Interfaz de administración en una instancia no predeterminada
¿Por qué usar una instancia de VRF no predeterminada?
De forma predeterminada, la interfaz Ethernet de administración (normalmente denominada fxp0 o em0 para Junos OS, o re0:mgmt-* o re1:mgmt-* para Junos OS evolucionado) proporciona la red de administración fuera de banda para el dispositivo. El tráfico de administración fuera de banda no está claramente separado del tráfico de control de protocolo en banda. En su lugar, todo el tráfico pasa a través de la instancia de enrutamiento predeterminada y comparte la tabla de enrutamiento inet.0 predeterminada. Este sistema de gestión del tráfico suscita preocupaciones sobre la seguridad, el rendimiento y la resolución de problemas.
Usted (el administrador de red) puede limitar la interfaz de administración a instancias de enrutamiento y reenvío virtual (VRF) no predeterminadas. Después de configurar la instancia de VRF de administración no predeterminada, el tráfico de administración ya no tiene que compartir una tabla de enrutamiento con otro tráfico de control o tráfico de protocolo. Esta configuración mejora la seguridad y facilita el uso de la interfaz de administración para solucionar problemas.
Configurar la instancia de VRF de mgmt_junos
El nombre de la instancia de VRF de administración dedicada está reservado y codificado de forma rígida como ; no puede configurar ninguna otra instancia de mgmt_junos
enrutamiento con el nombre mgmt_junos
. Dado que algunas aplicaciones asumen que la interfaz de administración siempre está presente en la tabla de enrutamiento inet.0 predeterminada, la instancia de VRF de administración dedicada no se instancia de forma predeterminada.
Debe agregar a la instancia de VRF todas las rutas estáticas que tengan un salto siguiente sobre la mgmt_junos
interfaz de administración. Si es necesario, también debe configurar los procesos o aplicaciones adecuados para utilizar. mgmt_junos
Todos estos cambios deben hacerse en una sola confirmación. De lo contrario, los períodos de sesiones existentes podrían perderse y tener que renegociarse.
Una vez implementada la instancia de VRF, el tráfico de administración ya no comparte una tabla de enrutamiento (es decir, la tabla de enrutamiento predeterminada) con otro tráfico de mgmt_junos
control o tráfico de protocolo del sistema. El tráfico de la instancia de mgmt_junos
VRF utiliza tablas de enrutamiento IPv4 e IPv6 privadas. Después de configurar , no puede configurar mgmt_junos
protocolos dinámicos en la interfaz de administración.
Antes de empezar: Determinar rutas estáticas
Algunas rutas estáticas tienen un siguiente salto a través de la interfaz de administración. Como parte de la configuración de la instancia de VRF, debe agregar todas estas rutas estáticas para que puedan llegar a mgmt_junos
la mgmt_junos
interfaz de administración. Cada configuración es diferente. En primer lugar, debe identificar las rutas estáticas que tienen un próximo salto a través de la interfaz de administración.
-
Utilice el
show interfaces interface-name terse
comando para buscar la dirección IP de la interfaz de administración predeterminada. La interfaz de administración predeterminada es fxp0 o em0 para Junos OS, o re0:mgmt-0 o re1:mgmt-0 para Junos OS evolucionado. -
Utilice el
show route forwarding-table
comando para consultar la tabla de reenvío para obtener información del próximo salto para rutas estáticas. Las rutas estáticas aparecen como tipouser
. El siguiente salto para cualquier ruta estática afectada tiene una dirección IP que pertenece a la subred de la dirección IP configurada para la interfaz de administración. -
Otra forma de encontrar las rutas estáticas asociadas con la red de administración es usar el
Alternativamente, simplemente muestre la parte de ruta estática de la configuración del dispositivo. Utilice la función CLIshow route protocol static next-hop <management-network-gateway-address>
comando.match
para localizar rápidamente todas las rutas estáticas que apuntan a la puerta de enlace predeterminada de la red de administración.
Habilitar la instancia mgmt_junos VRF
Recomendamos utilizar el puerto de consola del dispositivo para estas operaciones. Si utiliza SSH o Telnet, la conexión con el dispositivo se interrumpirá cuando confirme la configuración y tendrá que restablecerla. Si utiliza SSH o Telnet, utilice commit confirm
.
Para habilitar la instancia de VRF de administración dedicada:
Configurar procesos para utilizar mgmt_junos
Muchos procesos se comunican a través de la interfaz de administración. Un proceso debe admitir una instancia VRF de administración para poder utilizar mgmt_junos
. No todos estos procesos se utilizan mgmt_junos
de forma predeterminada a menos que la instancia de administración esté habilitada. Debe configurar estos procesos para utilizar mgmt_junos
.
Los siguientes procesos requieren esta configuración adicional:
-
Scripts de automatización
-
Protocolo de monitoreo BGP (BMP)
-
Protocolo de tiempo de red (NTP)
-
SSH saliente
-
RADIO
-
API de transferencia de estado representacional (REST)
-
TACACS+
En Junos OS evolucionado, el registro del sistema utiliza la instancia de VRF de forma predeterminada en cuanto se configura la mgmt_junos
management-instance
instrucción. No es necesario configurar la instancia de mgmt_junos
VRF para el registro del sistema.
La configuración de estos procesos para utilizar la instancia VRF mgmt_junos
es opcional. Si omite este paso, estos procesos seguirán enviando paquetes utilizando únicamente la instancia de enrutamiento predeterminada.
Cómo deshabilitar la instancia mgmt_junos VRF
Cuando deshabilite la instancia de mgmt_junos
VRF, también debe eliminar los demás cambios de configuración realizados.