専用インスタンスの管理インターフェイス |Junos OS Evolved |ジュニパーネットワークス

デフォルト以外の VRF インスタンスを使用する理由

デフォルトでは、管理イーサネットインターフェイス(Junos OS では通常 fxp0 または em0、Junos OS Evolved で re0:mgmt-* または re1:mgmt-* という名前)が、デバイスのアウトオブバンド管理ネットワークを提供します。アウトオブバンド管理トラフィックは、インバンドプロトコル制御トラフィックから明確に分離されていません。代わりに、すべてのトラフィックがデフォルトのルーティングインスタンスを通過し、デフォルトの inet.0 ルーティングテーブルを共有します。このようなトラフィック処理システムにより、セキュリティ、パフォーマンス、およびトラブルシューティングに関する懸念が生じます。ネットワーク管理者は、管理インターフェイスを専用非デフォルト VRF(仮想ルーティングおよび転送)インスタンスに限定することで、これらの問題を解決できます。

専用管理インスタンスのメリット
管理インスタンスの概要

専用管理インスタンスのメリット

セキュリティの改善
管理トラフィックが、他の制御トラフィックやプロトコルトラフィックとルーティングテーブルを共有する必要がなくなりました
管理インターフェイスを使用してトラブルシューティングが容易

管理インスタンスの概要

専用の管理 VRF インスタンスの名前は、 mgmt_junos として予約およびハードコードされています。 mgmt_junos という名前で他のルーティングインスタンスを設定することはできません。アプリケーションによっては、管理インターフェイスがデフォルトの inet.0 ルーティングテーブルに常に存在することを前提としているため、専用の管理 VRF インスタンスはデフォルトでインスタンス化されません。有効にするには、設定する必要があります。

mgmt_junos VRF インスタンスを展開すると、管理トラフィックはシステム内の他の制御トラフィックやプロトコルトラフィックとルーティングテーブル(つまり、デフォルトルーティングテーブル)を共有しなくなります。mgmt_junos VRF インスタンスのトラフィックは、プライベート IPv4 および IPv6 ルーティングテーブルを使用します。mgmt_junosを設定した後は、管理インターフェイスで動的プロトコルを設定することはできません。

管理インスタンスを設定する

管理インターフェイス上にネクストホップがあるスタティックルートは、 mgmt_junos VRF インスタンスに追加する必要があります。必要に応じて、 mgmt_junosを使用する適切なプロセスまたはアプリケーションも構成する必要があります。これらの変更はすべて、1 回のコミットで行う必要があります。そうしないと、既存のセッションが失われ、再ネゴシエートが必要になる可能性があります。

開始する前に:スタティックルートを決定する
管理インスタンスの有効化

開始する前に:スタティックルートを決定する

一部のスタティックルートには、管理インターフェイスを経由するネクストホップがあります。 mgmt_junos VRF インスタンスの設定の一環として、これらのスタティックルートをすべて mgmt_junos に追加して、管理インターフェイスに到達できるようにする必要があります。それぞれのセットアップは異なります。まず、管理インターフェイスを経由するネクストホップを持つスタティックルートを特定する必要があります。

show interfaces interface-name terse コマンドを使用して、デフォルトの管理インターフェイスの IP アドレスを検索します。デフォルトの管理インターフェイスは、Junos OSの場合はfxp0またはem0、Junos OS Evolvedの場合はre0:mgmt-0またはre1:mgmt-0です。
show route forwarding-table コマンドを使用して、スタティックルートのネクストホップ情報の転送テーブルを確認します。スタティックルートは、タイプuserとして表示されます。影響を受ける静的ルートのネクストホップには、管理インターフェイスに設定された IP アドレスのサブネットに該当する IP アドレスがあります。
管理ネットワークに関連付けられた静的ルートを見つける別の方法は、 show route protocol static next-hop <management-network-gateway-address> コマンドを使用することです。
または、デバイス設定の静的ルート部分を表示するだけです。CLI match 機能を使用して、管理ネットワークのデフォルトゲートウェイを指すすべての静的ルートをすばやく特定します。

管理インスタンスの有効化

手記：

これらの操作には、デバイスのコンソールポートの使用を推奨します。

管理インスタンスを変更すると、管理ポートの基盤となる VRF インスタンスが変更されます。SSH、Telnet、または NETCONF を使用している場合、設定をコミットするとデバイスへの接続が切断され、再確立する必要があります。

SSH、Telnet、または NETCONF を使用する場合は、 commit confirm を使用してください。

専用の管理 VRF インスタンスを有効にするには、次の手順を実行します。

mgmt_junosを設定するVRF インスタンス。

management-instance ステートメントを設定します。

適切なスタティックルートをmgmt_junosに追加しますVRF インスタンス。

変更するスタティックルートを決定する方法については、「開始する前に:スタティックルートを決定する」を参照してください。

設定グループを使用している場合は、これらの変更をグループの一部として設定できます。

設定をコミットします。
SSH、Telnet、または NETCONF を使用している場合は、 commit confirm を使用します。SSH、Telnet、または NETCONF セッションを失うことが予想され、その後、再確立する必要があります。

管理インスタンスを使用するためのプロセスの構成

多くのプロセスは、管理インターフェイスを介して通信します。mgmt_junosを使用するには、プロセスが管理 VRF インスタンスをサポートする必要があります。管理インスタンスが有効になっていない限り、これらのプロセスのすべてがデフォルトでmgmt_junosを使用するわけではありません。mgmt_junosを使用するには、これらのプロセスを設定する必要があります。

次のプロセスでは、この追加構成が必要です。

自動化スクリプト
BGP モニタリング・プロトコル(BMP)
Network Time Protocol(NTP)
アウトバウンド SSH
半径
Representational State Transfer(REST)API
TACACS+

Junos OS Evolved では、management-instance ステートメントを設定するとすぐに、システムロギングはデフォルトで mgmt_junos VRF インスタンスを使用します。システムロギング用に mgmt_junos VRF インスタンスを設定する必要はありません。

mgmt_junos VRF インスタンスを使用するためのこれらのプロセスの設定はオプションです。このステップをスキップすると、これらのプロセスはデフォルトのルーティングインスタンスのみを使用してパケットを送信し続けます。

mgmt_junosを使用してソースから自動化スクリプトを更新するには、次のように設定します。

Commit、op、または SNMP スクリプト:

イベントスクリプト:

Juniper Juniper Extension Toolkit(JET)スクリプト:

BMP:

パッシブ接続モードの BMP:

アクティブ接続モードの BMP:

NTPサービス:
また、デフォルトのルーティングインスタンス内の物理インターフェイスまたは論理インターフェイスに、少なくとも 1 つの IP アドレスを設定する必要があります。NTP サービスが mgmt_junos VRF インスタンスと動作できるように、このインターフェイスが稼働していることを確認します。

半径：

TACACS+:

REST API:

アウトバウンド SSH:

管理インスタンスを無効にする方法

mgmt_junos VRF インスタンスを無効にする場合は、行った他の設定変更も削除する必要があります。

management-instance ステートメントを削除して、専用の管理 VRF インスタンスを無効にします。

(オプション)mgmt_junosからスタティックルートを削除しますVRF インスタンス。

(オプション)mgmt_junosを使用するプロセスの設定を削除します。これらのプロセスは、デフォルトのルーティングインスタンスを使用したパケットの送信に戻ります。例えば、TACACS+ の mgmt_junos 設定を削除するには:

項目一覧

専用インスタンスの管理インターフェイス