Verwaltungsschnittstelle in einer dedizierten Instanz

Warum sollte eine nicht standardmäßige VRF-Instanz verwendet werden?

Standardmäßig stellt die Ethernet-Managementschnittstelle (normalerweise fxp0 oder em0 für Junos OS oder re0:mgmt-* oder re1:mgmt-* für Junos OS Evolved) das Out-of-Band-Verwaltungsnetzwerk für das Gerät bereit. Out-of-Band-Management-Datenverkehr ist nicht klar vom In-Band-Protokollsteuerungsdatenverkehr getrennt. Stattdessen wird der gesamte Datenverkehr über die Standardroutinginstanz geleitet und teilt die standardmäßige Routing-Tabelle inet.0. Dieses System der Datenverkehrsverarbeitung gibt Anlass zu Bedenken hinsichtlich Sicherheit, Leistung und Fehlerbehebung. Sie (der Netzwerkadministrator) können diese Probleme lösen, indem Sie die Verwaltungsschnittstelle auf eine dedizierte, nicht standardmäßige VRF-Instanz (Virtual Routing and Forwarding) beschränken.

Vorteile einer dedizierten Management-Instanz
Übersicht über Verwaltungsinstanzen

Vorteile einer dedizierten Management-Instanz

Verbesserte Sicherheit
Der Verwaltungsdatenverkehr muss sich keine Routing-Tabelle mehr mit anderem Steuerdaten- oder Protokolldatenverkehr teilen
Einfachere Verwendung der Verwaltungsoberfläche für die Fehlerbehebung

Übersicht über Verwaltungsinstanzen

Der Name der dedizierten Verwaltungs-VRF-Instanz ist reserviert und fest codiert als mgmt_junos; Sie können keine andere Routing-Instanz anhand des Namens mgmt_junoskonfigurieren. Da einige Anwendungen davon ausgehen, dass die Verwaltungsschnittstelle immer in der standardmäßigen Routing-Tabelle inet.0 vorhanden ist, wird die dedizierte Verwaltungs-VRF-Instanz nicht standardmäßig instanziiert. Sie müssen es konfigurieren, damit es wirksam wird.

Nachdem Sie die mgmt_junos VRF-Instanz bereitgestellt haben, teilt der Verwaltungsdatenverkehr eine Routing-Tabelle (d. h. die Standard-Routing-Tabelle) nicht mehr mit anderem Steuerungsdatenverkehr oder Protokolldatenverkehr im System. Der Datenverkehr in der mgmt_junos VRF-Instanz verwendet private IPv4- und IPv6-Routing-Tabellen. Nach der Konfiguration mgmt_junoskönnen Sie keine dynamischen Protokolle mehr auf der Verwaltungsschnittstelle konfigurieren.

Konfigurieren der Verwaltungsinstanz

Sie müssen alle statischen Routen hinzufügen, die über einen nächsten Hop über die Verwaltungsschnittstelle zur mgmt_junos VRF-Instanz verfügen. Bei Bedarf müssen Sie auch die entsprechenden Prozesse oder Anwendungen konfigurieren, die verwendet werden mgmt_junossollen. Alle diese Änderungen müssen in einem einzigen Commit vorgenommen werden. Andernfalls könnten die vorhandenen Sitzungen verloren gehen und müssen neu ausgehandelt werden.

Bevor Sie beginnen: Festlegen statischer Routen
Aktivieren der Verwaltungsinstanz

Bevor Sie beginnen: Festlegen statischer Routen

Einige statische Routen verfügen über einen nächsten Hop über die Verwaltungsschnittstelle. Im Rahmen der Konfiguration der mgmt_junos VRF-Instanz müssen Sie all diese statischen Routen mgmt_junos hinzufügen, damit sie die Verwaltungsschnittstelle erreichen können. Jedes Setup ist anders. Zunächst müssen Sie die statischen Routen identifizieren, die einen nächsten Hop über die Verwaltungsschnittstelle haben.

Verwenden Sie den show interfaces interface-name terse Befehl, um die IP-Adresse der Standardverwaltungsschnittstelle zu ermitteln. Die Standard-Managementschnittstelle ist fxp0 oder em0 für Junos OS oder re0:mgmt-0 oder re1:mgmt-0 für Junos OS Evolved.
Verwenden Sie den show route forwarding-table Befehl, um in der Weiterleitungstabelle nach Next-Hop-Informationen für statische Routen zu suchen. Statische Routen werden als Typ userangezeigt. Der nächste Hop für jede statische Route, die betroffen ist, verfügt über eine IP-Adresse, die zum Subnetz der für die Verwaltungsschnittstelle konfigurierten IP-Adresse gehört.
Eine weitere Möglichkeit, die statischen Routen zu finden, die Ihrem Verwaltungsnetzwerk zugeordnet sind, ist die Verwendung des show route protocol static next-hop <management-network-gateway-address> Befehls.
Alternativ können Sie auch einfach den statischen Routenteil der Gerätekonfiguration anzeigen. Verwenden Sie die CLI-Funktion match , um schnell alle statischen Routen zu finden, die auf das Standard-Gateway des Management-Netzwerks verweisen.

Aktivieren der Verwaltungsinstanz

Anmerkung:

Es wird empfohlen, für diese Vorgänge den Port der Gerätekonsole zu verwenden.

Durch Ändern der Verwaltungsinstanz wird die zugrunde liegende VRF-Instanz für den Management-Port geändert. Wenn Sie SSH, Telnet oder NETCONF verwenden, wird die Verbindung zum Gerät getrennt, wenn Sie die Konfiguration bestätigen, und Sie müssen sie neu herstellen.

Wenn Sie SSH, Telnet oder NETCONF verwenden, verwenden Sie commit confirm.

So aktivieren Sie die VRF-Instanz für die dedizierte Verwaltung:

Konfigurieren Sie die mgmt_junos VRF-Instanz.

Konfigurieren Sie die Anweisungmanagement-instance.

Fügen Sie die entsprechenden statischen Routen zur mgmt_junos VRF-Instanz.

Informationen zum Bestimmen der zu ändernden statischen Routen finden Sie unter Bevor Sie beginnen: Festlegen statischer Routen.

Wenn Sie Konfigurationsgruppen verwenden, können Sie die folgenden Änderungen als Teil einer Gruppe festlegen:

Bestätigen Sie die Konfiguration.
Wenn Sie SSH, Telnet oder NETCONF verwenden, verwenden Sie commit confirm. Rechnen Sie damit, die SSH-, Telnet- oder NETCONF-Sitzung zu verlieren und müssen sie dann neu einrichten.

Konfigurieren von Prozessen für die Verwendung der Verwaltungsinstanz

Viele Prozesse kommunizieren über die Verwaltungsoberfläche. Ein Prozess muss eine VRF-Verwaltungsinstanz unterstützen, mgmt_junosum . Nicht alle diese Prozesse werden standardmäßig verwendet mgmt_junos , es sei denn, die Verwaltungsinstanz ist aktiviert. Sie müssen diese Prozesse so konfigurieren, dass sie verwendet werden mgmt_junos.

Für die folgenden Prozesse ist diese zusätzliche Konfiguration erforderlich:

Tabelle 1: Prozesse, die Sie für die Verwendung der Verwaltungs-VRF-Instanz konfigurieren können
Prozess	Erste Version zur Unterstützung von Management-VRF	Weitere Informationen
Automatisierungsskripte	Vor Junos OS Evolved Version 24.1R1	Verwenden eines alternativen Quellspeicherorts für ein Skript Konfigurieren und Verwenden eines Masterquellspeicherorts für ein Skript
BGP-Überwachungsprotokoll (BMP)	Vor Junos OS Evolved Version 24.1R1	Konfigurieren des BGP-Überwachungsprotokolls für die Ausführung über eine andere Routing-Instanz
Inline-Überwachung des aktiven Datenstroms	Junos OS Evolved Version 24.2R1	Grundlegendes zur Inline-Überwachung aktiver Datenströme
Netzwerkzeit (NTP)	Vor Junos OS Evolved Version 24.1R1	Ntp
Ausgehende SSH	Junos OS Evolved Version 24.1R1	Konfigurieren des ausgehenden SSH-Dienstes
RADIUS	Vor Junos OS Evolved Version 24.1R1	Konfigurieren der RADIUS-Serverauthentifizierung Konfigurieren der RADIUS-Systemabrechnung
REST-API	Vor Junos OS Evolved Version 24.1R1	Ruhepause
TACACS+	Vor Junos OS Evolved Version 24.1R1	Konfigurieren der TACACS+-Authentifizierung
TACACS+	Vor Junos OS Evolved Version 24.1R1	Konfigurieren der TACACS+-Systemabrechnung

In Junos OS Evolved verwendet die Systemprotokollierung standardmäßig die mgmt_junos VRF-Instanz, sobald Sie die management-instance Anweisung konfigurieren. Sie müssen die VRF-Instanz nicht für die mgmt_junos Systemprotokollierung konfigurieren.

Die Konfiguration dieser Prozesse für die Verwendung der mgmt_junos VRF-Instanz ist optional. Wenn Sie diesen Schritt überspringen, senden diese Prozesse weiterhin Pakete nur mit der Standardroutinginstanz.

So aktualisieren Sie Automatisierungsskripte wie Commit, Op, SNMP und Ereignisskripts aus einer Quelle mit mgmt_junoskonfigurieren Sie Folgendes:

Commit-, Op- oder SNMP-Skripte:

Ereignisskripte:

Für Automatisierungsskripte und Anwendungen, die von Google entwickelte Remoteprozeduraufrufe (gRPCs) verwenden, z. B.:
- gRPC-Netzwerkverwaltungsschnittstelle (gNMI)
- gRPC-Netzwerkbetriebsschnittstelle (gNOI)
- gRPC-Routing-Basisschnittstelle (gRIBI)
- Juniper Extension Toolkit (JET)
1. Konfigurieren:
1. Konfigurieren Sie für JET-Anwendungen außerdem:

BMP:

BMP im passiven Verbindungsmodus:

BMP im aktiven Verbindungsmodus:

Inline-Überwachung des aktiven Datenstroms:

NTP-Dienst:
Außerdem müssen Sie mindestens eine IP-Adresse auf einer physischen oder logischen Schnittstelle innerhalb der Standardroutinginstanz konfigurieren. Stellen Sie sicher, dass diese Schnittstelle verfügbar ist, damit der NTP-Dienst mit der mgmt_junos VRF-Instanz arbeiten kann.

RADIUS:

TACACS+:

Die REST API:

Ausgehendes SSH:

Deaktivieren der Verwaltungsinstanz

Wenn Sie die mgmt_junos VRF-Instanz deaktivieren, müssen Sie auch die anderen Konfigurationsänderungen entfernen, die Sie vorgenommen haben.

Entfernen Sie die management-instance Anweisung zum Deaktivieren der dedizierten Verwaltungs-VRF-Instanz.

(Optional) Entfernen Sie die statischen Routen aus dem mgmt_junos VRF-Instanz.

(Optional) Entfernen Sie die Konfigurationen für Prozesse, die mgmt_junos. Diese Prozesse kehren zum Senden von Paketen mithilfe der Standardrouting-Instanz zurück. So entfernen Sie z. B. die mgmt_junos Konfiguration für TACACS+:

AUF DIESER SEITE