このページの目次
ポート プロファイルの概要
ポートプロファイルは、スイッチインターフェイスを手動または自動でプロビジョニングする便利な方法を提供します。Mistは、ポートへのプロファイルの割り当て方法に基づいて、以下の2種類のポートプロファイルをサポートしています。
-
スタティックポートプロファイル:スタティックポートプロファイルは、特定のスイッチポートに手動で割り当てられるプロファイルです。これらのプロファイルは、スイッチ ポートの静的プロビジョニングに使用されます。
-
ダイナミックポートプロファイル:ダイナミックポートプロファイルは、スイッチポートが設定されたポート割り当てルールを使用して接続されているデバイスを検出し、一致するプロファイルをポートに動的に割り当てるのに役立ちます。ダイナミックポートプロファイルは、スイッチポート(カラーレスポート)の自動プロビジョニングに使用されます。
静的ポートプロファイル
静的ポートプロファイルの割り当てには、ポートプロファイルの設定と、特定のスイッチポートへの手動割り当ての2つのステップが含まれます。ポート プロファイルは、スイッチ テンプレートの [Port Profiles] タイルまたはスイッチの詳細ページから設定できます。プロファイルは、スイッチ テンプレートの スイッチの選択 セクションの ポート 設定 タブ、またはスイッチの詳細ページの ポート 設定 セクションから、ポートに手動で割り当てることができます。
Port profiles provide a convenient way to manually or automatically provision EX switch interfaces. Going into the EX4300, we'll first create VLANs. We'll make a camera network with VLAN ID 30 and an IoT network with VLAN ID 29.
You can create as many networks as needed. You can create the profiles, for example, a camera, and map it to the camera network that we just created. Customize the settings as desired, such as PoE and STP.
We'll repeat this process to create profiles for a corporate device enabling 802.1x authentication, an IoT device configured with PoE, and an access point configured as a trunk port. It's very simple to modify profiles to meet your specific requirements. Then we go into the port configuration section to associate the configurations with port profiles.
Here we map ports 1 through 5 to be with an AP profile, ports 6 through 10 with a corporate device profile, ports 11 through 15 with IoT profiles, and ports 16 to 20 with the camera profile. This is how to create port profiles. We can also create port aggregation uplinks to be associated with the appropriate profiles.
When you save all of your changes, this pushes the configuration to the particular switch. This covers how EX switches are manually provisioned with port profiles from the Juniper MIST Cloud.
ダイナミックポートプロファイル
ダイナミック ポート プロファイルを使用すると、ポート プロファイルをインターフェイスに動的に割り当てるルールを設定できます。ユーザーが動的プロファイル設定を使用してクライアントデバイスをスイッチポートに接続すると、スイッチはデバイスを識別し、適切なポートプロファイルをポートに割り当てます。ダイナミックポートプロファイルは、クライアントデバイスのデバイスプロパティを利用して、事前設定されたポートとネットワーク設定をインターフェイスに自動的に関連付けます。LLDP名やMACアドレスなどのさまざまなパラメータに基づいて、動的なポートプロファイルを設定できます。
動的なポート設定には、次の 2 つの手順が含まれます。
- ポートプロファイルを動的に割り当てるためのルールを設定します。ポートプロファイル「AP」をMist APに自動的に割り当てるルールの例を次に示します。このルールに従って、ポートが D4:20:B0 で始まるシャーシ ID を持つデバイスを識別すると、接続されたデバイスに「AP」プロファイルが割り当てられます。
詳細については、「 スイッチの設定」の「動的ポートの設定」の手順を参照してください。
動的ポートとして機能させたいポートを指定します。これを行うには、スイッチ テンプレートの スイッチの選択 セクションにある ポート 構成 タブで 動的 構成を有効にする チェックボックスを選択します。これは、スイッチの詳細ページの [ポート構成] セクションから、スイッチ レベルで実行することもできます。
ダイナミックポート設定が有効になっているスイッチポートに接続したときに、不明なデバイスに割り当てることができる制限付きネットワークプロファイルを作成することを推奨します。上記の例では、ポートは動的ポート設定で有効になっており、制限付きVLANが割り当てられています。この場合、接続されたデバイスが動的プロファイリング属性と一致しない場合、そのデバイスはルーティング不可能なVLANやゲストVLANなどの制限付きVLANに配置されます。
動的ポート設定で使用されるデフォルトまたは制限付きVLANで、アクティブなDHCPサーバーが稼働していないことを確認します。そうしないと、特定のレガシーデバイスで古いIPアドレスの問題が発生する可能性があります。
ポート プロファイルの設定方法の詳細については、 スイッチの設定 を参照してください。
Wired Assurance offers dynamic port profiles, so you can simply plug in your device and it will automatically be assigned the appropriate profile. This is also referred to as the provisioning of colorless ports. In this example, we have a Juniper AP assigned to port 5. We also created a port profile called Minimal Access that has access to a guest network on VLAN 99.
Based on what the devices identify themselves as, we can create rules to assign profiles. We'll use the LLDP chassis ID to identify the device, and if it starts with the octet D420B0, it will be given the AP12 profile. So what we just did is set the dynamic profile assignment for port 5. If the wired device does not register as an AP12, then it will get the Minimal Access profile.
If it shows as an AP12, then it gets the AP12 profile. To verify that the port was assigned the right profile, take a look at the switch events log. You can see that the AP12 profile was correctly identified and automatically applied to port 5. Dynamic port profiles are not just limited to Juniper devices alone.
Anything based on LLDP or RADIUS name also falls under the domain of dynamic port profiles. This means that the days of manually assigning profiles to ports or even a range of ports are no longer necessary.
ポート設定のベストプラクティス
スイッチポートがMist APとシームレスに動作するための推奨事項を次に示します。
-
トランク ポートで、不要な VLAN をすべてプルーニングします。必要なVLAN(WLAN設定に基づく)のみをポートに配置する必要があります。APはデフォルトで設定を保存しないため、APはネイティブVLANのIPアドレスを取得してクラウドに接続して構成できる必要があります。
-
すべての WLAN がトンネリングされている場合を除き、ポート セキュリティ(MAC アドレス制限)は推奨しません。
-
BPDUは通常、メッシュベースでない限り、APの無線接続から有線接続にブリッジされないため、BPDUガードを有効にしてください。 BPDU は、スパニング ツリー プロトコル トポロジを使用する拡張 LAN 内のスイッチ間で交換されるデータ メッセージです。 BPDU パケットには、ポート、アドレス、優先度、コストに関する情報が含まれており、データが意図した場所に確実に届くようにします。
以下に、ジュニパーEXシリーズスイッチのポート設定例を示します。この設定は、専用管理VLAN、スタッフVLAN、ゲストVLANが存在することを前提としています。
interfaces {
ge-0/0/0 {
native-vlan-id 100;
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members [ management staff guest ];
}
}
}
}
}
vlans {
guest {
vlan-id 667;
}
staff {
vlan-id 200;
}
management {
vlan-id 100;
l3-interface irb.100;
}
}
次に、スイッチの管理VLAN(10.10.100.50/24)でIPアドレスを他のネットワーク(10.10.100.1のゲートウェイ)からアクセスできるように設定する例を示します。
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members [ management staff guest ];
}
native-vlan-id 100;
}
}
}
vlan {
unit 100 {
family inet {
address 10.10.100.50/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 10.10.100.1;
}
}
vlans {
guest {
vlan-id 667;
}
staff {
vlan-id 200;
}
management {
vlan-id 100;
l3-interface vlan.100;
}
}
Juniper EXスイッチについては、LLDP設定にスイッチの管理アドレスを含めることをお勧めします。
この例では、VLAN 100を管理に使用し、LLDP上で同じことがアドバタイズされます。
次の設定例は、設定モードで示されます。
set interfaces irb unit 400 family inet address 10.33.1.110/24 set routing-options static route 0.0.0.0/0 next-hop 10.33.1.1 set routing-options static route 0.0.0.0/0 no-resolve set protocols lldp management-address 10.33.1.110 set protocols lldp port-id-subtype interface-name set protocols lldp interface all set protocols lldp-med interface all