計画および設計フェーズ

ネットワークアセスメント

ネットワーク評価フェーズは、ジュニパーの導入を成功させるための基礎となります。これには、現在のネットワーク環境の詳細な評価が含まれます。スイッチやケーブルなどの有線インフラストラクチャと、アクセスポイントとそのカバレッジなどの無線セットアップのインベントリと分析が含まれています。このフェーズでの主な考慮事項には、ユーザー密度と重要なアプリケーション要件(リアルタイムの音声とビデオ、大規模なデータ転送、IoTデバイス固有のニーズなど)の特定の要求を理解することが含まれます。現在のセキュリティポリシーとコンプライアンス義務を包括的に見直すことが不可欠です。既存のWAN接続とインターネットの出口ポイントも評価する必要があります。これにより、ジュニパーのソリューションはスムーズに統合され、パフォーマンスの期待に応え、組織のセキュリティ体制に適合します。

現在のネットワークインフラストラクチャを理解するため、分析で次の各カテゴリの質問に答えていることを確認してください。

• 既存のスイッチの場合
  • 各拠点にある既存のスイッチのメーカー、モデル、数量について教えてください。
  • これらのスイッチで実行されている現在のファームウェアまたはOSバージョンは何ですか?
  • 既存のスイッチングインフラストラクチャの使用年数と保証ステータスはどのようなものですか?
  • スイッチはレイヤー2ですか、それともレイヤー3ですか?L3の場合、どのようなルーティング機能がありますか?
  • 主要なスイッチ(コア、アグリゲーション、アクセスなど)の現在のポート使用率はどのくらいですか?
  • 何らかの高可用性メカニズム(スタック、MLAG、VRRP など)を使用していますか?
  • アクセス スイッチの PoE(Power over Ethernet)機能について、また現在の PoE 予算の使用状況について教えてください。
  • 現在のネットワークセグメンテーション戦略(VLAN、サブネットなど)は何ですか?
  • スイッチにネットワークアクセス制御(NAC)ソリューションを使用していますか?
• 既存のアクセスポイント(AP):
  • 既存の無線APのメーカー、モデル、数量は?
  • サポートしているWi-Fi規格(802.11ac、802.11ax/Wi-Fi 6、Wi-Fi 6Eなど)?
  • APの現在のファームウェアバージョンは何ですか?
  • 現在のAPの電力供給状況(PoEまたは外部電源)?
  • 現在の無線コントローラソリューション(もしあれば)は何ですか?オンプレミスですか、それともクラウド管理ですか?
  • 既存のSSID、そのセキュリティ設定(WPA2-Enterprise、PSKなど)、および関連するVLANは何ですか?
  • 既存の無線サイト調査レポートはありますか?
  • 重要なエリアの無線性能とカバレッジはどの程度で感じられますか?
  • 既知のデッドスポットやパフォーマンスの問題はありますか?
  • 現在、無線ネットワークを利用している位置情報サービスやIoTデバイスはありますか?
• 既存のケーブルの場合:
  • どのようなタイプのイーサネットケーブルが設置されていますか(例:Cat5e、Cat6、Cat6a、ファイバー)?
  • 既存のケーブルインフラの老朽化と状態はどのくらいですか?
  • 詳細なケーブル配線図やドキュメントはありますか?
  • ネットワーククローゼットと建物間のバックボーンケーブルの現在の容量はどのくらいですか?
  • ケーブル配線に関する既知の問題はありますか(ケーブルの損傷、接続の終端不良など)?
  • 将来の拡張、特に新しいAPやより高速な有線デバイスに備えて、十分な予備のケーブル容量はありますか?
• ユーザー密度とアプリケーション要件(音声、ビデオ、データ、IoT):
  • 異なるエリア(オフィスフロア、会議室、共用エリアなど)で予想される同時ユーザーのピーク数はいくつですか?
  • ビジネスクリティカルな主なアプリケーション(ERP、CRM、VDIなど)とその帯域幅/遅延要件は何ですか?
  • ボイスオーバーIP(VoIP)やビデオ会議(Zoom、Microsoft Teamsなど)などのリアルタイムアプリケーションを大量に使用していますか?QoS要件は?
  • ネットワークに接続されるIoTデバイスの種類(センサー、カメラ、スマートビルコントロールなど)とは?接続性とセキュリティのニーズは何か?
  • 典型的なデータ転送パターンとデータ転送量(大容量ファイル転送、クラウドバックアップなど)は何ですか?
  • 特定のユーザーグループやアプリケーションに、特定の帯域幅保証やサービス品質(QoS)ポリシーが必要ですか?
  • 1ユーザーあたり予想されるデバイス数(ノートパソコン、スマートフォン、タブレット、ウェアラブルなど)?
  • ネットワークのピーク使用時間はいつですか?
• セキュリティポリシーとコンプライアンス要件:
  • 組織の既存のセキュリティポリシー(許容可能な使用、データ分類、アクセス制御など)はどのようなものですか?
  • ネットワークがどの業界固有の標準または規制コンプライアンス標準(HIPAA、PCI DSS、GDPR、ISO 27001、NISTなど)に準拠する必要がありますか?
  • ネットワークのセグメンテーション、マイクロセグメンテーション、機密データの分離に特有の要件はありますか?
  • 現在実施されている認証および認可メカニズム(Active Directory、RADIUS、802.1Xなど)はどのようなものですか?
  • ゲストアクセスの要件は何ですか?現在、どのように保護および管理されていますか?
  • 既存の侵入検知/防止システム(IDS/IPS)、ファイアウォール、セキュリティ情報およびイベント管理(SIEM)ソリューションはありますか?
  • 転送中と保存中の両方でデータを暗号化する際の要件は何ですか?
  • BYOD(個人所有デバイスの持ち込み)または企業所有のデバイス管理に関する特定のポリシーはありますか?
  • 組織のインシデント対応計画とは何ですか?また、ネットワークセキュリティはそれとどのように統合されていますか?
  • ネットワークセキュリティイベントのログ、監査、報告に関する要件はありますか?
• 既存のWAN接続とインターネットエグレスポイント:
  • 現在使用されているWAN接続の種類(MPLS、ブロードバンド、専用インターネットアクセス、4G/5G LTEなど)とは?
  • 各ロケーションの各WANリンクの帯域幅容量はどのくらいですか?
  • WANおよびインターネット接続に関する現在のサービスプロバイダはどこですか?
  • 既存のSD-WANソリューションはありますか?もしある場合、そのアーキテクチャとベンダーはどこですか?
  • 組織の主要なインターネットエグレスポイントはどれですか?
  • WANの冗長性やフェイルオーバーに何か特別な要件はありますか?
  • WANリンク全体で発生している現在の遅延とパケット損失はどのような状態ですか?
  • 現在、WAN全体のトラフィックはどのように優先順位付けされていますか(例えば、QoSポリシー)?
  • 直接的なクラウド接続(AWS Direct Connect、Azure ExpressRoute、Google Cloud Interconnect など)はありますか?

  • WANとインターネットサービスに関連する現在のコストはいくらですか?

ハイレベル設計

ハイレベル設計(HLD)フェーズでは、評価結果を新しいジュニパーネットワークの戦略的青写真に変換します。これには、ネットワーク全体のトポロジー(通常はコア、アグリゲーション、アクセスレイヤーを備えた階層構造)を定義し、堅牢な有線接続を実現するためにジュニパーのEXシリーズスイッチを活用することが含まれます。効率的なトラフィックフローと論理ネットワークセグメンテーションを確保するには、包括的なIPアドレス指定スキームとVLAN計画を確立する必要があります。無線ネットワークの場合、詳細なカバレッジと容量の計画(多くの場合サイト調査から得られる情報)によって、ユーザー密度とアプリケーションのパフォーマンス要件を満たすための最適なジュニパー Mist AP配置が決まります。HLDの重要な側面は、ユーザーグループとデバイスタイプを分離するためのセキュリティゾーンを定義すると同時に、IDシステム(RADIUS、Active Directoryなど)やセキュリティツールと統合して、統合された安全なネットワークを実現することです。

• ネットワークトポロジー(コア、アグリゲーション、アクセスレイヤー)
• IPアドレッシング方式とVLAN計画
• 無線カバレッジと容量計画(サイト調査、APの配置)
• セキュリティゾーンのセグメント化
• 既存のシステム(ID管理、セキュリティツール)との統合ポイント。

ジュニパーは、世界初のAIドリブン有線および無線ネットワークにより、ネットワーク分野に真のイノベーションをもたらしました。ジュニパーのMist™ AIプラットフォームは、ユーザーエクスペリエンスをこれまでになく可視化することで、ネットワーキングの予測可能性、信頼性、測定可能性を実現します。時間のかかる手作業のITタスクは、AIドリブン事前対応型の自動化と自己修復機能に置き換えられることで、ネットワーキングの運用コストを削減し、時間とコストを大幅に節約します。ジュニパーは、エンタープライズグレードのWi-Fi、Bluetooth® Low Energy(BLE)、IoTも一括で提供するため、道案内、近接通知、アセットの位置確認など、パーソナライズされた位置情報サービスを通じて、企業は無線ネットワークの価値を高めることができます。特許取得済みの仮想BLE(vBLE)テクノロジーにより、バッテリービーコンや手動キャリブレーションは必要ありません。

ジュニパーのMist™有線および無線アシュアランスは、クラウド管理とMist AI™をキャンパスファブリックにもたらします。キャンパス導入をAIドリブン運用に移行することで、ネットワーク管理の新たな標準を設定し、接続デバイスにより優れたエクスペリエンスを提供します。ジュニパーのMistクラウドは、キャンパスファブリックの導入と管理を合理化し、Mist AIは運用を簡素化し、接続されたデバイスのパフォーマンスの可視性を向上させます。

ジュニパー Mist Edgeは、クラウドベースのMistアーキテクチャのローカライズされた拡張として機能することで、ジュニパーのスイッチングおよび無線ネットワークにシームレスに統合されます。これは、お客様にとって、既存のインフラストラクチャを完全に見直さなくても、最新のAIドリブンネットワークのメリットを達成できることを意味します。ジュニパーMist Edgeアプライアンスは、ジュニパー無線APからのトラフィックトンネリングやジュニパースイッチのプロキシ機能など、オンプレミス処理を必要とする機能を処理します。これにより、デバイスがファイアウォールやプロキシの背後にある場合でも、Mist Cloudとの安全な通信が可能になり、一元的な管理と監視が可能になります。このハイブリッドアプローチには、キャンパスネットワークや支社ネットワークの一元化されたデータプレーン(従来のコントローラベースのアーキテクチャから移行する組織にとって重要な要素)、シームレスなローミング、トラフィックの分離とセキュリティの強化、必要に応じてエッジに新しいマイクロサービスを柔軟に展開できる柔軟性などのメリットがあります。この統合により、ネットワークの柔軟性と運用効率が向上し、単一のインテリジェントなインターフェイスで有線ネットワークと無線ネットワークを管理するための堅牢なプラットフォームをお客様に提供します。

分散型アプローチ

Juniper Mist CloudとAP間の通信は、AES-128暗号化を備えたHTTPS/TLSを使用し、相互認証は、デジタル証明書と製造中に作成されたAPごとの共有キーの組み合わせによって提供されます。証明書の署名には、4096ビットのキーが使用されます。ユーザーデータトラフィックは、ローカルネットワークインフラストラクチャを利用して、アクセスポイントネットワークインターフェイスでローカルに処理および転送されます。そのため、SSID から VLAN へのマッピングは SSID ごとに設定され、複数の VLAN を使用する場合は、AP に接続するスイッチポートをトランクとして設定する必要があります。以下の図は、アーキテクチャの概要を示しています。

図1:概要アーキテクチャ

この設定は、単一のローミングドメインで最大1,000台のAPを実行している企業や、最大2,000台の同時接続ユーザーデバイスを実行する企業に最適であり、ローカルトラフィックブレイクアウトに適応するようにスイッチポートを設定する機能を備えています。

集中型(トンネル型)アプローチ

図2:集中型(トンネル化)アプローチ

前のセクションで説明したように、ジュニパーMistはトンネリングサービスをしなくてもスムーズに実行できますが、ユースケースによっては、APのトラフィックを中央の場所にトンネリングして戻すことを検討する必要があるかもしれません。そのために、ジュニパーはMist Edgeアプライアンスを使用してマイクロサービスをキャンパスに拡張しています。ジュニパーのMist Edgeは、従来の無線コントローラを必要とせずに、AIネイティブの無線の俊敏性と拡張性をキャンパスエッジまで拡張します。ジュニパー Mist Edgeによりデータの一元化が可能になり、従来のネットワーク設計によって制限を受けている組織や、ゲストとリモートアクセスのシームレスな無線モビリティを求める組織に役立ちます。

図3:ジュニパー Mist Edge

ジュニパー Mist Edge の使用では、ジュニパー Mist マイクロサービス クラウドと Marvis AI engine によって分析されたローカライズされたデータを活用できます。独自の組み合わせにより、俊敏性、信頼性、運用の簡素化を実現するとともに、シームレスで大規模な簡素化されたキャンパスローミングと、動的なセグメンテーションによるセキュアなIoTが可能になります。ジュニパーのAIネイティブネットワーキングプラットフォームを使用することで、これまでにない自動化とインサイトにより、IT運用が合理化されます。

ジュニパー Mist Edgeのユースケース

ジュニパー Mist Edgeは、ネットワークと運用の効率を向上させながら、複数の無線の課題を解決します。Mist Edgeの導入を推奨します。

• キャンパスファファブリックコアディストリビューションやキャンパスファブリックIP ClosなどのVXLAN導入
• 1つのローミングドメインに1,000を超えるAPと2,000台以上の同時接続デバイス。
• 100Kを超える無線クライアントの導入—このような大規模な導入では、複数のMist Edgeトンネルを設定し、それぞれが異なるWLANから、同じL2 VLANを共有していない2つ以上のMist EdgeクラスターにAPトラフィックを伝送することをお勧めします。このトンネル構成は、地理的セグメンテーションと呼ばれます。Mist Edgeは、同じデータセンターに配置することも、地理的に離れた場所に配置することもできます。
• 既存のネットワーク設計に影響を与えることなく、従来のコントローラアーキテクチャから最新のマイクロサービスクラウドに簡単に移行できます。
• 分散した支店や在宅勤務者にまでVLANを拡張することで、リモートVPN技術を置き換えます。
• ゲストアクセスと企業トラフィックを分離します。
• IoTデバイス向けに動的なトラフィックセグメンテーションを提供します。

トンネリングマイクロサービス

ジュニパーのAPは、スタンダードベースのL2TPv3テクノロジー(テレワーカーのシナリオではIPsec)を使用して、選択したWLANのMist Edgeとのトラフィックをトンネルします。これにより、お客様の要件を満たすために、必要に応じて分散型と一元型データプレーンを柔軟に組み合わせて使用できます。Mist Edgeを導入することで、ローカルでブリッジングされたWLANとトンネル化されたWLANもサポートできます。

トンネリングサービスを使用すると、Mistマイクロサービスクラウドアーキテクチャに移行しながら、エッジスイッチのVLAN設定を維持することができます。これを実現するには、一元化されたMist Edgeデバイスのクラスターを介してトラフィックをトンネリングしながら、SSIDとユーザーを異なるネットワークに分離する機能を維持します。また、このトンネリングサービスは、遅延の影響を受けやすいアプリケーションを実行するデバイスのシームレスなモビリティをサポートし、キャンパス内を移動する際にパフォーマンスを維持できるようにします。ジュニパーのMist Edgeクラスターはインテリジェントに動作し、ブロードキャストとマルチキャストトラフィック配信を最適化することで、拡張性と信頼性に優れたパフォーマンスを提供します。トンネルの設定は、ジュニパー Mist クラウドとそのゼロタッチプロビジョニング機能により簡素化されます。

トンネル化されたWLANと柔軟なトラフィックリダイレクト

多くの場合、Wi-Fiの導入では、WLANをローカルでブリッジングし、ゲストアクセスと企業の無線ネットワークトラフィック用に個別のオーバーレイをサポートする必要があります。マイクロサービスアーキテクチャでは、無線構成要件に応じて、さまざまなMist Edgeアプライアンスに複数のトンネルを形成する柔軟性が提供されます。例えば、あるサイトでは、WLANをローカルにブリッジし、1台のMist Edgeデバイスを使用してゲストWLANをDMZにトンネリングし、別のMist Edgeデバイスを使用して企業のリソースにアクセスするために企業のSSIDをデータセンターにトンネリングすることができます。

高可用性とクラスタリング

ジュニパー Mist Edgeは、柔軟に拡張可能なクラスターをサポートしており、無制限のノードで構成されるバックアップクラスターオプションも用意されています。トンネリングマイクロサービス向けのMist Edgeクラスター設計は、総容量考慮事項に基づいており、APの数、クライアントの数、およびスループットの予測値に基づいています。

アクティブ/アクティブトンネリングクラスターは、従来のN+1スタンバイアーキテクチャよりも高い可用性と耐障害性を提供し、ゼロアイドル容量のMist Edge間のAPトラフィックのバランスを取る一方で、冗長性を確保します。Mist Edgeは複数の冗長性レイヤーをサポートし、壊滅的なネットワーク障害が発生した場合にWLANの可用性を保証します。クラスター内には複数のMist Edgeノードがあるため、障害が発生した場合に、APは残存ノードに接続できます。データセンター内でクラスター全体がオフラインになった場合でも、Mist APは、別のデータセンターでホストされている別のクラスターにフェイルオーバーして、ネットワークの可用性を保証することができます。

さらに、Mist Edgeアーキテクチャでは、あるサイトのスタンバイクラスターを別のサイトのプライマリクラスターにできるため、リソースを最大限に活用して運用コストを削減できます。

ジュニパーのAPは、制御機能と管理機能をデータプレーンから分離しており、Mist Edgeへの接続がダウンしても機能し続けます。

L2冗長性に関する設計上の考慮事項

図4:L2冗長性に関する設計上の考慮事項

複数のサイトに配置されているAPは、Mistトンネル設定で指定されているように、プライマリクラスター(アクティブ/アクティブ)に属するMist Edgeへのトンネルを効果的に終端できます。L2 の冗長性を確保するには、クラスターは少なくとも 2 つの Edge で構成されている必要があります。この配置により、堅牢なネットワークカバレッジが提供され、システム全体の信頼性が向上します。クラスター内のMist Edgeの数に関係なく、すべてのエッジがアクティブになり、APトンネルがそれらの間でロードバランシングされます。クラウドが決定し、トンネル終端用のミストエッジのリストをプッシュダウンします。各APはエッジの順序が異なるリストを受け取り、エッジの順序によってAPの優先エッジが決まります。

複数のサイトが複数のエッジを持つクラスターにトラフィックをトンネリングしている場合、サイト内のアプリが別のエッジのトンネルを終端する可能性があります。これはデフォルトの動作であり、最適なロードバランシングを実現するため推奨されます。ただし、この動作は、特定のサイトからのトラフィックをトンネル化してシングルエッジで終了するように微調整できます。これは、UIのMistクラスターにあるトンネルホスト選択セクションから設定できます。

複数のMist Edgeがネットワーク内の同じL2セグメントに存在する場合は、アクティブ/アクティブモードで同じクラスターに追加することをお勧めします。Mist Edgeでは80%の容量に対応するように設計することをお勧めします。最大5,000個のAPトンネルをサポートするME-X6 SKUの場合、最大トンネルの80%にあたる4,000個のAPトンネルを計画する必要があります。複数のMist Edge損失状況が発生した場合、トンネルターミネーターサービスを一時的にオーバーサブスクライブする可能性があります。

データセンターの冗長性に関する設計上の考慮事項

データセンターの冗長性ネットワークやL3分離ネットワークを設計する場合、Mist Edgeをプライマリクラスターとセカンダリクラスターに分割する必要があります。プライマリクラスターの一部であるすべてのMist Edgeがアクティブであり、セカンダリクラスターのEdgeはスタンバイモードです。分散データセンター内の各クラスターには、1つ以上のMist Edgeが存在する場合があります。L3の冗長性は、プライマリクラスターとセカンダリクラスターでそれぞれ1つのエッジで実現することもできます。これはアクティブなスタンバイ展開となります。

図5:データセンターの冗長性に関する設計上の考慮事項

ユーザーインターフェイスは、最大2つのクラスターフェイルオーバーを処理する機能を備えており、ほとんどのキャンパス導入に最適なソリューションとなります。ただし、追加のフェイルオーバー保護が必要な場合は、API 統合によって簡単に実現でき、特定の要件を満たすカスタム構成が可能です。

地理的に離れた分散型データセンターの場合、データセンターAに地理的に近いサイトAをプライマリクラスターとしてクラスターA Mist割り当て、データセンターBとセカンダリクラスターのクラスターB Mist割り当てることができます。サイトBに割り当てることで、プライマリクラスターとして機能し、クラスター Aをセカンダリクラスターとして使用するクラスター Bのトンネルをアクティブに終端することができます。以下の図と設定を参照してください。

上記の導入の構成は、MistトンネルページのUIを使用して実行できます。トンネルを選択し、プライマリおよびセカンダリクラスターオプションを設定します。同じトンネルオブジェクトを使用して、優先クラスターとして「MistクラスターA」を、L3冗長性に「MistクラスターB」を優先として必要とする複数のサイトで、WLAN設定にあるトンネリングされたWLANをマッピングできます。Mist APは、アクティブトンネルとスタンバイトンネルの同時接続をサポートしていません。

Mist Edgeクラスターの設定方法の詳細については、「一元的な導入」セクションで説明しています。

ローレベル設計

LLD(低位設計)フェーズでは、実装に必要な詳細な情報が得られ、高位のブループリントが実用的な構成に変換されます。これには、各ネットワーク層の正確なジュニパー EXシリーズスイッチモデルの指定や、接続されたデバイスとアップリンクの正確なポート割り当てが含まれます。無線コンポーネントでは、特定のジュニパーアクセスポイント(AP)モデルが選択され、その正確な取り付けの詳細と電力要件(PoEなど)が文書化されます。イーサネットタイプ(マルチギガビットのCat6a)とファイバー仕様を含む包括的なケーブル要件について概説します。詳細なVLAN設定と、拡張性と柔軟性のあるキャンパスファブリック向けのOSPF、BGP、または高度なEVPN-VXLANなどのルーティングプロトコルの選択と設定が定義されます。無線SSIDの設定には、認証方法(WPA3-Enterpriseなど)、暗号化規格、および重要なアプリケーションに優先順位を付けるためのサービス品質(QoS)ポリシーが含まれます。さらに、ファイアウォールルールやアクセス制御リストなど、明示的なセキュリティポリシーの定義も文書化します。最後に、LLDでは、ネットワークの耐障害性と稼働時間を確保するために、ジュニパーのスイッチ向けバーチャルシャーシテクノロジーやEasy EVPN LAG(EZ-LAG)などの高可用性と冗長性メカニズムについて詳しく説明します。

• 特定のジュニパーEXシリーズスイッチモデルとポート割り当て。
• ジュニパーアクセスポイント(AP)モデルと取り付けの詳細。
• ケーブル配線要件(イーサネット、ファイバー、PoE)
• 詳細なVLAN構成、ルーティングプロトコル(OSPF、BGP、EVPN-VXLAN)。
• 無線SSID設定(認証、暗号化、QoS)

• セキュリティ ポリシーの定義(ファイアウォール ルール、アクセス コントロール リスト)。

• 高可用性と冗長性メカニズム(バーチャルシャーシ、EZ-LAG)。

ライセンスとサブスクリプション

このセクションでは、AIドリブン有線および無線ソリューションの全機能を実現するために必要なジュニパーライセンスとジュニパーサブスクリプションの要件について概説します。適切なJuniper Mist Cloudサブスクリプションを特定して調達することは極めて重要です。これは、Wi-Fi管理やアシュアランス、有線ネットワーク向けMarvis、無線向けMarvis、屋内位置情報サービス：などのMist AI機能を活用するための基本となります。これらのサブスクリプションにより、ジュニパーのサービスの中心であるクラウド管理インテリジェンスと自動化が有効化されます。さらに、このセクションでは、ジュニパーEXシリーズスイッチとジュニパーアクセスポイント自体に必要な特定のライセンスについても説明し、すべてのハードウェアコンポーネントがジュニパーエコシステム内で動作するために適切にライセンスされ、Mist Cloudサービスと完全に統合できることを確認します。適切なライセンスにより、機能、サポート、継続的なアップデートに確実にアクセスできます。

• Juniper Mist Cloudサブスクリプション

• スイッチとAPライセンス

https://www.juniper.net/documentation/us/en/software/mist/mist-management/topics/concept/subscription-faq.html