Ajude-nos a melhorar a sua experiência.

Conte-nos a sua opinião.

Tem dois minutos para uma pesquisa?

Announcement: Our new, consolidated Junos CLI Reference is now available.

close
external-header-nav
keyboard_arrow_up
list Table of Contents

Esta tradução automática foi útil?

starstarstarstarstar
Go to English page
ISENÇÃO DE RESPONSABILIDADE:

Esta página será traduzida com software de tradução por máquina de terceiros. Embora esforços razoáveis tenham sido feitos para fornecer uma tradução de qualidade, a Juniper Networks não pode garantir sua exatidão. Se houver dúvidas sobre a exatidão das informações contidas nesta tradução, consulte a versão em inglês. O PDF para download está disponível apenas em inglês.

Interface de gerenciamento em uma instância dedicada

date_range 31-Oct-24

RESUMO Use uma instância de gerenciamento dedicada para separar o tráfego de gerenciamento do resto da sua rede.

Por que usar uma instância VRF não padrão?

Por padrão, a interface Ethernet de gerenciamento (geralmente chamada de fxp0 ou em0 para Junos OS, ou re0:mgmt-* ou re1:mgmt-* para Junos OS Evolved) fornece a rede de gerenciamento fora da banda para o dispositivo. O tráfego de gerenciamento fora de banda não está claramente separado do tráfego de controle de protocolo na banda. Em vez disso, todo o tráfego passa pela instância de roteamento padrão e compartilha a tabela de roteamento inet.0 padrão. Esse sistema de manuseio de tráfego gera preocupações sobre segurança, desempenho e resolução de problemas. Você (o administrador de rede) pode resolver esses problemas limitando a interface de gerenciamento a uma instância dedicada e não padrão de roteamento e encaminhamento virtual (VRF).

Benefícios de uma instância de gerenciamento dedicada

  • Segurança aprimorada

  • O tráfego de gerenciamento não precisa mais compartilhar uma tabela de roteamento com outro tráfego de controle ou tráfego de protocolo

  • É mais fácil usar a interface de gerenciamento para solucionar problemas

Visão geral da instância de gerenciamento

O nome da instância VRF de gerenciamento dedicado é reservado e codificado como mgmt_junos; você não pode configurar nenhuma outra instância de roteamento pelo nome mgmt_junos. Como alguns aplicativos assumem que a interface de gerenciamento está sempre presente na tabela de roteamento padrão inet.0, a instância VRF de gerenciamento dedicado não é instanciada por padrão. Você precisa configurá-lo para que ele surtisse efeito.

Após a implantação da instância VRF, o mgmt_junos tráfego de gerenciamento não compartilha mais uma tabela de roteamento (ou seja, a tabela de roteamento padrão) com outro tráfego de controle ou tráfego de protocolo no sistema. O tráfego na mgmt_junos instância VRF usa tabelas privadas de roteamento IPv4 e IPv6. Depois de configurar mgmt_junos, você não pode configurar protocolos dinâmicos na interface de gerenciamento.

Configure a instância de gerenciamento

Você deve adicionar quaisquer rotas estáticas que tenham um próximo salto sobre a interface de gerenciamento à mgmt_junos instância VRF. Se necessário, você também deve configurar os processos ou aplicativos apropriados para usar mgmt_junos. Todas essas mudanças devem ser feitas em um único compromisso. Caso contrário, as sessões existentes podem ser perdidas e precisam ser renegociadas.

Antes de começar: determine rotas estáticas

Algumas rotas estáticas têm um próximo salto pela interface de gerenciamento. Como parte da configuração da mgmt_junos instância VRF, você deve adicionar todas essas rotas estáticas para mgmt_junos que elas possam chegar à interface de gerenciamento. Cada configuração é diferente. Primeiro, você precisa identificar as rotas estáticas que têm um próximo salto através da interface de gerenciamento.

  1. Use o show interfaces interface-name terse comando para encontrar o endereço IP da interface de gerenciamento padrão. A interface de gerenciamento padrão é o switchp0 ou em0 para o Junos OS, ou re0:mgmt-0 ou re1:mgmt-0 para Junos OS Evolved.

  2. Use o show route forwarding-table comando para analisar a tabela de encaminhamento para obter informações de próximo salto para rotas estáticas. As rotas estáticas aparecem como tipo user. O próximo salto para qualquer rota estática afetada tem um endereço IP que está sob a sub-rede do endereço IP configurado para a interface de gerenciamento.

  3. Outra maneira de encontrar as rotas estáticas associadas à sua rede de gerenciamento é usar o show route protocol static next-hop <management-network-gateway-address> comando.

    Como alternativa, basta exibir a parte de rota estática da configuração do dispositivo. Use a função CLI match para localizar rapidamente todas as rotas estáticas que apontam para o gateway padrão da rede de gerenciamento.

Habilite a instância de gerenciamento

Nota:

Recomendamos usar a porta do console do dispositivo para essas operações.

Mudar a instância de gerenciamento muda a instância VRF subjacente para a porta de gerenciamento. Se você usar SSH, Telnet ou NETCONF, a conexão com o dispositivo será descartada quando você confirmar a configuração, e você terá que reestabelecê-la.

Se você usar SSH, Telnet ou NETCONF, use commit confirm.

Para habilitar a instância VRF de gerenciamento dedicada:

  1. Configure a mgmt_junos Instância VRF.
    content_copy zoom_out_map
    [edit]
    user@host# set routing-instances mgmt_junos description description 
  2. Configure a management-instance declaração.
    content_copy zoom_out_map
    [edit]
    user@host# set system management-instance
  3. Adicione as rotas estáticas apropriadas ao mgmt_junos Instância VRF.

    Para saber como determinar as mudanças de rotas estáticas, veja Antes de começar: determine rotas estáticas.

    content_copy zoom_out_map
    [edit routing-instances mgmt_junos routing-option static route]
    user@host# set 10.0.0.0/8 next-hop 10.102.191.254
    user@host# set 172.16.0.0/12 next-hop 10.102.191.254
    user@host# set 192.168.0.0/16 next-hop 10.102.191.254
    

    Se você estiver usando grupos de configuração, você pode definir essas mudanças como parte de um grupo:

    content_copy zoom_out_map
    [edit groups global routing-instances mgmt_junos routing-options static route]
    user@host# set 10.0.0.0/8 next-hop 10.102.191.254
    user@host# set 172.16.0.0/12 next-hop 10.102.191.254
    user@host# set 192.168.0.0/16 next-hop 10.102.191.254
    
  4. Confirmar a configuração.
    Se você estiver usando SSH, Telnet ou NETCONF, use commit confirm. Espere perder e depois precisa restabelecer a sessão SSH, Telnet ou NETCONF.

Configure processos para usar a instância de gerenciamento

Muitos processos se comunicam por meio da interface de gerenciamento. Um processo deve oferecer suporte a uma instância VRF de gerenciamento para poder usar mgmt_junos. Nem todos esses processos são usados mgmt_junos por padrão a menos que a instância de gerenciamento esteja habilitada. Você deve configurar esses processos para usar mgmt_junos.

Os processos a seguir exigem essa configuração adicional:

  • Scripts de automação

  • Protocolo de monitoramento BGP (BMP)

  • Protocolo de tempo de rede (NTP)

  • SSH de saída

  • RAIO

  • API de transferência de estado representacional (REST)

  • TACACS+

No Junos OS Evolved, o registro do sistema usa a mgmt_junos instância VRF por padrão assim que você configura a management-instance declaração. Você não precisa configurar a instância VRF para registrar mgmt_junos o sistema.

Configurar esses processos para usar a mgmt_junos instância VRF é opcional. Se você pular essa etapa, esses processos continuarão a enviar pacotes usando apenas a instância de roteamento padrão.

  1. Para atualizar scripts de automação de uma fonte usandomgmt_junos, configure o seguinte:
    1. Scripts de commit, op ou SNMP:
      content_copy zoom_out_map
      [edit]
      user@host# set system scripts (commit | op | snmp) file filename routing-instance mgmt_junos
    2. Scripts de eventos:
      content_copy zoom_out_map
      [edit]
      user@host# set event-options event-script file filename routing-instance mgmt_junos
    3. Scripts do Juniper Extension Toolkit (JET):
      content_copy zoom_out_map
      [edit]
      user@host# set system extensions extension-service application file filename routing-instance mgmt_junos
  2. BMP:
    1. BMP no modo de conexão passiva:
      content_copy zoom_out_map
      [edit]
      user@host# set routing-options bmp station station-name routing-instance mgmt_junos
      user@host# set routing-options bmp station station-name connection-mode passive
      user@host# set routing-options bmp station station-name local-address ip-address
      user@host# set routing-options bmp station station-name local-port port-number
      user@host# set routing-options bmp station station-name station-address ip-address
    2. BMP no modo de conexão ativa:
      content_copy zoom_out_map
      [edit]
      user@host# set routing-options bmp station station-name routing-instance mgmt_junos
      user@host# set routing-options bmp station station-name connection-mode active
      user@host# set routing-options bmp station station-name station-address ip-address
      user@host# set routing-options bmp station station-name station-port port-number
  3. Serviço de NTP:
    content_copy zoom_out_map
    [edit]
    user@host# set system ntp server server-address routing-instance mgmt_junos

    Você também deve configurar pelo menos um endereço IP em uma interface física ou lógica dentro da instância de roteamento padrão. Certifique-se de que essa interface esteja ativa para que o serviço NTP possa funcionar com a mgmt_junos instância VRF.

  4. RAIO:
    content_copy zoom_out_map
    [edit]
    user@host# set system radius-server server-address routing-instance mgmt_junos
    user@host# set system accounting destination radius server server-address routing-instance mgmt_junos
  5. TACACS+:
    content_copy zoom_out_map
    [edit]
    user@host# set system tacplus-server server-address routing-instance mgmt_junos
    user@host# set system accounting destination tacplus server server-address routing-instance mgmt_junos
  6. A REST API:
    content_copy zoom_out_map
    [edit]
    user@host# set system services rest routing-instance mgmt_junos
  7. SSH de saída:
    content_copy zoom_out_map
    [edit]
    user@host# set system services outbound-ssh routing-instance mgmt_junos 

Como desativar a instância de gerenciamento

Quando você desativa a mgmt_junos instância VRF, você também deve remover as outras mudanças de configuração que você fez.

  1. Remova a management-instance declaração para desabilitar a instância VRF de gerenciamento dedicada.
    content_copy zoom_out_map
    [edit]
    user@host# delete system management-instance
  2. (Opcional) Remova as rotas estáticas do mgmt_junos Instância VRF.
    content_copy zoom_out_map
    [edit routing-instances mgmt_junos routing-option static route]
    user@host# delete 10.0.0.0/8 next-hop 10.102.191.254
    user@host# delete 172.16.0.0/12 next-hop 10.102.191.254
    user@host# delete 192.168.0.0/16 next-hop 10.102.191.254
    
  3. (Opcional) Remova as configurações para processos que usammgmt_junos. Esses processos voltarão a enviar pacotes usando a instância de roteamento padrão. Por exemplo, para remover a mgmt_junos configuração do TACACS+:
    content_copy zoom_out_map
    [edit]
    user@host# delete system tacplus-server server-address routing-instance mgmt_junos
external-footer-nav