Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Interfaz de administración en una instancia dedicada

Utilice una instancia de administración dedicada para separar el tráfico de administración del resto de su red.

¿Por qué usar una instancia de VRF no predeterminada?

De forma predeterminada, la interfaz Ethernet de administración (normalmente denominada fxp0 o em0 para Junos OS, o re0:mgmt-* o re1:mgmt-* para Junos OS evolucionado) proporciona la red de administración fuera de banda para el dispositivo. El tráfico de administración fuera de banda no está claramente separado del tráfico de control de protocolo en banda. En su lugar, todo el tráfico pasa a través de la instancia de enrutamiento predeterminada y comparte la tabla de enrutamiento inet.0 predeterminada. Este sistema de gestión del tráfico suscita preocupaciones sobre la seguridad, el rendimiento y la resolución de problemas. Usted (el administrador de red) puede resolver estos problemas limitando la interfaz de administración a una instancia dedicada y no predeterminada de enrutamiento y reenvío virtual (VRF).

Ventajas de una instancia de administración dedicada

  • Seguridad mejorada

  • El tráfico de administración ya no tiene que compartir una tabla de enrutamiento con otro tráfico de control o tráfico de protocolo

  • Interfaz de administración más fácil de usar para solucionar problemas

Descripción general de la instancia de administración

El nombre de la instancia de VRF de administración dedicada está reservado y codificado de forma rígida como mgmt_junos; no puede configurar ninguna otra instancia de enrutamiento con el nombre mgmt_junos. Dado que algunas aplicaciones asumen que la interfaz de administración siempre está presente en la tabla de enrutamiento inet.0 predeterminada, la instancia de VRF de administración dedicada no se instancia de forma predeterminada. Debe configurarlo para que surta efecto.

Una vez implementada la instancia de VRF, el mgmt_junos tráfico de administración ya no comparte una tabla de enrutamiento (es decir, la tabla de enrutamiento predeterminada) con otro tráfico de control o tráfico de protocolo del sistema. El tráfico de la instancia de mgmt_junos VRF utiliza tablas de enrutamiento IPv4 e IPv6 privadas. Después de configurar mgmt_junos, no puede configurar protocolos dinámicos en la interfaz de administración.

Configurar la instancia de administración

Debe agregar a la instancia de mgmt_junos VRF todas las rutas estáticas que tengan un salto siguiente sobre la interfaz de administración. Si es necesario, también debe configurar los procesos o aplicaciones adecuados para utilizar. mgmt_junos Todos estos cambios deben hacerse en una sola confirmación. De lo contrario, los períodos de sesiones existentes podrían perderse y tener que renegociarse.

Antes de empezar: Determinar rutas estáticas

Algunas rutas estáticas tienen un siguiente salto a través de la interfaz de administración. Como parte de la configuración de la mgmt_junos instancia de VRF, debe agregar todas estas rutas estáticas para que puedan llegar a mgmt_junos la interfaz de administración. Cada configuración es diferente. En primer lugar, debe identificar las rutas estáticas que tienen un próximo salto a través de la interfaz de administración.

  1. Utilice el show interfaces interface-name terse comando para buscar la dirección IP de la interfaz de administración predeterminada. La interfaz de administración predeterminada es fxp0 o em0 para Junos OS, o re0:mgmt-0 o re1:mgmt-0 para Junos OS evolucionado.

  2. Utilice el show route forwarding-table comando para consultar la tabla de reenvío para obtener información del próximo salto para rutas estáticas. Las rutas estáticas aparecen como tipo user. El siguiente salto para cualquier ruta estática afectada tiene una dirección IP que pertenece a la subred de la dirección IP configurada para la interfaz de administración.

  3. Otra forma de encontrar las rutas estáticas asociadas con la red de administración es usar el show route protocol static next-hop <management-network-gateway-address> comando.

    Alternativamente, simplemente muestre la parte de ruta estática de la configuración del dispositivo. Utilice la función CLI match para localizar rápidamente todas las rutas estáticas que apuntan a la puerta de enlace predeterminada de la red de administración.

Habilitar la instancia de administración

Nota:

Recomendamos utilizar el puerto de consola del dispositivo para estas operaciones.

Al cambiar la instancia de administración, se cambia la instancia de VRF subyacente para el puerto de administración. Si utiliza SSH, Telnet o NETCONF, la conexión con el dispositivo se interrumpirá cuando confirme la configuración y tendrá que restablecerla.

Si utiliza SSH, Telnet o NETCONF, utilice commit confirm.

Para habilitar la instancia de VRF de administración dedicada:

  1. Configure el mgmt_junos Instancia de VRF.
  2. Configure la management-instance instrucción.
  3. Agregue las rutas estáticas adecuadas a la carpeta mgmt_junos Instancia de VRF.

    Para obtener información sobre cómo determinar las rutas estáticas que se van a cambiar, consulte Antes de empezar: Determinar rutas estáticas.

    Si utiliza grupos de configuración, puede establecer estos cambios como parte de un grupo:

  4. Confirme la configuración.
    Si utiliza SSH, Telnet o NETCONF, utilice commit confirm. Espere perder, y luego tener que restablecer, la sesión SSH, Telnet o NETCONF.

Configurar procesos para utilizar la instancia de administración

Muchos procesos se comunican a través de la interfaz de administración. Un proceso debe admitir una instancia VRF de administración para poder utilizar mgmt_junos. No todos estos procesos se utilizan mgmt_junos de forma predeterminada a menos que la instancia de administración esté habilitada. Debe configurar estos procesos para utilizar mgmt_junos.

Los siguientes procesos requieren esta configuración adicional:

Tabla 1: Procesos que puede configurar para usar la instancia de VRF de administración

Proceso

Primera versión compatible con VRF de administración

Para más información

Scripts de automatización

Antes de Junos OS Evolved, versión 24.1R1

Uso de una ubicación de origen alternativa para un script

Configuración y uso de una ubicación de origen maestro para un script

Protocolo de monitoreo BGP (BMP)

Antes de Junos OS Evolved, versión 24.1R1

Configuración del protocolo de supervisión de BGP para que se ejecute en una instancia de enrutamiento diferente

Monitoreo de flujo activo en línea

Junos OS Evolved versión 24.2R1

Comprender el monitoreo de flujo activo en línea

Protocolo de tiempo de red (NTP)

Antes de Junos OS Evolved, versión 24.1R1

Ntp

SSH saliente

Junos OS Evolved versión 24.1R1

Configurar el servicio SSH saliente

RADIO

Antes de Junos OS Evolved, versión 24.1R1

Configuración de la autenticación del servidor RADIUS

Configuración de la contabilidad del sistema RADIUS

REST API

Antes de Junos OS Evolved, versión 24.1R1

reposo

TACACS+

Antes de Junos OS Evolved, versión 24.1R1

Configuración de la autenticación TACACS+

Antes de Junos OS Evolved, versión 24.1R1

Configuración de la contabilidad del sistema TACACS+

En Junos OS evolucionado, el registro del sistema utiliza la instancia de mgmt_junos VRF de forma predeterminada en cuanto se configura la management-instance instrucción. No es necesario configurar la instancia de mgmt_junos VRF para el registro del sistema.

La configuración de estos procesos para utilizar la instancia VRF mgmt_junos es opcional. Si omite este paso, estos procesos seguirán enviando paquetes utilizando únicamente la instancia de enrutamiento predeterminada.

  1. Para actualizar los scripts de automatización, incluidos commit , op, SNMP y scripts de eventos desde un origen mediante mgmt_junos, configure lo siguiente:
    1. Comandos de compromiso, op o SNMP:
    2. Guiones de eventos:
  2. Para scripts de automatización y aplicaciones que utilizan llamadas a procedimiento remoto desarrolladas por Google (gRPC), como:
    • Interfaz de administración de red gRPC (gNMI)
    • Interfaz de operaciones de red gRPC (gNOI)
    • Interfaz base de información de enrutamiento gRPC (gRIBI)
    • Kit de herramientas de extensión de Juniper (JET)
    1. Configurar:
    1. Para aplicaciones JET, configure también:
  3. BMP:
    1. BMP en modo de conexión pasiva:
    2. BMP en modo de conexión activa:
  4. Monitoreo de flujo activo en línea:
  5. Servicio NTP:

    También debe configurar al menos una dirección IP en una interfaz física o lógica dentro de la instancia de enrutamiento predeterminada. Asegúrese de que esta interfaz esté activa para que el servicio NTP pueda funcionar con la instancia VRF mgmt_junos .

  6. RADIO:
  7. TACACS+:
  8. La API de REST:
  9. SSH saliente:

Cómo deshabilitar la instancia de administración

Cuando deshabilite la instancia de mgmt_junos VRF, también debe eliminar los demás cambios de configuración realizados.

  1. Elimine la management-instance instrucción para deshabilitar la instancia de VRF de administración dedicada.
  2. (Opcional) Elimine las rutas estáticas de la mgmt_junos Instancia de VRF.
  3. (Opcional) Quite las configuraciones de los procesos que utilizan mgmt_junos. Estos procesos volverán a enviar paquetes utilizando la instancia de enrutamiento predeterminada. Por ejemplo, para quitar la configuración de mgmt_junos TACACS+ :