Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

仮想Mist Edgeアプライアンスを設定する方法

この章では、仮想Mist Edgeアプライアンスを設定するために実行する概要とさまざまなタスクについて説明します。

仮想Mist Edgeの概要

VMware上でJuniper Mist Edgeをハイパーバイザーとして実行し、ジュニパーのMist Edgeアプライアンスを仮想マシン(VM)として使用して、仮想Mist Edgeアーキテクチャを実装できます。

Mist Edge仮想マシンのハードウェア仕様

Mist Edge VMを実装するための最小ハードウェア要件は次のとおりです。

表1:Mist Edge VMのハードウェア仕様
ハードウェアコンポーネント の数量または容量
CPU

vCPU x 4
RAM

32GB
ハードディスク

100 GB(シックプロビジョニング済み)
NIC

3つの仮想NIC

  • サポートされているVMwareハイパーバイザー—VMware ESXi、テスト済みバージョン:6.7.0、7.0

  • CPUサポート—ジュニパー Mist Edgeには、CPUから1G HugePagesサポートが必要です。したがって、サポートされる最小CPUはIntel Haswellファミリー以上です。ジュニパー Mist Edgeは、古いIntel CPUまたはAMD CPUでは動作しません。

  • NICサポート—ジュニパーMist Edgeには、データプレーン開発キット(DPDK)のサポートが必要です。お使いのNICがサポートされているかどうかを確認するには、 https://core.dpdk.org/supported/nics/intel/ を参照してください。

  • 優先NIC—Intel x520デュアルポート10GbE SFP+、Intel i350デュアルポート1GbE、rNDC Qlogicクアッドポート10GbE SFP+、rNDC Intel i350

注:

ジュニパーのMist営業チームに連絡し、インストール用のMist Edge ISOファイルへのリンクを入手してください。

仮想ネットワークインターフェイス

ジュニパー Mist Edgeには、次の3つの仮想NICインターフェイスが必要です。

  • OOBM(アウトオブバンド管理)ポートグループ—ジュニパー Mist EdgeをジュニパーMist™クラウドおよびRadiusプロキシサービスに接続します。

  • ダウンストリーム(トンネルIP)ポートグループ—Mistアクセスポイント(AP)からのMistトンネル(L2TPv3またはIPSEC)の確立を許可します。

  • アップストリームポートグループ—クライアント用に拡張する必要があるすべてのVLANを持つ有線ネットワークにアップリンクします。

次の図は、仮想 NIC インターフェイスを示しています。

Virtual Network Interfaces

ファイアウォールポートの要件

以下の接続を許可するようにファイアウォールを構成します。

  • OOBM インターフェイスには、TCP ポート 443 の ep-terminator.mistsys.net または ep-terminator.eu.mistsys.net(EU AWS 環境向け)へのアウトバウンドアクセスが必要です。

  • トンネル IP インターフェイスは、UDP ポート 1701(非 IPsec キャンパスまたは支社/拠点のユース ケース)での受信トラフィックを許可する必要があります。

  • IPsec暗号化を使用したリモートテレワーカーのユースケースでは、トンネルIPインターフェイスがUDPポート500およびUDPポート4500の受信トラフィックを許可する必要があります。また、ファイアウォールは、外部からトンネルのIPアドレスへのポート変換を実行する必要があります。

  • Dot1x RadSecプロキシ実装のリモートユーザーの場合、OOBMインターフェイスはRADIUSサーバーにアクセスできる必要があります。また、ファイアウォールは、TCPポート2083でトンネルIPアドレスに向けてポート変換を実行する必要があります。

  • 適切なインストールと機能を確保するために、ファイアウォールを介して以下のドメインにアクセスできることを確認します。

    • *.mistsys.net

    • *.debian.org

VMwareポートグループ

VMwareでは、ジュニパー Mist Edge用に3つのポートグループを設定できます。ポートグループを個々のvSwitchやdvSwitch、あるいは物理NICに実際にバインドしていても、関係ありません。顧客やネットワークの要件に基づいて、ポートグループのバインディングを個々のvSwitchやdvSwitch、または物理NICに適応させることができます。

次の図は、仮想Mist Edgeのポートグループを示しています。

図1:VMwareポートグループVMware Port Groups

例:Mist Edge VMの導入

この章では、Mist Edge仮想マシンを展開する方法について説明します。

VMwareポートグループを設定する

このトピックでは、ジュニパー Mistポートグループの設定について、例を挙げて説明します。

OOBMポートグループ

この例では、VMware側の VLAN ID が0に設定されているのに対し、スイッチポート上の実際のタグなしVLANは5に設定されています。

OOBM Port Group

トンネルIPポートグループ

この例では、アクセスポイント(AP)からの受信トンネル接続は、このトンネルIPポートグループに着陸します。

図2:トンネルIPポートグループ Tunnel IP Port Group

アップストリームポートグループ

アップストリームポートをトランクとして設定して、すべてのVLANにタグを付けることができます。基本的な vSwitch を実行している ESXi には、すべての VLAN に自動的にタグが付けられる 4095 の VLAN ID があります。大規模なvCenter導入のdvSwitchにより、VLAN範囲を設定できます。

図3:アップストリームポートグループ Upstream Port Group

複数のアップリンクとLAG設定

VMware は静的または動的リンク アグリゲーションによる複数のアップリンクをサポートしていますが、 プロミスキャス モード のポート グループのデフォルトの動作では、ブロードキャスト トラフィックまたはレイヤー 2(L2)マルチキャスト トラフィックで問題が発生します。

デフォルトでは、VMware vSwitchまたはdvSwitchは、発信されたブロードキャストまたはマルチキャストフレームを、受信元を含むすべてのアップリンクにコピーします。ネットワーク上でループを発生させることなくクライアントトラフィックをトンネリングできるようにするには、この動作を無効にする必要があります。この変更は、VMware(ESXi または vCenter)で複数のアップリンクを使用する場合に必須です。

この動作を無効にする方法の詳細については、VMware KB 記事を参照してください

VMware ESXi ポータルでの ReversePathFwdCheckPromisc の有効化
  1. 「ナビゲータ」ウィンドウから、「システムの管理」>「詳細設定」>を選択します。
  2. 下にスクロールするか、検索バーを使用して Net.ReversePathFwdCheckPromis オプションに移動します。
  3. Net.ReversePathFwdCheckPromiscを選択し、編集オプションをクリックします。
  4. [ 編集] オプションの [Net.ReversePathFwdCheckPromisc ] ウィンドウで、[ New value ] フィールドを 1 に更新し、[ Save] をクリックします。
    注:

    設定を有効にするには、ゲストOSが プロミスキャスモード のオンとオフを切り替える必要があります。ゲストOSの再起動や、/Net/ReversePathFwdCheckPromisc設定を有効にした別のESXiホストへのvMotionなどの操作で十分です。この設定を有効にするために ESXi ホストを再起動する必要はありません。

VMWare ESXiポータルを使用してジュニパー Mist Edge VMを作成する

このトピックでは、ジュニパー Mistポータルからインストールイメージをダウンロードし、ジュニパー Mist Edge VMを作成する方法について説明します。

インストールイメージをダウンロードし、ジュニパー Mist Edge VMを作成するには:

  1. ジュニパー Mistポータルの左側のメニューから、[Mist Edges > Mist Edge Inventory] を選択します。
  2. [ Mist Edge Inventory]ペインで、[ Create Mist Edge]をクリックします。
  3. [Create Mist Edge] ページで、[add Mist Edge Name] フィールドに名前を入力し、[Model] ドロップダウンからモデルを選択します。仮想Mist Edgeでは、モデルとしてVMを選択します。
  4. リンクからインストールイメージとSHA256チェックサムをダウンロードします。
    注:

    インストールプロセスでは、これらの外部ソースからコンポーネントをダウンロードする必要があるため、インストールを続行する前に、ファイアウォールが *.mistsys.net ドメインと *.debian.org ドメインへのアクセスを許可していることを確認してください。
  5. チェックサムを検証します。
    Mac では、組み込みの SHASUM を使用して、ダウンロードしたインストール イメージの SHA256 チェックサムを生成できます。

    生成されたチェックサムは、ダウンロードしたチェックサムファイルの内容と一致させることができます。

    Windows PC では、MD5 または SHA256 ハッシュ アルゴリズム (とりわけ) を備えた組み込みツール certutil を使用して、ファイルの一意のチェックサムを確立できます。

  6. 次のスクリーンショットに示すように、VMWare ESXi ポータルで、ISO を VMware ストレージにアップロードします。
  7. 以下の設定でVMを作成します。

    この段階で、必ずすべてのネットワークインターフェイスを追加してください。E1000/E1000EではなくVMXNET3アダプタータイプを使用し、以下の順序でネットワークインターフェイスを追加します。

    1. OOBM(アウトオブバンド管理)

    2. トンネルIPインターフェイス

    3. アップストリームポート

    ジュニパー Mist Edgeに、異なるサブネットの2つのIPアドレスを設定します。1つはOOBM用、もう1つはトンネルIP用です。OOBM IPアドレスは、ジュニパーMistポータルのMist Edgeの詳細に入力する トンネルIP とは異なります。これは、動的ホスト制御プロトコル(DHCP)を介してOOBM IPアドレスを受け取るか、Mist Edge VMの起動時に割り当てた静的IPアドレスを受け取るかにかかわらず当てはまります。

  8. VM が作成されたら、[完了] をクリックして VM を起動します。
  9. Mist Edge仮想マシンの電源がオンになったら、インストールを選択します
    注:Mist Edge VMのインストール画面のデフォルト選択は [グラフィカルインストール]です。Mist Edge VMをインストールする場合は、選択を 「インストール」に変更し、 Enterキーを押します。

    Mist Edge VMは1、2分でインストールされ、mxedgeへのログインを求められます。

    VMのインストールは自動化されています。 インストール オプションを選択した後は、関与する必要はありません。

    Mist Edge VMにログインし、ジュニパー Mist™ クラウドに要求します。

ジュニパーMistポータルを使用してジュニパー Mist Edgeを展開する

この章では、ジュニパー Mist™ Edge を導入するために実行するさまざまなタスクについて説明します。

ジュニパー Mist Edgeを作成する

ジュニパー Mist Edgeアプライアンスを仮想マシン(VM)として使用して仮想Mist Edgeアーキテクチャを実装する場合は、ジュニパー Mistポータルからジュニパー Mist Edgeを作成する必要があります。

ジュニパー Mistポータルからジュニパー Mist Edgeを作成するには:

  1. ジュニパー Mist ポータルの左側のメニューから、[Mist Edges] > [Mist Edge Inventory] を選択します。
  2. [ Mist Edge Inventory]ペインで、[ Create Mist Edge]をクリックします。
  3. [Create Mist Edge] ページで、[add Mist Edge Name] フィールドに名前を入力し、[Model] ドロップダウンからモデルを選択します。仮想Mist Edgeでは、モデルとしてVMを選択します。
  4. リンクからインストールイメージとSHA256チェックサムをダウンロードします。
  5. チェックサムを検証します。
    Mac では、組み込みの SHASUM を使用して、ダウンロードしたインストール イメージの SHA256 チェックサムを生成できます。

    生成されたチェックサムは、ダウンロードしたチェックサムファイルの内容と一致させることができます。

    Windows PC では、MD5 または SHA256 ハッシュ アルゴリズム (とりわけ) を備えた組み込みツール certutil を使用して、ファイルの一意のチェックサムを確立できます。

  6. Mist Edgeインベントリページで、新しく作成されたジュニパー Mist Edgeを選択します。このページには、ジュニパー Mist Edgeで使用できる設定オプションが表示されます。

    トンネルIP設定は常に、アクセスポイントがトンネル接続(L2TPv3またはIPSec)を設定しようとする静的IPアドレスです。

    DHCP はデフォルトで OOBM(アウトオブバンド管理)IP を提供します。ポータルで静的OOBM IPを設定することもできますが、これはトンネルIPとは異なります。

  7. 登録コードをコピーして保存します。

仮想Mist Edgeのプロビジョニング

ジュニパー Mistポータルでジュニパー Mist Edgeを設定した後、ターミナルソフトウェアを使用して物理アプライアンスのコンソールインターフェイスに接続し、OOBM IPアドレスを設定できます。

Virtual Mist Edgeが初めて起動したら、以下の認証情報を使用してデバイスにログインします。

  1. ユーザー名とパスワードを入力します。

    デフォルトのユーザー名は mist、パスワードは Mist@1234 、デフォルトのroot(su-)パスワードは mistです。

  2. DHCP アドレスを設定します。DHCPが使用できない場合は、静的IPアドレスを設定します。
  3. プロキシURLを設定します。
  4. コマンドip a を発行して、現在の管理IPアドレスを取得します。
    OOBMインターフェイスは ens192です。
  5. SSHを使用して、ユーザー名mistでジュニパー Mist Edgeに接続します
    ssh mist@OOBM-IP。パスワードとして Mist@1234を入力します。
  6. コマンドsu-を発行してrootに切り替えます。パスワードとしてmistを入力します。
  7. デバイスを登録してMist Cloudにオンボーディングするには、CLIから次のコマンドを発行します。
    mist@mxedge:~$ su –
    Password: mist
    root@mxedge:~#
  8. アップデート後、デバイスを登録します。。
    次のコマンドを入力します。

    プロセスの最後に、次のメッセージが表示されます。

    プロセスが完了すると、ジュニパー Mist Edge が自動的に再起動します。現時点では、ジュニパー Mist Edge に接続するのに SSH は必要ありません。デバイスは、ジュニパー Mist クラウドから設定を取得します。

    再起動後、Mist Edgeインベントリページにジュニパー Mist Edgeが接続済みと表示されます。オレンジ色のドットは、デバイスの接続ステータスも示します。

Mistクラスターを作成し、Mist Edgeを割り当てる

ジュニパー Mistポータルでジュニパー Mist Edgeを作成したら、デバイスを Mistクラスター に追加する必要があります。クラスターは、単一のエッジデバイスまたは複数のエッジデバイスで構成できます。サイトレベルでMist Edgeのこのステップをスキップできます。

クラスターを作成するには:

  1. ジュニパー Mistポータルの左側のメニューから、[Mist Edges]を選択します。
    Mist Edgeクラスターページが表示されます。
  2. Mist Edge クラスターページで、クラスターの作成をクリックします
  3. Mistクラスターの作成ページで、クラスター名フィールドに名前を入力し、Select Mist Edgesフィールドで、クラスターに追加するエッジデバイスを選択します。
  4. 作成をクリックしてクラスターを作成します。

Mistトンネルの作成(組織レベル)

クラスターを作成したら、トンネルを設定し、トンネルをクラスターにバインドする必要があります。通常、トンネルは、企業ネットワークからAPに拡張するすべてのユーザーVLAN(クライアントVLAN)を一覧表示する場所です。

組織レベルでMistトンネルを作成するには:

  1. ジュニパー Mistポータルの左側のメニューから、[Mist Edges]を選択します。
  2. Mistトンネルペインで、Create Tunnelをクリックします。
    Mistトンネルページが表示されます。
  3. MistトンネルページのVLAN IDフィールドで、トンネルバックする必要があるすべてのユーザーVLANを指定します。リスト内のVLAN IDはカンマで区切ります。
  4. [クラスター] ペインで、前の「Mist クラスターの作成」で説明した手順を使用して作成したプライマリまたはセカンダリ Mist Edge クラスターにトンネルを割り当てます。プライマリクラスターまたはセカンダリクラスターフィールドで、ドロップダウンリストから必要なクラスターを選択します。ページの他のフィールドにデフォルトのエントリまたは選択を保持できます。
    Mist Edgeとトンネルをクラスターにマッピングすると、トンネル終了サービスがMist Edge上のクラウドからインスタンス化されます。
トンネルMTU設定を構成する

Mistトンネルを作成または構成する際に、MTU設定を指定して、トンネルのパフォーマンスを最適化できます。ジュニパー Mist Edge トンネルでは、2 種類の MTU 設定が使用されます。

  • 内部MTU:トンネル内のペイロードの最大送信単位サイズを定義します。

  • 外側 MTU: カプセル化されたパケット全体の最大送信単位サイズを定義します。

注:

システムは、トンネルカプセル化のオーバーヘッドに対応するために、MTU計算に50バイトのパッドを自動的に含めます。このパディングを考慮して MTU 設定を手動で下げる必要はありません。

編集できるのは外側のMTU値のみで、内側のMTU値は外側のMTU値に基づいて自動的に計算されます。

トンネル MTU 設定を構成するには:

  1. トンネルを作成または編集している Mistトンネル ページに移動します。

  2. MTUフィールドに、MTU値を入力します。

    デフォルトの MTU 設定は 1500 バイト(50 バイトのパッドを含む)です。

特定のネットワーク要件に対応するために MTU 設定を変更する必要がある場合:

  • ネットワークインフラストラクチャ全体でMTU値が一貫していることを確認してください。

  • 設定した MTU 値には、50 バイトのパッドがすでに含まれていることを覚えておいてください。

  • MTUを変更した後、接続をテストして、正しく動作することを確認します。

Mistトンネルの作成(サイトレベル)

ジュニパー Mist Edgeを申請したら、サイトに割り当てることができます。

サイトレベルでMistトンネルを作成するには:

  1. ジュニパー Mistポータルの左側のメニューから、組織>サイトの設定を選択し、目的のサイトを選択します。
  2. サイト設定ページで、目的のサイトのトンネルを追加するには、Add Tunnelをクリックします。
  3. トンネルの追加ページのVLAN ID(s)フィールドに、企業ネットワークからAPに拡張するすべてのユーザーVLANを入力します。リスト内のVLAN IDはカンマで区切ります。
  4. [プライマリクラスターを有効にする]を選択します。ホスト名IPフィールドに、APが通信するクラスターのIPアドレスまたは完全修飾ドメイン名(FQDN)を入力します。
    このクラスターIPアドレスは、ジュニパー Mist Edgeで設定したトンネルIPアドレスと同じです。
  5. 「保存」をクリックします。

WLANテンプレートの設定

WLANテンプレートは、WLANポリシー、トンネリングポリシー、WxLANポリシーの集合体です。複数のサービスセット識別子(SSID)で特定の設定を繰り返す代わりに、WLANテンプレートを使用すれば、一度設定すれば、そのテンプレートにAPをアタッチすることで、設定を自動的に継承することができます。APとWLANの両方が同じサイトに属している必要があります。

企業 SSID を有効にするには、WLAN テンプレートを使用する必要があります。WLANテンプレートを作成し、テンプレートの割り当てを次のために使用できます。

  • 特定のサイト、または Site-Groupにマッピングされた個々のサイトの集合。

  • 実際のオフィスサイトを含む組織全体が例外として追加されています。

WLANテンプレートを設定するには:

  1. ジュニパー Mistポータルの左側のメニューから、[組織]>[無線>WLANテンプレート]を選択します。
  2. WLANテンプレートページで、テンプレートの作成をクリックします。
  3. Template Nameフィールドにテンプレートの名前を入力します。作成をクリックします。名前が WLAN テンプレート リストに表示されます。
  4. 新しいテンプレートページで、[Entire Org]または[Sites and Site Groups]を選択して、テンプレートを組織またはサイトグループに割り当てます。
    図4:サイトとサイトグループに割り当てられたWLANテンプレート WLAN Template Assigned to Sites and Site Groups
    図5:組織全体に割り当てられたテンプレートWLAN、いくつかの例外 WLAN Template Assigned to Entire Organization with Some Exceptions
  5. WLANテンプレートページのWLANペインで、WLANの追加を選択します。
    WLANの作成ページが表示されます。
    1. WLANの作成ページでは、セキュリティ設定を指定できます。
    2. 必要に応じて、その他の設定を入力します。さまざまな WLAN 設定に関するヒントについては、「WLAN オプション」を参照してください。
    3. WLANの作成ページで、VLAN IDフィールドのジュニパー Mist Edgeを介してトンネリングするVLANの数を指定します。
      なお、ジュニパー®シリーズのハイパフォーマンスアクセスポイントは、タグなしVLANで設定されたWLANをトンネル化しません。導入タイプに応じてトンネリングされるAPを選択できます。
    4. 組織 レベルの導入の場合は、 WLANの作成 ページで、 カスタムフォワーディング先 を選択し、ドロップダウンリストから Mist を選択します。次に、 トンネルドロップダウン リストからトンネルプロファイルを選択します。このMistトンネルは、トンネルするVLANと同じである必要があります。
    5. WLANの作成ページで、サイトレベルの展開については、カスタムフォワーディング先を選択し、ドロップダウンリストからサイトエッジを選択します。
    6. 作成をクリックします。