Interface de gerenciamento em uma instância não padrão
Por que usar uma instância VRF não padrão?
Por padrão, a interface Ethernet de gerenciamento (geralmente nomeada fxp0 ou em0 para Junos OS, ou re0:mgmt-* ou re1:mgmt-* para o Junos OS Evolved) fornece a rede de gerenciamento fora de banda para o dispositivo. O tráfego de gerenciamento fora de banda não está claramente separado do tráfego de controle de protocolo na banda. Em vez disso, todo o tráfego passa pela instância de roteamento padrão e compartilha a tabela de roteamento inet.0 padrão. Esse sistema de tratamento de tráfego gera preocupações com segurança, desempenho e solução de problemas.
Você (o administrador de rede) pode limitar a interface de gerenciamento a instâncias de roteamento e encaminhamento virtual (VRF) não padrão. Depois de configurar a instância VRF de gerenciamento não padrão, o tráfego de gerenciamento não precisa mais compartilhar uma tabela de roteamento com outro tráfego de controle ou tráfego de protocolo. Essa configuração melhora a segurança e torna mais fácil usar a interface de gerenciamento para solucionar problemas.
-
Para o Junos OS, a instância VRF de gerenciamento não padrão oferece suporte apenas às interfaces em0 e fxp0. A instância VRF de gerenciamento não padrão não oferece suporte a outras interfaces de gerenciamento, como a em1.
-
A instância VRF de gerenciamento não padrão oferece suporte à interface Ethernet (VME) de gerenciamento virtual em dispositivos da Série EX. A interface VME é usada para gerenciar o Virtual Chassis. Para obter mais informações, consulte Entender o gerenciamento global de um chassi virtual
Configure a instância VRF mgmt_junos
O nome da instância VRF de gerenciamento dedicado é reservado e codificado como mgmt_junos
; você não pode configurar nenhuma outra instância de roteamento pelo nome mgmt_junos
. Como alguns aplicativos assumem que a interface de gerenciamento está sempre presente na tabela de roteamento padrão inet.0, a instância VRF de gerenciamento dedicado não é instanciada por padrão.
Você deve adicionar quaisquer rotas estáticas que tenham um próximo salto sobre a interface de gerenciamento à mgmt_junos
instância VRF. Se necessário, você também deve configurar os processos ou aplicativos apropriados para usar mgmt_junos
. Todas essas mudanças devem ser feitas em um único compromisso. Caso contrário, as sessões existentes podem ser perdidas e precisam ser renegociadas.
Depois de implantar a instância VRF, o mgmt_junos
tráfego de gerenciamento não compartilha mais uma tabela de roteamento (ou seja, a tabela de roteamento padrão) com outro tráfego de controle ou tráfego de protocolo no sistema. O tráfego na mgmt_junos
instância VRF usa tabelas privadas de roteamento IPv4 e IPv6. Depois de configurar mgmt_junos
, você não pode configurar protocolos dinâmicos na interface de gerenciamento.
Antes de começar: determine rotas estáticas
Algumas rotas estáticas têm um próximo salto pela interface de gerenciamento. Como parte da configuração da mgmt_junos
instância VRF, você deve adicionar todas essas rotas estáticas para mgmt_junos
que elas possam chegar à interface de gerenciamento. Cada configuração é diferente. Primeiro, você precisa identificar as rotas estáticas que têm um próximo salto através da interface de gerenciamento.
-
Use o
show interfaces interface-name terse
comando para encontrar o endereço IP da interface de gerenciamento padrão. A interface de gerenciamento padrão é fxp0 ou em0 para Junos OS, ou re0:mgmt-0 ou re1:mgmt-0 para Junos OS Evolved.user@host> show interfaces fxp0 terse Interface Admin Link Proto Local Remote fxp0 up up fxp0.0 up up inet 10.102.183.152/20
-
Use o
show route forwarding-table
comando para olhar para a tabela de encaminhamento para obter informações de next-hop para rotas estáticas. Rotas estáticas aparecem como tipouser
. O próximo salto para qualquer rota estática afetada tem um endereço IP que está sob a sub-rede do endereço IP configurado para a interface de gerenciamento.user@host> show route forwarding-table Routing table: default.inet Internet: Enabled protocols: Bridging, Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 36 1 0.0.0.0/32 perm 0 dscd 34 1 10.0.0.0/8 user 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.0.1.0/24 intf 0 rslv 584 1 ge-0/0/0.0 10.0.1.0/32 dest 0 10.0.1.0 recv 582 1 ge-0/0/0.0 10.0.1.1/32 intf 0 10.0.1.1 locl 583 2 10.0.1.1/32 dest 0 10.0.1.1 locl 583 2 10.0.1.255/32 dest 0 10.0.1.255 bcst 581 1 ge-0/0/0.0 10.102.176.0/20 intf 0 rslv 340 1 fxp0.0 10.102.176.0/32 dest 0 10.102.176.0 recv 338 1 fxp0.0 10.102.176.3/32 dest 1 0:50:56:9f:1b:2e ucst 350 2 fxp0.0 10.102.183.152/32 intf 0 10.102.183.152 locl 339 2 10.102.183.152/32 dest 0 10.102.183.152 locl 339 2 10.102.191.253/32 dest 0 10:e:7e:b1:b0:80 ucst 348 1 fxp0.0 10.102.191.254/32 dest 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.102.191.255/32 dest 0 10.102.191.255 bcst 337 1 fxp0.0 172.16.0.0/12 user 0 10.102.191.254 ucst 341 6 fxp0.0 192.168.0.0/16 user 0 10.102.191.254 ucst 341 6 fxp0.0 224.0.0.0/4 perm 0 mdsc 35 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 31 1 255.255.255.255/32 perm 0 bcst 32 1
-
Outra maneira de encontrar as rotas estáticas associadas à sua rede de gerenciamento é usar o
show route protocol static next-hop <management-network-gateway-address>
comando.user@host> show route protocol static next-hop 10.102.191.254 inet.0: 10 destinations, 10 routes (10 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.0.0/8 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 172.16.0.0/12 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 192.168.0.0/16 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0
match
para localizar rapidamente todas as rotas estáticas que apontam para o gateway padrão da rede de gerenciamento.user@host> show configuration routing-options static | match 10.102.191.254 route 10.0.0.0/8 next-hop 10.102.191.254; route 172.16.0.0/12 next-hop 10.102.191.254; route 192.168.0.0/16 next-hop 10.102.191.254;
Habilite a instância VRF mgmt_junos
Recomendamos o uso da porta do console do dispositivo para essas operações. Se você usar SSH ou Telnet, a conexão com o dispositivo será descartada quando você confirmar a configuração, e você terá que reestabelecê-la. Se você usar SSH ou Telnet, use commit confirm
.
Para habilitar a instância VRF de gerenciamento dedicada:
Configure processos para usar mgmt_junos
Muitos processos se comunicam por meio da interface de gerenciamento. Um processo deve dar suporte a uma instância VRF de gerenciamento para poder usar mgmt_junos
. Nem todos esses processos são usados mgmt_junos
por padrão , a menos que a instância de gerenciamento seja habilitada. Você deve configurar esses processos para usar mgmt_junos
.
Os seguintes processos exigem essa configuração adicional:
Processo |
Primeira versão para suporte ao gerenciamento VRF |
Para obter mais informações |
---|---|---|
Automation scripts |
Versão do Junos OS 18.1R1 |
|
BGP Monitoring Protocol (BMP) |
Versão do Junos OS 18.3R1 |
Configuração do protocolo de monitoramento BGP para executar uma instância de roteamento diferente |
NTP |
Versão do Junos OS 18.1R1 |
|
Outbound SSH |
Versão Junos OS 19.3R1 |
Configure o serviço SSH de saída |
RADIUS |
Versão do Junos OS 18.1R1 |
|
REST API |
Versão do Junos OS 20.3R1 |
|
System Logging |
Versão do Junos OS 18.1R1 |
|
Versão do Junos OS 18.4R1 |
||
TACACS+ |
Versão do Junos OS 17.4R1 |
|
Versão do Junos OS 18.2R1 |
Configurar esses processos para usar a mgmt_junos
instância VRF é opcional. Se você pular essa etapa, esses processos continuarão a enviar pacotes usando apenas a instância de roteamento padrão.
Como desativar a instância VRF mgmt_junos
Quando você desativa a mgmt_junos
instância VRF, você também deve remover as outras mudanças de configuração que fez.