専用インスタンスの管理インターフェイス
専用の管理インスタンスを使用して、管理トラフィックをネットワークの他の部分から分離します。
デフォルト以外の VRF インスタンスを使用する理由
デフォルトでは、管理イーサネット インターフェイス(Junos OS では通常 fxp0 または em0、Junos OS Evolved で re0:mgmt-* または re1:mgmt-* という名前)が、デバイスのアウトオブバンド管理ネットワークを提供します。アウトオブバンド管理トラフィックは、インバンドプロトコル制御トラフィックから明確に分離されていません。代わりに、すべてのトラフィックがデフォルトのルーティング インスタンスを通過し、デフォルトの inet.0 ルーティングテーブルを共有します。このようなトラフィック処理システムにより、セキュリティ、パフォーマンス、およびトラブルシューティングに関する懸念が生じます。ネットワーク管理者は、管理インターフェイスを専用非デフォルト VRF(仮想ルーティングおよび転送)インスタンスに限定することで、これらの問題を解決できます。
専用管理インスタンスのメリット
-
セキュリティの改善
-
管理トラフィックが、他の制御トラフィックやプロトコルトラフィックとルーティングテーブルを共有する必要がなくなりました
-
管理インターフェイスを使用してトラブルシューティングが容易
管理インスタンスの概要
専用の管理 VRF インスタンスの名前は予約されており、 mgmt_junos としてハードコードされています。 mgmt_junos という名前で他のルーティング インスタンスを設定することはできません。アプリケーションによっては、管理インターフェイスがデフォルトの inet.0 ルーティングテーブルに常に存在することを前提としているため、専用の管理 VRF インスタンスはデフォルトでインスタンス化されません。有効にするには、設定する必要があります。
mgmt_junos VRF インスタンスを展開すると、管理トラフィックはシステム内の他の制御トラフィックやプロトコル トラフィックとルーティングテーブル(つまり、デフォルト ルーティングテーブル)を共有しなくなります。mgmt_junos VRF インスタンスのトラフィックは、プライベート IPv4 および IPv6 ルーティング テーブルを使用します。mgmt_junosを設定した後は、管理インターフェイスで動的プロトコルを設定することはできません。
管理インスタンスを設定する
管理インターフェイス上にネクスト ホップがあるスタティック ルートは、 mgmt_junos VRF インスタンスに追加する必要があります。必要に応じて、 mgmt_junosを使用する適切なプロセスまたはアプリケーションも構成する必要があります。これらの変更はすべて、1 回のコミットで行う必要があります。そうしないと、既存のセッションが失われ、再ネゴシエートが必要になる可能性があります。
開始する前に:スタティック ルートを決定する
一部のスタティック ルートには、管理インターフェイスを経由するネクスト ホップがあります。 mgmt_junos VRF インスタンスの設定の一環として、これらのスタティック ルートをすべて mgmt_junos に追加して、管理インターフェイスに到達できるようにする必要があります。それぞれのセットアップは異なります。まず、管理インターフェイスを経由するネクスト ホップを持つスタティック ルートを特定する必要があります。
show interfaces interface-name terseコマンドを使用して、デフォルトの管理インターフェイスの IP アドレスを検索します。デフォルトの管理インターフェイスは、Junos OSの場合はfxp0またはem0、Junos OS Evolvedの場合はre0:mgmt-0またはre1:mgmt-0です。show route forwarding-tableコマンドを使用して、スタティック ルートのネクストホップ情報の 転送テーブル を確認します。スタティックルートは、タイプuserとして表示されます。影響を受ける静的ルートのネクスト ホップには、管理インターフェイスに設定された IP アドレスのサブネットに該当する IP アドレスがあります。管理ネットワークに関連付けられた静的ルートを見つける別の方法は、
または、デバイス設定の静的ルート部分を表示するだけです。CLIshow route protocol static next-hop <management-network-gateway-address>コマンドを使用することです。match機能を使用して、管理ネットワークのデフォルトゲートウェイを指すすべての静的ルートをすばやく特定します。
管理インスタンスの有効化
これらの操作には、デバイスのコンソール ポートの使用を推奨します。
管理インスタンスを変更すると、管理ポートの基盤となる VRF インスタンスが変更されます。SSH、Telnet、または NETCONF を使用している場合、設定をコミットするとデバイスへの接続が切断され、再確立する必要があります。
SSH、Telnet、または NETCONF を使用する場合は、 commit confirm を使用してください。
専用の管理 VRF インスタンスを有効にするには、次の手順を実行します。
管理インスタンスを使用するためのプロセスの構成
多くのプロセスは、管理インターフェイスを介して通信します。mgmt_junosを使用するには、プロセスが管理 VRF インスタンスをサポートする必要があります。 管理インスタンスが有効になっていない限り、これらのプロセスのすべてがデフォルトでmgmt_junosを使用するわけではありません。mgmt_junosを使用するには、これらのプロセスを設定する必要があります。
次のプロセスでは、この追加構成が必要です。
| 過程 |
管理 VRF をサポートする最初のリリース |
詳しくの参照先 |
|---|---|---|
| 自動化スクリプト |
Junos OS Evolvedリリース24.1R1以前 |
|
| BGP モニタリング・プロトコル(BMP) |
Junos OS Evolvedリリース24.1R1以前 |
|
| インライン アクティブ フロー監視 |
Junos OS Evolvedリリース24.2R1 |
|
| Network Time Protocol(NTP) |
Junos OS Evolvedリリース24.1R1以前 |
|
| アウトバウンド SSH |
Junos OS Evolvedリリース24.1R1 |
アウトバウンド SSH サービスを設定する |
| 半径 |
Junos OS Evolvedリリース24.1R1以前 |
|
| REST API |
Junos OS Evolvedリリース24.1R1以前 |
|
| TACACS+ |
Junos OS Evolvedリリース24.1R1以前 |
|
| Junos OS Evolvedリリース24.1R1以前 |
Junos OS Evolved では、management-instance ステートメントを設定するとすぐに、システム ロギングはデフォルトで mgmt_junos VRF インスタンスを使用します。システム ロギング用に mgmt_junos VRF インスタンスを設定する必要はありません。
mgmt_junos VRF インスタンスを使用するためのこれらのプロセスの設定はオプションです。このステップをスキップすると、これらのプロセスはデフォルトのルーティング インスタンスのみを使用してパケットを送信し続けます。
管理インスタンスを無効にする方法
mgmt_junos VRF インスタンスを無効にする場合は、行った他の設定変更も削除する必要があります。