Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Verwaltungsschnittstelle in einer dedizierten Instanz

Verwenden Sie eine dedizierte Verwaltungsinstanz, um den Verwaltungsdatenverkehr vom Rest Ihres Netzwerks zu trennen.

Warum sollte eine nicht standardmäßige VRF-Instanz verwendet werden?

Standardmäßig stellt die Ethernet-Managementschnittstelle (normalerweise fxp0 oder em0 für Junos OS oder re0:mgmt-* oder re1:mgmt-* für Junos OS Evolved) das Out-of-Band-Verwaltungsnetzwerk für das Gerät bereit. Out-of-Band-Management-Datenverkehr ist nicht klar vom In-Band-Protokollsteuerungsdatenverkehr getrennt. Stattdessen wird der gesamte Datenverkehr über die Standardroutinginstanz geleitet und teilt die standardmäßige Routing-Tabelle inet.0. Dieses System der Datenverkehrsverarbeitung gibt Anlass zu Bedenken hinsichtlich Sicherheit, Leistung und Fehlerbehebung. Sie (der Netzwerkadministrator) können diese Probleme lösen, indem Sie die Verwaltungsschnittstelle auf eine dedizierte, nicht standardmäßige VRF-Instanz (Virtual Routing and Forwarding) beschränken.

Vorteile einer dedizierten Management-Instanz

  • Verbesserte Sicherheit

  • Der Verwaltungsdatenverkehr muss sich keine Routing-Tabelle mehr mit anderem Steuerdaten- oder Protokolldatenverkehr teilen

  • Einfachere Verwendung der Verwaltungsoberfläche für die Fehlerbehebung

Anmerkung:

  • Bei Junos OS unterstützt die nicht standardmäßige Verwaltungs-VRF-Instanz nur die Schnittstellen em0 und fxp0. Die nicht standardmäßige Verwaltungs-VRF-Instanz unterstützt keine anderen Verwaltungsschnittstellen, z. B. em1.

  • Die nicht standardmäßige Verwaltungs-VRF-Instanz unterstützt die Virtual Management Ethernet (VME)-Schnittstelle auf Geräten der EX-Serie. Die VME-Schnittstelle wird zum Verwalten von Virtual Chassis verwendet. Weitere Informationen finden Sie unter Grundlegendes zur globalen Verwaltung eines Virtual Chassis

Übersicht über Verwaltungsinstanzen

Der Name der dedizierten Verwaltungs-VRF-Instanz ist reserviert und fest codiert als mgmt_junos; Sie können keine andere Routing-Instanz anhand des Namens mgmt_junoskonfigurieren. Da einige Anwendungen davon ausgehen, dass die Verwaltungsschnittstelle immer in der standardmäßigen Routing-Tabelle inet.0 vorhanden ist, wird die dedizierte Verwaltungs-VRF-Instanz nicht standardmäßig instanziiert. Sie müssen es konfigurieren, damit es wirksam wird.

Nachdem Sie die mgmt_junos VRF-Instanz bereitgestellt haben, teilt der Verwaltungsdatenverkehr eine Routing-Tabelle (d. h. die Standard-Routing-Tabelle) nicht mehr mit anderem Steuerungsdatenverkehr oder Protokolldatenverkehr im System. Der Datenverkehr in der mgmt_junos VRF-Instanz verwendet private IPv4- und IPv6-Routing-Tabellen. Nach der Konfiguration mgmt_junoskönnen Sie keine dynamischen Protokolle mehr auf der Verwaltungsschnittstelle konfigurieren.

Konfigurieren der Verwaltungsinstanz

Sie müssen alle statischen Routen hinzufügen, die über einen nächsten Hop über die Verwaltungsschnittstelle zur mgmt_junos VRF-Instanz verfügen. Bei Bedarf müssen Sie auch die entsprechenden Prozesse oder Anwendungen konfigurieren, die verwendet werden mgmt_junossollen. Alle diese Änderungen müssen in einem einzigen Commit vorgenommen werden. Andernfalls könnten die vorhandenen Sitzungen verloren gehen und müssen neu ausgehandelt werden.

Bevor Sie beginnen: Festlegen statischer Routen

Einige statische Routen verfügen über einen nächsten Hop über die Verwaltungsschnittstelle. Im Rahmen der Konfiguration der mgmt_junos VRF-Instanz müssen Sie all diese statischen Routen mgmt_junos hinzufügen, damit sie die Verwaltungsschnittstelle erreichen können. Jedes Setup ist anders. Zunächst müssen Sie die statischen Routen identifizieren, die einen nächsten Hop über die Verwaltungsschnittstelle haben.

  1. Verwenden Sie den show interfaces interface-name terse Befehl, um die IP-Adresse der Standardverwaltungsschnittstelle zu ermitteln. Die Standard-Managementschnittstelle ist fxp0 oder em0 für Junos OS oder re0:mgmt-0 oder re1:mgmt-0 für Junos OS Evolved.

  2. Verwenden Sie den show route forwarding-table Befehl, um in der Weiterleitungstabelle nach Next-Hop-Informationen für statische Routen zu suchen. Statische Routen werden als Typ userangezeigt. Der nächste Hop für jede statische Route, die betroffen ist, verfügt über eine IP-Adresse, die zum Subnetz der für die Verwaltungsschnittstelle konfigurierten IP-Adresse gehört.

  3. Eine weitere Möglichkeit, die statischen Routen zu finden, die Ihrem Verwaltungsnetzwerk zugeordnet sind, ist die Verwendung des show route protocol static next-hop <management-network-gateway-address> Befehls.

    Alternativ können Sie auch einfach den statischen Routenteil der Gerätekonfiguration anzeigen. Verwenden Sie die CLI-Funktionmatch, um schnell alle statischen Routen zu finden, die auf das Standard-Gateway des Management-Netzwerks verweisen.

Aktivieren der Verwaltungsinstanz

Anmerkung:

Es wird empfohlen, für diese Vorgänge den Port der Gerätekonsole zu verwenden.

Durch Ändern der Verwaltungsinstanz wird die zugrunde liegende VRF-Instanz für den Management-Port geändert. Wenn Sie SSH, Telnet oder NETCONF verwenden, wird die Verbindung zum Gerät getrennt, wenn Sie die Konfiguration bestätigen, und Sie müssen sie neu herstellen.

Wenn Sie SSH, Telnet oder NETCONF verwenden, verwenden Sie commit confirm.

So aktivieren Sie die VRF-Instanz für die dedizierte Verwaltung:

  1. Konfigurieren Sie die mgmt_junos VRF-Instanz.
  2. Konfigurieren Sie die Anweisungmanagement-instance.
  3. Fügen Sie die entsprechenden statischen Routen zur mgmt_junos VRF-Instanz.

    Informationen zum Bestimmen der zu ändernden statischen Routen finden Sie unter Bevor Sie beginnen: Festlegen statischer Routen.

    Wenn Sie Konfigurationsgruppen verwenden, können Sie die folgenden Änderungen als Teil einer Gruppe festlegen:

  4. Bestätigen Sie die Konfiguration.
    Wenn Sie SSH, Telnet oder NETCONF verwenden, verwenden Sie commit confirm. Rechnen Sie damit, die SSH-, Telnet- oder NETCONF-Sitzung zu verlieren und müssen sie dann neu einrichten.

Konfigurieren von Prozessen für die Verwendung der Verwaltungsinstanz

Viele Prozesse kommunizieren über die Verwaltungsoberfläche. Ein Prozess muss eine VRF-Verwaltungsinstanz unterstützen, mgmt_junosum . Nicht alle diese Prozesse werden standardmäßig verwendet mgmt_junos , es sei denn, die Verwaltungsinstanz ist aktiviert. Sie müssen diese Prozesse so konfigurieren, dass sie verwendet werden mgmt_junos.

Für die folgenden Prozesse ist diese zusätzliche Konfiguration erforderlich:

Tabelle 1: Prozesse, die Sie für die Verwendung der Verwaltungs-VRF-Instanz konfigurieren können

Prozess

Erste Version zur Unterstützung von Management-VRF

Weitere Informationen

Automatisierungsskripte

Junos OS Version 18.1R1

Verwenden eines alternativen Quellspeicherorts für ein Skript

Konfigurieren und Verwenden eines Masterquellspeicherorts für ein Skript

BGP-Überwachungsprotokoll (BMP)

Junos OS Version 18.3R1

Konfigurieren des BGP-Überwachungsprotokolls für die Ausführung über eine andere Routing-Instanz

Netzwerkzeit (NTP)

Junos OS Version 18.1R1

Ntp

Ausgehende SSH

Junos OS Version 19.3R1

 Konfigurieren des ausgehenden SSH-Dienstes

RADIUS

Junos OS Version 18.1R1

Konfigurieren der RADIUS-Serverauthentifizierung

Konfigurieren der RADIUS-Systemabrechnung

REST-API

Junos OS-Version 20.3R1

Ruhepause

Systemprotokollierung (syslog)

Junos OS Version 18.1R1 (standardmäßig)

Junos OS Version 24.2R1 (falls konfiguriert)

Systemprotokollierung und Routing-Instanzen

TACACS+

Junos OS Version 17.4R1

Konfigurieren der TACACS+-Authentifizierung

Junos OS Version 18.2R1

Konfigurieren der TACACS+-Systemabrechnung

Die Konfiguration dieser Prozesse für die Verwendung der mgmt_junos VRF-Instanz ist optional. Wenn Sie diesen Schritt überspringen, senden diese Prozesse weiterhin Pakete nur mit der Standardroutinginstanz.

  1. So aktualisieren Sie Automatisierungsskripte wie Commit, Op, SNMP und Ereignisskripts aus einer Quelle mit mgmt_junoskonfigurieren Sie Folgendes:
    1. Commit-, Op- oder SNMP-Skripte:
    2. Ereignisskripte:
  2. Für Automatisierungsskripte und Anwendungen, die von Google entwickelte Remoteprozeduraufrufe (gRPCs) verwenden, z. B.:
    • gRPC-Netzwerkverwaltungsschnittstelle (gNMI)
    • gRPC-Netzwerkbetriebsschnittstelle (gNOI)
    • gRPC-Routing-Basisschnittstelle (gRIBI)
    • Juniper Extension Toolkit (JET)
    1. Konfigurieren:
    1. Konfigurieren Sie für JET-Anwendungen außerdem:
  3. BMP:
    1. BMP im passiven Verbindungsmodus:
    2. BMP im aktiven Verbindungsmodus:
  4. NTP-Dienst:

    Außerdem müssen Sie mindestens eine IP-Adresse auf einer physischen oder logischen Schnittstelle innerhalb der Standardroutinginstanz konfigurieren. Stellen Sie sicher, dass diese Schnittstelle verfügbar ist, damit der NTP-Dienst mit der mgmt_junos VRF-Instanz arbeiten kann.

  5. RADIUS:
  6. TACACS+:
  7. Die REST API:
  8. Systemprotokollierung:
  9. Ausgehendes SSH:

Deaktivieren der Verwaltungsinstanz

Wenn Sie die mgmt_junos VRF-Instanz deaktivieren, müssen Sie auch die anderen Konfigurationsänderungen entfernen, die Sie vorgenommen haben.

  1. Entfernen Sie die management-instance Anweisung zum Deaktivieren der dedizierten Verwaltungs-VRF-Instanz.
  2. (Optional) Entfernen Sie die statischen Routen aus dem mgmt_junos VRF-Instanz.
  3. (Optional) Entfernen Sie die Konfigurationen für Prozesse, die mgmt_junos. Diese Prozesse kehren zum Senden von Paketen mithilfe der Standardrouting-Instanz zurück. So entfernen Sie z. B. die mgmt_junos Konfiguration für TACACS+:

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
24.2R1
Ab Junos OS Version 24.2R1 verwenden die Systemprotokollierungsinformationen bei der Konfiguration der management-instance Anweisung standardmäßig nicht die dedizierte Managementinstanz. Sie müssen die VRF-Instanz für die mgmt_junos Systemprotokollierung konfigurieren, um sie zu aktivieren.
18.1R1
Ab Junos OS Version 18.1R1 verwendet die Systemprotokollierung bei der Konfiguration der management-instance Anweisung standardmäßig die dedizierte Verwaltungsinstanz für IPv6-adressierte Remote-Hosts und Archivierungsstandorte.
17.3R1
Ab Junos OS Version 17.3R1 können Sie die Verwaltungsschnittstellen em0 und fxp0 auf die mgmt_junos VRF-Instanz beschränken.
17.3R1
Ab Junos OS Version 17.3R1 verwendet die Systemprotokollierung bei der Konfiguration der management-instance Anweisung standardmäßig die dedizierte Management-Routing-Instanz für IPv4-adressierte Remote-Hosts.