Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Interface de gerenciamento em uma instância dedicada

Use uma instância de gerenciamento dedicada para separar o tráfego de gerenciamento do resto da sua rede.

Por que usar uma instância VRF não padrão?

Por padrão, a interface Ethernet de gerenciamento (geralmente chamada de fxp0 ou em0 para Junos OS, ou re0:mgmt-* ou re1:mgmt-* para Junos OS Evolved) fornece a rede de gerenciamento fora da banda para o dispositivo. O tráfego de gerenciamento fora de banda não está claramente separado do tráfego de controle de protocolo na banda. Em vez disso, todo o tráfego passa pela instância de roteamento padrão e compartilha a tabela de roteamento inet.0 padrão. Esse sistema de manuseio de tráfego gera preocupações sobre segurança, desempenho e resolução de problemas. Você (o administrador de rede) pode resolver esses problemas limitando a interface de gerenciamento a uma instância dedicada e não padrão de roteamento e encaminhamento virtual (VRF).

Benefícios de uma instância de gerenciamento dedicada

  • Segurança aprimorada

  • O tráfego de gerenciamento não precisa mais compartilhar uma tabela de roteamento com outro tráfego de controle ou tráfego de protocolo

  • É mais fácil usar a interface de gerenciamento para solucionar problemas

Visão geral da instância de gerenciamento

O nome da instância VRF de gerenciamento dedicado é reservado e codificado como mgmt_junos; você não pode configurar nenhuma outra instância de roteamento pelo nome mgmt_junos. Como alguns aplicativos assumem que a interface de gerenciamento está sempre presente na tabela de roteamento padrão inet.0, a instância VRF de gerenciamento dedicado não é instanciada por padrão. Você precisa configurá-lo para que ele surtisse efeito.

Após a implantação da instância VRF, o mgmt_junos tráfego de gerenciamento não compartilha mais uma tabela de roteamento (ou seja, a tabela de roteamento padrão) com outro tráfego de controle ou tráfego de protocolo no sistema. O tráfego na mgmt_junos instância VRF usa tabelas privadas de roteamento IPv4 e IPv6. Depois de configurar mgmt_junos, você não pode configurar protocolos dinâmicos na interface de gerenciamento.

Configure a instância de gerenciamento

Você deve adicionar quaisquer rotas estáticas que tenham um próximo salto sobre a interface de gerenciamento à mgmt_junos instância VRF. Se necessário, você também deve configurar os processos ou aplicativos apropriados para usar mgmt_junos. Todas essas mudanças devem ser feitas em um único compromisso. Caso contrário, as sessões existentes podem ser perdidas e precisam ser renegociadas.

Antes de começar: determine rotas estáticas

Algumas rotas estáticas têm um próximo salto pela interface de gerenciamento. Como parte da configuração da mgmt_junos instância VRF, você deve adicionar todas essas rotas estáticas para mgmt_junos que elas possam chegar à interface de gerenciamento. Cada configuração é diferente. Primeiro, você precisa identificar as rotas estáticas que têm um próximo salto através da interface de gerenciamento.

  1. Use o show interfaces interface-name terse comando para encontrar o endereço IP da interface de gerenciamento padrão. A interface de gerenciamento padrão é o switchp0 ou em0 para o Junos OS, ou re0:mgmt-0 ou re1:mgmt-0 para Junos OS Evolved.

  2. Use o show route forwarding-table comando para analisar a tabela de encaminhamento para obter informações de próximo salto para rotas estáticas. As rotas estáticas aparecem como tipo user. O próximo salto para qualquer rota estática afetada tem um endereço IP que está sob a sub-rede do endereço IP configurado para a interface de gerenciamento.

  3. Outra maneira de encontrar as rotas estáticas associadas à sua rede de gerenciamento é usar o show route protocol static next-hop <management-network-gateway-address> comando.

    Como alternativa, basta exibir a parte de rota estática da configuração do dispositivo. Use a função CLI match para localizar rapidamente todas as rotas estáticas que apontam para o gateway padrão da rede de gerenciamento.

Habilite a instância de gerenciamento

Nota:

Recomendamos usar a porta do console do dispositivo para essas operações.

Mudar a instância de gerenciamento muda a instância VRF subjacente para a porta de gerenciamento. Se você usar SSH, Telnet ou NETCONF, a conexão com o dispositivo será descartada quando você confirmar a configuração, e você terá que reestabelecê-la.

Se você usar SSH, Telnet ou NETCONF, use commit confirm.

Para habilitar a instância VRF de gerenciamento dedicada:

  1. Configure a mgmt_junos Instância VRF.
  2. Configure a management-instance declaração.
  3. Adicione as rotas estáticas apropriadas ao mgmt_junos Instância VRF.

    Para saber como determinar as mudanças de rotas estáticas, veja Antes de começar: determine rotas estáticas.

    Se você estiver usando grupos de configuração, você pode definir essas mudanças como parte de um grupo:

  4. Confirmar a configuração.
    Se você estiver usando SSH, Telnet ou NETCONF, use commit confirm. Espere perder e depois precisa restabelecer a sessão SSH, Telnet ou NETCONF.

Configure processos para usar a instância de gerenciamento

Muitos processos se comunicam por meio da interface de gerenciamento. Um processo deve oferecer suporte a uma instância VRF de gerenciamento para poder usar mgmt_junos. Nem todos esses processos são usados mgmt_junos por padrão a menos que a instância de gerenciamento esteja habilitada. Você deve configurar esses processos para usar mgmt_junos.

Os processos a seguir exigem essa configuração adicional:

Tabela 1: Processos que você pode configurar para usar a instância VRF de gerenciamento

Processo

Primeira versão para suporte ao gerenciamento VRF

Para obter mais informações

Scripts de automação

Antes do Junos OS Evolved Release 24.1R1

Usando um local de origem alternativo para um script

Configuração e uso de um local de origem mestre para um script

Protocolo de monitoramento BGP (BMP)

Antes do Junos OS Evolved Release 24.1R1

Configuração do protocolo de monitoramento BGP para executar uma instância de roteamento diferente

Monitoramento de fluxo ativo em linha

Junos OS Evolved Release 24.2R1

Entenda o monitoramento de fluxo ativo em linha

Protocolo de tempo de rede (NTP)

Antes do Junos OS Evolved Release 24.1R1

Ntp

SSH de saída

Junos OS Evolved Release 24.1R1

 Configure o serviço SSH de saída

RAIO

Antes do Junos OS Evolved Release 24.1R1

Configuração da autenticação do servidor RADIUS

Configuração da contabilidade do sistema RADIUS

REST API

Antes do Junos OS Evolved Release 24.1R1

descansar

TACACS+

Antes do Junos OS Evolved Release 24.1R1

Configuração da autenticação do TACACS+

Antes do Junos OS Evolved Release 24.1R1

Configuração da contabilidade do sistema TACACS+

No Junos OS Evolved, o registro do sistema usa a mgmt_junos instância VRF por padrão assim que você configura a management-instance declaração. Você não precisa configurar a instância VRF para registrar mgmt_junos o sistema.

Configurar esses processos para usar a mgmt_junos instância VRF é opcional. Se você pular essa etapa, esses processos continuarão a enviar pacotes usando apenas a instância de roteamento padrão.

  1. Para atualizar scripts de automação, incluindo scripts de confirmação, op, SNMP e eventos de uma fonte usandomgmt_junos, configure o seguinte:
    1. Scripts de commit, op ou SNMP:
    2. Scripts de eventos:
  2. Para scripts de automação e aplicativos que usam chamadas de procedimento remoto desenvolvidas pelo Google (gRPCs), como:
    • Interface de gerenciamento de rede gRPC (gNMI)
    • Interface de operações de rede gRPC (gNOI)
    • Interface base de informações de roteamento gRPC (gRIBI)
    • Kit de ferramentas de extensão da Juniper (JET)
    1. Configurar:
    1. Para aplicativos JET, também configure:
  3. BMP:
    1. BMP no modo de conexão passiva:
    2. BMP no modo de conexão ativa:
  4. Monitoramento de fluxo ativo em linha:
  5. Serviço de NTP:

    Você também deve configurar pelo menos um endereço IP em uma interface física ou lógica dentro da instância de roteamento padrão. Certifique-se de que essa interface esteja ativa para que o serviço NTP possa funcionar com a mgmt_junos instância VRF.

  6. RAIO:
  7. TACACS+:
  8. A REST API:
  9. SSH de saída:

Como desativar a instância de gerenciamento

Quando você desativa a mgmt_junos instância VRF, você também deve remover as outras mudanças de configuração que você fez.

  1. Remova a management-instance declaração para desabilitar a instância VRF de gerenciamento dedicada.
  2. (Opcional) Remova as rotas estáticas do mgmt_junos Instância VRF.
  3. (Opcional) Remova as configurações para processos que usammgmt_junos. Esses processos voltarão a enviar pacotes usando a instância de roteamento padrão. Por exemplo, para remover a mgmt_junos configuração do TACACS+: