Interfaz de administración en una instancia no predeterminada
¿Por qué usar una instancia vrf no predeterminada?
De forma predeterminada, la interfaz Ethernet de administración (normalmente denominada fxp0 o em0 para Junos OS, o re0:mgmt-* o re1:mgmt-* para Junos OS Evolved) proporciona la red de administración fuera de banda para el dispositivo. El tráfico de administración fuera de banda no está claramente separado del tráfico de control del protocolo en banda. En su lugar, todo el tráfico pasa a través de la instancia de enrutamiento predeterminada y comparte la tabla de enrutamiento inet.0 predeterminada. Este sistema de gestión de tráfico genera preocupaciones sobre la seguridad, el rendimiento y la resolución de problemas.
Usted (el administrador de red) puede limitar la interfaz de administración a una instancia de enrutamiento y reenvío virtual (VRF) no predeterminadas. Después de configurar la instancia de VRF de administración no predeterminada, el tráfico de administración ya no tiene que compartir una tabla de enrutamiento con otro tráfico de control o tráfico de protocolo. Esta configuración mejora la seguridad y facilita el uso de la interfaz de administración para solucionar problemas.
-
Para Junos OS, la instancia de VRF de administración no predeterminada solo admite las interfaces em0 y fxp0. La instancia de VRF de administración no predeterminada no admite otras interfaces de administración, como em1.
-
La instancia de VRF de administración no predeterminada admite la interfaz de administración virtual de Ethernet (VME) en dispositivos de la serie EX. La interfaz VME se utiliza para administrar Virtual Chassis. Para obtener más información, consulte Descripción de la administración global de un chasis virtual
Configurar la instancia de VRF mgmt_junos
El nombre de la instancia vrf de administración dedicada está reservado y codificado como mgmt_junos; no puede configurar ninguna otra instancia de enrutamiento por el nombre mgmt_junos. Dado que algunas aplicaciones asumen que la interfaz de administración siempre está presente en la tabla de enrutamiento inet.0 predeterminada, la instancia vrf de administración dedicada no se instancia de forma predeterminada.
Debe agregar cualquier ruta estática que tenga un salto siguiente a través de la interfaz de administración a la mgmt_junos instancia de VRF. Si es necesario, también debe configurar los procesos o aplicaciones adecuados para usar mgmt_junos. Todos estos cambios deben realizarse en una sola confirmación. De lo contrario, las sesiones existentes podrían perderse y deben ser renegociadas.
Una vez que implemente la instancia de VRF, el mgmt_junos tráfico de administración ya no comparte una tabla de enrutamiento (es decir, la tabla de enrutamiento predeterminada) con otro tráfico de control o tráfico de protocolo en el sistema. El tráfico en la mgmt_junos instancia de VRF usa tablas de enrutamiento IPv4 e IPv6 privadas. Después de configurar mgmt_junos, no puede configurar protocolos dinámicos en la interfaz de administración.
Antes de comenzar: Determinar rutas estáticas
Algunas rutas estáticas tienen un siguiente salto a la interfaz de administración. Como parte de la configuración de la mgmt_junos instancia vrf, debe agregar todas estas rutas estáticas para que puedan llegar a mgmt_junos la interfaz de administración. Cada configuración es diferente. En primer lugar, debe identificar las rutas estáticas que tienen un siguiente salto a través de la interfaz de administración.
-
Utilice el
show interfaces interface-name tersecomando para encontrar la dirección IP de la interfaz de administración predeterminada. La interfaz de administración predeterminada es fxp0 o em0 para Junos OS, o re0:mgmt-0 o re1:mgmt-0 para Junos OS Evolucionado.user@host> show interfaces fxp0 terse Interface Admin Link Proto Local Remote fxp0 up up fxp0.0 up up inet 10.102.183.152/20
-
Utilice el
show route forwarding-tablecomando para ver la tabla de reenvío para obtener información del salto siguiente para rutas estáticas. Las rutas estáticas se muestran como tipouser. El siguiente salto para cualquier ruta estática afectada tiene una dirección IP que cae bajo la subred de la dirección IP configurada para la interfaz de administración.user@host> show route forwarding-table Routing table: default.inet Internet: Enabled protocols: Bridging, Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 36 1 0.0.0.0/32 perm 0 dscd 34 1 10.0.0.0/8 user 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.0.1.0/24 intf 0 rslv 584 1 ge-0/0/0.0 10.0.1.0/32 dest 0 10.0.1.0 recv 582 1 ge-0/0/0.0 10.0.1.1/32 intf 0 10.0.1.1 locl 583 2 10.0.1.1/32 dest 0 10.0.1.1 locl 583 2 10.0.1.255/32 dest 0 10.0.1.255 bcst 581 1 ge-0/0/0.0 10.102.176.0/20 intf 0 rslv 340 1 fxp0.0 10.102.176.0/32 dest 0 10.102.176.0 recv 338 1 fxp0.0 10.102.176.3/32 dest 1 0:50:56:9f:1b:2e ucst 350 2 fxp0.0 10.102.183.152/32 intf 0 10.102.183.152 locl 339 2 10.102.183.152/32 dest 0 10.102.183.152 locl 339 2 10.102.191.253/32 dest 0 10:e:7e:b1:b0:80 ucst 348 1 fxp0.0 10.102.191.254/32 dest 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.102.191.255/32 dest 0 10.102.191.255 bcst 337 1 fxp0.0 172.16.0.0/12 user 0 10.102.191.254 ucst 341 6 fxp0.0 192.168.0.0/16 user 0 10.102.191.254 ucst 341 6 fxp0.0 224.0.0.0/4 perm 0 mdsc 35 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 31 1 255.255.255.255/32 perm 0 bcst 32 1
-
Otra forma de encontrar las rutas estáticas asociadas con su red de administración es usar el
show route protocol static next-hop <management-network-gateway-address>comando.user@host> show route protocol static next-hop 10.102.191.254 inet.0: 10 destinations, 10 routes (10 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.0.0/8 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 172.16.0.0/12 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 192.168.0.0/16 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0matchpara localizar rápidamente todas las rutas estáticas que apuntan a la puerta de enlace predeterminada de la red de administración.user@host> show configuration routing-options static | match 10.102.191.254 route 10.0.0.0/8 next-hop 10.102.191.254; route 172.16.0.0/12 next-hop 10.102.191.254; route 192.168.0.0/16 next-hop 10.102.191.254;
Habilite la instancia de VRF mgmt_junos
Recomendamos usar el puerto de la consola del dispositivo para estas operaciones. Si utiliza SSH o Telnet, la conexión con el dispositivo se perderá cuando confirme la configuración y tendrá que restablecerla. Si utiliza SSH o Telnet, utilice commit confirm.
Para habilitar la instancia de VRF de administración dedicada:
Configurar procesos para usar mgmt_junos
Muchos procesos se comunican a través de la interfaz de administración. Un proceso debe admitir una instancia de VRF de administración para poder usar mgmt_junos. No todos estos procesos usan mgmt_junos de forma predeterminada , a menos que la instancia de administración esté habilitada. Debe configurar estos procesos para que usen mgmt_junos.
Los siguientes procesos requieren esta configuración adicional:
| Proceso |
Primera versión para admitir la gestión VRF |
Para obtener más información |
|---|---|---|
| Automation scripts |
Junos OS versión 18.1R1 |
Uso de una ubicación de origen alternativa para un script Configuración y uso de una ubicación de origen maestra para un script |
| BGP Monitoring Protocol (BMP) |
Junos OS versión 18.3R1 |
|
| NTP |
Junos OS versión 18.1R1 |
|
| Outbound SSH |
Junos OS versión 19.3R1 |
Configurar el servicio SSH saliente |
| RADIUS |
Junos OS versión 18.1R1 |
|
| REST API |
Junos OS versión 20.3R1 |
|
| System Logging |
Junos OS versión 18.1R1 |
|
| Junos OS versión 18.4R1 |
||
| TACACS+ |
Junos OS versión 17.4R1 |
|
| Junos OS versión 18.2R1 |
Configurar estos procesos para usar la mgmt_junos instancia de VRF es opcional. Si omite este paso, estos procesos continúan enviando paquetes utilizando solo la instancia de enrutamiento predeterminada.
Cómo deshabilitar la instancia de VRF de mgmt_junos
Cuando deshabilita la mgmt_junos instancia de VRF, también debe quitar los demás cambios de configuración que haya realizado.