为 CSDS 配置 Junos Node Unifier
使用此配置示例配置 Junos 节点统一符 (JNU),以便统一管理 Connected Security 分布式服务 (CSDS) 拓扑中的网络设备。
Junos 节点统一符 (JNU) 提供 Connected Security 分布式服务 (CSDS) 拓扑中所有节点的统一命令行界面 (CLI) 视图。JNU 控制器和 JNU 卫星通过管理网络进行通信。在此配置示例中,您将了解如何使用双控制器配置 JNU。如果您的 JNU 拓扑中有一个 JNU 控制器,我们指明了您可以跳过的步骤。请注意,控制器具有双路由引擎 (RE)( re0 和 re1),即使其中一个 RE 发生故障,也能继续转发数据包。
| 阅读时间 |
不到一个小时 |
| 配置时间 |
不到一个小时 |
先决条件示例
| 硬件要求 |
|
| 软件要求 |
|
确保您已完成 MX 系列和 SRX 系列防火墙的基本配置,并且节点可以通过管理网络相互通信。
准备工作
| 了解适用于 CSDS 的 JNU |
配置 JNU,以使用单一接触点管理解决方案管理 Connected Security 分布式服务 (CSDS) 架构中的网络设备。您可以使用 JNU 执行以下任务:
|
| 了解更多 |
功能概述
| JNU 控制器 |
JNU 控制器节点将多个网络设备的统一 CLI 视图作为一个集中式实体呈现,并将这些设备添加为 JNU 卫星。该节点运行 jnud 进程以呈现统一的用户体验,并使用远程过程调用 (RPC) 与 JNU 卫星通信。 |
| JNU 卫星 |
JNU卫星在JNU控制器的控制下运行。这些节点运行安全服务。 jnud 进程也在卫星中运行。 |
| 主要验证任务 |
验证以下内容:
|
拓扑概览
| 主机名 |
角色 |
功能 |
|---|---|---|
| MX1 |
JNU 控制器 |
用作 JNU 拓扑中所有网络设备的 CLI 接触点。
|
| MX2 |
JNU 控制器(第二个控制器) |
用作第二个控制器,以实现高可用性
|
| SRX1 |
JNU 卫星 |
可以使用 JNU 控制器管理的 JNU 拓扑中的节点。
对于每颗新卫星,请使用唯一的 IP 地址。 |
节点使用 fxp0 管理接口在控制器和卫星之间进行通信。
拓扑图示
的 JNU 拓扑
在 MX1、MX2 和 SRX1 上进行分步先决条件配置
在 MX1、MX2 和 SRX1 上启用 SSH 和 NETCONF 服务。
[edit] user@mx1# set system services ssh user@mx1# set system services netconf ssh
在配置 JNU 控制器之前,请确保 MX1、MX2 和 SRX 上有可用的 SSH 密钥。您可以手动生成 SSH 密钥,也可以使用自动生成的密钥。
按照步骤 a 到 d 在 MX 系列路由器和 SRX 系列防火墙上手动生成 SSH 密钥。为 MX 系列上的 re0 和 re1 分别生成这些自定义 SSH 密钥。在每个 MX 系列 RE 和 SRX 系列防火墙上运行这些步骤。
请注意,在 JNU 配置期间在控制器和
request jnu role satellite卫星上使用命令request jnu role controller invoke-on all-routing-engines时,Junos 会主动检查 /var/db/jnu/.ssh 中的自定义 SSH 密钥。如果缺少密钥,这些命令将生成新密钥。如果密钥存在,命令不会覆盖它们。在每个控制器 RE 和卫星上,运行以下步骤。
在此示例拓扑中,对 MX1 re0、MX1 re1、MX2 re0、MX2 re1和 SRX1 运行以下步骤。如果您有单个控制器,请对 MX1 re0、MX1 re1和 SRX1 运行以下步骤:
在 shell 提示符下,创建一个目录来存储 SSH 密钥对。
user@host:~# mkdir -p /var/db/jnu/.ssh
为 SSH 创建身份验证密钥对。
user@host:~# echo 'y' | ssh-keygen -t rsa -f /var/db/jnu/.ssh/id_rsa -N "" -b 2048
在此配置中,我们创建了具有 RSA 2048 位加密的密钥。我们仅支持基于 RSA 的加密。
获取公钥。
user@host:~# cat /var/db/jnu/.ssh/id_rsa.pub "$ABC123c1r0"
(仅适用于控制器)在控制器上,要在其他 RE 上生成 SSH 密钥,请在作模式下运行以下命令登录到其他 RE,然后重复步骤 1 和 2。对于卫星,请忽略以下步骤:
user@host> request routing-engine login other-routing-engine
请注意您为配置 JNU 节点而生成的公钥。在示例拓扑中,以下是 MX1 re0、MX1 re1、MX2 re0、MX2 re1和 SRX1 的公钥。
-
$ABC123c1r0是 MX1 re0的公钥。 -
$ABC123c1r1是 MX1 re1的公钥。 -
$ABC123c2r0是 MX2 re0的公钥。 -
$ABC123c2r1是 MX2 re1的公钥。 -
$ABC123是 SRX1 的公钥。
MX1 上的控制器分步配置
确保 MX1re0、MX1re1、MX2、MX2 re0re1和 SRX1 上的 SSH 密钥对可用,并且您已记下它们的公钥。
在 MX1 上配置 JNU 控制器。运行以下步骤。
MX2 上的控制器分步配置
确保 MX1re0、MX1re1、MX2、MX2 re0re1和 SRX1 上的 SSH 密钥对可用,并且您已记下它们的公钥。
在 MX2 上配置 JNU 控制器。运行以下步骤。
SRX1 上的分步卫星配置
在配置卫星之前,请确保已配置控制器。确保 SRX1 上的 SSH 密钥对可用,并且您已记下其公钥。
在 SRX1 上配置 JNU 卫星。运行以下步骤。对拓扑中的每颗卫星重复这些步骤,并根据拓扑调整配置。
验证
本部分提供可用于验证此示例中的功能的 show 命令列表。
| 命令 | 验证任务 |
|---|---|
| 显示机箱 JNU 卫星 |
验证 JNU 节点同步。 |
| show configuration chassis jnu-management |
验证 JNU 拓扑中的节点。 |
验证 JNU 节点同步
目的
运行命令以验证 SRX1 是否已同步。如果 JNU 拓扑中存在 JDM 和 vSRX 虚拟防火墙,命令还会显示这两个防火墙。控制器 MX1 和 MX2 都会列出您添加的卫星。在初始同步期间,卫星会将其模式推送到控制器。
行动
在作模式下,对 MX1 和 MX2 控制器运行 show chassis jnu satellites 命令,以验证卫星是否已添加到控制器中。
user@mx1> show chassis jnu satellites Satellite Alive Model Version ----------------------------------------------------- 10.52.130.203 up SRX4600 24.4I-20241106.0.1958
user@mx2> show chassis jnu satellites Satellite Alive Model Version ----------------------------------------------------- 10.52.130.203 up SRX4600 24.4I-20241106.0.1958
意义
控制器 列出卫星的名称、状态、型号和 Junos OS 版本。每个控制器与每颗卫星的同步大约需要 5-6 分钟。
验证 JNU 拓扑中的节点
目的
在控制器和卫星上运行命令,以了解 JNU 拓扑中节点的详细信息。
行动
在作模式下,对 MX1、MX2 和 SRX1 运行 show configuration chassis jnu-management 命令,以验证 JNU 拓扑中的节点。
user@mx1> show configuration chassis jnu-management
mode feature-rich;
satellite 10.52.130.203 {
model SRX4600;
version 24.4I-20241106.0.1958;
}
user jnuadmin;
other-controller 10.52.136.111;
user@mx2> show configuration chassis jnu-management
mode feature-rich;
satellite 10.52.130.203 {
model SRX4600;
version 24.4I-20241106.0.1958;
}
user jnuadmin;
other-controller 10.52.131.130;
user@srx1> show configuration chassis jnu-management mode feature-rich; satellite-name 10.52.130.203; user jnuadmin; controller [ 10.52.131.130 10.52.136.111 ];
意义
命令显示控制器和卫星节点的详细信息。
附录 1:在所有设备上设置命令
在所有设备上设置命令输出。
在 MX1 上设置命令
set groups re0 interfaces fxp0 unit 0 family inet address 10.52.131.130/8 master-only set groups re0 interfaces fxp0 unit 0 family inet address 10.52.136.131/8 set groups re1 interfaces fxp0 unit 0 family inet address 10.52.136.132/8 set groups re1 interfaces fxp0 unit 0 family inet address 10.52.131.130/8 master-only set groups global system root-authentication encrypted-password “$ABC123” set groups global system login user remote uid 2000 set groups global system login user remote class super-user set groups global system services netconf ssh set groups global system services ssh root-login allow set system commit synchronize set system login user jnuadmin uid 2001 set system login user jnuadmin class super-user set system login user jnuadmin authentication ssh-rsa "$ABC123c1r0" set system login user jnuadmin authentication ssh-rsa "$ABC123c1r1" set system login user jnuadmin authentication ssh-rsa "$ABC123" set system services netconf ssh set system ports console log-out-on-disconnect set chassis redundancy graceful-switchover set chassis jnu-management mode feature-rich set chassis jnu-management user jnuadmin set chassis jnu-management other-controller 10.52.136.111 set routing-options nonstop-routing
在 MX2 上设置命令
set groups re0 interfaces fxp0 unit 0 family inet address 10.52.136.111/8 master-only set groups re1 interfaces fxp0 unit 0 family inet address 10.52.136.112/8 set groups re1 interfaces fxp0 unit 0 family inet address 10.52.136.113/8 set groups re1 interfaces fxp0 unit 0 family inet address 10.52.136.111/8 master-only set groups global system root-authentication encrypted-password “$ABC123” set groups global system login user remote uid 2000 set groups global system login user remote class super-user set groups global system services netconf ssh set groups global system services ssh root-login allow set system commit synchronize set system login user jnuadmin uid 2001 set system login user jnuadmin class super-user set system login user jnuadmin authentication ssh-rsa "$ABC123" set system login user jnuadmin authentication ssh-rsa "$ABC123c2r0” set system login user jnuadmin authentication ssh-rsa "$ABC123c2r1” set system services netconf ssh set system ports console log-out-on-disconnect set chassis redundancy graceful-switchover set chassis jnu-management mode feature-rich set chassis jnu-management user jnuadmin set chassis jnu-management other-controller 10.52.131.130 set routing-options nonstop-routing
在 SRX1 上设置命令
set groups member0 interfaces fxp0 unit 0 family inet address 10.52.130.203/8 set groups global system root-authentication encrypted-password "$ABC123” set groups global system login user remote uid 2000 set groups global system login user remote class super-user set groups global system services netconf ssh set groups global system services ssh root-login allow set system host-name shanv1r set system login user jnuadmin uid 2001 set system login user jnuadmin class super-user set system login user jnuadmin authentication ssh-rsa “$ABC123c1r0” set system login user jnuadmin authentication ssh-rsa “$ABC123c1r1” set system login user jnuadmin authentication ssh-rsa “$ABC123c2r0” set system login user jnuadmin authentication ssh-rsa “$ABC123c2r1” set system services netconf ssh set system ports console log-out-on-disconnect set chassis jnu-management mode feature-rich set chassis jnu-management satellite-name 10.52.130.203 set chassis jnu-management user jnuadmin set chassis jnu-management controller 10.52.136.111 set chassis jnu-management controller 10.52.131.130
附录 2:显示所有设备上的配置输出
在所有设备上显示命令输出。
在 MX1 上显示命令
user@mx1# show chassis jnu-management
Nov 07 23:21:42
mode feature-rich;
satellite 10.52.130.203 {
model SRX4600;
version 24.4I-20241106.0.1958;
}
user jnuadmin;
other-controller 10.52.131.130;
在 MX2 上显示命令
user@mx2# show chassis jnu-management
Nov 07 23:21:47
mode feature-rich;
satellite 10.52.130.203 {
model SRX4600;
version 24.4I-20241106.0.1958;
}
user jnuadmin;
other-controller 10.52.136.111;
在 SRX1 上显示命令
user@srx1# show chassis jnu-management mode feature-rich; satellite-name 10.52.130.203; user jnuadmin; controller [ 10.52.136.111 10.52.131.130 ];