Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Interface de gestion dans une instance dédiée

Utilisez une instance de gestion dédiée pour séparer le trafic de gestion du reste de votre réseau.

Pourquoi utiliser une instance VRF autre que celle par défaut ?

Par défaut, l’interface Ethernet de gestion (généralement nommée fxp0 ou em0 pour Junos OS, ou re0 :mgmt-* ou re1 :mgmt-* pour Junos OS Evolved) constitue le réseau de gestion hors bande de l’équipement. Le trafic de gestion hors bande n’est pas clairement séparé du trafic de contrôle de protocole intrabande. Au lieu de cela, tout le trafic passe par l’instance de routage par défaut et partage la table de routage inet.0 par défaut. Ce système de gestion du trafic soulève des préoccupations en matière de sécurité, de performances et de dépannage. Vous (l’administrateur réseau) pouvez résoudre ces problèmes en limitant l’interface de gestion à une instance VRF dédiée et non par défaut.

Avantages d’une instance de gestion dédiée

  • Une sécurité renforcée

  • Le trafic de gestion n’a plus besoin de partager une table de routage avec d’autres types de trafic de contrôle ou de protocole.

  • L’interface de gestion facilite les dépannages

Note:

  • Pour Junos OS, l’instance VRF de gestion autre que la gestion par défaut prend uniquement en charge les interfaces em0 et fxp0. L'instance VRF de gestion autre que la gestion par défaut ne prend pas en charge d'autres interfaces de gestion telles que em1.

  • L’instance VRF de gestion autre que la gestion par défaut prend en charge l’interface Ethernet de gestion virtuelle (VME) sur les équipements EX Series. L’interface VME est utilisée pour gérer Virtual Chassis. Pour plus d’informations, reportez-vous à la section Présentation de la gestion globale d’un Virtual Chassis

Vue d’ensemble de l’instance de gestion

Le nom de l’instance VRF dédiée à la gestion est réservé et codé en dur comme mgmt_junos; vous ne pouvez pas configurer une autre instance de routage avec le nom mgmt_junos. Étant donné que certaines applications supposent que l’interface de gestion est toujours présente dans la table de routage inet.0 par défaut, l’instance VRF dédiée à la gestion n’est pas instanciée par défaut. Vous devez le configurer pour qu’il prenne effet.

Une fois que vous avez déployé l’instance mgmt_junos VRF, le trafic de gestion ne partage plus de table de routage (c’est-à-dire la table de routage par défaut) avec les autres trafics de contrôle ou de protocole du système. Le trafic de l’instance mgmt_junos VRF utilise des tables de routage IPv4 et IPv6 privées. Une fois que vous avez configuré mgmt_junos, vous ne pouvez pas configurer de protocoles dynamiques sur l’interface de gestion.

Configurer l’instance de gestion

Vous devez ajouter à l’instance mgmt_junos VRF toutes les routes statiques qui ont un saut suivant sur l’interface de gestion. Si nécessaire, vous devez également configurer les processus ou applications appropriés à utiliser mgmt_junos. Toutes ces modifications doivent être effectuées en un seul commit. Dans le cas contraire, les sessions existantes risquent d’être perdues et devront être renégociées.

Avant de commencer : Déterminer les routes statiques

Certaines routes statiques ont un saut suivant via l’interface de gestion. Dans le cadre de la configuration de l’instance mgmt_junos VRF, vous devez ajouter toutes ces routes statiques pour qu’elles mgmt_junos puissent atteindre l’interface de gestion. Chaque configuration est différente. Tout d’abord, vous devez identifier les routes statiques qui ont un saut suivant via l’interface de gestion.

  1. Utilisez la show interfaces interface-name terse commande pour trouver l’adresse IP de l’interface de gestion par défaut. L’interface de gestion par défaut est fxp0 ou em0 pour Junos OS, ou re0 :mgmt-0 ou re1 :mgmt-0 pour Junos OS Evolved.

  2. Utilisez la show route forwarding-table commande pour rechercher dans la table de transfert des informations sur le prochain saut pour les routes statiques. Les routes statiques s’affichent sous la forme d’un type user. Le saut suivant pour toute route statique affectée a une adresse IP qui se trouve sous le sous-réseau de l’adresse IP configurée pour l’interface de gestion.

  3. Une autre façon de trouver les routes statiques associées à votre réseau de gestion consiste à utiliser la show route protocol static next-hop <management-network-gateway-address> commande.

    Vous pouvez également afficher simplement la partie route statique de la configuration de l'équipement. Utilisez la fonction CLI match pour localiser rapidement tous les itinéraires statiques qui pointent vers la passerelle par défaut du réseau de gestion.

Activer l’instance de gestion

Note:

Nous vous recommandons d’utiliser le port de console de l’appareil pour ces opérations.

La modification de l’instance de gestion modifie l’instance VRF sous-jacente pour le port de gestion. Si vous utilisez SSH, Telnet ou NETCONF, la connexion au périphérique sera abandonnée lorsque vous validerez la configuration et vous devrez la rétablir.

Si vous utilisez SSH, Telnet ou NETCONF, utilisez commit confirm.

Pour activer l’instance VRF dédiée à la gestion :

  1. Configurez l’option mgmt_junos Instance VRF.
  2. Configurez l’instructionmanagement-instance.
  3. Ajoutez les routes statiques appropriées à l’objet mgmt_junos Instance VRF.

    Pour savoir comment déterminer les routes statiques à modifier, reportez-vous à la rubrique Avant de commencer : Déterminer les routes statiques.

    Si vous utilisez des groupes de configuration, vous pouvez définir les modifications suivantes dans le cadre d’un groupe :

  4. Validez la configuration.
    Si vous utilisez SSH, Telnet ou NETCONF, utilisez commit confirm. Attendez-vous à perdre, puis à devoir rétablir, la session SSH, Telnet ou NETCONF.

Configurer les processus pour utiliser l’instance de gestion

De nombreux processus communiquent via l’interface de gestion. Un processus doit prendre en charge une instance VRF de gestion pour pouvoir utiliser mgmt_junos. Tous ces processus ne sont pas utilisés mgmt_junos par défaut, sauf si l’instance de gestion est activée. Vous devez configurer ces processus pour utiliser mgmt_junos.

Les processus suivants nécessitent cette configuration supplémentaire :

Tableau 1 : Processus que vous pouvez configurer pour utiliser l’instance VRF de gestion

Processus

Première version à prendre en charge la gestion VRF

Pour plus d’informations

Scripts d’automatisation

Junos OS version 18.1R1

Utilisation d’un autre emplacement source pour un script

Configuration et utilisation d’un emplacement source principal pour un script

Protocole de surveillance BGP (BMP)

Junos OS version 18.3R1

Configuration du protocole de surveillance BGP pour qu’il s’exécute sur une autre instance de routage

NTP (Network Time Protocol)

Junos OS version 18.1R1

Ntp

SSH sortant

Junos OS version 19.3R1

 Configurer le service SSH sortant

RAYON

Junos OS version 18.1R1

Configuration de l’authentification du serveur RADIUS

Configuration de la comptabilité système RADIUS

REST API

Junos OS version 20.3R1

se reposer

Journalisation système (syslog)

Junos OS version 18.1R1 (par défaut)

Junos OS version 24.2R1 (une fois configurée)

Instances de journalisation et de routage système

TACACS+

Junos OS version 17.4R1

Configuration de l’authentification TACACS+

Junos OS version 18.2R1

Configuration de la comptabilité du système TACACS+

La configuration de ces processus pour l’utilisation de l’instance mgmt_junos VRF est facultative. Si vous ignorez cette étape, ces processus continuent d’envoyer des paquets en utilisant uniquement l’instance de routage par défaut.

  1. Pour mettre à jour des scripts d’automatisation, y compris des scripts de validation, d’opération, de SNMP et d’événements à partir d’une source à l’aide mgmt_junosde , configurez les éléments suivants :
    1. Scripts de validation, d’opération ou SNMP :
    2. Scripts d’événement :
  2. Pour les scripts d’automatisation et les applications qui utilisent des appels de procédure à distance développés par Google (gRPC), tels que :
    • Interface de gestion de réseau gRPC (gNMI)
    • Interface d’opérations réseau gRPC (gNOI)
    • Interface de base d’informations de routage gRPC (gRIBI)
    • Juniper Extension Toolkit (JET)
    1. Configurer:
    1. Pour les applications JET, configurez également :
  3. BMP:
    1. BMP en mode de connexion passive :
    2. BMP en mode de connexion active :
  4. Service NTP :

    Vous devez également configurer au moins une adresse IP sur une interface physique ou logique au sein de l’instance de routage par défaut. Assurez-vous que cette interface est active pour que le service NTP puisse fonctionner avec l’instance mgmt_junos VRF.

  5. RAYON:
  6. TACACS+ :
  7. L’API REST :
  8. Journalisation système :
  9. SSH sortant :

Désactivation de l’instance de gestion

Lorsque vous désactivez l’instance mgmt_junos VRF, vous devez également supprimer les autres modifications de configuration que vous avez apportées.

  1. Supprimez l’instruction management-instance permettant de désactiver l’instance VRF de gestion dédiée.
  2. (Facultatif) Supprimez les routes statiques du répertoire mgmt_junos Instance VRF.
  3. (Facultatif) Supprimez les configurations des processus qui utilisent mgmt_junos. Ces processus reviendront à l’envoi de paquets en utilisant l’instance de routage par défaut. Par exemple, pour supprimer la mgmt_junos configuration de TACACS+ :

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libérer
Description
24.2R1
À partir de Junos OS version 24.2R1, les informations de journalisation système n’utilisent pas l’instance de gestion dédiée par défaut lorsque l’instruction management-instance est configurée. Pour l’activer, vous devez configurer l’instance mgmt_junos VRF pour la journalisation système.
18.1R1
À partir de Junos OS version 18.1R1, la journalisation système utilise par défaut l’instance de gestion dédiée pour les hôtes distants et les sites d’archivage adressés IPv6 lorsque l’instruction management-instance est configurée.
17.3R1
À partir de Junos OS version 17.3R1, vous pouvez limiter les interfaces de gestion em0 et fxp0 à l’instance mgmt_junos VRF.
17.3R1
À partir de Junos OS version 17.3R1, la journalisation système utilise par défaut l’instance de routage de gestion dédiée pour les hôtes distants adressés IPv4 lorsque l’instruction management-instance est configurée.