デフォルト以外のインスタンスの管理インターフェイス
デフォルト以外の VRF インスタンスを使用する理由
デフォルトでは、管理イーサネットインターフェイス(通常、Junos OSの場合はfxp0またはem0、Junos OS Evolvedの場合はre0:mgmt-*またはre1:mgmt-*という名前)が、デバイスのアウトオブバンド管理ネットワークを提供します。アウトオブバンド管理トラフィックは、インバンド プロトコル制御トラフィックから明確に分離されていません。代わりに、すべてのトラフィックがデフォルトのルーティングインスタンスを通過し、デフォルトのinet.0ルーティングテーブルを共有します。このようなトラフィック処理システムでは、セキュリティ、パフォーマンス、トラブルシューティングに関する懸念が生じます。
お客様(ネットワーク管理者)は、管理インターフェイスをデフォルト以外の仮想ルーティングおよび転送(VRF)インスタンスに限定できます。デフォルト以外の管理 VRF インスタンスを設定すると、管理トラフィックは他の制御トラフィックまたはプロトコル トラフィックとルーティング テーブルを共有する必要がなくなります。この設定により、セキュリティが向上し、管理インターフェイスを使用したトラブルシューティングが容易になります。
Junos OS の場合、デフォルト以外の管理 VRF インスタンスは、em0 および fxp0 インターフェイスのみをサポートします。デフォルト以外の管理 VRF インスタンスは、em1 などの他の管理インターフェイスをサポートしていません。
デフォルト以外の管理 VRF インスタンスは、EX シリーズ デバイス上の仮想管理イーサネット(VME)インターフェイスをサポートします。VMEインターフェイスは、バーチャルシャーシの管理に使用します。詳細については、バーチャル シャーシのグローバル管理についてを参照してください
VRF インスタンスmgmt_junosの設定
専用管理 VRF インスタンスの名前は予約され、 として mgmt_junosハードコードされています。という名前 mgmt_junosで他のルーティング インスタンスを設定することはできません。一部のアプリケーションでは、管理インターフェイスが常にデフォルトの inet.0 ルーティング テーブルに存在することを前提としているため、専用管理 VRF インスタンスはデフォルトではインスタンス化されません。
管理インターフェイス上にネクストホップがあるスタティックルートをVRFインスタンスに追加 mgmt_junos する必要があります。必要に応じて、使用する mgmt_junos適切なプロセスまたはアプリケーションも構成する必要があります。これらの変更はすべて 1 回のコミットで実行する必要があります。そうしないと、既存のセッションが失われ、再ネゴシエーションが必要になる可能性があります。
VRF インスタンスを展開する mgmt_junos と、管理トラフィックはルーティング テーブル(つまり、デフォルト ルーティング テーブル)をシステム内の他の制御トラフィックまたはプロトコル トラフィックと共有しなくなります。VRF インスタンスのトラフィックは、 mgmt_junos プライベート IPv4 および IPv6 ルーティング テーブルを使用します。を設定 mgmt_junosした後で、管理インターフェイスで動的プロトコルを設定することはできません。
始める前に: スタティックルートの決定
一部のスタティック ルートには、管理インターフェイスを経由するネクスト ホップがあります。VRF インスタンスの設定 mgmt_junos の一環として、これらのスタティック ルートをすべてに追加 mgmt_junos して、管理インターフェイスに到達できるようにする必要があります。各セットアップは異なります。まず、管理インターフェイスを経由するネクストホップを持つスタティックルートを特定する必要があります。
show interfaces interface-name terseコマンドを使用して、デフォルトの管理インターフェイスの IP アドレスを検索します。デフォルトの管理インターフェイスは、Junos OS の場合は fxp0 または em0、Junos OS Evolved の場合は re0:mgmt-0 または re1:mgmt-0 です。user@host> show interfaces fxp0 terse Interface Admin Link Proto Local Remote fxp0 up up fxp0.0 up up inet 10.102.183.152/20
show route forwarding-tableスタティック ルートのネクストホップ情報の転送テーブルを調べるには、コマ ンドを使用します。スタティック ルートは タイプuserとして表示されます。影響を受ける静的ルートのネクストホップのIPアドレスが、管理インターフェイスに設定されたIPアドレスのサブネットに該当します。user@host> show route forwarding-table Routing table: default.inet Internet: Enabled protocols: Bridging, Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 36 1 0.0.0.0/32 perm 0 dscd 34 1 10.0.0.0/8 user 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.0.1.0/24 intf 0 rslv 584 1 ge-0/0/0.0 10.0.1.0/32 dest 0 10.0.1.0 recv 582 1 ge-0/0/0.0 10.0.1.1/32 intf 0 10.0.1.1 locl 583 2 10.0.1.1/32 dest 0 10.0.1.1 locl 583 2 10.0.1.255/32 dest 0 10.0.1.255 bcst 581 1 ge-0/0/0.0 10.102.176.0/20 intf 0 rslv 340 1 fxp0.0 10.102.176.0/32 dest 0 10.102.176.0 recv 338 1 fxp0.0 10.102.176.3/32 dest 1 0:50:56:9f:1b:2e ucst 350 2 fxp0.0 10.102.183.152/32 intf 0 10.102.183.152 locl 339 2 10.102.183.152/32 dest 0 10.102.183.152 locl 339 2 10.102.191.253/32 dest 0 10:e:7e:b1:b0:80 ucst 348 1 fxp0.0 10.102.191.254/32 dest 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.102.191.255/32 dest 0 10.102.191.255 bcst 337 1 fxp0.0 172.16.0.0/12 user 0 10.102.191.254 ucst 341 6 fxp0.0 192.168.0.0/16 user 0 10.102.191.254 ucst 341 6 fxp0.0 224.0.0.0/4 perm 0 mdsc 35 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 31 1 255.255.255.255/32 perm 0 bcst 32 1
管理ネットワークに関連付けられている静的ルートを見つける別の方法は、 コマンドを使用すること
show route protocol static next-hop <management-network-gateway-address>です。user@host> show route protocol static next-hop 10.102.191.254 inet.0: 10 destinations, 10 routes (10 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.0.0/8 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 172.16.0.0/12 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 192.168.0.0/16 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0match機能を使用して、管理ネットワークのデフォルトゲートウェイを指すすべてのスタティックルートをすばやく見つけることができます。user@host> show configuration routing-options static | match 10.102.191.254 route 10.0.0.0/8 next-hop 10.102.191.254; route 172.16.0.0/12 next-hop 10.102.191.254; route 192.168.0.0/16 next-hop 10.102.191.254;
VRF インスタンスmgmt_junosの有効化
これらの操作には、デバイスのコンソール ポートを使用することをお勧めします。SSH または Telnet を使用している場合、設定をコミットするとデバイスへの接続が切断され、再確立する必要があります。SSH または Telnet を使用する場合は、 commit confirm.
専用管理 VRF インスタンスを有効にするには:
mgmt_junos を使用するプロセスを構成する
多くのプロセスは、管理インターフェイスを介して通信します。プロセスが を使用するには、管理 VRF インスタンスmgmt_junosをサポートする必要があります。 管理インスタンスが有効になっていない限り、これらのプロセスのすべてが既定で使用されるmgmt_junosわけではありません。使用するにはmgmt_junos、これらのプロセスを設定する必要があります。
次のプロセスでは、この追加構成が必要です。
プロセス |
管理VRFをサポートする最初のリリース |
詳細の参照先 |
|---|---|---|
Automation scripts |
Junos OSリリース18.1R1 |
|
BGP Monitoring Protocol (BMP) |
Junos OSリリース18.3R1 |
|
NTP |
Junos OSリリース18.1R1 |
|
Outbound SSH |
Junos OSリリース19.3R1 |
アウトバウンドSSHサービスを設定する |
RADIUS |
Junos OSリリース18.1R1 |
|
REST API |
Junos OSリリース20.3R1 |
|
System Logging |
Junos OSリリース18.1R1 |
|
Junos OSリリース18.4R1 |
||
TACACS+ |
Junos OSリリース17.4R1 |
|
Junos OSリリース18.2R1 |
VRF インスタンスを使用する mgmt_junos ためのこれらのプロセスの設定はオプションです。このステップをスキップすると、これらのプロセスはデフォルトのルーティング インスタンスのみを使用してパケットを送信し続けます。
mgmt_junos VRFインスタンスを無効にする方法
VRF インスタンスを無効にする mgmt_junos 場合は、行った他の設定変更も削除する必要があります。