非默认实例中的管理接口
为什么使用非默认 VRF 实例?
默认情况下,管理以太网接口(对于 Junos OS,通常称为 fxp0 或 em0,或者对于 Junos OS Evolved,通常名为 re0:mgmt-* 或 re1:mgmt-*)为设备提供带外管理网络。带外管理流量未明确与带内协议控制流量分离。相反,所有流量都会通过默认路由实例并共享默认 inet.0 路由表。这种流量处理系统引起了人们对安全性、性能和故障排除的担忧。
您(网络管理员)可将管理接口限制为非默认的虚拟路由和转发 (VRF) 实例。配置非默认管理 VRF 实例后,管理流量不再需要与其他控制流量或协议流量共享路由表。此配置提高了安全性,并更易于使用管理界面进行故障排除。
-
对于 Junos OS,非默认管理 VRF 实例仅支持 em0 和 fxp0 接口。非默认管理 VRF 实例不支持其他管理接口,如 em1。
-
非默认管理 VRF 实例支持 EX 系列设备上的虚拟管理以太网 (VME) 接口。VME 接口用于管理虚拟机箱。有关更多信息,请参阅 了解虚拟机箱的全局管理
配置 mgmt_junos VRF 实例
专用管理 VRF 实例的名称保留并硬编码为 mgmt_junos;您不能按名称 mgmt_junos配置任何其他路由实例。由于某些应用程序假定管理接口始终存在于默认的 inet.0 路由表中,因此专用管理 VRF 实例不会在默认情况下实例化。
您必须将管理接口上具有下一跃点的任何静态路由添加到 mgmt_junos VRF 实例。如果需要,您还必须配置要使用 mgmt_junos的相应进程或应用程序。所有这些更改都必须在一次提交中完成。否则,现有会话可能会丢失,需要重新协商。
部署 mgmt_junos VRF 实例后,管理流量将不再与系统中的其他控制流量或协议流量共享路由表(即默认路由表)。VRF 实例中的 mgmt_junos 流量使用专用 IPv4 和 IPv6 路由表。配置 mgmt_junos后,将无法在管理接口上配置动态协议。
开始前:确定静态路由
某些静态路由会通过管理界面有下一跃点。作为配置 VRF 实例的 mgmt_junos 一部分,您必须将 mgmt_junos 所有这些静态路由添加到其中,以便它们能够到达管理界面。每个设置都不同。首先,您需要识别通过管理界面有下一跃点的静态路由。
-
show interfaces interface-name terse使用命令查找默认管理接口的 IP 地址。对于 Junos OS,默认管理接口为 fxp0 或 em0,对于 Junos OS 演化版,默认管理接口为 re0:mgmt-0 或 re1:mgmt-0。user@host> show interfaces fxp0 terse Interface Admin Link Proto Local Remote fxp0 up up fxp0.0 up up inet 10.102.183.152/20
-
使用
show route forwarding-table命令查看转发表,了解静态路由的下一跃点信息。静态路由显示为类型user。任何静态路由的下一跃点都有一个 IP 地址,该 IP 地址位于为管理接口配置的 IP 地址的子网下。user@host> show route forwarding-table Routing table: default.inet Internet: Enabled protocols: Bridging, Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 36 1 0.0.0.0/32 perm 0 dscd 34 1 10.0.0.0/8 user 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.0.1.0/24 intf 0 rslv 584 1 ge-0/0/0.0 10.0.1.0/32 dest 0 10.0.1.0 recv 582 1 ge-0/0/0.0 10.0.1.1/32 intf 0 10.0.1.1 locl 583 2 10.0.1.1/32 dest 0 10.0.1.1 locl 583 2 10.0.1.255/32 dest 0 10.0.1.255 bcst 581 1 ge-0/0/0.0 10.102.176.0/20 intf 0 rslv 340 1 fxp0.0 10.102.176.0/32 dest 0 10.102.176.0 recv 338 1 fxp0.0 10.102.176.3/32 dest 1 0:50:56:9f:1b:2e ucst 350 2 fxp0.0 10.102.183.152/32 intf 0 10.102.183.152 locl 339 2 10.102.183.152/32 dest 0 10.102.183.152 locl 339 2 10.102.191.253/32 dest 0 10:e:7e:b1:b0:80 ucst 348 1 fxp0.0 10.102.191.254/32 dest 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.102.191.255/32 dest 0 10.102.191.255 bcst 337 1 fxp0.0 172.16.0.0/12 user 0 10.102.191.254 ucst 341 6 fxp0.0 192.168.0.0/16 user 0 10.102.191.254 ucst 341 6 fxp0.0 224.0.0.0/4 perm 0 mdsc 35 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 31 1 255.255.255.255/32 perm 0 bcst 32 1
-
查找与管理网络关联的静态路由的另一种方法是使用
show route protocol static next-hop <management-network-gateway-address>命令。user@host> show route protocol static next-hop 10.102.191.254 inet.0: 10 destinations, 10 routes (10 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.0.0/8 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 172.16.0.0/12 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 192.168.0.0/16 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0match功能快速找到指向管理网络默认网关的所有静态路由。user@host> show configuration routing-options static | match 10.102.191.254 route 10.0.0.0/8 next-hop 10.102.191.254; route 172.16.0.0/12 next-hop 10.102.191.254; route 192.168.0.0/16 next-hop 10.102.191.254;
启用 mgmt_junos VRF 实例
我们建议使用设备控制台端口进行这些操作。如果使用 SSH 或 Telnet,当您提交配置时,与设备的连接将被断开,而且您必须重新建立它。如果使用 SSH 或 Telnet,请使用 commit confirm。
要启用专用管理 VRF 实例,
配置流程以使用mgmt_junos
许多进程通过管理界面进行通信。流程必须支持管理 VRF 实例才能使用mgmt_junos。 除非启用了管理实例,否则不会默认使用mgmt_junos所有这些进程。您必须将这些进程配置为使用mgmt_junos。
以下进程需要此附加配置:
| 过程 |
支持管理 VRF 的第一个版本 |
更多信息 |
|---|---|---|
| Automation scripts |
Junos OS 18.1R1 版 |
|
| BGP Monitoring Protocol (BMP) |
Junos OS 18.3R1 版 |
|
| NTP |
Junos OS 18.1R1 版 |
|
| Outbound SSH |
Junos OS 19.3R1 版 |
配置出站 SSH 服务 |
| RADIUS |
Junos OS 18.1R1 版 |
|
| REST API |
Junos OS 20.3R1 版 |
|
| System Logging |
Junos OS 18.1R1 版 |
|
| Junos OS 18.4R1 版 |
||
| TACACS+ |
Junos OS 17.4R1 版 |
|
| Junos OS 18.2R1 版 |
将这些进程配置为使用 mgmt_junos VRF 实例是可选的。如果跳过这一步,则这些进程将继续仅使用默认路由实例发送数据包。
如何禁用 mgmt_junos VRF 实例
禁用 mgmt_junos VRF 实例时,还必须删除所做的其他配置更改。