Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

1日目:デバイスおよびポートプロファイルでテンプレートベースの設定を使用する

構成テンプレート

Juniper Mistクラウドアーキテクチャによるスイッチ管理の主な機能は、設定テンプレートと階層モデルを使用してスイッチをグループ化し、一括更新する機能です。テンプレートは一貫性と利便性を提供し、階層(組織、ネットワーク、スイッチ)は拡張性と粒度の両方を提供します。

テンプレート構成を作成し、それらの設定を特定のグループのすべてのデバイスに適用できます。競合が発生した場合、たとえば、同じデバイスに適用されるネットワーク レベルと組織レベルの両方の設定がある場合、狭い設定(この場合はネットワーク)ほど、組織レベルで定義されている幅広い設定が上書きされます。

図 1:[Claim Switches](クレーム スイッチ)ページ The Claim Switches Page

各スイッチは、階層の最下部で、組織レベルで定義された構成のすべてまたは一部を継承し、ネットワークレベルで再度継承できます。もちろん、個々のスイッチに独自の構成を設定することもできます。

各 CLI コマンドは、 階層の任意のレベルに含めることができます。これらのコマンドは、そのグループのすべてのスイッチに AND ベースで追加されます。つまり、個々の CLI 設定が既存の設定に追加されます(既存の設定は置き換えされません)。

表 1:階層型テンプレート

組織レベル

ネットワーク レベル

スイッチ レベル

  • ネットワーク(VLANS)

  • 組織レベルで定義された設定を上書きします。

  • デバイスホスト名、IPアドレス、ロールなどの設定が含まれます

  • ポート プロファイルと構成ルール

  • ネットワーク固有の RADIUS または NTP サーバー設定を含めることができます(またはその両方)

  • NTP サーバーや RADIUS サーバーなど、組織レベルまたはネットワーク レベルでスイッチ テンプレートで定義された設定を上書きします。

  • スイッチの一致ルール

  • その他の CLI コマンド

  • その他の CLI コマンド

  • RADIUS サーバーの構成

-

-

  • NTP サーバーの構成

-

-

  • その他の CLI コマンド

-

-

テンプレートを設計し、 階層の異なるレベルで使用する方法には柔軟性が数多くあります。これを説明するために、4つのユースケースを見て、階層の異なるレベルで行われた構成設定間の相互作用を表示します。

以下の各ユースケースで、Juniper Mistのメインメニューで[ 組織>スイッチテンプレート ]をクリックします。このオプションが表示されない場合は、先に進む前にネットワーク管理者アカウントが必要です。

ケース 1:組織レベルのスイッチ設定

エンタープライズ A には複数のサイトがあり、すべてが同じ VLAN とポートを使用します。ただし、スイッチ レベルでは、異なるスイッチ モデルが導入され、すべてが同じ正確なポート設定や同じポート数を持つわけではありません。

図 2:組織レベルのスイッチ テンプレート Organization-Level Switch Template

テンプレートソリューション

  • 組織レベルのスイッチ テンプレートから始めます。

  • VLANとポートを設定し、組織内に含まれる各ネットワークのすべてのスイッチに一貫して適用します。

  • 組織テンプレートの [ポート構成ルール] 機能を使用して、組織内のさまざまなスイッチ モデルごとに異なるポート構成ルールを作成します。

  • すべてのサイトに組織テンプレートを割り当てます。現在または将来、いずれかのサイトに追加されるスイッチは、スイッチモデルに従ってVLAN設定とポートルールを継承します。

ケース 2:ネットワークレベル設定

エンタープライズ B には複数のサイトがあり、いずれも同じ VLAN、ポート、ポート構成を使用します。ただし、1つのネットワークには802.1X認証を使用するRADIUSサーバーがあります(組織レベルで設定されたものと異なります)。

図 3:ネットワークレベルテンプレート Network-Level Template

テンプレートソリューション

  • ネットワークレベルのスイッチ テンプレートから始めます。

  • このネットワークは一意の RADIUS サーバー(つまり、組織レベルで定義されたものとは異なるサーバー)を使用するため、ここで指定した設定を上書きします。

ケース 3:個々のスイッチ管理

Enterprise Cには複数のサイトがあり、それぞれがローカルのITチームによって管理されています。つまり、各チームは、ネットワークレベルまたは組織レベルの階層から設定を継承せずに、制御下にあるスイッチを設定できるようにしたいと考えています。そのため、特定のスイッチに特定のVLANまたはRADIUSサーバー(10.10.10.10など)がある場合は、ここに追加できます。

図 4:スイッチレベル テンプレート Switch-Level Template

動的ポートプロファイル

デバイスをジュニパーのスイッチインターフェイスに接続すると、デバイスに適したポートプロパティとネットワークアクセスを使用してポートを自動的にプロビジョニングできます。たとえば、ジュニパーアクセス ポイントをスイッチに接続すると、ポートは自動的にトランク インターフェイスとして設定され、選択した VLAN に追加されます。同様に、リモート カメラをスイッチに接続すると、そのポートをアクセス インターフェイスとして自動的に設定し、別の VLAN を割り当てることができます。

この機能は動的ポートと呼ばれ、クライアントデバイスのLLDP(Link Layer Discovery Protocol)プロパティを活用して、事前に設定されたポートとネットワーク設定を自動的に関連付け、これらの設定をインターフェイスに適用することで機能します。LLDPデータは、デバイスの製造元によって割り当てられ、通常、デバイスでハードコードされています。以下のLLDPプロパティは、動的ポートプロファイルで使用するためにサポートされています。

  • システム名

  • LLDP シャーシ ID

  • RADIUSユーザー名

以下の手順では、インターフェイスに動的ポートプロファイルを設定します ge-0/0/2。これを行うには、1 つ以上のネットワーク オブジェクトを作成します(これらは、ネットワークですでに使用されている VLAN ID に基づいてネットワーク アクセスを定義するために使用されます)、少なくとも 1 つのポート プロファイルを作成します(これにはトランクまたはアクセス ポート、タグなしまたはネイティブ VLAN、VoIP などのプロパティが含まれます)。その後、ポートプロファイルをネットワークオブジェクトに関連付け、動的ポートプロファイルで、デバイスLLDPをポート/ネットワークプロファイルの1つに関連付けます。

ジュニパーアクセスポイントを接続すると、ポート設定が以前のデフォルトの restricted_deviceから動的に割り当てられた mist-ap プロファイルに変更されます。 図 5 は、Juniper Mist ダッシュボード([Switches]ページ)の状態を示しています。

図 5:動的に割り当てられたポート プロファイル Dynamically Assigned Port Profile

動的ポートを設定するには、Juniper Mistポータルからスイッチを管理する必要があることに注意してください。また、スイッチ上でこれらの設定を行うためには、1つ以上のクライアントデバイスのLLDPプロパティを知る必要があります。

ネットワーク アクセスの設定

未知のデバイスやルージュデバイスがネットワークに追加されるのを防ぐために、ジュニパーは、デフォルトで未知のデバイスに適用できる 制限付 きネットワークを作成することをお勧めします。以下の手順で行いますが、同時に、ネットワークから別のVLAN IDに基づいて他のネットワークオブジェクトをいくつか作成することをお勧めします。そのため、後でポートプロファイルを作成する際から選択できます。

図 6:制限されたネットワーク Restricted Network

ネットワークを構成に追加するには、以下の手順にしたがっています。

  1. Juniper Mistポータルで、左側のメニューで[スイッチ]をクリックし、スイッチ名をクリックしてデバイスのプロパティダッシュボードを開きます(トポロジービューを見ている場合は、スイッチを検索するためにドリルダウンする必要がある場合があります)。
  2. 表示されたページを下にスクロールして [ネットワークの構成] ボックスを探し、[ネットワークの追加] をクリックします。
  3. ポート プロファイルを作成する際にリスト内で識別するために使用される名前をネットワークに指定します。
  4. このオブジェクトに必要なネットワークアクセスを含む(または除外する)VLAN IDを指定します。
  5. 完了したら、チェックマークをクリックしてネットワークリストに追加します。

ポート プロファイルの追加

ポートプロファイルは、インターフェイスに接続されたときにLLDP情報に一致するデバイスに自動的に適用される設定を構成する場所です。

図 7 は、 2 つのポートが完了したプロファイル設定を示しています。左側の図は、不明なデバイスに適用されるデフォルト設定を示しています。右側の図は、ジュニパーアクセスポイントの典型的な設定を示しています。各ポート プロファイルは、接続するネットワークによって決まる異なるレベルのネットワーク アクセスを提供します。

図 7:ポート プロファイル Port Profiles

ポートプロファイルを設定に追加するには、次の手順にしたがっています。

  1. [ポート プロファイル] の下にある [プロファイルの追加] をクリックします。
  2. 動的ポート設定を定義する際にリスト内で識別するために使用される名前をプロファイルに指定します。
  3. 残りのフィールドに入力して、必要なプロパティのテンプレートを作成します。特に、インターフェイスがトランクかアクセスかを選択します。ジュニパー アクセス ポイントの場合は、Trunk を使用します。
  4. プロファイルにネットワークを割り当てます。
  5. 完了したら、チェックマークをクリックして、このネットワーク オブジェクトをポート プロファイルのリストに追加します。

動的ポートの設定

動的ポートを設定するには、LLDP文字列を定義し、動的ポートプロファイルでルールを一致させます。これらのルールは、発生する最初の一致が適用されるように評価されます。ワイルドカードがサポートされています。特定のデバイスを特定する必要がある差別化レベルを取得するには、評価開始点のオフセットを指定するか、一致に使用する特定のLLDPセグメントを指定します。

図 8 は、構成の例を示しています。ジュニパーアクセスポイントがスイッチ上の指定されたポートに接続されるたびに、ポートは自動的にトランクポートとしてプロビジョニングされ、デバイスはデフォルトのネットワークアクセスを許可されます。

図 8:動的ポート Dynamic Port

次の手順では、Junos OS CLI から コマンドを実行することで確認できるなど、ジュニパー アクセス ポイントの show lldp neighbors シャーシ ID を使用します。

  1. 作業 したJuniper Mistポータルの同じページで、動的ポート設定までスクロールします。
  2. [ルールの追加] をクリックして構成を開きます(チェックマークをクリックして保存すると、新しいルールに名前が自動的に付与されます)。
  3. ドロップダウンからLLDPシャーシIDを選択します。
  4. テキストがで始まる場合」フィールドに、シャーシ ID の最初の 3 つのオクテットを入力します。
  5. [設定プロファイルの適用] ドロップダウン リストから、このプロファイルに一致するデバイスに自動的に関連付ける設定プロファイルを選択します。
  6. 完了したら、チェックマークをクリックしてこのプロファイルの動的ポート設定を追加します。

アソシエイト ポート

最後に行うのは、今作成したプロファイルをスイッチ上の 1 つ以上のポートに関連付けて、認識したデバイスが適切なポートに接続されている場合にのみプロファイルを適用することです。

図 9:ポート設定 Port Configuration

ポート設定を追加するには、

  1. [ポート設定] で、[ポート範囲の追加] をクリックします。これらのポートは、個別に表示することも、範囲として指定することもできます。
  2. インターフェイス名を使用して、このルールでカバーするポートまたはポートの範囲を指定します(個別、シーケンス、範囲の形式はここに表示されます)。
  3. [設定プロファイルの適用] ドロップダウン リストから、このポート範囲に関連付ける設定プロファイルを選択します。
  4. 完了したら、チェックマークをクリックしてポート範囲のリストにポート定義を追加します。
  5. 動的プロファイルが割り当てられた後にポート プロファイルのステータスを表示するには、ダッシュボード メニューの [スイッチ] をクリックし、先ほど構成したスイッチ名をクリックします。
  6. 設定したポート(ge-0/0/2この例)をクリックすると、ポート統計情報とポート設定が表示されます。例を図 5 に示します。
  7. (オプション)ダッシュボード メニューの [> サービス レベルの監視] をクリックし、スイッチ イベントのリストを下にスクロールして、今行った変更の動的ポート プロファイル割り当てイベントを確認します。

上記の手順を完了すると、動的ポートプロファイルの1つでカバーされているスイッチ上のポートに新しいデバイスが接続されるたびに、プロファイルがデバイスのLLDPを読み取り、一致するものが見つかると、関連するポートプロパティとネットワークアクセスがポートに自動的に適用されます。

バーチャルシャーシ

VC(バーチャル シャーシ)の使用をお勧めします。VCを使用すると、複数のEXシリーズスイッチを組み合わせて、Juniper Mistクラウドで単一の論理デバイスとして機能させることができます(VC導入の物理的なEXシリーズスイッチごとにWired Assuranceのサブスクリプションが必要です)。VCを使用することで、ループのリスク、スパニングツリーやVRRPなどの従来の冗長プロトコルの必要性、個々のデバイス管理に必要な時間が不要になります。コア/ディストリビューションの導入では、リンクアグリゲーショングループ(LAG)アップリンクを使用してバーチャルシャーシに接続できます。その後、メンバースイッチのメリットは、デバイスに障害が発生した場合にリンクにデバイスレベルの冗長性を提供します。

図 10:一般的なバーチャル シャーシのセットアップ A Typical Virtual Chassis Setup

バーチャルシャーシには2~10台のスイッチがあり、各メンバースイッチにはポートがいくつもあります。このような物理構成は、1つのメンバースイッチがダウンした場合に備えて、より優れた耐障害性を提供できます。再分配された負荷を引き受けるために利用できる、存続しているスイッチが増えているだけです。しかし、こうしたスイッチにはスペースと電力の両方が必要というトレードオフがあります。

Juniper Mistクラウドのバーチャルシャーシは、 表2に示すスイッチでサポートされています。スイッチ モデルには、バーチャル シャーシで許可されるメンバーの最大数が含まれます。

表 2:クラウド対応 EX シリーズ スイッチ

スイッチ

最大メンバー数

EX2300

4

EX3400

10

EX4300

10

EX4400

10

EX4600

10

EX4650

2

バーチャル シャーシの設計上の考慮事項

ジュニパーのアクセス ポイントを NOC(ネットワーク オペレーション センター)のフロアに物理的に分散して、仮想スタック内の複数のスイッチに接続することをお勧めします。これにより、冗長性が向上し、電源関連のハードウェア障害に対処するためのより堅牢な設計となります。

図 11: NOC Virtual Chassis Setup in a NOC のバーチャル シャーシ設定

たとえば、96 ポートを含むソリューションを導入するとします。これを行うための2つの主なオプションは次のとおりです。

  • 2 台の EX4300-48P スイッチを使用し、1 台のスイッチをプライマリーとして、もう 1 台をバックアップとして使用します。ここでの利点は、コンパクトなフットプリントと費用対効果です。主な欠点は、1 台のスイッチの損失がユーザーの 50% に影響を与える可能性があることです。

  • 4台のEX4300-24Pスイッチを使用し、1台のスイッチをプライマリ、1台をバックアップとして、2台のスイッチをラインカードとして使用します。可用性の向上(1台のスイッチの損失はユーザーの25%にしか影響しない)、および障害が発生したスイッチに障害が発生してもアップリンクの影響を受けないという事実があります(障害が発生したスイッチにアップリンクが含まれていない場合)。主な欠点は、機器をサポートするためにスペース、電力、コストが増える必要があることです。

導入するオプションに関係なく、導入で1つ以上のバーチャルシャーシを活用する予定がある場合は、NOC内の異なる物理的な場所にプライマリスイッチとバックアップスイッチを設定することをお勧めします。バーチャル シャーシのメンバー デバイスも同様に分散して、同じ電源やその他の単一障害点に半分以下を依存せず、バーチャル シャーシのメンバー ホップで均等に間隔を空ける必要があります。

バーチャル シャーシの形成(EX2300 シリーズ スイッチ)

バーチャル シャーシを形成するには、すべてのメンバー スイッチが同じモデルで、同じバージョンの Junos OS を実行している必要があります。Juniper Mistポータルへの管理アクセスと、ケーブル接続のためにスイッチへの物理的なアクセスが必要です。

Vc を導入する各物理 EX シリーズ スイッチには、Wired Assurance サブスクリプションが必要です。

図 12: EX2300 Virtual Chassis for EX2300 のバーチャル シャーシ

この手順では、Juniper Mistポータルを使用して、VCを形成するスイッチを選択し、(役割とインターフェイスIDを設定して)スイッチを設定し、物理的な接続を行います。ケーブルを接続したら、VC が形成するのに約 10~15 分かかります。

図 13: EX2300 Virtual Chassis Connections for EX2300 のバーチャル シャーシ接続
  1. 以前に導入されたスイッチでは、次のコマンドrequest system zeroizeを実行してコミットすることで、古い設定をクリアする必要があります。
  2. 必要に応じて、EX シリーズ スイッチの電源を入れ、収益ポートを使用してインターネットに接続します(バーチャル シャーシ ケーブルはまだ接続しないでください。ステップ 7 でこれを行います)。スイッチは、必要なDNS設定を含むZTPアップデートをクラウドから自動的に受信します。
  3. グリーンフィールドスイッチをアクティブにする方法」の説明に従って、Juniper Mistポータルにスイッチを導入します。
  4. バーチャル シャーシに含めるスイッチを選択します。その場合は、右上に [詳細] ボタンが表示されます。
    図 14:バーチャル シャーシ Adding Switches to a Virtual Chassisへのスイッチの追加
  5. ドロップダウン メニューから [Form Virtual Chassis](バーチャル シャーシの形成)をクリックし、[Form Virtual Chassis](フォーム バーチャル シャーシ)ウィンドウを開きます。このウィンドウでは、プライマリとバックアップを選択するスイッチを選択できます。
  6. プライマリスイッチとバックアップスイッチの両方で、各スイッチで使用されるバーチャルシャーシインターフェイスのポートIDを指定します。完了したら、[バーチャル シャーシの形成] をクリックします。
  7. VC の設定を構成し、[Form Virtual Chassis](バーチャル シャーシの形成)ボタンをクリックした後、VC ケーブルを物理的に接続できます。インターフェイス LED が点灯して、物理接続を確認する必要があります。

ご説明したように、ケーブルを接続した後に VC が形成するのに約 10~15 分かかります。VCが形成されると、ポータルに通知されます。その前に、ポータルでメンバー スイッチを選択すると、VC が形成しているメッセージが表示されます。

スイッチをバーチャル シャーシに追加する

VCにメンバースイッチを追加する場合は、前のセクションで説明したのと同様の手順に従います。新しいスイッチを VC のプライマリ、バックアップ、または別のスイッチにすることができます。

スイッチはすべて同じモデルで、同じ Junos OS バージョンを実行している必要があり、ポータルで VC 設定を行った後に物理接続を行う必要があります。完了すると、新しい VC の形成は約 3~5 分で終了します。

  1. Juniper Mistポータルのスイッチウィンドウで、既存のVCを選択します。「 詳細」 ボタンが表示され、今回は バーチャルシャーシを編集するオプションが表示されます。
  2. ドロップダウン メニューの [ バーチャル シャーシの編集 ] をクリックします。
  3. 開くウィンドウで[ スイッチの追加 ]ボタンをクリックし、新しいメンバーのポートIDを指定します。
    図 15:VC Adding A Switch To The VC へのスイッチの追加
  4. [ 更新 ] ボタンをクリックして変更を適用します。
  5. 変更を確認するには、スイッチ名をクリックして VC メンバー スイッチとプロパティを表示します。
    図 16:VC メンバー スイッチ VC Member Switches

スイッチをバーチャル シャーシから取り外す

VCからメンバースイッチを直接削除する 削除ボタンはありません 。代わりに、スイッチを VC から取り外す方法は、各スイッチから VC ケーブルを取り外す方法です。その後、Juniper Mistポータルは、そのスイッチのステータスをVCに「存在しない」と報告します。

その後、[ バーチャル シャーシの編集 ] ウィンドウを開き、新しく切断されたメンバー VC を表す壊れたリンクの横に表示される [ゴミ箱] アイコンをクリックします。

EX3400 および EX4300 のバーチャル シャーシ

バーチャルシャーシのスイッチはすべてJuniper Mistクラウドに対応している必要があります。ケーブル接続にはスイッチへの物理的なアクセスと、Junos OS CLIとJuniper Mistポータルの両方への管理アクセスが必要です。

図 17: EX4300 Virtual Chassis for EX4300 のバーチャル シャーシ

バーチャル シャーシの 2 つ目のスイッチには自動的にバックアップ ロールが割り当てられ、接続すると LED が点滅することに注意してください。残りのスイッチはすべて自動的にラインカードの役割を引き受け、 MST LED は暗いままになります。

図 18: EX3400 Virtual Chassis for EX3400 のバーチャル シャーシ

以下で説明するプロセスでは、Juniper Mistポータルから利用できるスイッチから始めます。次に、Juniper Mistポータルを使用してスイッチにログインし、そのバーチャルシャーシインターフェイスを設定します。その後、そのスイッチからバーチャル シャーシ グループ内の次のスイッチに物理的な接続を行い、関連する設定を伝達し、すべてのバーチャル シャーシ メンバーが接続されるまで繰り返します。

  1. 各EXスイッチの電源を入れていますが、イーサネットまたはバーチャルシャーシケーブルはまだ接続していません。MST LED が点灯し、どのスイッチでも点滅しないのが確認されるまで待ちます。
  2. 管理ポートまたは収益ポートを使用して、スイッチをインターネットに物理的に接続します。スイッチは、バーチャルシャーシ構成を含むZTPアップデートをクラウドから自動的に受信します。Juniper Mistポータルでは、スイッチが緑色の状態で表示されている必要があります。
  3. CLIシェルを使用してJuniper Mistポータルからスイッチにアクセスし、以下のコマンドを実行して、バーチャルシャーシポートが正常に設定されていることを確認します(結果には、バーチャルシャーシ内のすべてのスイッチを表示する必要があります)。
  4. スイッチに戻り、バーチャル シャーシ ケーブルを次のスイッチに接続し、バーチャル シャーシ ポートの LED がアクティブであることを確認します。
  5. すべてのスイッチがバーチャル シャーシに追加されるまで、ステップ 2~ステップ 4 を繰り返し、バーチャル シャーシ ポート冗長ケーブルを接続します。
図 19: EX4300 Virtual Chassis for EX4300 のバーチャル シャーシ

完了すると、Juniper Mistクラウド用にバーチャルシャーシがプロビジョニングされ、EXシリーズswtichクラスターの詳細がJuniper Mistポータルに表示されます。