Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Verwaltungsschnittstelle in einer nicht standardmäßigen Instanz

Warum eine nicht standardmäßige VRF-Instanz verwenden?

Standardmäßig stellt die Management-Ethernet-Schnittstelle (normalerweise fxp0 oder em0 für Junos OS oder re0:mgmt-* oder re1:mgmt-* für Junos OS Evolved) das Out-of-Band-Verwaltungsnetzwerk für das Gerät bereit. Out-of-Band-Management-Datenverkehr ist nicht klar vom In-Band-Protokollsteuerungsverkehr getrennt. Stattdessen passiert der gesamte Datenverkehr die Standard-Routing-Instanz und teilt sich die Standard-Routingtabelle inet.0. Bei diesem System der Datenverkehrsverarbeitung gibt es Bedenken hinsichtlich Sicherheit, Leistung und Fehlerbehebung.

Sie (der Netzwerkadministrator) können die Verwaltungsschnittstelle auf eine nicht standardmäßige virtuelle Routing- und Weiterleitungsinstanz (VRF) beschränken. Nachdem Sie die nicht standardmäßig verwaltete VRF-Instanz konfiguriert haben, muss der Verwaltungsdatenverkehr keine Routingtabelle mehr mit anderen Steuerungs- oder Protokolldatenverkehr teilen. Diese Konfiguration verbessert die Sicherheit und erleichtert die Fehlerbehebung über die Managementschnittstelle.

Hinweis:

  • Für Junos OS unterstützt die nicht standardmäßig verwaltete VRF-Instanz nur die Schnittstellen em0 und fxp0. Die nicht standardmäßige VRF-Instanz unterstützt keine anderen Verwaltungsschnittstellen wie em1.

  • Die nicht standardmäßige VRF-Instanz unterstützt die VME-Schnittstelle (Virtual Management Ethernet) auf Geräten der EX-Serie. Die VME-Schnittstelle wird zur Verwaltung von Virtual Chassis verwendet. Weitere Informationen finden Sie unter Grundlegendes zur globalen Verwaltung eines Virtual Chassis.

Konfigurieren der mgmt_junos VRF-Instanz

Der Name der dedizierten Verwaltungs-VRF-Instanz ist reserviert und festcodiert als mgmt_junos; Sie können keine andere Routing-Instanz mit dem Namen mgmt_junoskonfigurieren. Da einige Anwendungen davon ausgehen, dass die Verwaltungsschnittstelle immer in der Routingtabelle "default inet.0" vorhanden ist, wird die dedizierte Verwaltungs-VRF-Instanz standardmäßig nicht instanziiert.

Sie müssen statische Routen mit einem nächsten Hop über die Verwaltungsschnittstelle zur mgmt_junos VRF-Instanz hinzufügen. Bei Bedarf müssen Sie auch die entsprechenden Prozesse oder Anwendungen konfigurieren, die verwendet werden sollen mgmt_junos. Alle diese Änderungen müssen in einem einzigen Commit vorgenommen werden. Andernfalls gehen die vorhandenen Sitzungen möglicherweise verloren und müssen neu verhandelt werden.

Sobald Sie die mgmt_junos VRF-Instanz bereitgestellt haben, teilt sich der Verwaltungsdatenverkehr nicht mehr eine Routing-Tabelle (d. h. die Standard-Routing-Tabelle) mit anderen Steuerungs- oder Protokolldatenverkehr im System. Der Datenverkehr in der mgmt_junos VRF-Instanz verwendet private IPv4- und IPv6-Routing-Tabellen. Nach der Konfiguration mgmt_junoskönnen Sie keine dynamischen Protokolle auf der Verwaltungsschnittstelle konfigurieren.

Bevor Sie beginnen: Festlegen statischer Routen

Einige statische Routen haben einen nächsten Hop über die Verwaltungsschnittstelle. Bei der Konfiguration der mgmt_junos VRF-Instanz müssen Sie all diese statischen Routen hinzufügen, damit mgmt_junos sie die Verwaltungsschnittstelle erreichen können. Jedes Setup ist anders. Zuerst müssen Sie die statischen Routen identifizieren, die über die Verwaltungsschnittstelle einen nächsten Hop haben.

  1. Verwenden Sie den show interfaces interface-name terse Befehl, um die IP-Adresse der Standardverwaltungsschnittstelle zu finden. Die Standardverwaltungsschnittstelle ist fxp0 oder em0 für Junos OS oder re0:mgmt-0 oder re1:mgmt-0 für Junos OS Evolved.

  2. Verwenden Sie den show route forwarding-table Befehl, um die Weiterleitungstabelle auf Next-Hop-Informationen für statische Routen zu sehen. Statische Routen werden als Typ userangezeigt. Der nächste Hop für jede statische Route, die betroffen ist, hat eine IP-Adresse, die unter das Subnetz der für die Verwaltungsschnittstelle konfigurierten IP-Adresse fällt.

  3. Eine weitere Möglichkeit, die statischen Routen für Ihr Verwaltungsnetzwerk zu finden, besteht in der Verwendung des show route protocol static next-hop <management-network-gateway-address> Befehls.

    Alternativ können Sie einfach den statischen Routenabschnitt der Gerätekonfiguration anzeigen. Verwenden Sie die CLI-Funktionmatch, um schnell alle statischen Routen zu lokalisieren, die auf das Standard-Gateway des Verwaltungsnetzwerks verweisen.

Aktivieren der mgmt_junos VRF-Instanz

Hinweis:

Wir empfehlen, für diese Vorgänge den Gerätekonsolen-Port zu verwenden. Wenn Sie SSH oder Telnet verwenden, wird die Verbindung zum Gerät unterbrochen, wenn Sie die Konfiguration bestätigen, und Sie müssen es erneut herstellen. Wenn Sie SSH oder Telnet verwenden, verwenden Sie commit confirm.

So aktivieren Sie die dedizierte Management-VRF-Instanz:

  1. Konfigurieren Sie die mgmt_junos VRF-Instanz.
  2. Konfigurieren Sie die management-instance Anweisung.
  3. Fügen Sie die entsprechenden statischen Routen zur mgmt_junos VRF-Instanz.

    Informationen zum Festlegen der statischen Routen, die geändert werden sollen, finden Sie unter "Before You Begin: Determine Static Routes".

    Wenn Sie Konfigurationsgruppen verwenden, können Sie diese Änderungen als Teil einer Gruppe festlegen:

  4. Commit der Konfiguration.
    Wenn Sie SSH oder Telnet verwenden, verwenden Sie commit confirm. Erwarten Sie, dass Sie die SSH- oder Telnet-Sitzung verlieren und dann wieder herstellen müssen.

Konfiguration von Prozessen für die Verwendung mgmt_junos

Viele Prozesse kommunizieren über die Verwaltungsschnittstelle. Ein Prozess muss eine Verwaltungs-VRF-Instanz unterstützen, um mgmt_junos. Diese Prozesse werden standardmäßig nicht für alle Verwendetmgmt_junos, es sei denn, die Verwaltungsinstanz ist aktiviert. Sie müssen diese Prozesse konfigurieren, um .mgmt_junos

Die folgenden Prozesse erfordern diese zusätzliche Konfiguration:

Tabelle 1: Prozesse, die Sie für die Verwendung der Verwaltungs-VRF-Instanz konfigurieren können

Prozess

Erste Version zur Unterstützung der Management-VRF

Weitere Informationen

Automation scripts

Junos OS-Version 18.1R1

Verwenden eines alternativen Quellortes für ein Skript

Konfigurieren und Verwenden eines Master-Quellspeicherorts für ein Skript

BGP Monitoring Protocol (BMP)

Junos OS-Version 18.3R1

Konfigurieren des BGP-Überwachungsprotokolls für die Ausführung über eine andere Routing-Instanz

NTP

Junos OS-Version 18.1R1

Ntp

Outbound SSH

Junos OS-Version 19.3R1

 Konfigurieren des ausgehenden SSH-Service

RADIUS

Junos OS-Version 18.1R1

Konfigurieren der RADIUS-Serverauthentifizierung

Konfiguration des RADIUS System Accounting

REST API

Junos OS-Version 20.3R1

Ruhepause

System Logging

Junos OS-Version 18.1R1

syslog (System)

Junos OS-Version 18.4R1

Routing-Instanz (Syslog)

TACACS+

Junos OS-Version 17.4R1

Konfigurieren der TACACS+-Authentifizierung

Junos OS-Version 18.2R1

Konfiguration von TACACS+ System Accounting

Die Konfiguration dieser Prozesse für die Verwendung der mgmt_junos VRF-Instanz ist optional. Wenn Sie diesen Schritt überspringen, senden diese Prozesse Pakete weiterhin nur mit der Standard-Routing-Instanz.

  1. Konfigurieren Sie Folgendes, um Automatisierungsskripte von einer Quelle zu mgmt_junosaktualisieren:
    1. Commit-, Op- oder SNMP-Skripte:
    2. Ereignisskripte:
    3. Juniper Extension Toolkit (JET)-Skripte:
  2. BMP:
    1. BMP im passiven Verbindungsmodus:
    2. BMP im aktiven Verbindungsmodus:
  3. NTP-Service:

    Außerdem müssen Sie mindestens eine IP-Adresse auf einer physischen oder logischen Schnittstelle innerhalb der Standardroutinginstanz konfigurieren. Stellen Sie sicher, dass diese Schnittstelle eingerichtet ist, sodass der NTP-Dienst mit der mgmt_junos VRF-Instanz zusammenarbeiten kann.

  4. RADIUS:
  5. TACACS+:
  6. Die REST-API:
  7. Systemprotokollierung:
  8. Ausgehendes SSH:

So deaktivieren Sie die mgmt_junos VRF-Instanz

Wenn Sie die mgmt_junos VRF-Instanz deaktivieren, müssen Sie auch die anderen Konfigurationsänderungen entfernen, die Sie vorgenommen haben.

  1. Entfernen Sie die management-instance Anweisung, um die dedizierte Verwaltungs-VRF-Instanz zu deaktivieren.
  2. (Optional) Entfernen Sie die statischen Routen aus der mgmt_junos VRF-Instanz.
  3. (Optional) Entfernen Sie die Konfigurationen für Prozesse, die mgmt_junos. Diese Prozesse werden mithilfe der Standard-Routing-Instanz zum Senden von Paketen zurückkehren. Um beispielsweise die mgmt_junos Konfiguration für TACACS+ zu entfernen:
Tabelle "Versionshistorie"
Release
Beschreibung
17.3R1
Ab Junos OS Version 17.3R1 können Sie die Verwaltungsschnittstellen em0 und fxp0 auf eine nicht standardmäßige virtuelle Routing- und Weiterleitungsinstanz (VRF) beschränken, die mgmt_junos VRF-Instanz.