非默认实例中的管理接口
为什么使用非默认 VRF 实例?
默认情况下,管理以太网接口(对于 Junos OS,通常称为 fxp0 或 em0,或者对于 Junos OS Evolved,通常名为 re0:mgmt-* 或 re1:mgmt-*)为设备提供带外管理网络。带外管理流量未明确与带内协议控制流量分离。相反,所有流量都会通过默认路由实例并共享默认 inet.0 路由表。这种流量处理系统引起了人们对安全性、性能和故障排除的担忧。
您(网络管理员)可将管理接口限制在非默认虚拟路由和转发 (VRF) 实例中。配置非默认管理 VRF 实例后,管理流量不再需要与其他控制流量或协议流量共享路由表。此配置提高了安全性,并更易于使用管理界面进行故障排除。
配置 mgmt_junos VRF 实例
专用管理 VRF 实例的名称保留并硬编码为 mgmt_junos;您不能按名称 mgmt_junos配置任何其他路由实例。由于某些应用程序假定管理接口始终存在于默认的 inet.0 路由表中,因此专用管理 VRF 实例不会在默认情况下实例化。
您必须将管理接口上具有下一跃点的任何静态路由添加到 mgmt_junos VRF 实例。如果需要,您还必须配置要使用 mgmt_junos的相应进程或应用程序。所有这些更改都必须在一次提交中完成。否则,现有会话可能会丢失,需要重新协商。
部署 mgmt_junos VRF 实例后,管理流量将不再与系统中的其他控制流量或协议流量共享路由表(即默认路由表)。VRF 实例中的 mgmt_junos 流量使用专用 IPv4 和 IPv6 路由表。配置 mgmt_junos后,将无法在管理接口上配置动态协议。
开始前:确定静态路由
某些静态路由会通过管理界面有下一跃点。作为配置 VRF 实例的 mgmt_junos 一部分,您必须将 mgmt_junos 所有这些静态路由添加到其中,以便它们能够到达管理界面。每个设置都不同。首先,您需要识别通过管理界面有下一跃点的静态路由。
-
show interfaces interface-name terse使用命令查找默认管理接口的 IP 地址。对于 Junos OS,默认管理接口为 fxp0 或 em0,对于 Junos OS 演化版,默认管理接口为 re0:mgmt-0 或 re1:mgmt-0。 -
使用
show route forwarding-table命令查看转发表,了解静态路由的下一跃点信息。静态路由显示为类型user。任何静态路由的下一跃点都有一个 IP 地址,该 IP 地址位于为管理接口配置的 IP 地址的子网下。 -
查找静态路由的另一种方法是使用
show route protocol static命令。
启用 mgmt_junos VRF 实例
我们建议使用设备控制台端口进行这些操作。如果使用 SSH 或 Telnet,当您提交配置时,与设备的连接将被断开,您必须重新建立它。如果使用 SSH 或 Telnet,请使用 commit confirm。
要启用专用管理 VRF 实例,
配置流程以使用mgmt_junos
许多进程通过管理界面进行通信。流程必须支持管理 VRF 实例才能使用 mgmt_junos。不是所有这些进程在默认情况下都使用 mgmt_junos 。您必须将这些进程配置为使用 mgmt_junos。
以下进程需要此附加配置:
-
自动化脚本
-
BGP 监控协议 (BMP)
-
网络时间协议 (NTP)
-
出站 SSH
-
半径
-
表述性状态转移 (REST) API
-
TACACS+
在 Junos OS 演化版中 mgmt_junos ,配置语句后 management-instance ,系统日志记录默认会使用 VRF 实例。您无需为系统日志记录配置 mgmt_junos VRF 实例。
将这些进程配置为使用 mgmt_junos VRF 实例是可选的。如果跳过这一步,则这些进程将继续使用默认路由实例发送数据包。
如何禁用 mgmt_junos VRF 实例
禁用 mgmt_junos VRF 实例时,还必须删除所做的其他配置更改。