Pourquoi utiliser la configuration dynamique des ports ?

Traditionnellement, les ports sont configurés sur un commutateur basé sur le périphérique connecté avec quelques paramètres tels que VLAN, Trunk/Access, etc. sur chaque port.

Les profils de port fournissent une couche d’abstraction pour créer ces profils avec les paramètres ci-dessus une fois, puis les réutilisent sur les ports au fur et à mesure qu’ils apparaissent ou les désignent à l’avance.

Une fois les profils de port en place, l’administrateur doit toujours affecter manuellement ces profils aux ports de l’une des deux manières.

1. Ayez un ensemble désigné de ports pour les appareils dédiés (par exemple, les ports AP définis de 1 à 10, les ports de caméra définis de 11 à 20, etc.)

OU

2. Attribuez des ports au fur et à mesure que les ports apparaissent, ce qui est laborieux et nécessite une équipe dédiée pour cet effort.

La configuration de port dynamique (DPC) offre la possibilité d’attribuer automatiquement des profils de port aux périphériques clients sans avoir besoin de l’un ou l’autre des éléments ci-dessus. Avec le DPC, nous pouvons permettre à l’appareil client de s’identifier auprès du système via les propriétés de l’appareil et de provisionner automatiquement la configuration de port attribuée. Lorsque la configuration de port dynamique est activée, un utilisateur peut brancher n’importe quel appareil tel que des points d’accès, des caméras de sécurité et des appareils VoIP aux ports du commutateur, et les profils de port appropriés seront configurés pour permettre l’accès au réseau sans intervention manuelle.

Liste des règles de configuration de port dynamique prises en charge en fonction des clients pouvant être identifiés

• ID de châssis LLDP
• Nom du système LLDP
• Radius nom d’utilisateur
• Radius Filter-ID
• Adresse mac Ethernet

La configuration des profils de ports dynamiques implique deux étapes :

1. Configurer les règles d’identification des appareils

• Choisissez parmi l’une des options énumérées ci-dessus

2. Attribuez les ports sur lesquels vous souhaitez activer

• Il peut s’agir de tous les ports ou de quelques-uns pour lesquels vous souhaitez activer DPC

Meilleure pratique pour configurer une configuration de port dynamique

En gardant à l’esprit la sécurité du réseau, nous vous recommandons de créer un profil réseau restreint, qui sera attribué à des périphériques inconnus lorsqu’ils seront connectés aux ports de commutateur activés avec DPC.

a) L’avantage de cette méthodologie est que les appareils qui ne répondent pas aux critères DPC définis par l’administrateur ne se verront attribuer qu’un profil restreint (VLAN non routable, VLAN invité, etc.).

b) Les appareils connectés qui répondent à un critère DPC recevront le profil de port correspondant.

c) Assurez-vous que le VLAN par défaut/restreint pour la configuration DPC n’a pas de serveur DHCP actif en cours d’exécution (pour éviter tout problème d’adresse IP obsolète sur certains appareils hérités)

Guide de configuration détaillé

1. Configurer un VLAN restreint

2. Créer

a) Profil de port restreint – qui est par défaut est sur le port

b) Profil sans fil – qui sera attribué lorsque le client correspond aux critères DPC

3. Déterminez la propriété de l’appareil que vous utiliseriez pour identifier automatiquement le client

a) Dans cet exemple, nous utilisons les informations LLDP :

mist@standalone> show lldp neighbors interface ge-0/0/4
LLDP Neighbor Information:
Local Information:
Index: 40 Time to live: 120 Time mark: Tue Dec 29 20:45:24 2020 Age: 28 secs
Local Interface: ge-0/0/4
Parent Interface: –
Local Port ID: 518
Ageout Count: 0

Neighbour Information:
Chassis type: Mac address
Chassis ID : 5c:5b:35:50:0b:db
Port type: Mac address
Port ID : 5c:5b:35:50:0b:db
Port Description: ETH0
System name : 5c5b35500bdb

System Description: Mist Systems 802.11ax Access Point.

b) Sur la base des informations LLDP de l’appareil, nous pouvons définir la règle de configuration de port dynamique à l’aide de l’ID de châssis LLDP ou du nom du système à configurer avec le profil de port requis. Dans l’exemple ci-dessous, nous utilisons l’ID de châssis commençant par « 5c:5b:35 », qui correspondraient à n’importe quel point d’accès Mist connecté au commutateur, qui serait alors automatiquement provisionné avec le profil « sans fil ».

4. Enregistrez la configuration et la configuration de port dynamique se déclenchera pour le prochain événement sur le port du commutateur.

Liste de contrôle de configuration de port dynamique –

Nous pouvons configurer et vérifier la configuration du port dynamique à l’aide de l’API ci-dessous

GET – https://api.mistsys.com/api/v1/sites/c3b8f61c-c5a2-495d-9a5c-9b129624e9bf/devices/00000000-0000-0000-1000-<device mac addr>

"dynamic": {
            "mode": "dynamic",
            "rules": [
                {
                    "src": "lldp_chassis_id",
                    "usage": "wireless",
                    "equals": "5c:5b:35",
                    "expression": "[0:8]"
                }
            ]
        }

"port_config": {
       "ge-0/0/2-3": {
           "usage": "restricted_access",
           "dynamic_usage": "dynamic"
       }

5. Vérification

Le profil de port dynamique configuré est également mis à jour sur la page Switch Insights sous Switch events & front panel

REMARQUE:

• Il faut environ quelques minutes pour que les profils soient appliqués après la reconnaissance du client, et quelques minutes après cela pour mettre à jour l’interface utilisateur.
• En cas de redémarrage du commutateur ou d’un événement de liaison haut/bas de masse de tous les ports sur un commutateur particulier, il faudra environ 20 minutes pour que tous les ports soient affectés au bon profil (cela suppose que DPC est activé sur tous les ports) .
• Il est recommandé d’éviter de fournir une adresse IP sur le profil de port par défaut avant le profil appliqué par le profil de port dynamique (une fois que les clients reçoivent une adresse IP, ils ne rechercheront pas une autre adresse IP après l’application du nouveau profil).