Interface de gestion dans une instance dédiée

Utilisez une instance de gestion dédiée pour séparer le trafic de gestion du reste de votre réseau.

Pourquoi utiliser une instance VRF autre que celle par défaut ?

Par défaut, l’interface Ethernet de gestion (généralement nommée fxp0 ou em0 pour Junos OS, ou re0 :mgmt-* ou re1 :mgmt-* pour Junos OS Evolved) constitue le réseau de gestion hors bande de l’équipement. Le trafic de gestion hors bande n’est pas clairement séparé du trafic de contrôle de protocole intrabande. Au lieu de cela, tout le trafic passe par l’instance de routage par défaut et partage la table de routage inet.0 par défaut. Ce système de gestion du trafic soulève des préoccupations en matière de sécurité, de performances et de dépannage. Vous (l’administrateur réseau) pouvez résoudre ces problèmes en limitant l’interface de gestion à une instance VRF dédiée et non par défaut.

Avantages d’une instance de gestion dédiée
Vue d’ensemble de l’instance de gestion

Avantages d’une instance de gestion dédiée

Une sécurité renforcée
Le trafic de gestion n’a plus besoin de partager une table de routage avec d’autres types de trafic de contrôle ou de protocole.
L’interface de gestion facilite les dépannages

Vue d’ensemble de l’instance de gestion

Le nom de l’instance VRF dédiée à la gestion est réservé et codé en dur comme mgmt_junos; vous ne pouvez pas configurer une autre instance de routage avec le nom mgmt_junos. Étant donné que certaines applications supposent que l’interface de gestion est toujours présente dans la table de routage inet.0 par défaut, l’instance VRF dédiée à la gestion n’est pas instanciée par défaut. Vous devez le configurer pour qu’il prenne effet.

Une fois que vous avez déployé l’instance mgmt_junos VRF, le trafic de gestion ne partage plus de table de routage (c’est-à-dire la table de routage par défaut) avec les autres trafics de contrôle ou de protocole du système. Le trafic de l’instance mgmt_junos VRF utilise des tables de routage IPv4 et IPv6 privées. Une fois que vous avez configuré mgmt_junos, vous ne pouvez pas configurer de protocoles dynamiques sur l’interface de gestion.

Configurer l’instance de gestion

Vous devez ajouter à l’instance mgmt_junos VRF toutes les routes statiques qui ont un saut suivant sur l’interface de gestion. Si nécessaire, vous devez également configurer les processus ou applications appropriés à utiliser mgmt_junos. Toutes ces modifications doivent être effectuées en un seul commit. Dans le cas contraire, les sessions existantes risquent d’être perdues et devront être renégociées.

Avant de commencer : Déterminer les routes statiques
Activer l’instance de gestion

Avant de commencer : Déterminer les routes statiques

Certaines routes statiques ont un saut suivant via l’interface de gestion. Dans le cadre de la configuration de l’instance mgmt_junos VRF, vous devez ajouter toutes ces routes statiques pour qu’elles mgmt_junos puissent atteindre l’interface de gestion. Chaque configuration est différente. Tout d’abord, vous devez identifier les routes statiques qui ont un saut suivant via l’interface de gestion.

Utilisez la show interfaces interface-name terse commande pour trouver l’adresse IP de l’interface de gestion par défaut. L’interface de gestion par défaut est fxp0 ou em0 pour Junos OS, ou re0 :mgmt-0 ou re1 :mgmt-0 pour Junos OS Evolved.
Utilisez la show route forwarding-table commande pour rechercher dans la table de transfert des informations sur le prochain saut pour les routes statiques. Les routes statiques s’affichent sous la forme d’un type user. Le saut suivant pour toute route statique affectée a une adresse IP qui se trouve sous le sous-réseau de l’adresse IP configurée pour l’interface de gestion.
Une autre façon de trouver les routes statiques associées à votre réseau de gestion consiste à utiliser la show route protocol static next-hop <management-network-gateway-address> commande.
Vous pouvez également afficher simplement la partie route statique de la configuration de l'équipement. Utilisez la fonction CLI match pour localiser rapidement tous les itinéraires statiques qui pointent vers la passerelle par défaut du réseau de gestion.

Activer l’instance de gestion

Note:

Nous vous recommandons d’utiliser le port de console de l’appareil pour ces opérations.

La modification de l’instance de gestion modifie l’instance VRF sous-jacente pour le port de gestion. Si vous utilisez SSH, Telnet ou NETCONF, la connexion au périphérique sera abandonnée lorsque vous validerez la configuration et vous devrez la rétablir.

Si vous utilisez SSH, Telnet ou NETCONF, utilisez commit confirm.

Pour activer l’instance VRF dédiée à la gestion :

Configurez l’option mgmt_junos Instance VRF.

Configurez l’instructionmanagement-instance.

Ajoutez les routes statiques appropriées à l’objet mgmt_junos Instance VRF.

Pour savoir comment déterminer les routes statiques à modifier, reportez-vous à la rubrique Avant de commencer : Déterminer les routes statiques.

Si vous utilisez des groupes de configuration, vous pouvez définir les modifications suivantes dans le cadre d’un groupe :

Validez la configuration.
Si vous utilisez SSH, Telnet ou NETCONF, utilisez commit confirm. Attendez-vous à perdre, puis à devoir rétablir, la session SSH, Telnet ou NETCONF.

Configurer les processus pour utiliser l’instance de gestion

De nombreux processus communiquent via l’interface de gestion. Un processus doit prendre en charge une instance VRF de gestion pour pouvoir utiliser mgmt_junos. Tous ces processus ne sont pas utilisés mgmt_junos par défaut, sauf si l’instance de gestion est activée. Vous devez configurer ces processus pour utiliser mgmt_junos.

Les processus suivants nécessitent cette configuration supplémentaire :

Tableau 1 : Processus que vous pouvez configurer pour utiliser l’instance VRF de gestion
Processus	Première version à prendre en charge la gestion VRF	Pour plus d’informations
Scripts d’automatisation	Avant Junos OS Evolved version 24.1R1	Utilisation d’un autre emplacement source pour un script Configuration et utilisation d’un emplacement source principal pour un script
Protocole de surveillance BGP (BMP)	Avant Junos OS Evolved version 24.1R1	Configuration du protocole de surveillance BGP pour qu’il s’exécute sur une autre instance de routage
Surveillance active du débit en ligne	Junos OS Evolved version 24.2R1	Comprendre la surveillance active des flux en ligne
NTP (Network Time Protocol)	Avant Junos OS Evolved version 24.1R1	Ntp
SSH sortant	Junos OS Evolved version 24.1R1	Configurer le service SSH sortant
RAYON	Avant Junos OS Evolved version 24.1R1	Configuration de l’authentification du serveur RADIUS Configuration de la comptabilité système RADIUS
REST API	Avant Junos OS Evolved version 24.1R1	se reposer
TACACS+	Avant Junos OS Evolved version 24.1R1	Configuration de l’authentification TACACS+
TACACS+	Avant Junos OS Evolved version 24.1R1	Configuration de la comptabilité du système TACACS+

Dans Junos OS Evolved, la journalisation système utilise l’instance mgmt_junos VRF par défaut dès que vous configurez l’instruction management-instance . Vous n’avez pas besoin de configurer l’instance VRF pour la mgmt_junos journalisation système.

La configuration de ces processus pour l’utilisation de l’instance mgmt_junos VRF est facultative. Si vous ignorez cette étape, ces processus continuent d’envoyer des paquets en utilisant uniquement l’instance de routage par défaut.

Pour mettre à jour des scripts d’automatisation, y compris des scripts de validation, d’opération, de SNMP et d’événements à partir d’une source à l’aide mgmt_junosde , configurez les éléments suivants :
1. Scripts de validation, d’opération ou SNMP :
2. Scripts d’événement :
Pour les scripts d’automatisation et les applications qui utilisent des appels de procédure à distance développés par Google (gRPC), tels que :
- Interface de gestion de réseau gRPC (gNMI)
- Interface d’opérations réseau gRPC (gNOI)
- Interface de base d’informations de routage gRPC (gRIBI)
- Juniper Extension Toolkit (JET)
1. Configurer:
1. Pour les applications JET, configurez également :

BMP:

BMP en mode de connexion passive :

BMP en mode de connexion active :

Surveillance active des flux en ligne :

Service NTP :
Vous devez également configurer au moins une adresse IP sur une interface physique ou logique au sein de l’instance de routage par défaut. Assurez-vous que cette interface est active pour que le service NTP puisse fonctionner avec l’instance mgmt_junos VRF.

RAYON:

TACACS+ :

L’API REST :

SSH sortant :

Désactivation de l’instance de gestion

Lorsque vous désactivez l’instance mgmt_junos VRF, vous devez également supprimer les autres modifications de configuration que vous avez apportées.

Supprimez l’instruction management-instance permettant de désactiver l’instance VRF de gestion dédiée.

(Facultatif) Supprimez les routes statiques du répertoire mgmt_junos Instance VRF.

(Facultatif) Supprimez les configurations des processus qui utilisent mgmt_junos. Ces processus reviendront à l’envoi de paquets en utilisant l’instance de routage par défaut. Par exemple, pour supprimer la mgmt_junos configuration de TACACS+ :