Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

如何配置虚拟 Mist Edge 设备

本章将介绍概述以及为配置虚拟 Mist Edge 设备而执行的各种任务。

虚拟 Mist Edge 概述

您可以将瞻博网络 Mist Edge 作为 VMware 上的虚拟机管理程序运行,以使用瞻博网络 Mist Edge 设备作为虚拟机 (VM) 来实施虚拟 Mist Edge 架构。

Mist Edge 虚拟机的硬件规格

以下是实施 Mist Edge 虚拟机的最低硬件要求。

表 1:Mist Edge 虚拟机的硬件规格
硬件组件 数量或容量
中央处理器

4 个 vCPU
内存

32 GB
硬盘

100 GB(厚配置)
NIC

三个虚拟 NIC

  • 受支持的 VMware 虚拟机管理程序 - VMware ESXi,测试版本 - 6.7.0、7.0

  • CPU 支持 — 瞻博网络 Mist Edge 需要 CPU 提供 1G 的 HugePages 支持。因此,支持的最低 CPU 是 Intel Haswell 系列及以上版本。瞻博网络 Mist Edge 不适用于旧款 Intel CPU 或 AMD CPU。

  • NIC 支持 — 瞻博网络 Mist Edge 需要数据平面开发套件 (DPDK) 支持。请参阅 https://core.dpdk.org/supported/nics/intel/ ,了解是否支持您的NIC。

  • 首选 NIC - Intel x520 双端口 10GbE SFP+、Intel i350 双端口 1GbE、rNDC Qlogic 四端口 10GbE SFP+ 和 rNDC Intel i350

注意:

请联系瞻博网络 Mist 销售团队,获取 Mist Edge ISO 文件的安装链接。

虚拟网络接口

瞻博网络 Mist Edge 需要以下三个虚拟 NIC 接口:

  • 带外管理 (OOBM) 端口组 — 将瞻博网络 Mist Edge 连接到瞻博网络 Mist™ 云和 Radius 代理服务。

  • 下游(隧道 IP)端口组 — 允许从 Mist 接入点(接入点)建立 Mist 隧道(L2TPv3 或 IPSEC)。

  • 上游端口组 — 上行链路至有线网络,其中包含需要为客户端扩展的所有 VLAN。

下图展示了虚拟 NIC 接口:

Virtual Network Interfaces

防火墙端口要求

将防火墙配置为允许以下连接:

  • OOBM 接口必须在 TCP 端口 443 上对 ep-terminator.mistsys.net 或 ep-terminator.eu.mistsys.net(对于欧盟 AWS 环境)具有出站访问权限。

  • 隧道 IP 接口必须允许 UDP 端口 1701(非 IPsec 园区或分支机构用例)上的传入流量。

  • 对于采用 IPsec 加密的远程远程办公用例,隧道 IP 接口必须允许 UDP 端口 500 和 UDP 端口 4500 上的传入流量。此外,防火墙还需要执行从外部到隧道 IP 地址的端口转换。

  • 对于 Dot1x RadSec 代理实现中的远程用户,OOBM 接口应能够访问 RADIUS 服务器。此外,防火墙还必须在 TCP 端口 2083 上执行向隧道 IP 地址的端口转换。

  • 确保可通过防火墙访问以下域,以便实现正确的安装和功能:

    • *.mistsys.net

    • *.debian.org

VMware 端口组

您可以为 VMware 上的瞻博网络 Mist Edge 配置三个端口组。端口组实际绑定到单个 vSwitch 或 dvSwitch 或物理 NIC 并不重要。您可以根据客户和网络要求,调整端口组绑定到单个 vSwitch 或 dvSwitch 或物理 NIC。

下图描述了虚拟 Mist Edge 的端口组:

图 1:VMware 端口组 VMware Port Groups

示例:Mist Edge 虚拟机部署

本章介绍如何部署 Mist Edge 虚拟机。

配置 VMware 端口组

本主题提供有关瞻博网络 Mist 端口组配置的信息及示例。

OOBM 端口组

在此示例 VLAN ID 中,VMware 端的设置为 0,而交换机端口上的实际未标记 VLAN 设置为 5。

OOBM Port Group

隧道 IP 端口组

在此示例中,来自接入点(接入点)的传入隧道连接将在此隧道 IP 端口组中。

图 2:隧道 IP 端口组 Tunnel IP Port Group

上游端口组

您可以将上游端口配置为中继端口来标记所有 VLAN。运行基本 vSwitch 的 ESXi 有一个 4095 的 VLAN ID,可自动标记所有 VLAN。借助大规模 vCenter 部署的 dvSwitch,您可以配置 VLAN 范围。

图 3:上游端口组 Upstream Port Group

多上行链路和 LAG 配置

虽然 VMware 支持使用静态或动态链路聚合的多个上行链路,但 混合模式下 端口组的默认行为会导致任何广播或第 2 层 (L2) 组播流量出现问题。

默认情况下,VMware vSwitch 或 dvSwitch 会将任何传出广播或组播帧复制到所有上行链路,包括它来自的上行链路。您必须禁用此行为,以允许通过客户端流量通过隧道传输,而不会在网络上造成任何环路。每当通过 VMware(ESXi 或 vCenter)使用多个上行链路时,必须进行此更改。

有关禁用此行为的详细信息,请参阅 VMware 知识库文章

在 VMware ESXi 门户上启用 ReversePathFwdCheckPromisc
  1. 从“导航器”窗口中,选择“管理>系统”>“高级设置”。
  2. 向下滚动或使用搜索栏转到 Net.ReversePathFwdCheckPromis 选项。
  3. 选择 Net.ReversePathFwdCheckPromisc 并单击 编辑 选项。
  4. 在编辑选项 Net.ReversePathFwdCheckPromisc 窗口中,将New value字段更新为 1,然后单击 Save
    注意:

    要使设置生效,来宾作系统必须关闭和打开混合 模式 。在启用了 /Net/ReversePathFwdCheckPromisc 设置的情况下,执行访客作系统重新启动或对其他 ESXi 主机进行 vMotion 等作就足够了。该设置不需要重新引导 ESXi 主机即可生效。

使用 VMWare ESXi 门户创建瞻博网络 Mist Edge 虚拟机

本主题介绍如何从瞻博网络 Mist 门户下载安装映像并创建瞻博网络 Mist Edge 虚拟机。

要下载安装映像并创建瞻博网络 Mist Edge 虚拟机,请执行以下作:

  1. 从 瞻博网络 Mist 门户的左侧菜单中,选择Mist Edge >Mist Edge清单
  2. 在 Mist Edge Inventory 窗格中,单击创建 Mist Edge
  3. 在创建 Mist Edge 页面的添加 Mist Edge 名称字段中输入名称,然后从模型下拉列表中选择一个模型。对于虚拟 Mist Edge,选择虚拟机作为模型。
  4. 从链接下载安装映像和 SHA256 校验和
    注意:

    在继续安装之前,请确保您的防火墙允许访问 *.mistsys.net 和 *.debian.org 域,因为安装过程需要从这些外部源下载组件。
  5. 验证校验和。
    在 Mac 上,您可以使用内置的 SHASUM 生成下载安装映像的 SHA256 校验和。

    您可以将生成的校验和与下载的校验和文件中的内容进行匹配。

    在 Windows PC 上,您可以使用内置工具 certutil 和 MD5 或 SHA256 哈希算法(以及其他)来建立任何文件的唯一校验和。

  6. 在 VMWare ESXi 门户中,将 ISO 上传到 VMware 存储,如以下屏幕截图所示:
  7. 使用以下设置创建 VM:

    确保在此阶段添加所有网络接口。使用VMXNET3适配器类型(而非 E1000/E1000E),并按以下顺序添加网络接口:

    1. 带外管理 (OOBM)

    2. 隧道 IP 接口

    3. 上游端口

    为瞻博网络 Mist Edge 设置两个 IP 地址——一个用于 OOBM,另一个用于隧道 IP,来自不同的子网。OOBM IP 地址与您在瞻博网络 Mist 门户的 Mist Edge 详细信息中输入的 隧道 IP 不同。无论您是通过动态主机控制协议 (DHCP) 接收 OOBM IP 地址,还是接收在启动 Mist Edge 虚拟机时分配的静态 IP 地址,都是如此。

  8. 创建 VM 后,单击“完成”并启动 VM。
  9. 打开 Mist Edge 虚拟机电源后,选择 安装
    注意:Mist Edge 虚拟机安装屏幕上的默认选择为 图形安装。如果要安装 Mist Edge 虚拟机,请将选择更改为 安装,然后按 Enter 键。

    一两分钟内即可安装 Mist Edge 虚拟机,并提示您进行 mxedge 登录。

    虚拟机安装是自动的。选择 安装 选项后,无需干预。

    登录 Mist Edge 虚拟机并将其声明到瞻博网络 Mist™ 云。

使用瞻博网络 Mist 门户部署瞻博网络 Mist Edge

本章将介绍部署瞻博网络 Mist™ Edge 时需要执行的各种任务。

创建瞻博网络 Mist Edge

如果要将 瞻博网络 Mist Edge 设备用作虚拟机 (VM) 来实施虚拟Mist Edge架构,则必须从 瞻博网络 Mist 门户创建瞻博网络Mist Edge。

要从瞻博网络 Mist 门户创建瞻博网络 Mist Edge,请执行以下步骤:

  1. 从 瞻博网络 Mist 门户的左侧菜单中,选择Mist Edge >Mist Edge清单
  2. 在 Mist Edge Inventory 窗格中,单击创建 Mist Edge
  3. 在创建 Mist Edge 页面的添加 Mist Edge 名称字段中输入名称,然后从模型下拉列表中选择一个模型。对于虚拟 Mist Edge,选择虚拟机作为模型。
  4. 从链接下载安装映像和 SHA256 校验和
  5. 验证校验和。
    在 Mac 上,您可以使用内置的 SHASUM 生成下载安装映像的 SHA256 校验和。

    您可以将生成的校验和与下载的校验和文件中的内容进行匹配。

    在 Windows PC 上,您可以使用内置工具 certutil 和 MD5 或 SHA256 哈希算法(以及其他)来建立任何文件的唯一校验和。

  6. 在 Mist Edge Inventory 页面中,选择新创建的瞻博网络 Mist Edge。该页面显示适用于瞻博网络 Mist Edge 的可用配置选项。

    隧道 IP 配置始终是接入点尝试建立隧道连接的静态 IP 地址(L2TPv3 或 IPSec)。

    默认情况下,DHCP 提供带外管理 (OOBM) IP。您还可以在门户中配置静态 OOBM IP,它与隧道 IP 不同。

  7. 复制并保存注册码

配置虚拟 Mist Edge

在瞻博网络Mist门户上配置瞻博网络Mist Edge后,可以使用终端软件连接到物理设备上的控制台接口并配置 OOBM IP 地址。

虚拟 Mist Edge 首次启动后,请使用以下凭据登录设备:

  1. 输入用户名和密码。

    默认用户名为 mist,密码为 Mist@1234 ,默认 root (su-) 密码为 mist

  2. 配置 DHCP 地址。如果 DHCP 不可用,请配置静态 IP 地址。
  3. 配置代理 URL。
  4. 通过发出命令ip a 获取当前管理 IP 地址。
    OOBM 接口是 ens192
  5. 使用 SSH 连接到瞻博网络 Mist Edge,用户名mist
    ssh mist@OOBM-IP。输入 Mist@1234密码。
  6. 通过发出命令su-切换到 root 。输入mist密码。
  7. 要注册设备并将其载入 Mist 云,请从 CLI 发出以下命令:
    mist@mxedge:~$ su –
    Password: mist
    root@mxedge:~#
  8. 更新后,注册设备。。。
    输入以下命令:

    在该过程结束时,您会看到以下消息:

    该过程完成后,瞻博网络 Mist Edge 会自动重新启动。此时,无需 SSH 即可连接到瞻博网络 Mist Edge。设备从瞻博网络 Mist 云中提取配置。

    重新启动后,瞻博网络 Mist Edge 在“Mist Edge 清单”页面上显示为已连接。橙色点还表示设备的连接状态。

创建 Mist 群集并分配 Mist Edge

在瞻博网络 Mist 门户上创建瞻博网络 Mist Edge 后,您必须将设备添加到 Mist 群集。 一个群集可以包含单个边缘设备或多个边缘设备。对于站点级别的 Mist Edge,您可以跳过此步骤。

要创建群集,请执行以下作:

  1. 从瞻博网络 Mist 门户的左侧菜单中,选择 Mist Edge
    此时将显示 Mist Edge 群集页面
  2. Mist Edge 群集页面中,单击创建群集
  3. 在创建 Mist 群集页面上,在群集名称字段中输入名称,然后在该Select Mist Edges字段中选择要添加到群集的边缘设备。
  4. 单击“创建”以创建群集。

创建 Mist 隧道(组织级别)

创建群集后,您必须配置隧道并将隧道绑定到群集。通常,您可以在隧道中列出要从公司网络扩展到 AP 的所有用户 VLAN(客户端 VLAN)。

要在组织层面创建 Mist 隧道,请执行以下作:

  1. 从瞻博网络 Mist 门户的左侧菜单中,选择 Mist Edge
  2. Mist 隧道窗格中,单击 Create Tunnel
    此时将显示 Mist 隧道页面。
  3. Mist 隧道页面的 VLAN ID 字段中,指定必须通过隧道返回的所有用户 VLAN。用逗号分隔列表中的 VLAN ID。
  4. “群集”窗格中,将隧道分配给使用前面创建Mist群集中介绍的步骤创建的主群集或辅助Mist Edge群集。在“主集群”或“辅助集群”字段中,从下拉列表中选择所需的群集。您可以在页面上的其他字段中保留默认条目或选择。
    将 Mist Edge 和隧道映射到群集后,将从 Mist Edge 上的云实例化隧道终止服务。
配置隧道 MTU 设置

创建或配置 Mist 隧道时,您可以指定 MTU 设置来优化隧道性能。瞻博网络 Mist Edge 隧道使用两种类型的 MTU 设置:

  • 内部 MTU:定义隧道内有效负载的最大传输单元大小。

  • 外部 MTU:定义整个封装数据包的最大传输单元大小。

注意:

系统会自动在 MTU 计算中包含一个 50 字节的焊盘,以适应隧道封装开销。无需手动减少 MTU 设置即可考虑此填充。

您只能编辑外部 MTU 值,内部 MTU 值会根据外部 MTU 值自动计算。

要配置隧道 MTU 设置:

  1. 导航到正在创建或编辑 隧道的 Mist 隧道 页面。

  2. MTU 字段中,输入 MTU 值。

    默认 MTU 设置为 1500 字节(包括 50 字节焊盘)。

如果需要修改 MTU 设置以满足特定的网络要求:

  • 确保 MTU 值在整个网络基础架构中保持一致。

  • 请记住,50 字节焊盘已包含在您配置的 MTU 值中。

  • 更改 MTU 后测试连接性,以确保正常运行。

创建 Mist 隧道(站点级别)

声明瞻博网络 Mist Edge 后,您可以将其分配到某个站点。

要在站点级别创建 Mist 隧道,请执行以下作:

  1. 从 瞻博网络 Mist 门户的左侧菜单中,选择“组织>站点配置”,然后选择所需的站点。
  2. 在“站点配置”页面上,要为所需站点添加隧道,请单击 Add Tunnel
  3. Add Tunnels 页面的字段 VLAN ID(s) 中,输入要从公司网络扩展到 AP 的所有用户 VLAN。用逗号分隔列表中的 VLAN ID。
  4. 选择“启用主群集”。在主机名 IP 字段中,输入 AP 将与之通信的群集的 IP 地址或全限定域名 (FQDN)。
    此群集 IP 地址与您在瞻博网络 Mist Edge 上配置的隧道 IP 地址相同。
  5. 点击保存

配置 WLAN 模板

WLAN 模板是 WLAN 策略、隧道策略和 WxLAN 策略的集合。使用 WLAN 模板,您可以设置一次给定配置,然后将接入点连接到模板以自动继承设置,而不是在多个服务集标识符 (SSID) 中重复给定配置。AP 和 WLAN 必须属于同一个站点。

您必须使用 WLAN 模板来启用公司 SSID。您可以创建 WLAN 模板,并将模板分配用于:

  • 特定站点或映射到 Site-Group.

  • 整个组织,实际办公站点添加为例外。

要配置 WLAN 模板,请执行以下作:

  1. 从 瞻博网络 Mist 门户的左侧菜单中,选择组织>无线>WLAN模板
  2. 在 WLAN 模板页面上,单击创建模板
  3. 在字段中Template Name输入模板的名称。单击“创建”。名称将显示在 WLAN 模板列表中。
  4. 在新模板页上,选择 Entire OrgSites and Site Groups 将模板分配给组织或站点和站点组。
    图 4:分配给站点和站点组 WLAN Template Assigned to Sites and Site Groups的 WLAN 模板
    图 5:分配给整个组织的 WLAN 模板,但有一些例外 WLAN Template Assigned to Entire Organization with Some Exceptions
  5. WLAN 模板页面的 WLAN 窗格中,选择 添加 WLAN
    此时将显示创建 WLAN 页面。
    1. 在“创建 WLAN”页面中,您可以指定安全设置。
    2. 根据 需要输入其他设置。有关各种 WLAN 设置的提示,请参阅 WLAN 选项
    3. 创建 WLAN 页面的 VLAN ID 字段中,指定要通过瞻博网络 Mist Edge 通过隧道传输的 VLAN 数。
      请注意,瞻博网络®系列高性能接入点不会对配置了无标记 VLAN 的任何 WLAN 进行隧道传输。您可以根据部署类型选择采用隧道传输的接入点。
    4. 在创建 WLAN 页面中,对于组织级部署,选择自定义转发到,然后从下拉列表中选择 Mist。接下来,从“隧道”下拉列表中选择“隧道配置文件”。请注意,此 Mist 隧道必须与您要隧道传输的 VLAN 相同。
    5. 在“创建 WLAN”页面中,对于站点级部署,请选择“自定义转发到”,然后从下拉列表中选择“站点边缘”。
    6. 单击“创建”。