicar neles, verá as configurações no modo somente de visualização. Para fazer alterações específicas do site (afetando apenas este site e não o modelo do switch em si), selecione o perfil definido por modelo de substituição e, em seguida, edite as configurações.
Notas | de opção |
---|---|
Nome, porta habilitada e descrição | Configurações básicas para identificar e habilitar a porta. |
Modo |
|
Use autenticação dot1x | Selecione esta opção para habilitar a autenticação IEEE 802.1X para controle de acesso à rede baseado em porta. A autenticação 802.1X é suportada em interfaces que são membros de VLANs privadas (PVLANs). As opções a seguir estão disponíveis se você habilitar a autenticação dot1x em uma porta:
Você também precisa fazer o seguinte para que a autenticação dot1x funcione:
|
Velocidade |
Mantenha a configuração padrão, Auto ou selecione uma velocidade |
Duplex |
Mantenha a configuração padrão, auto ou selecione metade ou inteira. |
Limite mac | Configure o número máximo de endereços MAC que podem ser aprendidos dinamicamente por uma interface. Quando a interface excede o limite MAC configurado, ela derruba os quadros. Um limite MAC também resulta em uma entrada de log. O valor padrão: 0 Alcance suportado: 0 a 16383 |
Poe | Habilite a porta para oferecer suporte ao poder sobre ethernet (PoE). |
Borda RSTP | Configure a porta como uma porta de borda de protocolo de spanning tree rápida (RSTP), se quiser habilitar a proteção da Unidade de Dados de Protocolo de Ponte (BPDU) em uma porta. O RSTP é habilitado em portas às quais os clientes que não participam do RSTP estão conectados. Essa configuração garante que a porta seja tratada como uma porta de borda e protege contra a recepção de BPDUs. Se você conectar um dispositivo sem borda em uma porta configurada com o RSTP Edge, a porta será desativada. Além disso, a página Switch Insights gera um evento bloqueado por BPDU de porta. O painel frontal sobre os detalhes do switch também exibirá um erro de BPDU para esta porta. Você pode limpar a porta do erro de BPDU selecionando a porta no Painel frontal e, em seguida, clicando em Erros claros de BPDU. Você não deve habilitar o RSTP Edge na porta Uplink. Você também pode configurar o RSTP Edge no nível do switch, a partir da seção de perfil de porta na página de detalhes do switch. |
Ponto a ponto do RSTP |
Essa configuração muda o modo de interface para ponto a ponto. Os links ponto a ponto são links dedicados entre dois nós de rede ou switches que conectam uma porta a outra. |
RSTP sem porta raiz |
Essa configuração impede que a interface se torne uma porta raiz. |
QoS | Habilite a qualidade de serviço (QoS) para que a porta priorize o tráfego sensível à latência, como voz, sobre outros tráfegos em uma porta.
Nota:
Para obter resultados ideais, é importante habilitar a qualidade de serviço (QoS) tanto para o tráfego downstream (próximo) quanto para upstream (de saída). Isso garante que a rede possa priorizar e gerenciar o tráfego de forma eficaz em ambas as direções, levando a um melhor desempenho e melhor qualidade geral de serviço. Você tem a opção de substituir a configuração de QoS na página de configurações de WLAN (Site > WLANs > nome WLAN). Para substituir a configuração de QoS, selecione a caixa de verificação QoS override e escolha uma aula de acesso sem fio. O tráfego downstream (AP > cliente) fica marcado com o valor de classe de acesso de substituição especificado. A configuração de substituição não oferece suporte ao tráfego upstream (> AP do cliente). Veja também: Configuração de QoS. |
Controle de tempestade | Permita que o controle de tempestade monitore os níveis de tráfego e solucione automaticamente pacotes de transmissão, multicast e unicast desconhecidos quando o tráfego excede um nível de tráfego (especificado em porcentagem). Este nível de tráfego especificado é conhecido como o nível de controle de tempestade. Esse recurso evita ativamente a proliferação de pacotes e mantém o desempenho da LAN. Ao habilitar o Controle de Tempestade, você também pode optar por excluir pacotes de broadcast, multicast e unicast desconhecidos do monitoramento. Para obter mais informações, veja Entendendo o Controle de Tempestades. |
Aprendizado MAC persistente (pegajoso) | Habilite o MAC persistente (Sticky) para reter endereços MAC para estações de trabalho e servidores confiáveis aprendidos pela interface, mesmo após a reinicialização de um dispositivo. Você pode configurar o Sticky MAC para clientes com fio estático. O Sticky MAC não se destina a ser usado em interfaces AP da Juniper Mist, nem é compatível com portas de tronco ou aquelas configuradas com autenticação 802.1X. Usado em conjunto com o MAC Limits (explicado acima), o Sticky MAC protege contra ataques de negação de serviço (DoS) de Camada 2, ataques de transbordamento na tabela de comutação Ethernet e ataques dhCP, ao mesmo tempo em que permite que a interface aprenda endereços MAC dinamicamente. No portal Mist, a página Insights relata esses eventos como MAC Limit Exceeded . Você configura os limites sticky MAC e MAC como parte do perfil de porta para o switch. O procedimento geral é demonstrado neste vídeo: Port profiles provide a convenient way to manually or automatically provision EX switch interfaces. Going into the EX4300, we'll first create VLANs. We'll make a camera network with VLAN ID 30 and an IoT network with VLAN ID 29. You can create as many networks as needed. You can create the profiles, for example, a camera, and map it to the camera network that we just created. Customize the settings as desired, such as PoE and STP. We'll repeat this process to create profiles for a corporate device enabling 802.1x authentication, an IoT device configured with PoE, and an access point configured as a trunk port. It's very simple to modify profiles to meet your specific requirements. Then we go into the port configuration section to associate the configurations with port profiles. Here we map ports 1 through 5 to be with an AP profile, ports 6 through 10 with a corporate device profile, ports 11 through 15 with IoT profiles, and ports 16 to 20 with the camera profile. This is how to create port profiles. We can also create port aggregation uplinks to be associated with the appropriate profiles. When you save all of your changes, this pushes the configuration to the particular switch. This covers how EX switches are manually provisioned with port profiles from the Juniper MIST Cloud. Você deve habilitar explicitamente a opção de aprendizado MAC persistente (Sticky), localizada na parte inferior do bloco de configuração do Perfil de Porta, para incluir o Sticky MAC como parte do perfil de porta que você associa com a interface. Para limites MAC, o valor padrão é 0 (ilimitado, ou seja, desativado), mas você pode habilitá-lo estabelecendo um valor de até 16383 endereços MAC exclusivos permitidos. Para ver no portal da Mist qual valor foi definido para o MAC Limit ou o MAC Count, selecione um switch na página dos switches e passe o mouse sobre uma porta de switch. Você pode ver qual (porta) perfil é aplicado à interface e, por extensão, conhecer seu status Sticky MAC.
Figura 2: Detalhes da porta mostrando MAC
pegajoso
O limite mac configurado e o número de MACs aprendidos aparecerão após alguns minutos, à medida que o aprendizado dinâmico na interface progride. No painel da Mist, apenas a contagem máxima de endereços MAC é mostrada. No entanto, você pode ver todos os endereços MAC que uma determinada interface aprendeu abrindo uma Shell remota para o switch e executando os seguintes comandos Junos CLI:
A contagem de MAC é um valor persistente que permanece até que o endereço MAC seja liberado (ou até que ele seja desativado no Perfil de Porta e, em seguida, essa configuração é empurrada para o switch). Para limpar os endereços MAC em uma determinada interface do painel da Mist, você precisa estar logado como Administrador de rede ou Super Usuário. Em seguida, basta selecionar a porta que deseja no painel frontal do switch (conforme mostrado na Figura 1) e clicar no botão Clear MAC [Dinâmico/Persistente] que aparece. Na página do Switch Insights, o evento aparece como um MAC Limit Reset evento. Para obter mais informações sobre o painel frontal, veja detalhes do switch. |
Selecione a configuração dos switches
Crie regras para aplicar configurações de configuração com base no nome, função ou modelo do switch.
Clique em uma regra para editá-la ou clique em Adicionar regra. Em seguida, preencha cada página. Ao inserir as configurações, clique na marca de verificação no canto superior direito para salvar suas mudanças. Você também pode criar uma entrada de regra do switch clonando uma regra existente. Para fazer isso, você só precisa clicar no botão de clone e nomear a nova regra.
As várias guias são descritas em tabelas separadas abaixo.
Notas | de opção |
---|---|
Nome |
Digite um nome para identificar essa regra. |
Aplica-se ao nome do switch |
Habilite essa opção se quiser que essa regra se aplique a todos os switches que combinem com o nome especificado. Em seguida, insira o texto e o número de caracteres de compensação. Por exemplo, se você entrar no ABC com uma compensação de 0, a regra se aplica a switches cujos nomes começam com o ABC. Se a compensação for 5, a regra ignora os primeiros 5 caracteres do nome do switch. |
Aplica-se à função de switch |
Habilite essa opção se quiser que essa regra se aplique a todos os switches que tenham a mesma função. Insira a função usando letras minúsculas, números, sublinhados (_) ou dashes (-). |
Aplica-se ao modelo de switch |
Habilite essa opção se quiser que essa regra se aplique a todos os switches que tenham o mesmo modelo. Em seguida, selecione o modelo. |
Notas | de opção |
---|---|
Lista de configuração | Clique em Adicionar configuração de porta ou selecionar uma configuração de porta para editar. |
IDs de porta e perfil de configuração |
Insira a(s) porta(s) para configurar e o perfil de configuração a ser aplicado a eles. |
Habilite a configuração dinâmica |
Quando você habilita esse recurso, um perfil de porta é atribuído com base em atributos definidos do dispositivo conectado. Se o dispositivo corresponder aos atributos, a Mist atribui um perfil dinâmico correspondente ao dispositivo. No entanto, se o dispositivo não corresponder aos atributos, ele será colocado em uma VLAN especificada. No exemplo a seguir, a porta é habilitada com alocação dinâmica de portas e é atribuída com uma VLAN restrita. Neste caso, se o dispositivo conectado não corresponder aos atributos dinâmicos de perfil, ele será colocado em uma VLAN restrita, como um VLAN não roteável ou um VLAN convidado. As interfaces habilitadas com a agregação de portas não oferecem suporte à configuração dinâmica de portas. |
Alertas de porta para cima/para baixo |
Quando você habilita esse recurso, a Juniper Mist monitora transições entre estados para cima e para baixo nessas portas. Se você habilitar esse recurso, também habilite a porta crítica para cima/para baixo no monitor > alertas > a página de configuração de alertas. |
Agregação de portas |
Quando você habilita esse recurso, as interfaces Ethernet são agrupadas para formar uma interface de camada de link única. Essa interface também é conhecida como um grupo de agregação de enlaces (LAG) ou pacote. O número de interfaces que você pode agrupar em um LAG e o número total de LAGs que um switch suporta variam dependendo do modelo do switch. Você pode usar o LAG com ou sem o LACP habilitado. Se o dispositivo do outro lado não oferece suporte ao LACP, você pode desabilitar o LACP aqui. Você também pode configurar o estado de força-up LACP para o switch. Essa configuração define o estado da interface como quando o peer tem recursos LACP limitados. Você também pode configurar um intervalo de transmissão de pacotes LACP. Se você configurar a opção LACP Periodic Slow em uma interface AE, os pacotes LACP serão transmitidos a cada 30 segundos. Por padrão, o intervalo é definido para acelerar em que os pacotes são transmitidos a cada segundo. |
Permitir que o operador de porta de switch modifique o perfil da porta |
Quando você habilita esse recurso, os usuários com a função de administrador do Operador de Porta de Switch podem visualizar e gerenciar essa configuração. |
Notas | de opção |
---|---|
Lista de redes (VLAN) |
Selecione uma rede para tráfego de gerenciamento em banda. Ou clique em Adicionar rede e concluir os novos campos de rede conforme descrito nas linhas restantes desta tabela. |
Nome |
Digite um nome para identificar essa rede. |
VLAN ID |
Insira o ID de VLAN de 1-4094 ou insira uma variável de site para inserir dinamicamente em um ID. |
Sub-rede |
Insira a variável de sub-rede ou local. |
- Selecione switches — Configuração de IP (OOB)
- Selecione switches — Guia de espelhamento de portas
- Selecione switches — Guia de configuração CLI
Selecione switches — Configuração de IP (OOB)
Habilite ou desabile o VRF de gerenciamento dedicado (fora da banda). Para todos os dispositivos autônomos ou Virtual Chassis que executam a versão Junos 21.4 ou posteriores, esse recurso limita a interface de gerenciamento a instâncias de roteamento e encaminhamento virtual (VRF) não padrão. O tráfego de gerenciamento não precisa mais compartilhar uma tabela de roteamento com outro tráfego de controle ou tráfego de protocolo.
Selecione switches — Guia de espelhamento de portas
Essa guia exibe a lista de configurações de espelhamento de portas já adicionadas. Clique em uma entrada para editá-la. Ou clique em Adicionar espelho de porta para habilitar o espelhamento de portas. Esse recurso permite que você aplique espelhamento de porta dinamicamente em switches com base nos parâmetros como a função do switch, nome do switch e modelo de switch conforme especificado nas regras. Esse recurso normalmente é usado para monitoramento e resolução de problemas. Quando o espelhamento de porta é habilitado, o switch envia uma cópia do pacote de rede das portas espelhadas para a porta do monitor. As opções de configuração incluem:
-
Entrada — A origem (uma interface ou rede) do tráfego a ser monitorado. Junto com a entrada, você pode especificar se deseja que a Mist monitore o tráfego de entrada ou o tráfego de saída para uma interface. Se você quiser que o tráfego de entrada e saída seja monitorado, adicione duas entradas de entrada para a mesma interface — uma com a bandeira de entrada e outra com a bandeira de saída.
-
Saída — a interface de destino à qual você deseja espelhar o tráfego. Você não pode especificar a mesma interface ou rede nos campos de entrada e saída.
As regras da configuração de switches selecionados têm precedência sobre a configuração global de espelhamento de porta. Além disso, se o espelhamento de porta global estiver configurado, ele será exibido como a regra padrão na seção de configuração de Switches selecionados e será exibido apenas como leitura. Você pode editá-lo a nível global.
Selecione switches — Guia de configuração CLI
Insira comandos CLI adicionais, conforme necessário.
Rótulos de políticas de switch (Beta)
Nesta seção, adicione tags GBP para identificar grupos de usuários e recursos para referência em suas políticas de switch.
Apenas os seguintes dispositivos que executam o Junos OS Release 22.4R1 e posteriores oferecem suporte a GBPs: EX4400, EX4100, EX4650, QFX5120-32C e QFX5120-48Y.
O exemplo a seguir mostra as tags que um usuário criou, juntamente com as políticas que as fazem referência.
Este recurso está atualmente disponível apenas para participantes beta.
Para começar, clique em Adicionar tag GBP. Em seguida, insira um nome, selecione o tipo e digite o valor. Em seguida, clique em Adicionar no canto inferior direito da tela.
Ao ativar uma tag, você verá um alerta na tela sobre o impacto em switches autônomos e chassis virtuais. Leia as informações na tela antes de prosseguir.
Se você configurar a autenticação 802.1X com modo multi-suplicante, a tagagem GBP é baseada em MAC. Se você configurar a autenticação 802.1X com modo único suplicante, a tagagem GBP é baseada em porta.
Notas | de opção |
---|---|
Dinâmico ou estático |
Por padrão, a Juniper Mist escolhe a opção Dinâmica. Se você selecionar a Static, especifique uma fonte de tag GBP. Pode ser um endereço MAC, rede ou uma sub-rede IP. |
GBP Tag |
Digite valor ou tag de origem GBP para pacotes originados por host (intervalo: 1 a 65535). |
Política de switch (Beta)
Configure políticas baseadas em grupo (GBPs) que você pode usar em implantações IP Clos de malha de campus. Ao criar uma política, você usa rótulos de nível de organização e de site e suas etiquetas GBP (da seção Rótulos de políticas do switch) para identificar usuários que podem ou não acessar recursos especificados.
Apenas os seguintes dispositivos que executam o Junos OS Release 22.4R1 e posteriores oferecem suporte a GBPs: EX4400, EX4100, EX4650, QFX5120-32C e QFX5120-48Y.
A imagem a seguir mostra uma política de amostra, usando tags que foram definidas na seção Rótulos de políticas do switch.
Para começar, clique em Adicionar política do switch. Em seguida, insira as configurações, conforme descrito na tabela a seguir.
Notas | de opção |
---|---|
USUÁRIO/GRUPO |
Clique + e adicione os usuários ou grupos que precisam de acesso aos recursos. Você pode usar as tags GBT aqui, se já as tiver definido. |
RECURSO | Clique + e adicione os recursos que você precisa para mapear para os usuários ou grupos selecionados. Você pode usar as tags GBT aqui também, se você já as definiu. Por padrão, os usuários têm acesso aos recursos adicionados. Se você quiser negar o acesso do usuário a determinados recursos, clique no rótulo de recursos que você adicionou e defina o acesso para negar. |