NFX250 NextGen の概要
ジュニパーネットワークス NFX250 ネットワーク サービス プラットフォームは、安全で自動化されたソフトウェア主導型の加入者宅内機器(CPE)プラットフォームであり、仮想化ネットワークおよびセキュリティ サービスをオンデマンドで提供します。NFX250 は、ネットワーク機能仮想化(NFV)を活用する Juniper Cloud CPE ソリューションの一部です。これにより、サービス プロバイダは、単一のデバイス上に複数のセキュアでハイパフォーマンスな仮想ネットワーク機能(VNF)を導入し、チェーンを設定できます。
図 1 は、NFX250 デバイスを示しています。
NFX250 は、完全な SD-WAN CPE で、セキュアなルーター機能と次世代ファイアウォール(NGFW)ソリューションを提供します。
NGFW には、次のようなセキュリティ機能が含まれています。
VPN( セキュリティデバイス向けVPNユーザーガイドを参照)
NAT( NATユーザーガイドを参照)
ALG( アプリケーション層ゲートウェイユーザーガイドを参照)
アプリケーションセキュリティ( AppSecureユーザーガイドを参照)
拡張Webフィルタリングやアンチウイルスなどの UTM機能(UTMユーザーガイドを参照)
NFX250 デバイスは、小規模から中規模の企業や大規模な多国籍企業や分散企業に適しています。
Junos OS リリース 19.1R1 は、NFX250 デバイスに再最適化されたアーキテクチャを導入します。このアーキテクチャでは、JCPを単一の管理ポイントとして使用して、すべてのNFX250コンポーネントを管理できます。
ドキュメントの目的で、このアーキテクチャを使用するNFX250デバイスはNFX250 NextGenデバイスと呼ばれます。
ソフトウェア アーキテクチャ
図 2 は、NFX250 NextGen のソフトウェア アーキテクチャを示しています。このアーキテクチャは、単一の管理ポイントとして機能する統一された制御プレーンを提供するように設計されています。NFX250 NextGen ソフトウェアの主要コンポーネントには、JCP、JDM、レイヤー 2 データ プレーン、レイヤー 3 データ プレーン、VNF が含まれます。
システム ソフトウェアの主なコンポーネントは次のとおりです。
Linux —ハイパーバイザーとして機能するホストOS。
VNF —VNF は、ネットワーク デバイスとその機能の仮想化実装です。NFX250 NextGenアーキテクチャでは、Linuxがハイパーバイザーとして機能し、VNFを作成して実行します。VNF には、ファイアウォール、ルーター、WAN アクセラレータなどの機能が含まれています。
VNF をチェーン内のブロックとして接続して、ネットワーク サービスを提供できます。
JCP — ホストOS、Linux上で動作するJunos仮想マシン(VM)。JCPは、すべてのコンポーネントの単一管理ポイントとして機能します。
JCPは以下をサポートします。
レイヤー 2~レイヤー 3 ルーティング サービス
レイヤー 3~レイヤー 4 セキュリティ サービス
レイヤー 4~レイヤー 7 の高度なセキュリティ サービス
さらに、このJCPにより、VNFライフサイクル管理が可能になります。
JDM —VNF を管理し、インフラストラクチャ サービスを提供するアプリケーション コンテナ。JDM はバックグラウンドで機能します。ユーザーは JDM に直接アクセスできません。
L2 データ プレーン—レイヤー 2 トラフィックを管理します。レイヤー 2 データ プレーンは、LAN トラフィックを OVS(Open vSwitch)ブリッジに転送します。このブリッジは、NFV バックプレーンとして機能します。レイヤー 2 データ プレーンは、JCP上の仮想 FPC0 にマッピングされます。
L3データプレーン-レイヤー3からレイヤー7サービスのデータパス機能を提供します。レイヤー 3 データ プレーンは、JCP上の仮想 FPC1 にマッピングされます。
OVS(Open vSwitch)ブリッジ — OVS ブリッジは、VNF、FPC1、FPC0 が接続する NFV バックプレーンとして機能する VLAN 対応システム ブリッジです。さらに、カスタム OVS ブリッジを作成して、異なる VNF 間の接続を分離することもできます。
サポートされている機能の一覧については、 機能エクスプローラーを参照してください。
NFX250 モデル
表1 は、NFX250デバイスモデルとその仕様を示しています。詳細については、 NFX250ハードウェアガイドを参照してください。
コンポーネント |
NFX250-S1 |
NFX250-S2 |
NFX250-S1E |
|---|---|---|---|
Cpu |
2.0 GHz 6 コア Intel CPU |
2.0 GHz 6 コア Intel CPU |
2.0 GHz 6 コア Intel CPU |
Ram |
16 GB |
32 GB |
16 GB |
ストレージ |
100 GB SSD |
400 GB SSD |
200 GB SSD |
フォームファクター |
デスクトップ |
デスクトップ |
デスクトップ |
ポート
|
10/100/1000BASE-T RJ-45 アクセス ポート x 8 |
10/100/1000BASE-T RJ-45 アクセス ポート x 8 |
10/100/1000BASE-T RJ-45 アクセス ポート x 8 |
アクセス ポートまたはアップリンク ポートとして使用可能な 2 個の 10/100/1000BASE-T RJ-45 ポート |
アクセス ポートまたはアップリンク ポートとして使用可能な 2 個の 10/100/1000BASE-T RJ-45 ポート |
アクセス ポートまたはアップリンク ポートとして使用可能な 2 個の 10/100/1000BASE-T RJ-45 ポート |
|
アップリンクとして使用できる 2 個の 100/1000BASE-X SFP ポート |
アップリンクとして使用できる 2 個の 100/1000BASE-X SFP ポート |
アップリンクとして使用できる 2 個の 100/1000BASE-X SFP ポート |
|
1 ギガビットまたは 10 ギガビット イーサネット SFP+ アップリンク ポート x 2 |
1 ギガビットまたは 10 ギガビット イーサネット SFP+ アップリンク ポート x 2 |
1 ギガビットまたは 10 ギガビット イーサネット SFP+ アップリンク ポート x 2 |
|
10/100/1000BASE-T RJ-45 管理ポート x 1 |
10/100/1000BASE-T RJ-45 管理ポート x 1 |
10/100/1000BASE-T RJ-45 管理ポート x 1 |
|
コンソール ポート(RJ-45 および mini-USB) |
コンソール ポート(RJ-45 および mini-USB) |
コンソール ポート(RJ-45 および mini-USB) |
|
USB 2.0 ポート x 1 |
USB 2.0 ポート x 1 |
USB 2.0 ポート x 1 |
インターフェイス
NFX250 NextGen デバイスには、以下のネットワーク インターフェイスが含まれています。
10 個の 1 ギガビット イーサネット RJ-45 ポートと、スモール フォームファクター プラガブル(SFP)トランシーバをサポートする 2 個の 1 ギガビット イーサネット ネットワーク ポート。ポートは、ge-0/0/n の命名規則(0~11 の n 範囲)に従います。これらのポートはLAN接続に使用されます。
スモール フォームファクター プラガブル プラス(SFP+)トランシーバをサポートする 2 つの 1 ギガビットまたは 10 ギガビット アップリンク ポート。ポートは、 の値nが 12 または 13 である命名規則 xe-0/0/n に従います。これらのポートは、WANアップリンクポートとして使用されます。
MGMT(fxp0)とラベル付けされた専用管理ポートは、アウトオブバンド管理インターフェイスとして機能します。fxp0 インターフェイスには、IP アドレス 192.168.1.1/24 が割り当てられます。
Sxe-0/0/0 と sxe-0/0/1 という 2 つの静的インターフェイスは、レイヤー 2 データ プレーン(FPC0)を OVS バックプレーンに接続します。
デフォルトでは、すべてのネットワーク ポートがレイヤー 2 データ プレーンに接続されます。
NFX250 NextGen デバイスは、IRB(統合型ルーティングおよびブリッジング)インターフェイスをサポートしていません。IRB 機能は ge-1/0/0 によって提供され、常に OVS(サービス チェイニング バックプレーン)にマッピングされます。このマッピングは変更できません。
デバイスでサポートされているトランシーバーのリストについては、 https://apps.juniper.net/hct/product/#prd=NFX250 を参照してください。
パフォーマンス モード
NFX250 NextGenデバイスは、さまざまな動作モードを提供します。事前定義されたモードのリストからデバイスの動作モードを選択するか、カスタム モードを指定できます。
-
スループット モード — Junos ソフトウェアの最大リソース(CPU とメモリ)を提供します。
-
ハイブリッド モード : Junos ソフトウェアとサードパーティー VNF 間でバランスのとれたリソース分散を提供します。
-
コンピューティング モード — Junos ソフトウェアの最小限のリソースと、サードパーティー製 VNF の最大リソースを提供します。
-
カスタム モード — リソースをレイヤー 3 データ プレーンおよび NFV バックプレーンに割り当てるオプションを提供します。
Junos OS リリース 19.2R1 以降では、コンピューティング モード、ハイブリッド モード、スループット モードがサポートされています。カスタム モードは、Junos OS リリース 21.1R1 以降でサポートされています。
デフォルト モードは、21.4R1 以前の Junos OS リリースのスループットです。Junos OS リリース 21.4R1 以降、デフォルト モードはコンピューティングです。スループット モードでは、NFX250 NextGen デバイス上で SR-IOV VF をレイヤー 3 データ プレーン インターフェイスにマッピングする必要があります。3 つの SR-IOV(VF)は、各 NIC(SXE または HSXE)から予約されており、最大 6 つのレイヤー 3 データ プレーン インターフェイスをサポートします。例えば:
user@host# set vmhost virtualization-options interfaces ge-1/0/1 mapping interface hsxe0
スループット モードでは VNF を作成できません。
Junos OS リリース 21.1R1 以降、OVS からレイヤー 3 データ プレーン インターフェイスへのマッピングは、NFX250 NextGen デバイスのスループット モードではサポートされていません。Junos OS リリース 21.1R1 以前のリリースで OVS マッピングが存在する場合、設定コミットの失敗を防ぐために、デバイスを Junos OS リリース 21.1R1 にアップグレードする前にマッピングを変更する必要があります。
ハイブリッド モード、コンピューティング モード、スループット モードでは、レイヤー 3 データ プレーン インターフェイスを NFX250 NextGen デバイス上の SR-IOV または OVS のいずれかにマッピングできます。例えば:
レイヤー 3 データ プレーン インターフェイスを SR-IOV のいずれかにマッピングします。
user@host# set vmhost virtualization-options interfaces ge-1/0/1 mapping interface hsxe0
レイヤー 3 データ プレーン インターフェイスを OVS のいずれかにマッピングします。
user@host# set vmhost virtualization-options interfaces ge-1/0/1
Junos OS リリース 21.1R1 以降、デバイスがスループット モードになっている場合、レイヤー 3 データ プレーン インターフェイスのみを SR-IOV VF にマッピングできます。デバイスがコンピューティング モードまたはハイブリッド モードの場合、レイヤー 3 データ プレーン インターフェイスを SR-IOV VF または OVS のいずれかにマッピングできます。
ハイブリッド モードまたはコンピューティング モードでは、各モードで使用可能な CPU を使用して VNF を作成できます。コマンドを使用して、CPUの可用性を show vmhost mode 確認できます。各VNFは、2つの管理インターフェイスとは別に最大のユーザーインターフェイスを持つことができます。VNF インターフェイスは、OVS または SR-IOV インターフェイスのいずれかにアタッチできます。
SR-IOV と OVS の両方に単一の VNF インターフェイスをアタッチすることはできません。ただし、同じ VNF から SR-IOV および OVS に異なるインターフェイスをアタッチすることはできます。
7 つの SR-IOV(VF)は、VNF インターフェイスを作成するために各 NIC(SXE または HSXE)から予約されており、デバイスごとに最大 28 個の SR-IOV VNF インターフェイスをサポートします。を使用して、利用可能な無料の VF を show system visibility network表示できます。
特定のレイヤー 3 データ プレーン インターフェイスへのマッピングが SR-IOV NIC(例えば、hsxe0 から hsxe1)、hsxex から OVS、またはその逆の間で変化した場合、FPC1 は自動的に再起動します。
現在のモードを変更するには、 コマンドを request vmhost mode mode-name 実行します。コマンドは request vmhost mode ? 、ハイブリッド、コンピューティング、スループットの各モードなど、事前に定義されたモードのみを一覧表示します。
モードに切り替える前に、 および show vmhost mode コマンドをshow system visibility cpu発行して、CPU の可用性を確認します。運用モードを切り替える場合は、リソースと構成の競合が発生しないことを確認します。
例えば、VNF をサポートするコンピューティング モードから、VNF をサポートしないスループット モードに移行すると、競合が発生します。
user@host# run request vmhost mode throughput error: Mode cannot be changed; Reason: No CPUs are available for VNFs in the desired mode, but there is atleast one VNF currently configured
レイヤー 3 データ プレーンが SR-IOV にマッピングされていない場合、ハイブリッド またはコンピューティング モードからスループット モードに切り替えると、エラーが発生します。
Junos 設定でカスタム モード テンプレートを定義するには、次のコマンドを使用します。
user@host# set vmhost mode custom custom-mode-name layer-3-infrastructure cpu count countuser@host# set vmhost mode custom custom-mode-name layer-3-infrastructure memory size mem-sizeuser@host# set vmhost mode custom custom-mode-name nfv-back-plane cpu count countuser@host# set vmhost mode custom custom-mode-name nfv-back-plane memory size mem-size
Junos OSリリース22.1R1以降、 コマンドquota-valueを使用してset vmhost mode custom custom-mode-name layer-3-infrastructure cpu colocation quota quota-value、レイヤー3データプレーンのCPUクォータを設定することを選択できます。これは1から99までの範囲です。を設定cpu colocation quotaした場合、cpuコロケーションコンポーネントのCPUクォータの合計は100以下である必要があります。MINとしてMINなどのキーワードではなく、数値を使用して設定cpu countする必要があります。コンポーネントごとに異なる値を持つことができます。
カスタムモードでVNFを使用するために使用可能なCPUの数と特定のCPU ID別のCPU数は、カスタムモード設定とcpu colocation quota他のジュニパーシステムコンポーネントの内部固定CPU割り当てに基づいてcpu count自動的に決定されます。
カスタム モードで VNF を使用するために使用可能な 1G ユニットのメモリ量は、カスタム モード固有のメモリ サイズ構成と、他のジュニパー システム コンポーネント用の SKU 内部固定メモリ割り当てに基づいて自動的に決定されます。この数値は概算値に過ぎず、VNF に対する実際の最大メモリ割り当てがそれより小さい場合があります。
VNF のメモリ サイズを設定しない場合、メモリは 1G(デフォルト値)とみなされます。
NFV バックプレーンとレイヤー 3 データ プレーンの両方の CPU カウントは、整数で構成する必要があります。
レイヤー3データプレーンおよびNFVバックプレーン用のメモリは、カスタムモードでギガバイトで指定する必要があります。カスタムモードで指定されたメモリは、NFVバックプレーン使用用の1G巨大ページと、レイヤー3データプレーン使用用の200万の巨大ページによって作成され、支持されています。レイヤー3のデータプレーンメモリは10進数で構成できますが、NFVバックプレーンのメモリサイズを整数で構成することをお勧めします。
レイヤー 3 データ プレーンと NFV バックプレーンの両方の CPU カウントとメモリを設定する必要があります。残りの Junos ソフトウェア インフラストラクチャの CPU とメモリ リソースは、デバイスによって内部で決定されます。
カスタムモードテンプレートは、最小限のリソースを割り当てるデバイス固有の事前定義値であるキーワード MINをサポートします。
flex は perf 、Junosのデフォルト設定に存在するカスタムモードテンプレートです。
- flex モード:レイヤー 3 データ プレーンや NFV バックプレーンなどのシステム コンポーネントにリソースを割り当てる 場合に MIN キーワードを使用します。このモードでは、デバイスはサードパーティVNFに最大メモリとCPUを提供します。
モードで flex リソースを割り当てる方法:
user@host# set vmhost mode custom custom-mode-name layer-3-infrastructure cpu count MINuser@host# set vmhost mode custom custom-mode-name layer-3-infrastructure memory size MINuser@host# set vmhost mode custom custom-mode-name nfv-back-plane cpu count MINuser@host# set vmhost mode custom custom-mode-name nfv-back-plane memory size MIN
フレックスモードでは、最大で以下を設定できます。
-
8 個の IPSec VPN トンネル
-
16 IFL
-
4 IFD
- perf mode — デフォルトの Junos 設定で使用可能なカスタム モード テンプレートの例です。
現在、レイヤー 3 データ プレーンは、CPU カウントとメモリ サイズの両方のカスタム モードで MIN のみをサポートしています。
デバイスが MIN キーワードを使用してカスタムモードの場合、基本的なファイアウォール機能のみがサポートされ、IPsec終端に対してのみレイヤー3データプレーンを使用できます。
CPUをNFVバックプレーンとレイヤー3データプレーンに割り当てると、デバイスはフルコアを割り当てます。フルコアがNFVバックプレーンに割り当てられると、そのハイパースレッドコアの論理CPUの両方が割り当てられます。ただし、最適なパフォーマンスを得るために、デバイスは論理CPUの1つを無効にし、引き続き2つのCPUが割り当てられているとカウントされます。フル コアを使用できない場合、デバイスは個々の CPU を異なるコアから割り当てます。
VNFを使用するためにCPUを割り当てる間、デバイスはフルコアを割り当てます。そのコアの論理CPUの両方が有効になっています。フル コアを使用できない場合、デバイスは個々の CPU を異なるコアから割り当てます。
要求された CPU カウントとメモリが、システムで利用可能な CPU カウントとメモリの合計を超えてはなりません。
デバイスがカスタム モードで動作している場合は、カスタム モード設定を変更できます。変更を有効にするには、デバイスを再起動します。
コミット チェックは、構成でカスタム モードが定義されている場合と、デバイス モードをカスタム モードに変更した場合の基本的な検証のために実行されます。
デバイスが同じモードで動作している場合、カスタム モード設定を削除することはできません。
デバイスがカスタム モードで動作しているときにカスタム モード設定を削除するには、次の手順に従います。
-
デバイス モードをカスタム モードから別のモードに変更します。
-
カスタム モード設定を削除します。
カスタム モード内のデバイスがカスタム モードをサポートしていないイメージにダウングレードされると、デバイスにデフォルト スループット モードが適用されます。
このようなイメージダウングレードプロセスを実行する前に、デバイスからすべてのVNF設定を削除する必要があります。
デバイスで複数のカスタム モードが設定されている場合、およびデバイスが工場出荷時のデフォルト Junos 設定で定義されている または perf カスタム モード以外flexのカスタム モードの場合、デバイス設定を工場出荷時のデフォルト設定にリセットすることはできません。このようなデバイスを工場出荷時のデフォルトの Junos 設定にリセットする前に、デバイス モードをコンピューティング、ハイブリッド、スループットなどの事前に定義されたモードのいずれか、または工場出荷時のデフォルト設定で既にflex定義されているまたはperfカスタム モードに変更する必要があります。
NFX250 のコアから CPU へのマッピング
次の表は、NFX250 モデルの CPU からコアへのマッピングを示しています。
| NFX250-LS1 | ||||
| コア | 0 | 1 | 2 | 3 |
| Cpu | 0, 4 | 1, 5 | 2, 6 | 3, 7 |
| NFX250-S1 および NFX250-S2 | ||||||
| コア | 0 | 1 | 2 | 3 | 4 | 5 |
| Cpu | 0, 6 | 1, 7 | 2, 8 | 3, 9 | 4, 10 | 5, 11 |
メリットと用途
NFX250 NextGen には、以下のメリットがあります。
単一デバイス上で複数のジュニパー VNF およびサードパーティー製 VNF をサポートする拡張性に優れたアーキテクチャ。モジュラー型ソフトウェア アーキテクチャは、キャリアクラスの信頼性によって強化されたルーティング、スイッチング、セキュリティに、高いパフォーマンスと拡張性を提供します。
単一のコントロール プレーンにセキュリティー、ルーティング、スイッチング機能が統合されており、管理と導入が簡素化されます。
さまざまな柔軟な導入が可能です。分散型サービス導入モデルにより、高可用性、パフォーマンス、コンプライアンスが保証されます。このデバイスは、業界標準、プロトコル、シームレスなAPI統合をサポートするオープンフレームワークを提供します。
セキュアブート機能は、デバイスの認証情報を保護し、システムの整合性を自動的に認証し、システム構成を検証し、プラットフォーム全体のセキュリティを強化します。
設定の自動化により、複雑なデバイス設定が不要になり、プラグアンドプレイのエクスペリエンスが実現します。
NFX シリーズ ハードウェアでサポートされる Junos OS リリース
表 2 は、NFX シリーズ デバイスでサポートされる Junos OS ソフトウェア リリースの詳細を示しています。
Junos OS リリース 18.4 で終了した NFX250 デバイスでの Linux ブリッジ モードのサポート。
Junos OSリリース19.1R1で終了したNFX250デバイスでのnfx-2ソフトウェアアーキテクチャのサポート。
NFX シリーズ プラットフォーム |
サポートされているJunos OSリリース |
ソフトウェア パッケージ |
ソフトウェアダウンロードページ |
|---|---|---|---|
NFX150 |
18.1R1以降 |
nfx-3 jinstall-host-nfx-3-x86-64-<release-number>- secure-signed.tgz install-media-host-usb-nfx-3-x86-64-<release-number>- secure.img |
|
NFX250 |
15.1X53-D45、15.1X53-D47、15.1X53-D470、15.1X53-D471 |
nfx-2 jinstall-host-nfx-2-flex-x86-64-<release-number >-secure-signed.tgz install-media-host-usb-nfx-2-flex-x86-64-<release-number>- secure.img |
|
17.2R1~19.1R1 |
|||
19.1 R1 以降 |
nfx-3 jinstall-host-nfx-3-x86-64-<release-number>-secure-signed.tgz install-media-host-usb-nfx-3-x86-64-<release-number>-secure.img |
||
NFX350 |
19.4 R1 以降 |
nfx-3 jinstall-host-nfx-3-x86-64-<release-number>-secure-signed.tgz install-media-host-usb-nfx-3-x86-64-<release-number>-secure.img |