Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

专用实例中的管理界面

总结 使用专用管理实例将管理流量与网络的其余部分分开。

为什么使用非默认 VRF 实例?

默认情况下,管理以太网接口(通常命名为 fxp0 或 em0(对于 Junos OS),或者 re0:mgmt-* 或 re1:mgmt-*(对于 Junos OS Evolved))为设备提供带外管理网络。带外管理流量与带内协议控制流量没有明确分开。相反,所有流量都通过默认路由实例并共享默认 inet.0 路由表。这种流量处理系统引起了对安全性、性能和故障排除的担忧。您(网络管理员)可以通过将管理接口限制为专用的非默认虚拟路由和转发 (VRF) 实例来解决这些问题。

专用管理实例的优势

  • 提高安全性

  • 管理流量不再需要与其他控制流量或协议流量共享路由表

  • 更易于使用管理界面进行故障排除

管理实例概述

专用管理 VRF 实例的名称保留并硬编码为 mgmt_junos;您不能按名称 mgmt_junos配置任何其他路由实例。由于某些应用程序假定管理接口始终存在于默认 inet.0 路由表中,因此默认情况下不会实例化专用管理 VRF 实例。您需要对其进行配置才能使其生效。

部署 mgmt_junos VRF 实例后,管理流量将不再与系统中的其他控制流量或协议流量共享路由表(即默认路由表)。VRF 实例中的 mgmt_junos 流量使用私有 IPv4 和 IPv6 路由表。配置 mgmt_junos后,将无法在管理接口上配置动态协议。

配置管理实例

您必须将具有下一跃点的任何静态路由添加到管理接口到 mgmt_junos VRF 实例。如果需要,您还必须配置相应的进程或应用程序以使用 mgmt_junos.所有这些更改都必须在单个提交中完成。否则,现有会话可能会丢失,需要重新协商。

开始之前:确定静态路由

某些静态路由具有通过管理接口的下一跃点。作为配置 mgmt_junos VRF 实例的一部分,您必须添加所有这些静态路由, mgmt_junos 以便它们可以到达管理接口。每个设置都不同。首先,您需要确定通过管理界面具有下一跃点的静态路由。

  1. 使用命令 show interfaces interface-name terse 查找默认管理接口的 IP 地址。默认管理接口为 fxp0 或 em0 for Junos OS,或 re0:mgmt-0 或 re1:mgmt-0 for Junos OS Evolved。

  2. 使用命令 show route forwarding-table 查看转发表,了解静态路由的下一跃点信息。静态路由显示为 type user。任何受影响的静态路由的下一跃点的 IP 地址属于为管理接口配置的 IP 地址的子网。

  3. 查找与管理网络 show route protocol static next-hop <management-network-gateway-address> 关联的静态路由的另一种方法是使用 command 。

    或者,只需显示设备配置的静态路由部分。使用 CLI match 功能快速找到指向管理网络默认网关的所有静态路由。

启用管理实例

注意:

我们建议使用设备控制台端口进行这些操作。

更改管理实例会更改管理端口的底层 VRF 实例。如果您使用 SSH、Telnet 或 NETCONF,则在您提交配置时,与设备的连接将断开,您必须重新建立它。

如果您确实使用 SSH、Telnet 或 NETCONF,请使用 commit confirm.

要启用专用管理 VRF 实例:

  1. mgmt_junos配置VRF 实例。
  2. 配置语句management-instance
  3. 将适当的静态路由添加到mgmt_junosVRF 实例。

    有关如何确定要更改的静态路由,请参阅 开始之前:确定静态路由

    如果您使用的是配置组,则可以将这些更改设置为组的一部分:

  4. 提交配置。
    如果您使用的是 SSH、Telnet 或 NETCONF,请使用 commit confirm.预计会丢失,然后必须重新建立 SSH、Telnet 或 NETCONF 会话。

配置进程以使用管理实例

许多进程通过管理界面进行通信。进程必须支持管理 VRF 实例才能使用 mgmt_junos.默认情况下,并非所有这些进程都使用 mgmt_junos 除非启用了 management-instance。您必须将这些进程配置为使用 mgmt_junos

以下进程需要此附加配置:

  • 自动化脚本

  • BGP 监控协议 (BMP)

  • 网络时间协议 (NTP)

  • 出站 SSH

  • 半径

  • 具象状态传输 (REST) API

  • TACACS+

在 Junos OS Evolved 中,系统日志记录默认使用 mgmt_junos VRF 实例,只要您配置了语句。 management-instance 您无需配置 mgmt_junos VRF 实例进行系统日志记录。

配置这些进程以使用 mgmt_junos VRF 实例是可选的。如果跳过此步骤,这些进程将继续仅使用默认路由实例发送数据包。

  1. 要使用 mgmt_junos从源更新自动化脚本,请配置以下内容:
    1. 提交、操作或 SNMP 脚本:
    2. 事件脚本:
    3. Juniper Extension Toolkit (JET) 脚本:
  2. BMP (标准费率):
    1. 被动连接模式下的 BMP:
    2. 主动连接模式下的 BMP:
  3. NTP 服务:

    您还必须在默认路由实例内的物理或逻辑接口上配置至少一个 IP 地址。确保此接口已启动,以便 NTP 服务可以与 VRF 实例配合使用 mgmt_junos

  4. 半径:
  5. TACACS+:
  6. REST API:
  7. 出站 SSH:

如何禁用管理实例

禁用 mgmt_junos VRF 实例时,还必须删除所做的其他配置更改。

  1. management-instance删除该语句以禁用专用管理 VRF 实例。
  2. (可选) 从mgmt_junosVRF 实例。
  3. (可选)删除使用 mgmt_junos.这些进程将返回使用默认路由实例发送数据包。例如,要删除 mgmt_junos TACACS+ 的配置: