Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

JDM を使用した仮想ネットワーク機能の管理

仮想ネットワーク機能の理解

仮想化ネットワーク機能(VNF)には、Juniper デバイスマネージャー(JDM)から起動して管理できるすべての仮想エンティティが含まれます。現在サポートされているVNFタイプは、仮想マシン(VM)のみです。

JDM 環境には、いくつかのコンポーネントがあります。

  • JDM - すべてのサービス仮想マシンのライフサイクルを管理します。 JDM は、設定の永続性を備えた CLI や、スクリプトや自動化に NETCONF を使用する機能も提供します。

  • Primary Junos OS VM:プライマリ仮想デバイスであるシステム VM。この VM は、システムの実行中に常に存在します。

  • Other Junos OS VMs:これらの VM はサービス VM であり、外部コントローラによって動的にアクティブ化されます。このタイプのVMの典型的な例は、vSRX仮想ファイアウォールインスタンスです。

  • Third-party VNFs - JDM は、Ubuntu Linux VM などのサードパーティ製 VM の作成と管理をサポートします。

JDM アーキテクチャは、 図 1 に示すように、すべての VM を JDM に接続する内部ネットワークを提供します。

図 1: JDM と VM 間のネットワーク接続 Network topology with Juniper Device Manager at IP 192.168.1.254 managing Junos VM at 192.168.1.2 and VNFs VNF1 and VNF2 via virbr0.

JDMは、内部ネットワーク(192.0.2.1/24)を使用して任意のVNFに到達できます。

手記:

Junos OS リリース 15.1X53-D470 までは、ライブ性 IP は 192.168.1.0/24 サブネットにあります。それ以降のすべての Junos OS リリースでは、ライブ性 IP は 192.0.2.0/24 サブネットにあります。

VNFは、システム内の管理ポートとNICポートを所有または共有できます。

すべての VM は分離して実行され、1 つの VM で状態が変更されても別の VM には影響しません。システムが再起動すると、永続構成ファイルで指定されているとおりに、サービス VM がオンラインになります。システムをグレースフル シャットダウンすると、Junos VM を含むすべての VM がシャットダウンされます。

表1は、一般的に使用されるVNFの頭字語と用語の用語集です。

表1:VNF用語集

用語

定義

JCP

Junosコントロールプレーン(プライマリJunos OS VMとも呼ばれます)

JDMの

Juniper デバイス マネージャー

NFV

ネットワーク機能の仮想化

仮想マシン

仮想マシン

VNF

仮想化ネットワーク機能

NFX250デバイスに仮想ネットワーク機能をオンボードするための前提条件

Junosコントロールプレーン(JCP)を介して、NFXデバイス上のジュニパーVNFおよびサードパーティーのVNFをオンボーディングし、管理することができます。

デバイスに搭載できるVNFの数は、CPUやシステムメモリの数など、システムリソースの可用性によって異なります。

VNFをオンボーディングする前に、VNFのCPU、メモリ、ストレージなどの使用可能なシステムリソースを確認することをお勧めします。詳細については、 VNF のライフサイクルの管理を参照してください。

VNF の前提条件

VNFをインスタンス化するために、NFXデバイスは以下をサポートします。

  • KVMベースのハイパーバイザー導入

  • OVS または Virtio インターフェイス ドライバ

  • raw または qcow2 VNF ファイル タイプ

  • (オプション)SR-IOV

  • (オプション)CD-ROMおよびUSB構成ドライブ

  • (オプション)メモリ要件の分だけページ数が多い

VNFライフサイクルの管理

JDM CLI を使用して VNF を管理できます。さらに、 libvirt ソフトウェアは広範な仮想化機能を提供します。CLIによる制限を受けないように、JDMにはXML記述子ファイルを使用してVNFを操作するオプションが用意されています。ネットワーク設定プロトコル(NETCONF)は、すべてのVNF操作をサポートします。1つのシステム内で複数のVNFを共存させることが可能で、XML記述子ファイルまたはイメージを使用して複数のVNFを設定できます。

手記:

XML 記述子ファイルで指定された VNF リソースが、使用可能なシステム リソースを超えないようにします。

このトピックでは、VNF のライフサイクル管理について説明します。

VNF の計画リソース

目的

VNFを起動する前に、システムインベントリを確認し、VNFに必要なリソースが利用可能であることを確認することが重要です。VNFは、リソース要件がシステムの使用可能な容量を超えないように適切に設計および設定する必要があります。

手記:

  • show system inventoryコマンドの出力には、システムリソースの使用状況の現在のスナップショットのみが表示されます。VNF を起動すると、リソースの使用量が VNF パッケージのインストール時に使用可能だったものよりも少なくなることがあります。

  • VNF を開始する前に、システム リソースの使用状況を確認する必要があります。
手記:

一部の物理 CPU はシステムによって予約されています。次の物理 CPU を除き、その他のすべての物理 CPU をユーザー定義の VNF で使用できます。

次の表に、NFX250-LS1用に予約されている物理CPUのリストを示します。

表 2:NFX250-LS1 の物理 CPU 割り当て

CPUコア

割り当て

0

ホスト、JDM、および JCP

4

ホストブリッジ

7

IPSec

次の表に、NFX250-S1、NFX250-S2、NFX250-S1E デバイス用に予約されている物理 CPU のリストを示します。

表 3:NFX250 の物理 CPU 割り当て

CPUコア

割り当て

0

ホスト、JDM、および JCP

6

ホストブリッジ

7

IPSec

詳細については、以下を参照してください。

VNF イメージの管理

遠隔地からデバイスにVNFイメージを読み込むには、 file-copy コマンドを使用します。または、NETCONF コマンド file-putを使用して、VNF イメージをロードすることもできます。

手記:

VNF イメージは /var/third-party/images ディレクトリに保存する必要があります。

ブートストラップ コンフィギュレーションの準備

bootstrap-config ISOファイルを含むCDまたはUSBストレージデバイスを接続することで、VNFをブートストラップできます。

ブートストラップ構成ファイルには、外部コントローラからVNFにアクセスできるようにし、外部コントローラからのSSH、HTTP、またはHTTPS接続を受け入れて以降のランタイム設定を行うための初期設定が含まれている必要があります。

ISO ディスクイメージは、次のように、ブートストラップ構成ファイル用にオフラインで作成する必要があります。

VNF の起動

VNFを起動するには、VNF名を設定し、XML記述子ファイルまたはイメージへのパスを指定します。

イメージを使用してVNFを起動すると、デフォルトで2つのVNFインターフェイスが追加されます。これらのインターフェイスは、管理および内部ネットワークに必要です。これら 2 つのインターフェイスでは、0000:00:03:0 や 0000:00:04:0 などのターゲットの PCI(周辺機器相互接続)アドレスが予約されています。

XML 記述子ファイルを使用して VNF を起動するには、次の手順を実行します。

イメージを使用して VNF を起動するには、次の手順を実行します。

VNF の UUID を指定するには、次の手順を実行します。

uuid はオプションのパラメータであり、システムがVNFにUUIDを割り当てられるようにすることをお勧めします。

手記:

  • init 記述子およびイメージ設定を保存してコミットした後は、init 記述子またはイメージ設定を変更することはできません。VNF の init 記述子またはイメージを変更するには、VNF を削除してから再度作成する必要があります。

  • コミットチェックは、JDM CLIを介したイメージ仕様に基づくVNF設定にのみ適用され、init記述子XML ファイルに基づくVNF設定には適用されません。
手記:

イメージ ファイルを使用して VNF を作成する場合は、次のことを確認してください。

  • 複数の VNF に添付できる iso9660 タイプのファイルを除き、VNF 内または VNF 間で使用されるイメージ、ディスク、USB に一意のファイルを使用する必要があります。

  • raw 形式の image として指定されたファイルは、パーティションテーブルとブートパーティションを持つブロックデバイスである必要があります。

  • qcow2 フォーマットの image として指定されたファイルは、有効な qcow2 ファイルでなければなりません。

VNFへのリソースの割り当て

このトピックでは、さまざまなリソースをVNFに割り当てるプロセスについて説明します。

VNF の CPU の指定

VNF に必要な仮想 CPU の数を指定するには、以下のコマンドを入力します。

仮想 CPU を物理 CPU に固定するには、次のコマンドを入力します。

物理 CPU 番号は、数値または範囲のいずれかです。デフォルトでは、VNF には物理 CPU に固定されていない 1 つの仮想 CPU が割り当てられます。

手記:

VNF が 実行 状態のときは、VNF の CPU 構成を変更できません。変更を有効にするには、VNF を再起動します。

VNF CPU のハードウェア仮想化またはハードウェア アクセラレーションを有効にするには、次のコマンドを入力します。

VNF へのメモリの割り当て

VNF が使用できる最大プライマリ メモリを指定するには、以下のコマンドを入力します。

デフォルトでは、1 GB のメモリが VNF に割り当てられます。

手記:

VNF が 実行 状態の場合、VNF のメモリ設定を変更することはできません。変更を有効にするには、VNF を再起動します。

VNFに巨大なページを割り当てるには、以下のコマンドを入力します。

page-size はオプションのパラメーターです。可能な値は、ページ・サイズが 1 GB の場合は 1024、ページ・サイズが 2 MB の場合は 2 です。デフォルト値は 1024 hugepages です。

手記:

hugepages の設定は、拡張オーケストレーション・モードが有効な場合にのみ推奨されます。拡張オーケストレーション モードが無効で、VNF で hugepages が必要な場合、VNF XML 記述子ファイルには hugepages 構成の XML タグが含まれている必要があります。
手記:

イメージ ファイルを使用して作成された VNF の場合、巨大なページに基づくメモリと巨大なページに基づかないメモリを含む、すべてのユーザー定義の VNF に対して設定できる合計メモリには上限があります。

表 4 は、各種 NFX250 モデル用に予約できる最大最大ページ メモリを示しています。

表 4:NFX250 デバイスに推奨される超メモリ

モデル

記憶

最大ヒュージページ メモリ(GB)

CSO-SDWANの最大ヒュージページメモリ(GB)

NFX250-S1

16GB

8

-

NFX250-S1E

16GB

8

13

NFX250-S2

32GB

24

13

NFX250-LS1

16GB

8

-

VNFストレージデバイスの設定

仮想 CD を追加したり、仮想 CD のソースファイルを更新するには、次のコマンドを入力します。

仮想USBストレージデバイスを追加するには、次のコマンドを入力します。

追加のハード ディスクを接続するには、次のコマンドを入力します。

VNF から仮想 CD、USB ストレージ デバイス、またはハード ディスクを削除するには、以下のコマンドを入力します。

手記:

  • VNF から CD をアタッチまたはデタッチした後、変更を有効にするには、デバイスを再起動する必要があります。デバイスがVNF内で使用中の場合、CDのデタッチ操作は失敗します。

  • VNFは、1つの仮想CD、1つの仮想USBストレージデバイス、複数の仮想ハードディスクをサポートします。

  • VNF が 実行 状態の状態で、CD または USB ストレージ デバイス内のソース ファイルを更新できます。

  • ソースファイルを /var/third-party ディレクトリに保存し、そのファイルにはすべてのユーザーに対する読み取りおよび書き込み権限が必要です。

手記:

イメージ ファイルを使用して作成された VNF の場合は、以下を確認してください。

  • raw 形式のハードディスクとして指定されるファイルは、パーティションテーブルを持つブロックデバイスである必要があります。

  • qcow2 フォーマットのハードディスクとして指定されたファイルは、有効な qcow2 ファイルでなければなりません。

  • USB として指定されるファイルは、パーティションテーブルを持つブロックデバイス、または iso9660 タイプのファイルでなければなりません。

  • CD-ROM として指定されるファイルは、タイプ iso9660 のブロックデバイスでなければなりません。

  • VNF に bus-type=ide で指定されたイメージがある場合、name had でアタッチされたデバイスを含めないでください。

  • VNF に bus-type=virtio で指定されたイメージがある場合、vda という名前のデバイスを接続しないでください。

VNF インターフェイスと VLAN の設定

VNF インターフェイスを作成し、物理 NIC ポート、管理インターフェイス、または VLAN にアタッチできます。

  1. SR-IOV 仮想関数を使用して VNF インターフェイスを物理インターフェイスに接続するには、以下を行います。

    vlan-id はオプションであり、ポートVLAN VLAN IDです。

  2. VLAN を作成するには:
  3. VNF インターフェイスを VLAN に接続するには:
    手記:

    • VNFに接続されたインターフェイスは、VNFが再起動されても維持されます。

    • VNF がホットプラグをサポートしている場合、VNF が 実行 状態のときにインターフェイスを接続できます。それ以外の場合は、インターフェイスを追加し、VNF を再起動します。

    • インターフェイスを VLAN にマッピングするには、 memory features hugepages コマンド オプションを有効にする必要があります。

    • VNF が 実行 状態のときは、VNF インターフェイスのマッピングを変更できません。
  4. 仮想インターフェイスを物理インターフェイスにマッピングするには:

    仮想インターフェイスと物理インターフェイス(ge-0/0/nおよびxe-0/0/n)のマッピングにより、仮想インターフェイスの状態がマップ先の物理インターフェイスの状態と一致するようになります。たとえば、物理インターフェイスがダウンし、仮想インターフェイスが稼働している場合、仮想インターフェイスは検出されてから5秒以内にダウンします。1 つ以上の仮想インターフェイスを 1 つ以上の物理インターフェイスにマッピングできます。

  5. VNF インターフェイスを内部管理ネットワークに接続するには:
    手記:

    VNFインターフェイスを内部管理ネットワークに接続する前に、 set virtual-network-function vnf-name no_default_interface コマンドを使用してVNFを設定する必要があります。

    eth0 と eth1 を含むすべての VNF インターフェイスは、内部またはアウトオブバンドの属性管理を持つことができます。ただし、接続されているすべてのインターフェイスのうち、1 つの VNF インターフェイスのみに、アウトオブバンド管理または内部管理を設定可能です。同じVNFインターフェイスに両方の属性値を指定することはできません。たとえば、eth5 は内部で管理し、eth0 は帯域外で管理できます。

  6. VNFインターフェイスのターゲットPCIアドレスを指定するには:

    ターゲットPCIアドレスを使用して、VNF内のインターフェイスの名前を変更したり、再編成したりできます。

    たとえば、LinuxベースのVNFでは、VNF内でudevルールを使用して、PCIアドレスに基づいてインターフェイスに名前を付けることができます。

    手記:

    • ターゲットの PCI アドレス文字列は、次の形式にする必要があります。

      0000:00:<slot:>:0これは domain:bus:slot:function の値です。スロットは、VNF インターフェイスごとに異なっている必要があります。domain、bus、および function の値は 0 でなければなりません。

    • VNFが 実行 状態のときは、VNFインターフェイスのターゲットPCIアドレスを変更できません。
  7. VNF インターフェイスを削除するには、次の手順を実行します。
    手記:

    • インターフェイスを削除するには、VNF を停止し、インターフェイスを削除してから、VNF を開始する必要があります。

    • 仮想機能をアタッチまたはデタッチした後、変更を有効にするには、VNF を再起動する必要があります。

    • eth0 と eth1 は、内部ネットワークおよびアウトオブバンド管理ネットワークに接続されたデフォルトの VNF インターフェイス用に予約されています。そのため、設定可能なVNFインターフェイス名はeth2から始まります。

    • VNF内では、ゲストOSの命名規則に基づき、インターフェイス名が異なっていてもかまいません。JDM で設定された VNF インターフェイスは、VNF 内で同じ順序で表示されない場合があります。

    • ターゲットPCIアドレスを使用して、JDMで設定されたVNFインターフェイスにマッピングし、それに応じて名前を付ける必要があります。

VNF 状態の管理

デフォルトでは、VNFはVNF設定のコミット時に自動的に開始されます。

  1. VNF 設定コミットで VNF の自動起動を無効にするには、次の手順を実行します。
  2. VNF を手動で起動するには、次の手順を実行します。
  3. VNF を停止するには、次の手順を実行します。
  4. VNF を再起動するには、次の手順を実行します。

VNF MACアドレスの管理

CLI を使用して定義された VNF インターフェイス、または init 記述子 XML ファイルで指定された VNF インターフェイスには、グローバルに一意で永続的な MAC アドレスが割り当てられます。MACアドレスの割り当てには、64個のMACアドレスの共通プールが使用されます。共通プールで使用可能なMACアドレス以外のMACアドレスを設定でき、このアドレスは上書きされません。

  1. VNFインターフェイスに特定のMACアドレスを設定するには:
  2. VNFインターフェイスのMACアドレス設定を削除するには、次の手順に従います。
手記:

  • VNF インターフェイスの MAC アドレスを削除または変更するには、VNF を停止し、必要な変更を行ってから、VNF を開始する必要があります。

  • VNFインターフェイスに指定するMACアドレスは、システムMACアドレスまたはユーザー定義MACアドレスのいずれかです。

  • システム MAC アドレス プールから指定された MAC アドレスは、VNF インターフェイスで一意である必要があります。

MTU の管理

最大送信単位(MTU)は、断片化せずに転送できる最大のデータ単位です。MTU サイズとして 1500 バイトまたは 2048 バイトのいずれかを設定できます。デフォルトの MTU 値は 1500 バイトです。

手記:

MTU 設定は、VLAN インターフェイスでのみサポートされています。
  1. VNF インターフェイスで MTU を設定するには、次の手順に従います。
    手記:

    VNF がホットプラグ機能をサポートしていない場合は、MTU の設定後に VNF を再起動する必要があります。
  2. VNF インターフェイスの MTU を削除するには、次の手順を実行します。
    手記:

    MTUを削除すると、VNFインターフェイスのMTUは1500バイトにリセットされます。
手記:

  • MTU サイズは 1500 バイトまたは 2048 バイトです。

  • システムで設定できるOVS上のVLANインターフェイスの最大数は20です。

  • VNF インターフェイスの MTU の最大サイズは 2048 バイトです。

JDM からの VNF へのアクセス

SSH または VNF コンソールを使用して、JDM から VNF にアクセスできます。

  1. SSH を使用して VNF にアクセスするには、次の手順を実行します。
  2. 仮想コンソールを使用して VNF にアクセスするには、次の手順を実行します。
手記:

  • ctrl-] で仮想コンソールを終了します。

  • コマンドの実行にTelnetセッションを使用しないでください。

VNF リストの表示

VNF のリストを表示するには:

VNF の Liveliness 出力フィールドは、VNF の IP アドレスが JDM から到達可能か不可能かを示します。ライブ性ブリッジのデフォルト IP アドレス 192.0.2.1/24。

VNF の詳細の表示

VNF の詳細を表示するには、次の手順を実行します。

VNF の削除

VNF を削除するには、次の手順を実行します。

手記:

VNF イメージは、VNF を削除した後もディスクに残ります。

VNF コンソールへの非ルート ユーザー アクセス

Junos OSを使用して、NFXシリーズルーターでVNFを作成、変更、または削除できます。

Junos OS CLIでは、VNFに対して以下の管理操作が可能です。

表 5:VNF 管理操作

操作

CLI

始める

request virtual-network-functions <vnf-name> start

止める

request virtual-network-functions <vnf-name> stop

再起動

request virtual-network-functions <vnf-name> restart

コンソールアクセス

request virtual-network-functions <vnf-name> console [force]

SSH アクセス

 request virtual-network-functions <vnf-name> ssh [user-name <user-name>]

Telnet アクセス

 request virtual-network-functions <vnf-name> ssh [user-name <user-name>]

表 6 に、VNF 管理オプションのユーザー アクセス権限を示します。

表 6:Junos OS 24.1R1 より前の VNF 管理操作に対するユーザー アクセス許可

操作

root クラスユーザー

super-user クラスユーザー

operator クラスユーザー

read-only クラスユーザー

始める

コマンドが利用可能で動作します

コマンドが利用可能で動作します

コマンドが使用できません

コマンドが使用できません

止める

コマンドが利用可能で動作します

コマンドが利用可能で動作します

コマンドが使用できません

コマンドが使用できません

再起動

コマンドが利用可能で動作します

コマンドが利用可能で動作します

コマンドが使用できません

コマンドが使用できません

コンソールアクセス

コマンドが利用可能で動作します

コマンドが利用可能です。ただし、サポートされていません

コマンドが使用できません

コマンドが使用できません

SSH アクセス

コマンドが利用可能で動作します

コマンドが利用可能です。ただし、サポートされていません

コマンドが使用できません

コマンドが使用できません

Telnet アクセス

コマンドが利用可能で動作します

コマンドが利用可能です。ただし、サポートされていません

コマンドが使用できません

コマンドが使用できません

Junos OS 24.1R1以降、Junos OS CLIでは、root以外のユーザーのVNFに対する管理操作が可能です。

新しいJunos OSユーザーパーミッションvnf-operationrootおよびsuper-userクラスに属さないJunos OSユーザーがrequest virtual-network-functionsCLI階層を使用できるようになります。

このユーザーパーミッションをカスタムユーザークラスに追加するには、次の場所にあるステートメント vnf-operation を使用します。 [edit system login class custom-user permissions]

表 3 は、 vnf-operation パーミッションを持つカスタム Junos OS ユーザー クラスに属するユーザーが使用できる VNF 管理オプションを示しています。

表 7: Junos OS 24.1R1 以降の VNF 管理操作用のユーザー アクセス許可。

操作

root 利用者

super-user クラスユーザー

vnf-operationパーミッションを持つカスタムJunos OSユーザークラスのユーザー

始める

コマンドが利用可能で動作します

コマンドが利用可能で動作します

コマンドが利用可能で動作します

止める

コマンドが利用可能で動作します

コマンドが利用可能で動作します

コマンドが利用可能で動作します

再起動

コマンドが利用可能で動作します

コマンドが利用可能で動作します

コマンドが利用可能で動作します

コンソールアクセス

コマンドが利用可能で動作します

コマンドが利用可能で動作します

コマンドが利用可能で動作します

SSH アクセス

コマンドが利用可能で動作します

コマンドが利用可能で動作します

コマンドが利用可能で動作します

VNF コンソールへのアクセス

Junos OS 24.1R1以降、コンソールに初めてアクセスすると、次のメッセージが表示されます。

メッセージ Trying 192.168.1.1... Connected to 192.168.1.1. は、Junos OS CLI コマンド request virtual-network-functions <vnf-name> consoleを使用して起動される telnet クライアントから送信されます。

手記:

メッセージ内に存在する IP アドレスを VNF の名前に置き換えることはできません。

VNF コンソールの終了

Junos OS 24.1R1 以降、ユーザーがエスケープ シーケンスを使用すると、 ^] コンソール セッションは終了し、telnet コマンド プロンプトがユーザーに表示されます。

quitまたはcloseを入力するか、qまたはcを入力して、ターミナルコマンドプロンプトを終了し、コマンドプロンプトに戻る必要がありますJunos OS。

NFX250プラットフォームでvSRX仮想ファイアウォールVNFを作成する

vSRX仮想ファイアウォールは、仮想化されたプライベートクラウドまたはパブリッククラウド環境でセキュリティとネットワークサービスを提供する仮想セキュリティアプライアンスです。NFX250プラットフォーム上で仮想ネットワーク機能(VNF)として実行できます。vSRX仮想ファイアウォールの詳細については、ジュニパーネットワークスのWebサイト( https://www.juniper.net/)にある製品ドキュメントのページを参照してください。

Juniper デバイスマネージャー(JDM)コマンドラインインターフェイスからvSRX仮想ファイアウォールVNFをアクティブ化するには、次の手順に従います。

  1. hugepages メモリを割り当てます。
  2. vSRX仮想ファイアウォールVNFインターフェイスに必要なVLANを定義します。例えば:
  3. vSRX仮想ファイアウォールのVNFインターフェイスに必要なグルーVLANを定義します。例えば:
  4. vSRX仮想ファイアウォールイメージでvSRX仮想ファイアウォールVNFを定義します。例えば:
  5. (オプション)カスタム設定を含むグループで、vSRX仮想ファイアウォールVNFを作成します。例えば:
  6. vSRX仮想ファイアウォールのVNFインターフェイスをVLANまたはグルーVLANにマッピングします。例えば:
  7. vSRX仮想ファイアウォールVNFインターフェイスのモードを指定します。インターフェイス モードは、アクセスまたはトランクモードのいずれかです。例えば:
  8. vSRX仮想ファイアウォールVNFインターフェイスのメディアの最大送信単位(MTU)サイズをバイト単位で指定します。MTU サイズは 1500 バイトまたは 2048 バイトです。例えば:
  9. VNF インターフェイスのターゲット PCI アドレスを指定します。例えば:
  10. CLI プロンプトで commit コマンドを入力して、vSRX仮想ファイアウォール VNF をアクティブにします。
  11. ISO を CD-ROM デバイスとして vSRX仮想ファイアウォールに接続し、vSRX仮想ファイアウォールを起動します。
    手記:

    vSRX仮想ファイアウォールインスタンスが実行されている場合は、CD-ROMから新しい設定が適用されるように、インスタンスを再起動する必要があります。

  12. (オプション)カスタムブートストラップ構成でvSRX仮想ファイアウォールVNFを作成するには、構成ファイル juniper.conf でISOイメージを作成します。
    手記:

    構成ファイルの名前がjuniper.confであることを確認します。
  13. vSRX仮想ファイアウォールVNFが正しく開始されたかどうかを確認します。JDM cli または Linux virsh コマンドを使用して確認できます。

    Linux の virsh コマンドの使用

    vSRX仮想ファイアウォールVNFがアクティブであることがわかります。

  14. vSRX仮想ファイアウォールへのSSH接続は、show出力のlivelinesがステータス aliveを示している場合、つまり、bootstrap iso configを使用してvSRX仮想ファイアウォールのfxp0インターフェイスでDHCPを有効にし、内部管理IPアドレスを取得した場合のみ機能します)。vSRX仮想ファイアウォールVNFのライブ性ステータスが downの場合は、 vSRX VNFの内部管理IP アドレスの設定を参照してください。

    vSRX仮想ファイアウォール VNF にログオンするには、 run ssh vsrxコマンドを入力します。

  15. (オプション)vSRX仮想ファイアウォールVNFの詳細を確認します。

NFX250でvMX仮想ルーターをVNFとして設定する

vMXルーターは、ジュニパーのMXシリーズ5Gユニバーサルルーティングプラットフォームの仮想バージョンです。NFX250プラットフォームでvMXを仮想ネットワーク機能(VNF)として設定すると、物理インフラストラクチャとサービスを迅速に移行できます。vMX の設定と管理の詳細については、「vMX の概要」を参照してください。

VNFを設定する前に、システムインベントリをチェックし、必要なリソースが利用可能であることを確認してください。VNF としての vMX は、リソース要件がシステムの使用可能な容量を超えないように設計および構成する必要があります。NFX250に最低20GBの空き容量があることを確認します。

Juniper デバイスマネージャー(JDM)コマンドラインインターフェイス(CLI)を使用して、NFX250上でvMXをVNFとして設定するには、次の手順に従います。

  1. vmx-nested-< release>.qcow2 で入手できるネストされたイメージをダウンロードします。.
  2. vMX VNF インターフェイスに必要な VLAN を定義します。例えば:
  3. vMX VNF インターフェイスに必要なグルー VLAN を定義します。例えば:
  4. vMXイメージでVNFのvMXを定義します。例えば:

    user@host# set virtual-network-functions vmx image /var/third-party/images/vmx-nested-<release>.qcow2

  5. VNF が使用できる最大プライマリ メモリを指定します。最適なパフォーマンスを得るには、5 GB以上のメモリで を構成することをお勧めします。

    user@host# set virtual-network-functions vmx memory size < n>

  6. 仮想マシンの CPU あたりのコア数を指定します。vMX VNF には、最低 4 つの仮想 CPU コアが必要です。

    user@host# set virtual-network-functions vmx virtual-cpu count < n> features hardware-virtualization

  7. 構成パラメーターを格納するデータ ドライブを追加します。

    user@host# set virtual-network-functions vmx storage vdc type disk file-type vmx-nested-< release>.qcow2

  8. vMX VNFインターフェイスをVLANまたはグルーVLANにマッピングします。

    user@host# set virtual-network-functions vmx interfaces eth2 description wan0

    user@host# set virtual-network-functions vmx interfaces eth2 mapping vlan members < vlan>

    user@host# set virtual-network-functions vmx interfaces eth3 description wan1

    user@host# set virtual-network-functions vmx interfaces eth3 mapping vlan members < vlan>

  9. CLI プロンプトで commit コマンドを入力して vMX VNF をアクティブにします。

    user@host# コミット

  10. NFX250でvMX VNFが正しく設定されているかどうかを確認します。

    root@jdm# run show virtual-network-functions

    virsh を使用する場合は、

    これは、vMX VNF がアクティブであることを示しています。

  11. NFX250でvMX VNFが正しく設定されているかどうかを確認します。

    vMX VNF をアップグレードするには、VNF 構成を無効にし、 /var/third-party/images/vmx-nested-< release>.qcow2 の場所にコピーされた新しいイメージを選択します。VNF 設定を再度有効化します。

  12. インバンド管理ネットワーク接続の場合、割り当てられた管理ポートはfxp0です。アウトオブバンド管理には、ge-0/0/0が使用され、WANインターフェイスにはge-0/0/1が使用されます。

NFX250の仮想ルートリフレクタの概要

仮想ルート リフレクタ(vRR)機能を使用すると、64 ビット Intel ベースのブレード サーバまたはアプライアンスで実行できる汎用仮想マシンを使用してルート リフレクタ機能を実装できます。ルートリフレクタはコントロールプレーンで動作するため、仮想化環境でも実行できます。Intel ベースのブレード サーバーまたはアプライアンス上の仮想ルート リフレクターは、ルーター上のルート リフレクターと同じように機能し、フルメッシュ内部 BGP ピアリングに代わるスケーラブルな代替手段を提供します。

Junos OS リリース 17.3R1 以降では、NFX250 ネットワーク サービス プラットフォームに仮想ルート リフレクタ(vRR)機能を実装できます。ジュニパーネットワークスNFX250ネットワークサービスプラットフォームは、ジュニパーネットワークスNFX250デバイスで構成されています。これは、仮想化ネットワークおよびセキュリティサービスをオンデマンドで提供する、ジュニパーネットワークスのセキュアで自動化されたソフトウェアドリブンの顧客宅内機器(CPE)デバイスです。NFX250デバイスは、仮想マシン(VM)のライフサイクルやデバイス管理、およびその他の多くの機能にJunosデバイスマネージャー(JDM)を使用します。JDM CLIは、見た目がJunos OS CLIと似ており、Junos OS CLIと同じ付加価値機能を提供します。

手記:

  • vRR Junos OS リリース 20.1R1 以降、Linux ブリッジ(LB)モードと拡張オーケストレーション(EO)モードの両方が vRR でサポートされています。EO モードで vRR VNF をインスタンス化することを推奨します。

  • NFX250 デバイスでの LB モードのサポートは、NFX Junos OS リリース 18.4 で終了しました。

  • NFX250デバイスでのNFX-2ソフトウェアアーキテクチャのサポートは、NFX Junos OS リリース19.1R1で終了しました。

  • NFX ホスト リリース 21.4R2 および vRR Junos OS リリース 21.4R2 以降では、NFX250 NextGen デバイスに vRR VNF を展開できます。vRR では、拡張オーケストレーション(EO)モードのみがサポートされます。

vRR のメリット

vRR には以下のメリットがあります。

  • 拡張性:vRR 機能を実装することで、機能が実行されるサーバ コア ハードウェアに応じて、拡張性が向上します。また、ネットワーク内の複数の場所に仮想ルートリフレクタを実装できるため、低コストでBGPネットワークを拡張することができます。NFX250のIPv4ルートでのRIB(ルーティング情報ベース)の最大スケールは2,000万です。

  • より迅速で柔軟な導入:オープン ソース ツールを使用して Intel サーバーに vRR 機能をインストールするため、ルーターのメンテナンスの手間が省けます。

  • 省スペース:ハードウェアベースのルートリフレクタには、中央オフィスのスペースが必要です。仮想ルートリフレクタ機能は、サーバーインフラストラクチャまたはデータセンターで利用可能な任意のサーバーに展開できるため、スペースを節約できます。

vRRの詳細については、 仮想ルートリフレクタ(vRR)のドキュメントを参照してください。

NFX250 での vRR のソフトウェア要件

NFX250でvRRをサポートするには、次のソフトウェア コンポーネントが必要です。

  • Juniper デバイスマネージャー:Juniper デバイスマネージャー(JDM)は、仮想マシン(VM)のライフサイクル管理、デバイス管理、ネットワークサービスオーケストレーターモジュール、サービスチェイニング、およびvSRX仮想ファイアウォール、vJunos、そしてVNFとしてのvRRを含むVNFへの仮想コンソールアクセスをサポートする、省スペースのLinuxコンテナです。

  • Junosコントロールプレーン:Junosコントロールプレーン(JCP)は、ハイパーバイザー上で動作するJunos VMです。JCP を使用して NFX250 デバイスのネットワーク ポートを構成でき、JCP はデフォルトで NFX250 上で vjunos0 として実行されます。SSHサービスを使用してJDMからJCPにログオンでき、コマンドラインインターフェイス(CLI)はJunosと同じです。

NFX250でvRRをVNFとして設定する

vRR は、Linux ブリッジ(LB)モードまたは 拡張オーケストレーション(EO)モードのいずれかの方法で、VNF として設定できます。

Linux ブリッジ モードでの NFX250 上の vRR VNF の設定

vRR 用の Junos デバイス マネージャ(JDM)の設定

デフォルトでは、NFX250 の電源がオンになると、Junos Device Manager(JDM)仮想マシンが起動します。デフォルトでは、拡張オーケストレーションモードは JDM で有効になっています。vRR の設定中に、拡張オーケストレーション モードを無効にし、インターフェイスの設定を削除して、NFX デバイスを再起動します。

Junos Device Manager(JDM)仮想マシンを vRR 用に構成するには、次の手順を実行します。

  1. 設定モードで、[edit] 階層レベルで、拡張オーケストレーションを無効にします。デフォルトでは、拡張オーケストレーションモードは JDM で有効になっています。
  2. インターフェイス設定を削除します。
  3. JDM の root パスワードを設定します。
  4. commit コマンドを使用して設定をコミットし、システムを再起動して設定を有効にします。
  5. システムの再起動後、デフォルトのブリッジ構成が JDM で使用可能になります。JDM の root パスワード、管理ポートの IP を設定し、デフォルトルートを追加します。
    手記:

    システムの再起動後、グループ groups1604-configs が設定に存在しない場合は、デフォルトのブリッジ設定が JDM で使用できるように、グループを含めます。

管理 IP が設定されていることを確認

目的

管理 IP アドレスが正しく設定されていることを確認します。

アクション

設定モードから、 show interface コマンドを入力します。

デフォルト ルートが設定されていることを確認する

目的

既定のルートが DNS およびゲートウェイ アクセス用に構成されていることを確認します。

アクション

設定モードから、 show route コマンドを入力します。

vRR 向け Junos コントロール プレーン(JCP)の設定

デフォルトでは、NFX250の電源がオンになると、Junosコントロールプレーン(JCP)仮想マシンが起動します。JCP 仮想マシンは、NFX250 デバイスのフロント パネル ポートを制御します。VLAN は、 sxe ポートを使用して、仮想ルート リフレクタ VM インターフェイスと JCP VM 間のブリッジングを提供します。フロント パネルのポートは、VRR ポートの同じ VLAN ブリッジングの一部として設定されます。その結果、パケットは、vRR VNFポートではなく、JCP間のブリッジングポートを使用して送信または受信されます。

vRR の JCP を設定するには、次の手順を実行します。

  1. 動作モードで、JCP 仮想マシンに接続します。
  2. vRR VNF ポートと同じ VLAN ブリッジングで、フロント パネル ポートを設定します。この例では、フロント パネル ポート、 ge-0/0/1ge-0/0/10、および xe-0/0/12 が、vRR VNF インターフェイス、 em1em2、および em3にマッピングされています。 ge-0/0/1 (フロント パネル ポート)は sxe-0/0/0 (内部インターフェイス)にマッピングされ、内部インターフェイスは em1 (vRR VNF インターフェイス)にマッピングされます。これらはすべて同じVLAN(VLAN ID 100)の一部です。
  3. VLAN を設定し、物理インターフェイスとサービス インターフェイスを同じ VLAN のメンバーとして追加します。この例では、3つのVLAN(100、101、102)があります。
  4. MTUを設定します。
    手記:

    JCP および vRR VNF インターフェイスで設定できる最大 MTU は 1518 バイトです。
  5. インターフェイスのマッピングが正しく設定されていることを確認します。

vRR の起動

vRR イメージ アーカイブの一部である XML 構成テンプレートを使用して、vRR VNF を仮想ネットワーク機能(VNF)として起動できます。

  1. vRR VNF を起動するには、 virsh コマンドを使用して仮想マシン名を指定します。

    ここで、vrrvrr.xmlで指定されているvirshドメイン名です。

  2. この例のように、2つの仮想CPUと2つのVNFインターフェイス(em2、em3)でサイズ24GBのVRR VNFを作成するには、この設定例を使用できます。
    手記:

    vRR VNF を作成するには、hugepages ではなくデフォルトのメモリ割り当てモードを使用します。

JDM からの vRR VNF のライブ性検出の有効化

VNF のライブ性は、VM の IP アドレスが Junos デバイス マネージャー(JDM)からアクセス可能かどうかを示します。VM のライブ性がダウンしている場合は、VM が JDM から到達できないことを意味します。 show virtual-machines コマンドを使用して、VM のライブ状態を表示できます。デフォルトでは、vRR VNF のライブ性はダウンと表示されます。vRR VNF を作成する前に、JDM でライブ性検出を有効にすることをお勧めします。

JDM からの vRR VNF のライブ性検出を有効にするには、次の手順を実行します。

  1. JDM からの vRR VNF のライブ性検出を確認するには、次のコマンドを発行します。
    手記:

    デフォルトでは、vRR VNF のライブ性はダウンと表示されます。JDM から vRR VNF のライブ性検出を有効にする必要があります。
  2. vRR VNF インターフェイスのネットワーク インターフェイス設定を変更して、内部ブリッジ( virbr0)を備えたダミー インターフェイスを作成します。 VM テンプレートのスタンザを次のように記述します。 busslotfunction 情報などのPCIの詳細は、既存のインターフェイスの任意の実行中の次の番号、特にスロット番号に基づくことができます。

    これは、ネットワーク インターフェイス設定の例です。

    設定を次のように変更する必要があります。

    設定を変更するときは、次のことを確認してください。

    • インターフェイスタイプは 'bridge'です。

    • モデル タイプは、VLAN サブインターフェイスの問題を回避するために e1000 されています。

    • アドレスの PCI リソースは、この VM に対して一意です。

  3. virbr0 インターフェイスに関連付けられている MAC アドレスを特定するには、virsh dumpxml vrr-vm-name コマンドを使用します。

    これは、vRR VNF によって virbr0 インターフェイスに割り当てられた MAC アドレスです。

  4. virbr0インターフェイスに接続された vRR VNF インターフェイスに IP アドレスを割り当てるには、内部ネットワークの一部である IP を使用する必要があります。この例では、vRR VNF によって割り当てられた MAC アドレス(52:54:00:c4:fe:8d)が、vRR VNF の em4 インターフェイスに関連付けられています。そのため、このステップに示すように、IPアドレスを使用してem4インターフェイスを構成する必要があります。

    この例で vRR VNF によって割り当てられた MAC アドレスは、 em4 インターフェイスに関連付けられています。

  5. Junos Device Manager(JDM)で、/ etc/hosts ファイルを IP アドレスと vRR VNF 名で更新します。
    手記:

    /etc/hosts ファイルを更新するときは、IP アドレスと vRR VNF 名の間にスペースを含めます。タブスペースは含めないでください。
  6. JDM から vRR VNF の IP アドレスに ping を実行して、内部ブリッジ virbr0 が JDM からアクセス可能であることを確認します。
  7. JDM からの vRR VNF のライブ性検出を確認するには、次のコマンドを発行します。

    これで、vRR VNF のライブ性ステータスがアライブとして表示されます。

拡張オーケストレーション モードでの NFX250 上の vRR VNF の設定

vRR VNF を構成する前に、システム インベントリを確認し、 show system visibility コマンドを使用して必要なリソースが使用可能であることを確認してください。 VNF としての vRR は、リソース要件がシステムの使用可能な容量を超えないように設計および設定する必要があります。

XML記述子ファイルを使用せず、JDM CLI構成を使用することで、拡張オーケストレーション(EO)モードでvRR VNFをインスタンス化できます。EOモードでは、インターフェイスをブリッジングするためのNFVバックプレーンとしてOpen vSwitch(OVS)を使用します。

Juniper デバイス マネージャ(JDM)CLI から vRR VNF をアクティブ化するには、次の手順を実行します。

  1. qcow2.img vRR イメージを /var/third-party/images/ フォルダにダウンロードします。
  2. vRR VNF を定義します。例えば:
  3. vSRX仮想ファイアウォールVNFインターフェイスに必要なVLANを定義します。例えば:
  4. 巨大なページをvRR VNFのメモリとして割り当てる。例えば:
  5. vRR VNF に必要な仮想 CPU の数を指定します。少なくとも 2 つの仮想 CPU を vRR VNF に割り当てることをお勧めします。例えば:
  6. 仮想 CPU を物理 CPU に接続します。例えば:
  7. vRR インターフェイス(eth2)の最大送信単位(MTU)を設定します。例えば:
  8. LAN側の内部面インターフェイスをトランク ポートとして設定し、LAN側VLANに追加します。例えば:
  9. vRR インターフェイス(eth3)の最大送信単位(MTU)を設定します。例えば:
    手記:

    MTU サイズは 1500 バイトまたは 2048 バイトです。
  10. LAN側の内部面インターフェイスをトランク ポートとして設定し、LAN側VLANに追加します。例えば:
  11. vRR VNF のメモリ割り当てを指定します。少なくとも 4 GB のメモリを vRR VNF に割り当てることを推奨します。例えば:
  12. メモリ要件に合わせて hugepages を構成します。例えば:
  13. 設定をコミットして、vRR VNF を有効にします。例えば:

    設定をコミットした後、VNF の起動に時間がかかります。最初のインタフェース(em0)には、JDMからDHCPによって自動的にIPアドレスが与えられます。

  14. VNFが起動していることを確認します。例えば:
  15. (オプション)vRR VNF の詳細を確認します。例えば:

クロスコネクトの設定

クロスコネクト機能により、OVSに接続された任意の2つのOVSインターフェイス(VNFインターフェイスなど)と物理インターフェイス(hsxe0、hsxe1など)の間でトラフィックを切り替えることができます。任意の 2 つの OVS インターフェース間で、すべてのトラフィックまたは特定の VLAN に属するトラフィックのいずれかを双方向に切り替えることができます。

手記:

この機能は、単方向のトラフィック フローをサポートしていません。

クロスコネクト機能は、以下をサポートします。

  • すべてのネットワーク トラフィックに対応する 2 つの VNF インターフェイス間の無条件クロスコネクト。

  • VNF インターフェイス間の VLAN ベースのトラフィック転送は、次の機能をサポートします。

    • VLAN ID に基づいてトラフィックを切り替えるオプションを提供します。

    • トランクからアクセス ポートへのネットワーク トラフィック フローをサポートします。

    • アクセスからトランク ポートまでのネットワーク トラフィック フローをサポートします。

    • VLAN PUSH、POP、およびSWAP操作をサポートします。

クロスコネクトを設定するには:

  1. VLANを設定します。
  2. VNFを設定します。
  3. クロスコネクトを設定します。

    • VLAN ベースのクロスコネクトを設定します。

    • 無条件クロスコネクトを設定する

    • VLAN SWAP操作を有効にしてクロスコネクトを設定します。

    • VLAN PUSHまたはPOP操作を有効にしてクロスコネクトを設定します。

    • クロスコネクトでのネイティブVLANトラフィックの設定

アナライザ VNF とポートミラーリングの設定

ポートミラーリング機能により、ネットワークトラフィックを監視できます。この機能が VNF インターフェイスで有効になっている場合、OVS システム ブリッジは、分析のためにその VNF インターフェイスのすべてのネットワーク パケットのコピーをアナライザ VNF に送信します。ネットワークトラフィックの分析には、ポートミラーリングまたはアナライザJDMコマンドを使用できます。

手記:

  • ポートミラーリングは、OVS システム ブリッジに接続された VNF インターフェイスでのみサポートされています。

  • VNF インターフェイスは、ポートミラーリング オプションを設定する前に設定する必要があります。

  • 設定後にアナライザ VNF がアクティブになった場合、変更を有効にするには VNF を再起動する必要があります。

  • アナライザルールには、最大 4 つの入力ポートと 1 つの出力ポートのみを設定できます。

  • 出力ポートは、すべてのアナライザ ルールで一意である必要があります。

  • 入力VNFインターフェイスの設定を変更した後、アナライザVNFの再起動とともに、それを参照するアナライザルールを無効化してから有効にする必要があります。

アナライザ VNF を設定し、ポートミラーリングを有効にするには、次の手順を実行します。

  1. アナライザVNFを設定します。
  2. VNFインターフェイスとアナライザVNFの入力ポートと出力ポートで、ネットワークトラフィックのポートミラーリングを有効にします。

関連資料

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
17.3R1
Junos OS リリース 17.3R1 以降では、NFX250 ネットワーク サービス プラットフォームに仮想ルート リフレクタ(vRR)機能を実装できます。