전용 인스턴스의 관리 인터페이스
전용 관리 인스턴스를 사용하여 관리 트래픽을 네트워크의 나머지 부분과 분리합니다.
기본이 아닌 VRF 인스턴스를 사용하는 이유는 무엇입니까?
기본적으로 관리 이더넷 인터페이스(일반적으로 Junos OS의 경우 fxp0 또는 em0, Junos OS Evolved의 경우 re0:mgmt-* 또는 re1:mgmt-*로 명명됨)는 디바이스에 대역 외 관리 네트워크를 제공합니다. 대역 외 관리 트래픽은 대역 내 프로토콜 제어 트래픽과 명확하게 구분되지 않습니다. 대신 모든 트래픽은 기본 라우팅 인스턴스를 통과하고 기본 inet.0 라우팅 테이블을 공유합니다. 이러한 트래픽 처리 시스템은 보안, 성능 및 문제 해결에 대한 우려를 야기합니다. 사용자(네트워크 관리자)는 관리 인터페이스를 기본이 아닌 전용 가상 라우팅 및 포워딩(VRF) 인스턴스로 제한하여 이러한 문제를 해결할 수 있습니다.
전용 관리 인스턴스의 이점
-
보안 개선
-
관리 트래픽은 더 이상 라우팅 테이블을 다른 제어 트래픽 또는 프로토콜 트래픽과 공유할 필요가 없습니다
-
보다 쉽게 관리 인터페이스를 사용하여 문제를 해결할 수 있습니다.
관리 인스턴스 개요
전용 관리 VRF 인스턴스의 이름은 예약되어 있으며 (으 mgmt_junos
)로 하드코딩되어 있습니다. 이름으로 mgmt_junos
다른 라우팅 인스턴스를 구성할 수 없습니다. 일부 애플리케이션에서는 관리 인터페이스가 항상 기본 inet.0 라우팅 테이블에 있다고 가정하기 때문에 전용 관리 VRF 인스턴스는 기본적으로 인스턴스화되지 않습니다. 적용하려면 구성해야 합니다.
VRF 인스턴스를 구축 mgmt_junos
하면 관리 트래픽은 더 이상 시스템의 다른 제어 트래픽 또는 프로토콜 트래픽과 라우팅 테이블(즉, 기본 라우팅 테이블)을 공유하지 않습니다. VRF 인스턴스의 트래픽은 mgmt_junos
프라이빗 IPv4 및 IPv6 라우팅 테이블을 사용합니다. 을 구성 mgmt_junos
한 후에는 관리 인터페이스에서 동적 프로토콜을 구성할 수 없습니다.
관리 인스턴스 구성
관리 인터페이스를 mgmt_junos
통해 다음 홉이 있는 모든 정적 경로를 VRF 인스턴스에 추가해야 합니다. 필요한 경우 사용할 mgmt_junos
적절한 프로세스 또는 응용 프로그램도 구성해야 합니다. 이러한 모든 변경은 단일 커밋에서 수행해야 합니다. 그렇지 않으면 기존 세션이 손실되어 재협상해야 할 수 있습니다.
시작하기 전에: 고정 경로 결정
일부 정적 경로에는 관리 인터페이스를 통해 다음 홉이 있습니다. VRF 인스턴스 구성의 mgmt_junos
일부로, 관리 인터페이스에 도달할 수 있도록 이러한 모든 정적 경로를 에 mgmt_junos
추가해야 합니다. 각 설정은 다릅니다. 먼저 관리 인터페이스를 통해 다음 홉이 있는 정적 경로를 식별해야 합니다.
show interfaces interface-name terse
명령을 사용하여 기본 관리 인터페이스의 IP 주소를 찾습니다. 기본 관리 인터페이스는 Junos OS의 경우 fxp0 또는 em0, Junos OS Evolved의 경우 re0:mgmt-0 또는 re1:mgmt-0입니다.show route forwarding-table
명령을 사용하여 정적 경로에 대한 다음 홉 정보를 위해 포워딩 테이블을 확인합니다. 고정 경로는 유형user
으로 표시됩니다. 영향을 받는 모든 정적 경로의 다음 홉에는 관리 인터페이스에 대해 구성된 IP 주소의 서브넷에 속하는 IP 주소가 있습니다.관리 네트워크와 연결된 정적 경로를 찾는 또 다른 방법은 명령을 사용하는
또는 디바이스 구성의 정적 경로 부분을 표시하기만 하면 됩니다. CLIshow route protocol static next-hop <management-network-gateway-address>
것입니다.match
기능을 사용하여 관리 네트워크의 기본 게이트웨이를 가리키는 모든 정적 경로를 빠르게 찾을 수 있습니다.
관리 인스턴스 활성화
이러한 작업에는 디바이스 콘솔 포트를 사용하는 것이 좋습니다.
관리 인스턴스를 변경하면 관리 포트의 기본 VRF 인스턴스가 변경됩니다. SSH, Telnet 또는 NETCONF를 사용하는 경우 구성을 커밋할 때 디바이스에 대한 연결이 끊어지며 이를 다시 설정해야 합니다.
SSH, Telnet 또는 NETCONF를 사용하는 경우 을 사용합니다 commit confirm
.
전용 관리 VRF 인스턴스를 활성화하려면:
관리 인스턴스를 사용하도록 프로세스 구성
많은 프로세스가 관리 인터페이스를 통해 통신합니다. 프로세스는 을(를) 사용할 mgmt_junos
수 있도록 관리 VRF 인스턴스를 지원해야 합니다. management-instance가 활성화되지 않는 한 이러한 모든 프로세스가 기본적으로 사용되는 mgmt_junos
것은 아닙니다. 을 사용하려면 mgmt_junos
이러한 프로세스를 구성해야 합니다.
다음 프로세스에는 이러한 추가 구성이 필요합니다.
프로세스 |
관리 VRF를 지원하기 위한 첫 번째 릴리스 |
상세 정보 |
---|---|---|
자동화 스크립트 |
Junos OS Evolved 릴리스 24.1R1 이전 |
|
BMP(BGP Monitoring Protocol) |
Junos OS Evolved 릴리스 24.1R1 이전 |
|
인라인 액티브 플로우 모니터링 |
Junos OS Evolved 릴리스 24.2R1 |
인라인 액티브 플로우 모니터링 이해하기 |
NTP(Network Time Protocol) |
Junos OS Evolved 릴리스 24.1R1 이전 |
|
아웃바운드 SSH |
Junos OS Evolved 릴리스 24.1R1 |
아웃바운드 SSH 서비스 구성 |
반지름 |
Junos OS Evolved 릴리스 24.1R1 이전 |
|
REST API |
Junos OS Evolved 릴리스 24.1R1 이전 |
|
TACACS+ |
Junos OS Evolved 릴리스 24.1R1 이전 |
|
Junos OS Evolved 릴리스 24.1R1 이전 |
Junos OS Evolved에서 시스템 로깅은 mgmt_junos
문을 구성 management-instance
하자마자, 기본적으로 VRF 인스턴스를 사용합니다. 시스템 로깅을 mgmt_junos
위해 VRF 인스턴스를 구성할 필요가 없습니다.
VRF 인스턴스를 사용하도록 mgmt_junos
이러한 프로세스를 구성하는 것은 선택 사항입니다. 이 단계를 건너뛸 경우 이러한 프로세스는 기본 라우팅 인스턴스만을 사용하여 패킷을 계속 전송합니다.
관리 인스턴스를 비활성화하는 방법
VRF 인스턴스를 비활성화 mgmt_junos
할 때 다른 구성 변경 사항도 제거해야 합니다.