Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Interfaz de administración en una instancia no predeterminada

¿Por qué usar una instancia de VRF no predeterminada?

De forma predeterminada, la interfaz Ethernet de administración (normalmente denominada fxp0 o em0 para Junos OS, o re0:mgmt-* o re1:mgmt-* para Junos OS evolucionado) proporciona la red de administración fuera de banda para el dispositivo. El tráfico de administración fuera de banda no está claramente separado del tráfico de control de protocolo en banda. En su lugar, todo el tráfico pasa a través de la instancia de enrutamiento predeterminada y comparte la tabla de enrutamiento inet.0 predeterminada. Este sistema de gestión del tráfico suscita preocupaciones sobre la seguridad, el rendimiento y la resolución de problemas.

Usted (el administrador de red) puede limitar la interfaz de administración a instancias de enrutamiento y reenvío virtual (VRF) no predeterminadas. Después de configurar la instancia de VRF de administración no predeterminada, el tráfico de administración ya no tiene que compartir una tabla de enrutamiento con otro tráfico de control o tráfico de protocolo. Esta configuración mejora la seguridad y facilita el uso de la interfaz de administración para solucionar problemas.

Configurar la instancia de VRF de mgmt_junos

El nombre de la instancia de VRF de administración dedicada está reservado y codificado de forma rígida como ; no puede configurar ninguna otra instancia de mgmt_junosenrutamiento con el nombre mgmt_junos. Dado que algunas aplicaciones asumen que la interfaz de administración siempre está presente en la tabla de enrutamiento inet.0 predeterminada, la instancia de VRF de administración dedicada no se instancia de forma predeterminada.

Debe agregar a la instancia de VRF todas las rutas estáticas que tengan un salto siguiente sobre la mgmt_junos interfaz de administración. Si es necesario, también debe configurar los procesos o aplicaciones adecuados para utilizar. mgmt_junos Todos estos cambios deben hacerse en una sola confirmación. De lo contrario, los períodos de sesiones existentes podrían perderse y tener que renegociarse.

Una vez implementada la instancia de VRF, el tráfico de administración ya no comparte una tabla de enrutamiento (es decir, la tabla de enrutamiento predeterminada) con otro tráfico de mgmt_junos control o tráfico de protocolo del sistema. El tráfico de la instancia de mgmt_junos VRF utiliza tablas de enrutamiento IPv4 e IPv6 privadas. Después de configurar , no puede configurar mgmt_junosprotocolos dinámicos en la interfaz de administración.

Antes de empezar: Determinar rutas estáticas

Algunas rutas estáticas tienen un siguiente salto a través de la interfaz de administración. Como parte de la configuración de la instancia de VRF, debe agregar todas estas rutas estáticas para que puedan llegar a mgmt_junos la mgmt_junos interfaz de administración. Cada configuración es diferente. En primer lugar, debe identificar las rutas estáticas que tienen un próximo salto a través de la interfaz de administración.

  1. Utilice el show interfaces interface-name terse comando para buscar la dirección IP de la interfaz de administración predeterminada. La interfaz de administración predeterminada es fxp0 o em0 para Junos OS, o re0:mgmt-0 o re1:mgmt-0 para Junos OS evolucionado.

  2. Utilice el show route forwarding-table comando para consultar la tabla de reenvío para obtener información del próximo salto para rutas estáticas. Las rutas estáticas aparecen como tipo user. El siguiente salto para cualquier ruta estática afectada tiene una dirección IP que pertenece a la subred de la dirección IP configurada para la interfaz de administración.

  3. Otra forma de encontrar las rutas estáticas asociadas con la red de administración es usar el show route protocol static next-hop <management-network-gateway-address> comando.

    Alternativamente, simplemente muestre la parte de ruta estática de la configuración del dispositivo. Utilice la función CLI match para localizar rápidamente todas las rutas estáticas que apuntan a la puerta de enlace predeterminada de la red de administración.

Habilitar la instancia mgmt_junos VRF

Nota:

Recomendamos utilizar el puerto de consola del dispositivo para estas operaciones. Si utiliza SSH o Telnet, la conexión con el dispositivo se interrumpirá cuando confirme la configuración y tendrá que restablecerla. Si utiliza SSH o Telnet, utilice commit confirm.

Para habilitar la instancia de VRF de administración dedicada:

  1. Configure el mgmt_junos Instancia de VRF.
  2. Configure la management-instance instrucción.
  3. Agregue las rutas estáticas adecuadas a la carpeta mgmt_junos Instancia de VRF.

    Para obtener información sobre cómo determinar las rutas estáticas que se van a cambiar, consulte Antes de empezar: Determinar rutas estáticas.

    Si utiliza grupos de configuración, puede establecer estos cambios como parte de un grupo:

  4. Confirme la configuración.
    Si utiliza SSH o Telnet, utilice commit confirm. Espere perder, y luego tener que restablecer, la sesión SSH o Telnet.

Configurar procesos para utilizar mgmt_junos

Muchos procesos se comunican a través de la interfaz de administración. Un proceso debe admitir una instancia VRF de administración para poder utilizar mgmt_junos. No todos estos procesos se utilizan mgmt_junos de forma predeterminada a menos que la instancia de administración esté habilitada. Debe configurar estos procesos para utilizar mgmt_junos.

Los siguientes procesos requieren esta configuración adicional:

  • Scripts de automatización

  • Protocolo de monitoreo BGP (BMP)

  • Protocolo de tiempo de red (NTP)

  • SSH saliente

  • RADIO

  • API de transferencia de estado representacional (REST)

  • TACACS+

En Junos OS evolucionado, el registro del sistema utiliza la instancia de VRF de forma predeterminada en cuanto se configura la mgmt_junos management-instance instrucción. No es necesario configurar la instancia de mgmt_junos VRF para el registro del sistema.

La configuración de estos procesos para utilizar la instancia VRF mgmt_junos es opcional. Si omite este paso, estos procesos seguirán enviando paquetes utilizando únicamente la instancia de enrutamiento predeterminada.

  1. Para actualizar los scripts de automatización desde un origen mediante mgmt_junos, configure lo siguiente:
    1. Comandos de compromiso, op o SNMP:
    2. Guiones de eventos:
    3. Scripts del kit de herramientas de extensión (JET) de Juniper:
  2. BMP:
    1. BMP en modo de conexión pasiva:
    2. BMP en modo de conexión activa:
  3. Servicio NTP:

    También debe configurar al menos una dirección IP en una interfaz física o lógica dentro de la instancia de enrutamiento predeterminada. Asegúrese de que esta interfaz esté activa para que el servicio NTP pueda funcionar con la instancia VRF mgmt_junos .

  4. RADIO:
  5. TACACS+:
  6. La API de REST:
  7. SSH saliente:

Cómo deshabilitar la instancia mgmt_junos VRF

Cuando deshabilite la instancia de mgmt_junos VRF, también debe eliminar los demás cambios de configuración realizados.

  1. Elimine la instrucción para deshabilitar la management-instance instancia de VRF de administración dedicada.
  2. (Opcional) Elimine las rutas estáticas de la mgmt_junos Instancia de VRF.
  3. (Opcional) Quite las configuraciones de los procesos que utilizan mgmt_junos. Estos procesos volverán a enviar paquetes utilizando la instancia de enrutamiento predeterminada. Por ejemplo, para quitar la configuración de mgmt_junos TACACS+ :