Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

专用实例中的管理接口

使用专用管理实例将管理流量与网络的其他部分分隔开来。

为什么要使用非默认 VRF 实例?

默认情况下,管理以太网接口(对于 Junos OS,通常命名为 fxp0 或 em0,对于 Junos OS 演化版,通常命名为 re0:mgmt-* 或 re1:mgmt-*)为设备提供带外管理网络。带外管理流量与带内协议控制流量没有明确区分。相反,所有流量都会通过默认路由实例,并共享默认的 inet.0 路由表。这种流量处理系统引发了对安全性、性能和故障排除的担忧。您(网络管理员)可以通过将管理接口限制为专用的非默认虚拟路由和转发 (VRF) 实例来解决这些问题。

专用管理实例的优势

  • 改进安全性

  • 管理流量不必再与其他控制流量或协议流量共享一个路由表

  • 更易于使用管理界面进行故障排除

注意:

  • 对于 Junos OS,非默认管理 VRF 实例仅支持 em0 和 fxp0 接口。非默认管理 VRF 实例不支持其他管理接口,例如 em1。

  • 非默认管理 VRF 实例支持 EX 系列设备上的虚拟管理以太网 (VME) 接口。VME 接口用于管理虚拟机箱。有关详细信息,请参阅 了解虚拟机箱的全局管理

管理实例概述

专用管理 VRF 实例的名称是保留的,并硬编码为 mgmt_junos;您不能使用该名称 mgmt_junos配置任何其他路由实例。由于某些应用程序假定管理接口始终存在于默认的 inet.0 路由表中,因此默认情况下不会实例化专用管理 VRF 实例。您需要对其进行配置才能使其生效。

部署 mgmt_junos VRF 实例后,管理流量将不再与系统中的其他控制流量或协议流量共享一个路由表(即默认路由表)。VRF 实例中的 mgmt_junos 流量使用私有 IPv4 和 IPv6 路由表。配置 mgmt_junos后,无法在管理接口上配置动态协议。

配置管理实例

您必须将通过管理接口具有下一跃点的任何静态路由添加到 mgmt_junos VRF 实例中。如果需要,还必须配置要使用的 mgmt_junos相应进程或应用程序。所有这些更改都必须在一次提交中完成。否则,现有会话可能会丢失,需要重新协商。

开始之前:确定静态路由

某些静态路由的下一跃点通过管理接口。作为配置 mgmt_junos VRF 实例的一部分,您必须将所有这些静态路由 mgmt_junos 添加到,以便它们可以到达管理接口。每个设置都不同。首先,您需要确定通过管理接口具有下一跃点的静态路由。

  1. show interfaces interface-name terse使用命令查找默认管理接口的 IP 地址。对于 Junos OS,默认管理接口为 fxp0 或 em0;对于 Junos OS 演化版,默认管理接口为 re0:mgmt-0 或 re1:mgmt-0。

  2. show route forwarding-table使用命令查看转转发表,以获取静态路由的下一跃点信息。静态路由显示为 类型 user。任何受影响的静态路由的下一跃点的 IP 地址都属于为管理接口配置的 IP 地址的子网。

  3. 查找与管理网络关联的静态路由的另一种方法是使用命令 show route protocol static next-hop <management-network-gateway-address>

    或者,仅显示设备配置的静态路由部分。使用 CLI match 功能快速找到指向管理网络默认网关的所有静态路由。

启用管理实例

注意:

我们建议使用设备控制台端口进行这些操作。

更改管理实例会更改管理端口的基础 VRF 实例。如果您使用 SSH、Telnet 或 NETCONF,则在您提交配置时,与设备的连接将断开,您必须重新建立它。

如果使用 SSH、Telnet 或 NETCONF,请使用 commit confirm.

要启用专用管理 VRF 实例,请执行以下操作:

  1. 配置mgmt_junosVRF 实例。
  2. 配置management-instance语句。
  3. 将相应的静态路由 mgmt_junos 添加到VRF 实例。

    有关如何确定要更改的静态路由,请参阅 开始之前:确定静态路由

    如果您使用的是配置组,则可以将这些更改设置为组的一部分:

  4. 提交配置。
    如果您使用的是 SSH、Telnet 或 NETCONF,请使用 commit confirm.预计会丢失,然后必须重新建立 SSH、Telnet 或 NETCONF 会话。

配置进程以使用管理实例

许多进程通过管理界面进行通信。进程必须支持管理 VRF 实例才能使用 mgmt_junos 除非启用了管理实例,否则并非所有这些进程都默认使用mgmt_junos。您必须将这些进程配置为使用 mgmt_junos

以下过程需要此附加配置:

表 1:可以配置为使用管理 VRF 实例的进程

过程

第一个支持管理 VRF 的版本

更多信息

自动化脚本

Junos OS 18.1R1 版

为脚本使用备用源位置

为脚本配置和使用主源位置

BGP 监控协议 (BMP)

Junos OS 18.3R1 版

将 BGP 监控协议配置为在不同的路由实例上运行

网络时间协议 (NTP)

Junos OS 18.1R1 版

NTP

出站 SSH

Junos OS 19.3R1 版

 配置出站 SSH 服务

半径

Junos OS 18.1R1 版

配置 RADIUS 服务器身份验证

配置 RADIUS 系统记帐

REST API

Junos OS 20.3R1 版

休息

系统日志记录 (syslog

Junos OS 18.1R1 版(默认)

Junos OS 24.2R1 版(配置时)

系统日志记录和路由实例

TACACS+

Junos OS 17.4R1 版

配置 TACACS+ 身份验证

Junos OS 18.2R1 版

配置 TACACS+ 系统计费

将这些进程配置为使用 mgmt_junos VRF 实例是可选的。如果跳过此步骤,这些进程将继续仅使用默认路由实例发送数据包。

  1. 要使用 mgmt_junos更新来自源的自动化脚本(包括提交、操作、SNMP 和事件脚本),请配置以下内容:
    1. 提交、操作或 SNMP 脚本:
    2. 事件脚本:
  2. 适用于使用 Google 开发的远程过程调用 (gRPC) 的自动化脚本和应用程序,例如:
    • gRPC 网络管理接口 (gNMI)
    • gRPC 网络操作接口 (gNOI)
    • gRPC 路由信息库接口 (gRIBI)
    • 瞻博网络扩展工具包 (JET)
    1. 配置:
    1. 对于 JET 应用程序,还要配置:
  3. BMP:
    1. 无源连接模式下的 BMP:
    2. 主动连接模式下的 BMP:
  4. NTP 服务:

    您还必须在默认路由实例的物理或逻辑接口上配置至少一个 IP 地址。确保此接口已打开,以便 NTP 服务可以与 VRF 实例一起 mgmt_junos 使用。

  5. 半径:
  6. TACACS+:
  7. REST API:
  8. 系统日志记录:
  9. 出站 SSH:

如何禁用管理实例

禁用 mgmt_junos VRF 实例时,还必须删除所做的其他配置更改。

  1. 删除management-instance语句以禁用专用管理 VRF 实例。
  2. (可选)从mgmt_junosVRF 实例。
  3. (可选)删除使用 mgmt_junos的进程的配置。这些进程将返回到使用默认路由实例发送数据包。例如,要删除 TACACS+ 的mgmt_junos配置:

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
24.2R1
从 Junos OS 24.2R1 版开始,在配置语句时 management-instance ,系统日志记录信息默认不使用专用管理实例。您必须为系统日志记录配置 mgmt_junos VRF 实例才能启用它。
18.1R1
从 Junos OS 18.1R1 版开始,系统日志记录在配置语句时 management-instance ,默认会对 IPv6 寻址的远程主机和存档站点使用专用管理实例。
17.3R1
从 Junos OS 17.3R1 版开始,您可以将 em0 和 fxp0 管理接口限制为 mgmt_junos VRF 实例。
17.3R1
从 Junos OS 17.3R1 版开始,系统日志记录在配置语句时 management-instance ,默认使用对 IPv4 寻址的远程主机的专用管理路由实例。