기본이 아닌 인스턴스의 관리 인터페이스
기본이 아닌 VRF 인스턴스를 사용하는 이유는 무엇입니까?
기본적으로 관리 이더넷 인터페이스(일반적으로 Junos OS 경우 fxp0 또는 em0으로 명명되거나, Junos OS Evolved의 경우 re0:mgmt-* 또는 re1:mgmt-*)는 디바이스에 대한 대역 외 관리 네트워크를 제공합니다. 대역 외 관리 트래픽은 인밴드 프로토콜 제어 트래픽과 명확하게 분리되지 않습니다. 대신 모든 트래픽은 기본 라우팅 인스턴스를 통과하고 기본 inet.0 라우팅 테이블 공유합니다. 이러한 트래픽 처리 시스템은 보안, 성능 및 문제 해결에 대한 우려를 야기합니다.
네트워크 관리자는 관리 인터페이스를 기본이 아닌 가상 라우팅 및 포워딩(VRF) 인스턴스로 제한할 수 있습니다. 비 기본 관리 VRF 인스턴스를 구성한 후 관리 트래픽은 더 이상 다른 제어 트래픽 또는 프로토콜 트래픽과 라우팅 테이블 공유할 필요가 없습니다. 이 구성은 보안을 개선하고 관리 인터페이스를 사용하여 문제를 해결할 수 있게 합니다.
-
Junos OS 경우, 기본이 아닌 관리 VRF 인스턴스는 em0 및 fxp0 인터페이스만 지원합니다. 기본이 아닌 관리 VRF 인스턴스는 em1과 같은 다른 관리 인터페이스를 지원하지 않습니다.
-
비기본 관리 VRF 인스턴스는 EX 시리즈 디바이스의 가상 관리 이더넷(VME) 인터페이스를 지원합니다. VME 인터페이스는 Virtual Chassis 관리하는 데 사용됩니다. 자세한 내용은 Virtual Chassis 글로벌 관리 이해를 참조하십시오.
mgmt_junos VRF 인스턴스 구성
전용 관리 VRF 인스턴스의 이름은 예약 및 로 mgmt_junos
하드코딩됩니다. 은(는) 이름으로 mgmt_junos
다른 라우팅 인스턴스를 구성할 수 없습니다. 일부 애플리케이션은 관리 인터페이스가 항상 기본 inet.0 라우팅 테이블 있다고 가정하기 때문에 전용 관리 VRF 인스턴스는 기본적으로 인스턴스화되지 않습니다.
관리 인터페이스를 통해 다음 홉이 있는 정적 경로를 VRF 인스턴스에 mgmt_junos
추가해야 합니다. 필요한 경우 을(를) 사용할 mgmt_junos
적절한 프로세스 또는 애플리케이션도 구성해야 합니다. 이러한 모든 변경은 단일 커밋에서 이루어져야 합니다. 그렇지 않으면 기존 세션이 손실되어 재협상해야 할 수 있습니다.
VRF 인스턴스를 mgmt_junos
구축한 후 관리 트래픽은 더 이상 시스템의 다른 제어 트래픽 또는 프로토콜 트래픽과 라우팅 테이블(기본 라우팅 테이블)를 공유하지 않습니다. VRF 인스턴스의 트래픽은 mgmt_junos
프라이빗 IPv4 및 IPv6 라우팅 테이블을 사용합니다. 구성 mgmt_junos
한 후에는 관리 인터페이스에서 동적 프로토콜을 구성할 수 없습니다.
시작하기 전: 정적 경로 결정
일부 정적 경로는 관리 인터페이스를 통해 다음 홉을 갖습니다. VRF 인스턴스 구성의 일환으로, 관리 인터페이스에 mgmt_junos
도달할 수 있도록 이러한 모든 정적 경로를 mgmt_junos
에 추가해야 합니다. 각 설정은 다릅니다. 먼저, 관리 인터페이스를 통해 다음 홉이 있는 정적 경로를 식별해야 합니다.
-
show interfaces interface-name terse
명령을 사용하여 기본 관리 인터페이스의 IP 주소를 찾습니다. 기본 관리 인터페이스는 Junos OS 경우 fxp0 또는 em0이거나, Junos OS Evolved의 경우 re0:mgmt-0 또는 re1:mgmt-0입니다.user@host> show interfaces fxp0 terse Interface Admin Link Proto Local Remote fxp0 up up fxp0.0 up up inet 10.102.183.152/20
-
show route forwarding-table
명령을 사용하여 정적 경로에 대한 다음 홉 정보가 포워딩 테이블 확인합니다. 정적 경로가 유형user
으로 표시됩니다. 영향을 받는 모든 정적 경로에 대한 다음 홉은 관리 인터페이스를 위해 구성된 IP 주소의 서브넷 아래에 있는 IP 주소를 가집니다.user@host> show route forwarding-table Routing table: default.inet Internet: Enabled protocols: Bridging, Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 36 1 0.0.0.0/32 perm 0 dscd 34 1 10.0.0.0/8 user 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.0.1.0/24 intf 0 rslv 584 1 ge-0/0/0.0 10.0.1.0/32 dest 0 10.0.1.0 recv 582 1 ge-0/0/0.0 10.0.1.1/32 intf 0 10.0.1.1 locl 583 2 10.0.1.1/32 dest 0 10.0.1.1 locl 583 2 10.0.1.255/32 dest 0 10.0.1.255 bcst 581 1 ge-0/0/0.0 10.102.176.0/20 intf 0 rslv 340 1 fxp0.0 10.102.176.0/32 dest 0 10.102.176.0 recv 338 1 fxp0.0 10.102.176.3/32 dest 1 0:50:56:9f:1b:2e ucst 350 2 fxp0.0 10.102.183.152/32 intf 0 10.102.183.152 locl 339 2 10.102.183.152/32 dest 0 10.102.183.152 locl 339 2 10.102.191.253/32 dest 0 10:e:7e:b1:b0:80 ucst 348 1 fxp0.0 10.102.191.254/32 dest 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.102.191.255/32 dest 0 10.102.191.255 bcst 337 1 fxp0.0 172.16.0.0/12 user 0 10.102.191.254 ucst 341 6 fxp0.0 192.168.0.0/16 user 0 10.102.191.254 ucst 341 6 fxp0.0 224.0.0.0/4 perm 0 mdsc 35 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 31 1 255.255.255.255/32 perm 0 bcst 32 1
-
관리 네트워크와 연결된 정적 경로를 찾는 또 다른 방법은 명령을 사용하는 것입니다
show route protocol static next-hop <management-network-gateway-address>
.user@host> show route protocol static next-hop 10.102.191.254 inet.0: 10 destinations, 10 routes (10 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.0.0/8 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 172.16.0.0/12 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 192.168.0.0/16 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0
match
기능을 사용하여 관리 네트워크의 기본 게이트웨이를 가리키는 모든 정적 경로를 신속하게 찾습니다.user@host> show configuration routing-options static | match 10.102.191.254 route 10.0.0.0/8 next-hop 10.102.191.254; route 172.16.0.0/12 next-hop 10.102.191.254; route 192.168.0.0/16 next-hop 10.102.191.254;
mgmt_junos VRF 인스턴스 활성화
이러한 작업에 디바이스 콘솔 포트를 사용하는 것이 좋습니다. SSH 또는 Telnet을 사용하면 구성을 커밋할 때 디바이스 연결이 끊기고 다시 설정해야 합니다. SSH 또는 Telnet을 사용하는 경우 을(를) 사용합니다 commit confirm
.
전용 관리 VRF 인스턴스를 활성화하려면,
mgmt_junos 사용할 프로세스 구성
많은 프로세스가 관리 인터페이스를 통해 통신합니다. 을(를) 사용mgmt_junos
하려면 관리 VRF 인스턴스를 지원하는 프로세스가 있어야 합니다. 관리 인스턴스가 활성화되지 않는 한 이러한 모든 프로세스가 기본적으로 사용되지 mgmt_junos
는 않습니다. 을(를) 사용mgmt_junos
하려면 이러한 프로세스를 구성해야 합니다.
다음 프로세스에는 이 추가 구성이 필요합니다.
프로세스 |
관리 VRF를 지원하는 첫 번째 릴리스 |
자세한 정보 |
---|---|---|
Automation scripts |
Junos OS 릴리스 18.1R1 |
|
BGP Monitoring Protocol (BMP) |
Junos OS 릴리스 18.3R1 |
|
NTP |
Junos OS 릴리스 18.1R1 |
|
Outbound SSH |
Junos OS 릴리스 19.3R1 |
아웃바운드 SSH 서비스 구성 |
RADIUS |
Junos OS 릴리스 18.1R1 |
|
REST API |
Junos OS 릴리스 20.3R1 |
|
System Logging |
Junos OS 릴리스 18.1R1 |
|
Junos OS 릴리스 18.4R1 |
||
TACACS+ |
Junos OS 릴리스 17.4R1 |
|
Junos OS 릴리스 18.2R1 |
VRF 인스턴스를 사용하도록 mgmt_junos
이러한 프로세스를 구성하는 것은 선택 사항입니다. 이 단계를 건너뛰는 경우, 이러한 프로세스는 기본 라우팅 인스턴스만 사용하여 패킷을 계속 보냅니다.
mgmt_junos VRF 인스턴스를 비활성화하는 방법
VRF 인스턴스를 mgmt_junos
비활성화할 때 다른 구성 변경 사항도 제거해야 합니다.