Interfaz de administración en una instancia dedicada
Utilice una instancia de administración dedicada para separar el tráfico de administración del resto de su red.
¿Por qué usar una instancia de VRF no predeterminada?
De forma predeterminada, la interfaz Ethernet de administración (normalmente denominada fxp0 o em0 para Junos OS, o re0:mgmt-* o re1:mgmt-* para Junos OS evolucionado) proporciona la red de administración fuera de banda para el dispositivo. El tráfico de administración fuera de banda no está claramente separado del tráfico de control de protocolo en banda. En su lugar, todo el tráfico pasa a través de la instancia de enrutamiento predeterminada y comparte la tabla de enrutamiento inet.0 predeterminada. Este sistema de gestión del tráfico suscita preocupaciones sobre la seguridad, el rendimiento y la resolución de problemas. Usted (el administrador de red) puede resolver estos problemas limitando la interfaz de administración a una instancia dedicada y no predeterminada de enrutamiento y reenvío virtual (VRF).
- Ventajas de una instancia de administración dedicada
- Descripción general de la instancia de administración
Ventajas de una instancia de administración dedicada
-
Seguridad mejorada
-
El tráfico de administración ya no tiene que compartir una tabla de enrutamiento con otro tráfico de control o tráfico de protocolo
-
Interfaz de administración más fácil de usar para solucionar problemas
-
Para Junos OS, la instancia VRF de administración no predeterminada solo admite las interfaces em0 y fxp0. La instancia de VRF de administración no predeterminada no admite otras interfaces de administración, como em1.
-
La instancia de VRF de administración no predeterminada admite la interfaz Ethernet de administración virtual (VME) en dispositivos de la serie EX. La interfaz VME se utiliza para administrar Virtual Chassis. Para obtener más información, consulte Descripción de la administración global de un chasis virtual
Descripción general de la instancia de administración
El nombre de la instancia de VRF de administración dedicada está reservado y codificado de forma rígida como mgmt_junos; no puede configurar ninguna otra instancia de enrutamiento con el nombre mgmt_junos. Dado que algunas aplicaciones asumen que la interfaz de administración siempre está presente en la tabla de enrutamiento inet.0 predeterminada, la instancia de VRF de administración dedicada no se instancia de forma predeterminada. Debe configurarlo para que surta efecto.
Una vez implementada la instancia de VRF, el mgmt_junos tráfico de administración ya no comparte una tabla de enrutamiento (es decir, la tabla de enrutamiento predeterminada) con otro tráfico de control o tráfico de protocolo del sistema. El tráfico de la instancia de mgmt_junos VRF utiliza tablas de enrutamiento IPv4 e IPv6 privadas. Después de configurar mgmt_junos, no puede configurar protocolos dinámicos en la interfaz de administración.
Configurar la instancia de administración
Debe agregar a la instancia de mgmt_junos VRF todas las rutas estáticas que tengan un salto siguiente sobre la interfaz de administración. Si es necesario, también debe configurar los procesos o aplicaciones adecuados para utilizar. mgmt_junos Todos estos cambios deben hacerse en una sola confirmación. De lo contrario, los períodos de sesiones existentes podrían perderse y tener que renegociarse.
Antes de empezar: Determinar rutas estáticas
Algunas rutas estáticas tienen un siguiente salto a través de la interfaz de administración. Como parte de la configuración de la mgmt_junos instancia de VRF, debe agregar todas estas rutas estáticas para que puedan llegar a mgmt_junos la interfaz de administración. Cada configuración es diferente. En primer lugar, debe identificar las rutas estáticas que tienen un próximo salto a través de la interfaz de administración.
Utilice el
show interfaces interface-name tersecomando para buscar la dirección IP de la interfaz de administración predeterminada. La interfaz de administración predeterminada es fxp0 o em0 para Junos OS, o re0:mgmt-0 o re1:mgmt-0 para Junos OS evolucionado.user@host> show interfaces fxp0 terse Interface Admin Link Proto Local Remote fxp0 up up fxp0.0 up up inet 10.102.183.152/20
Utilice el
show route forwarding-tablecomando para consultar la tabla de reenvío para obtener información del próximo salto para rutas estáticas. Las rutas estáticas aparecen como tipouser. El siguiente salto para cualquier ruta estática afectada tiene una dirección IP que pertenece a la subred de la dirección IP configurada para la interfaz de administración.user@host> show route forwarding-table Routing table: default.inet Internet: Enabled protocols: Bridging, Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 36 1 0.0.0.0/32 perm 0 dscd 34 1 10.0.0.0/8 user 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.0.1.0/24 intf 0 rslv 584 1 ge-0/0/0.0 10.0.1.0/32 dest 0 10.0.1.0 recv 582 1 ge-0/0/0.0 10.0.1.1/32 intf 0 10.0.1.1 locl 583 2 10.0.1.1/32 dest 0 10.0.1.1 locl 583 2 10.0.1.255/32 dest 0 10.0.1.255 bcst 581 1 ge-0/0/0.0 10.102.176.0/20 intf 0 rslv 340 1 fxp0.0 10.102.176.0/32 dest 0 10.102.176.0 recv 338 1 fxp0.0 10.102.176.3/32 dest 1 0:50:56:9f:1b:2e ucst 350 2 fxp0.0 10.102.183.152/32 intf 0 10.102.183.152 locl 339 2 10.102.183.152/32 dest 0 10.102.183.152 locl 339 2 10.102.191.253/32 dest 0 10:e:7e:b1:b0:80 ucst 348 1 fxp0.0 10.102.191.254/32 dest 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.102.191.255/32 dest 0 10.102.191.255 bcst 337 1 fxp0.0 172.16.0.0/12 user 0 10.102.191.254 ucst 341 6 fxp0.0 192.168.0.0/16 user 0 10.102.191.254 ucst 341 6 fxp0.0 224.0.0.0/4 perm 0 mdsc 35 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 31 1 255.255.255.255/32 perm 0 bcst 32 1
Otra forma de encontrar las rutas estáticas asociadas con la red de administración es usar el
show route protocol static next-hop <management-network-gateway-address>comando.user@host> show route protocol static next-hop 10.102.191.254 inet.0: 10 destinations, 10 routes (10 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.0.0/8 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 172.16.0.0/12 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 192.168.0.0/16 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0matchpara localizar rápidamente todas las rutas estáticas que apuntan a la puerta de enlace predeterminada de la red de administración.user@host> show configuration routing-options static | match 10.102.191.254 route 10.0.0.0/8 next-hop 10.102.191.254; route 172.16.0.0/12 next-hop 10.102.191.254; route 192.168.0.0/16 next-hop 10.102.191.254;
Habilitar la instancia de administración
Recomendamos utilizar el puerto de consola del dispositivo para estas operaciones.
Al cambiar la instancia de administración, se cambia la instancia de VRF subyacente para el puerto de administración. Si utiliza SSH, Telnet o NETCONF, la conexión con el dispositivo se interrumpirá cuando confirme la configuración y tendrá que restablecerla.
Si utiliza SSH, Telnet o NETCONF, utilice commit confirm.
Para habilitar la instancia de VRF de administración dedicada:
Configurar procesos para utilizar la instancia de administración
Muchos procesos se comunican a través de la interfaz de administración. Un proceso debe admitir una instancia VRF de administración para poder utilizar mgmt_junos. No todos estos procesos se utilizan mgmt_junos de forma predeterminada a menos que la instancia de administración esté habilitada. Debe configurar estos procesos para utilizar mgmt_junos.
Los siguientes procesos requieren esta configuración adicional:
| Proceso |
Primera versión compatible con VRF de administración |
Para más información |
|---|---|---|
| Scripts de automatización |
Junos OS versión 18.1R1 |
Uso de una ubicación de origen alternativa para un script Configuración y uso de una ubicación de origen maestro para un script |
| Protocolo de monitoreo BGP (BMP) |
Junos OS versión 18.3R1 |
|
| Protocolo de tiempo de red (NTP) |
Junos OS versión 18.1R1 |
|
| SSH saliente |
Junos OS versión 19.3R1 |
Configurar el servicio SSH saliente |
| RADIO |
Junos OS versión 18.1R1 |
|
| REST API |
Junos OS versión 20.3R1 |
|
| Registro del sistema ( |
Junos OS versión 18.1R1 (de forma predeterminada) Junos OS versión 24.2R1 (cuando está configurado) |
Instancias de registro y enrutamiento del sistema |
| TACACS+ |
Junos OS versión 17.4R1 |
|
| Junos OS versión 18.2R1 |
La configuración de estos procesos para utilizar la instancia VRF mgmt_junos es opcional. Si omite este paso, estos procesos seguirán enviando paquetes utilizando únicamente la instancia de enrutamiento predeterminada.
Cómo deshabilitar la instancia de administración
Cuando deshabilite la instancia de mgmt_junos VRF, también debe eliminar los demás cambios de configuración realizados.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
management-instance instrucción. Debe configurar la instancia de VRF para el
mgmt_junos registro del sistema a fin de habilitarla.
management-instance instrucción.
mgmt_junos .
management-instance instrucción.