Interface de gestion dans une instance non par défaut
Pourquoi utiliser une instance VRF non par défaut ?
Par défaut, l’interface Ethernet de gestion (généralement nommée fxp0 ou em0 pour Junos OS, ou re0:mgmt-* ou re1:mgmt-* pour Junos OS Evolved) fournit le réseau de gestion hors bande pour l’équipement. Le trafic de gestion hors bande n’est pas clairement séparé du trafic de contrôle de protocole in-band. Au lieu de cela, tout le trafic passe par l’instance de routage par défaut et partage la table de routage inet.0 par défaut. Ce système de gestion du trafic suscite des préoccupations en matière de sécurité, de performances et de dépannage.
Vous (l’administrateur réseau) pouvez limiter l’interface de gestion à une instance VRF (Virtual Routing and Forwarding) non par défaut. Après avoir configuré l’instance VRF de gestion non par défaut, le trafic de gestion n’a plus besoin de partager une table de routage avec un autre trafic de contrôle ou de protocole. Cette configuration améliore la sécurité et facilite l’utilisation de l’interface de gestion pour résoudre les problèmes.
-
Pour Junos OS, l’instance VRF de gestion non par défaut ne prend en charge que les interfaces em0 et fxp0. L'instance VRF de gestion non par défaut ne prend pas en charge d'autres interfaces de gestion telles qu'em1.
-
L’instance VRF de gestion non par défaut prend en charge l’interface Ethernet de gestion virtuelle (VME) sur les équipements EX Series. L’interface VME est utilisée pour gérer Virtual Chassis. Pour plus d’informations, voir Comprendre la gestion globale d’un Virtual Chassis
Configurer l’instance VRF mgmt_junos
Le nom de l’instance VRF de gestion dédiée est réservé et codé en dur comme mgmt_junos; vous ne pouvez pas configurer d’autre instance de routage par le nom mgmt_junos. Étant donné que certaines applications supposent que l’interface de gestion est toujours présente dans la table de routage inet.0 par défaut, l’instance VRF de gestion dédiée n’est pas instanciée par défaut.
Vous devez ajouter à l’instance VRF tous les routes statiques ayant un saut suivant sur l’interface mgmt_junos de gestion. Si nécessaire, vous devez également configurer les processus ou applications appropriés à utiliser mgmt_junos. Toutes ces modifications doivent être effectuées en une seule validation. Dans le cas contraire, les sessions existantes pourraient être perdues et doivent être renégociées.
Une fois l’instance VRF déployée, le mgmt_junos trafic de gestion ne partage plus une table de routage (c’est-à-dire la table de routage par défaut) avec un autre trafic de contrôle ou trafic de protocole dans le système. Le trafic de l’instance mgmt_junos VRF utilise des tables de routage IPv4 et IPv6 privées. Une fois que vous avez configuré mgmt_junos, vous ne pouvez pas configurer des protocoles dynamiques sur l’interface de gestion.
Avant de commencer : déterminer les routes statiques
Certains routes statiques ont un saut suivant dans l’interface de gestion. Dans le cadre de la configuration de l’instance mgmt_junos VRF, vous devez ajouter toutes ces routes statiques pour mgmt_junos qu’elles puissent atteindre l’interface de gestion. Chaque configuration est différente. Tout d’abord, vous devez identifier les routes statiques dont le prochain saut à travers l’interface de gestion.
-
Utilisez la
show interfaces interface-name tersecommande pour trouver l’adresse IP de l’interface de gestion par défaut. L’interface de gestion par défaut est fxp0 ou em0 pour Junos OS, ou re0:mgmt-0 ou re1:mgmt-0 pour Junos OS Evolved.user@host> show interfaces fxp0 terse Interface Admin Link Proto Local Remote fxp0 up up fxp0.0 up up inet 10.102.183.152/20
-
Utilisez la
show route forwarding-tablecommande pour consulter la table de transfert pour obtenir des informations sur le saut suivant pour les routes statiques. Les routes statiques s’affichent sous la forme de typeuser. Le saut suivant pour n’importe quel routage statique affecté a une adresse IP qui tombe sous le sous-réseau de l’adresse IP configurée pour l’interface de gestion.user@host> show route forwarding-table Routing table: default.inet Internet: Enabled protocols: Bridging, Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 36 1 0.0.0.0/32 perm 0 dscd 34 1 10.0.0.0/8 user 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.0.1.0/24 intf 0 rslv 584 1 ge-0/0/0.0 10.0.1.0/32 dest 0 10.0.1.0 recv 582 1 ge-0/0/0.0 10.0.1.1/32 intf 0 10.0.1.1 locl 583 2 10.0.1.1/32 dest 0 10.0.1.1 locl 583 2 10.0.1.255/32 dest 0 10.0.1.255 bcst 581 1 ge-0/0/0.0 10.102.176.0/20 intf 0 rslv 340 1 fxp0.0 10.102.176.0/32 dest 0 10.102.176.0 recv 338 1 fxp0.0 10.102.176.3/32 dest 1 0:50:56:9f:1b:2e ucst 350 2 fxp0.0 10.102.183.152/32 intf 0 10.102.183.152 locl 339 2 10.102.183.152/32 dest 0 10.102.183.152 locl 339 2 10.102.191.253/32 dest 0 10:e:7e:b1:b0:80 ucst 348 1 fxp0.0 10.102.191.254/32 dest 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.102.191.255/32 dest 0 10.102.191.255 bcst 337 1 fxp0.0 172.16.0.0/12 user 0 10.102.191.254 ucst 341 6 fxp0.0 192.168.0.0/16 user 0 10.102.191.254 ucst 341 6 fxp0.0 224.0.0.0/4 perm 0 mdsc 35 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 31 1 255.255.255.255/32 perm 0 bcst 32 1
-
Une autre façon de trouver les routes statiques associées à votre réseau de gestion est d’utiliser la
show route protocol static next-hop <management-network-gateway-address>commande.user@host> show route protocol static next-hop 10.102.191.254 inet.0: 10 destinations, 10 routes (10 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.0.0/8 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 172.16.0.0/12 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 192.168.0.0/16 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0matchpour localiser rapidement toutes les routes statiques qui pointent vers la passerelle par défaut du réseau de gestion.user@host> show configuration routing-options static | match 10.102.191.254 route 10.0.0.0/8 next-hop 10.102.191.254; route 172.16.0.0/12 next-hop 10.102.191.254; route 192.168.0.0/16 next-hop 10.102.191.254;
Activer l’instance VRF mgmt_junos
Nous vous recommandons d’utiliser le port console de l’équipement pour ces opérations. Si vous utilisez SSH ou Telnet, la connexion à l’équipement sera abandonnée lorsque vous validez la configuration et vous devrez la rétablir. Si vous utilisez SSH ou Telnet, utilisez commit confirm.
Pour activer l’instance VRF de gestion dédiée :
Configurer les processus pour utiliser mgmt_junos
De nombreux processus communiquent via l’interface de gestion. Un processus doit prendre en charge une instance VRF de gestion pour pouvoir utiliser mgmt_junos. Tous ces processus ne s’utilisent mgmt_junos pas par défaut à moins que l’instance de gestion soit activée. Vous devez configurer ces processus pour utiliser mgmt_junos.
Les processus suivants nécessitent cette configuration supplémentaire :
| Processus |
Première version pour prendre en charge le VRF de gestion |
Pour plus d’informations |
|---|---|---|
| Automation scripts |
Version Junos OS 18.1R1 |
Utilisation d’un autre emplacement source pour un script Configuration et utilisation d’un emplacement source maître pour un script |
| BGP Monitoring Protocol (BMP) |
Version Junos OS 18.3R1 |
|
| NTP |
Version Junos OS 18.1R1 |
|
| Outbound SSH |
Version Junos OS 19.3R1 |
Configurer le service SSH sortant |
| RADIUS |
Version Junos OS 18.1R1 |
|
| REST API |
Version Junos OS 20.3R1 |
|
| System Logging |
Version Junos OS 18.1R1 |
|
| Version Junos OS 18.4R1 |
||
| TACACS+ |
Version Junos OS 17.4R1 |
|
| Version Junos OS 18.2R1 |
La configuration de ces processus pour utiliser l’instance mgmt_junos VRF est facultative. Si vous ignorez cette étape, ces processus continuent d’envoyer des paquets à l’aide de l’instance de routage par défaut uniquement.
Comment désactiver l’instance VRF mgmt_junos
Lorsque vous désactivez l’instance mgmt_junos VRF, vous devez également supprimer les autres modifications de configuration que vous avez apportées.