Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

기본이 아닌 인스턴스의 관리 인터페이스

기본이 아닌 VRF 인스턴스를 사용하는 이유는 무엇입니까?

기본적으로 관리 이더넷 인터페이스(일반적으로 Junos OS fxp0 또는 em0으로 명명되거나, Junos OS Evolved의 경우 re0:mgmt-* 또는 re1:mgmt-*)는 디바이스에 대한 대역 외 관리 네트워크를 제공합니다. 대역 외 관리 트래픽은 인밴드 프로토콜 제어 트래픽과 명확하게 분리되지 않습니다. 대신 모든 트래픽은 기본 라우팅 인스턴스를 통과하고 기본 inet.0 라우팅 테이블 공유합니다. 이러한 트래픽 처리 시스템은 보안, 성능 및 문제 해결에 대한 우려를 야기합니다.

네트워크 관리자는 관리 인터페이스를 기본이 아닌 가상 라우팅 및 포워딩(VRF) 인스턴스로 제한할 수 있습니다. 비 기본 관리 VRF 인스턴스를 구성한 후 관리 트래픽은 더 이상 다른 제어 트래픽 또는 프로토콜 트래픽과 라우팅 테이블 공유할 필요가 없습니다. 이 구성은 보안을 개선하고 관리 인터페이스를 사용하여 문제를 해결할 수 있게 합니다.

mgmt_junos VRF 인스턴스 구성

전용 관리 VRF 인스턴스의 이름은 예약 및 로 mgmt_junos하드코딩됩니다. 은(는) 이름으로 mgmt_junos다른 라우팅 인스턴스를 구성할 수 없습니다. 일부 애플리케이션은 관리 인터페이스가 항상 기본 inet.0 라우팅 테이블 있다고 가정하기 때문에 전용 관리 VRF 인스턴스는 기본적으로 인스턴스화되지 않습니다.

관리 인터페이스를 통해 다음 홉이 있는 정적 경로를 VRF 인스턴스에 mgmt_junos 추가해야 합니다. 필요한 경우 을(를) 사용할 mgmt_junos적절한 프로세스 또는 애플리케이션도 구성해야 합니다. 이러한 모든 변경은 단일 커밋에서 이루어져야 합니다. 그렇지 않으면 기존 세션이 손실되어 재협상해야 할 수 있습니다.

VRF 인스턴스를 mgmt_junos 구축한 후 관리 트래픽은 더 이상 시스템의 다른 제어 트래픽 또는 프로토콜 트래픽과 라우팅 테이블(기본 라우팅 테이블)를 공유하지 않습니다. VRF 인스턴스의 트래픽은 mgmt_junos 프라이빗 IPv4 및 IPv6 라우팅 테이블을 사용합니다. 구성 mgmt_junos한 후에는 관리 인터페이스에서 동적 프로토콜을 구성할 수 없습니다.

시작하기 전: 정적 경로 결정

일부 정적 경로는 관리 인터페이스를 통해 다음 홉을 갖습니다. VRF 인스턴스 구성의 일환으로, 관리 인터페이스에 mgmt_junos 도달할 수 있도록 이러한 모든 정적 경로를 mgmt_junos 에 추가해야 합니다. 각 설정은 다릅니다. 먼저, 관리 인터페이스를 통해 다음 홉이 있는 정적 경로를 식별해야 합니다.

  1. show interfaces interface-name terse 명령을 사용하여 기본 관리 인터페이스의 IP 주소를 찾습니다. 기본 관리 인터페이스는 Junos OS 경우 fxp0 또는 em0이거나, Junos OS Evolved의 경우 re0:mgmt-0 또는 re1:mgmt-0입니다.

  2. show route forwarding-table 명령을 사용하여 정적 경로에 대한 다음 홉 정보가 포워딩 테이블 확인합니다. 정적 경로가 유형user으로 표시됩니다. 영향을 받는 모든 정적 경로에 대한 다음 홉은 관리 인터페이스를 위해 구성된 IP 주소의 서브넷 아래에 있는 IP 주소를 가집니다.

  3. 정적 경로를 찾는 또 다른 방법은 명령을 사용하는 것입니다 show route protocol static .

mgmt_junos VRF 인스턴스 활성화

참고:

이러한 작업에 디바이스 콘솔 포트를 사용하는 것이 좋습니다. SSH 또는 Telnet을 사용하면 구성을 커밋할 때 디바이스 연결이 끊기고 다시 설정해야 합니다. SSH 또는 Telnet을 사용하는 경우 을(를) 사용합니다 commit confirm.

전용 관리 VRF 인스턴스를 활성화하려면,

  1. 다음을 구성합니다mgmt_junos. VRF 인스턴스.
  2. 문을 구성합니다management-instance.
  3. 적절한 정적 경로를 mgmt_junos VRF 인스턴스.

    변경할 정적 경로를 결정하는 방법은 시작하기 전: 정적 경로 결정하기를 참조하십시오.

    구성 그룹을 사용하는 경우, 이러한 변경 사항을 그룹의 일부로 설정할 수 있습니다.

  4. 구성을 커밋합니다.
    SSH 또는 Telnet을 사용하는 경우 을(를) 사용합니다 commit confirm. 손실이 예상되고 SSH 또는 Telnet 세션을 재설정해야 합니다.

mgmt_junos 사용할 프로세스 구성

많은 프로세스가 관리 인터페이스를 통해 통신합니다. 을(를) 사용 mgmt_junos하려면 관리 VRF 인스턴스를 지원하는 프로세스가 있어야 합니다. 이러한 모든 프로세스가 기본적으로 사용되지 mgmt_junos 는 않습니다. 을(를) 사용 mgmt_junos하려면 이러한 프로세스를 구성해야 합니다.

다음 프로세스에는 이 추가 구성이 필요합니다.

  • 자동화 스크립트

  • BMP(BGP Monitoring Protocol)

  • NTP(Network Time Protocol)

  • 아웃바운드 SSH

  • RADIUS

  • REST(Representational State Transfer) API

  • TACACS+

Junos OS Evolved에서 시스템 로깅은 문을 구성하는 즉시 기본적으로 VRF 인스턴스를 management-instance 사용합니다mgmt_junos. 시스템 로깅을 위해 VRF 인스턴스를 mgmt_junos 구성할 필요가 없습니다.

VRF 인스턴스를 사용하도록 mgmt_junos 이러한 프로세스를 구성하는 것은 선택 사항입니다. 이 단계를 건너뛰는 경우, 이러한 프로세스는 기본 라우팅 인스턴스만 사용하여 패킷을 계속 보냅니다.

  1. 을(를) 사용하여 mgmt_junos소스에서 자동화 스크립트를 업데이트하려면 다음을 구성합니다.
    1. 커밋, op 또는 SNMP 스크립트:
    2. 이벤트 스크립트:
    3. JET(Juniper Extension Toolkit) 스크립트:
  2. Bmp:
    1. 수동 연결 모드의 BMP:
    2. 활성 연결 모드의 BMP:
  3. NTP 서비스:

    또한 기본 라우팅 인스턴스 내에서 물리적 또는 논리적 인터페이스에 하나 이상의 IP 주소를 구성해야 합니다. NTP 서비스가 VRF 인스턴스와 작동할 수 있도록 이 인터페이스가 mgmt_junos 작동하도록 보장합니다.

  4. RADIUS:
  5. TACACS+:
  6. REST API:
  7. 아웃바운드 SSH:

mgmt_junos VRF 인스턴스를 비활성화하는 방법

VRF 인스턴스를 mgmt_junos 비활성화할 때 다른 구성 변경 사항도 제거해야 합니다.

  1. management-instance 문을 제거하여 전용 관리 VRF 인스턴스를 비활성화합니다.
  2. (선택 사항)mgmt_junos VRF 인스턴스.
  3. (선택 사항) 을(를) 사용하는 mgmt_junos프로세스에 대한 구성을 제거합니다. 이러한 프로세스는 기본 라우팅 인스턴스를 사용하여 패킷 전송으로 돌아갑니다. 예를 들어, TACACS+에 대한 구성을 제거하기 위해 다음을 mgmt_junos 수행합니다.