close

keyboard_arrow_left

Table of Contents Expand all

play_arrow Junos OSについて
- 『スタートアップガイド』について
- オペレーティングシステムのインフラストラクチャとプロセス
play_arrow ジュニパーネットワークスのデバイスへのアクセス
play_arrow rootパスワード
- rootパスワードの概要
- rootパスワードの設定によるネットワークセキュリティの保護
play_arrow デバイスのホスト名
- ホスト名の概要
- 設定グループ内のデバイスのホスト名を設定する
play_arrow DNS、サーバーキャッシュ、デバイス識別
- DNSの理解と設定
- 例:ネットワークに対するデバイスの一意の ID の設定
play_arrow 管理イーサネットおよびループバックインターフェイス
play_arrow 初期ユーザーアカウント
play_arrow バックアップルーター
- バックアップルーターの概要
- バックアップルーターの設定

list Table of Contents

keyboard_arrow_right

この機械翻訳はお役に立ちましたでしょうか?

Go to English page

免責事項:

このページは、サードパーティー製機械翻訳ソフトウェアを使用して翻訳されます。質の高い翻訳を提供するために合理的な対応はされていますが、ジュニパーネットワークスがその正確性を保証することはできかねます。この翻訳に含まれる情報の正確性について疑問が生じた場合は、英語版を参照してください. ダウンロード可能なPDF (英語版のみ).

専用インスタンスの管理インターフェイス

date_range 29-Jan-25

arrow_backward

arrow_forward

専用の管理インスタンスを使用して、管理トラフィックをネットワークの他の部分から分離します。

デフォルト以外の VRF インスタンスを使用する理由

デフォルトでは、管理イーサネットインターフェイス(Junos OS では通常 fxp0 または em0、Junos OS Evolved で re0:mgmt-* または re1:mgmt-* という名前)が、デバイスのアウトオブバンド管理ネットワークを提供します。アウトオブバンド管理トラフィックは、インバンドプロトコル制御トラフィックから明確に分離されていません。代わりに、すべてのトラフィックがデフォルトのルーティングインスタンスを通過し、デフォルトの inet.0 ルーティングテーブルを共有します。このようなトラフィック処理システムにより、セキュリティ、パフォーマンス、およびトラブルシューティングに関する懸念が生じます。ネットワーク管理者は、管理インターフェイスを専用非デフォルト VRF(仮想ルーティングおよび転送)インスタンスに限定することで、これらの問題を解決できます。

専用管理インスタンスのメリット
管理インスタンスの概要

専用管理インスタンスのメリット

セキュリティの改善
管理トラフィックが、他の制御トラフィックやプロトコルトラフィックとルーティングテーブルを共有する必要がなくなりました
管理インターフェイスを使用してトラブルシューティングが容易

手記：

Junos OS の場合、デフォルト以外の管理 VRF インスタンスは、em0 および fxp0 インターフェイスのみをサポートします。デフォルト以外の管理 VRF インスタンスは、em1 などの他の管理インターフェイスをサポートしていません。
デフォルト以外の管理 VRF インスタンスは、EXシリーズデバイス上の仮想管理イーサネット(VME)インターフェイスをサポートします。VME インターフェイスは、バーチャルシャーシの管理に使用されます。詳細については、「バーチャルシャーシのグローバル管理について」を参照してください

管理インスタンスの概要

専用の管理 VRF インスタンスの名前は予約されており、 mgmt_junos としてハードコードされています。 mgmt_junos という名前で他のルーティングインスタンスを設定することはできません。アプリケーションによっては、管理インターフェイスがデフォルトの inet.0 ルーティングテーブルに常に存在することを前提としているため、専用の管理 VRF インスタンスはデフォルトでインスタンス化されません。有効にするには、設定する必要があります。

mgmt_junos VRF インスタンスを展開すると、管理トラフィックはシステム内の他の制御トラフィックやプロトコルトラフィックとルーティングテーブル(つまりデフォルトルーティングテーブル)を共有しなくなります。mgmt_junos VRF インスタンスのトラフィックは、プライベート IPv4 および IPv6 ルーティングテーブルを使用します。mgmt_junosを設定した後は、管理インターフェイスで動的プロトコルを設定することはできません。

管理インスタンスを設定する

管理インターフェイス上にネクストホップがあるスタティックルートは、 mgmt_junos VRF インスタンスに追加する必要があります。必要に応じて、 mgmt_junosを使用する適切なプロセスまたはアプリケーションも構成する必要があります。これらの変更はすべて、1 回のコミットで行う必要があります。そうしないと、既存のセッションが失われ、再ネゴシエートが必要になる可能性があります。

開始する前に:スタティックルートを決定する
管理インスタンスの有効化

開始する前に:スタティックルートを決定する

一部のスタティックルートには、管理インターフェイスを経由するネクストホップがあります。 mgmt_junos VRF インスタンスの設定の一環として、これらのスタティックルートをすべて mgmt_junos に追加して、管理インターフェイスに到達できるようにする必要があります。それぞれのセットアップは異なります。まず、管理インターフェイスを経由するネクストホップを持つスタティックルートを特定する必要があります。

show interfaces interface-name terse コマンドを使用して、デフォルトの管理インターフェイスの IP アドレスを検索します。デフォルトの管理インターフェイスは、Junos OSの場合はfxp0またはem0、Junos OS Evolvedの場合はre0:mgmt-0またはre1:mgmt-0です。
```
user@host> show interfaces fxp0 terse

Interface               Admin Link Proto    Local                 Remote
fxp0                    up    up
fxp0.0                  up    up   inet     10.102.183.152/20
```

show route forwarding-table コマンドを使用して、スタティックルートのネクストホップ情報の転送テーブルを確認します。スタティックルートは、タイプuserとして表示されます。影響を受ける静的ルートのネクストホップには、管理インターフェイスに設定された IP アドレスのサブネットに該当する IP アドレスがあります。

content_copy zoom_out_map
user@host> show route forwarding-table  

Routing table: default.inet
Internet:
Enabled protocols: Bridging, 
Destination        Type RtRef Next hop           Type Index    NhRef Netif
default            perm     0                    rjct       36     1
0.0.0/32         perm     0                    dscd       34     1
0.0.0/8         user     0 0:0:5e:0:1:d0      ucst      341     6 fxp0.0
0.1.0/24        intf     0                    rslv      584     1 ge-0/0/0.0
0.1.0/32        dest     0 10.0.1.0           recv      582     1 ge-0/0/0.0
0.1.1/32        intf     0 10.0.1.1           locl      583     2
0.1.1/32        dest     0 10.0.1.1           locl      583     2
0.1.255/32      dest     0 10.0.1.255         bcst      581     1 ge-0/0/0.0
102.176.0/20    intf     0                    rslv      340     1 fxp0.0
102.176.0/32    dest     0 10.102.176.0       recv      338     1 fxp0.0
102.176.3/32    dest     1 0:50:56:9f:1b:2e   ucst      350     2 fxp0.0
102.183.152/32  intf     0 10.102.183.152     locl      339     2
102.183.152/32  dest     0 10.102.183.152     locl      339     2
102.191.253/32  dest     0 10:e:7e:b1:b0:80   ucst      348     1 fxp0.0
102.191.254/32  dest     0 0:0:5e:0:1:d0      ucst      341     6 fxp0.0
102.191.255/32  dest     0 10.102.191.255     bcst      337     1 fxp0.0
16.0.0/12      user     0 10.102.191.254     ucst      341     6 fxp0.0
168.0.0/16     user     0 10.102.191.254     ucst      341     6 fxp0.0
0.0.0/4        perm     0                    mdsc       35     1
0.0.1/32       perm     0 224.0.0.1          mcst       31     1
255.255.255/32 perm     0                    bcst       32     1

管理ネットワークに関連付けられた静的ルートを見つける別の方法は、 show route protocol static next-hop <management-network-gateway-address> コマンドを使用することです。

content_copy zoom_out_map
user@host> show route protocol static next-hop 10.102.191.254 

inet.0: 10 destinations, 10 routes (10 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

10.0.0.0/8         *[Static/5] 2d 21:48:36
                    > to 10.102.191.254 via fxp0.0
172.16.0.0/12      *[Static/5] 2d 21:48:36
                    > to 10.102.191.254 via fxp0.0
192.168.0.0/16     *[Static/5] 2d 21:48:36
                    > to 10.102.191.254 via fxp0.0

または、デバイスの設定の静的ルート部分を表示するだけです。CLImatch機能を使用して、管理ネットワークのデフォルトゲートウェイを指すすべての静的ルートをすばやく見つけることができます。

content_copy zoom_out_map
user@host> show configuration routing-options static | match 10.102.191.254 
route 10.0.0.0/8 next-hop 10.102.191.254;
route 172.16.0.0/12 next-hop 10.102.191.254;
route 192.168.0.0/16 next-hop 10.102.191.254;

管理インスタンスの有効化

手記：

これらの操作には、デバイスのコンソールポートの使用を推奨します。

管理インスタンスを変更すると、管理ポートの基盤となる VRF インスタンスが変更されます。SSH、Telnet、または NETCONF を使用している場合、設定をコミットするとデバイスへの接続が切断され、再確立する必要があります。

SSH、Telnet、または NETCONF を使用する場合は、 commit confirm を使用してください。

専用の管理 VRF インスタンスを有効にするには、次の手順を実行します。

mgmt_junosを設定するVRF インスタンス。

content_copy zoom_out_map
[edit]
user@host# set routing-instances mgmt_junos description description 

management-instance ステートメントを設定します。
```
[edit]
user@host# set system management-instance
```

適切なスタティックルートをmgmt_junosに追加しますVRF インスタンス。

変更するスタティックルートを決定する方法については、「開始する前に:スタティックルートを決定する」を参照してください。

content_copy zoom_out_map
[edit routing-instances mgmt_junos routing-option static route]
user@host# set 10.0.0.0/8 next-hop 10.102.191.254
user@host# set 172.16.0.0/12 next-hop 10.102.191.254
user@host# set 192.168.0.0/16 next-hop 10.102.191.254

設定グループを使用している場合は、これらの変更をグループの一部として設定できます。

content_copy zoom_out_map
[edit groups global routing-instances mgmt_junos routing-options static route]
user@host# set 10.0.0.0/8 next-hop 10.102.191.254
user@host# set 172.16.0.0/12 next-hop 10.102.191.254
user@host# set 192.168.0.0/16 next-hop 10.102.191.254

設定をコミットします。
SSH、Telnet、または NETCONF を使用している場合は、 commit confirm を使用します。SSH、Telnet、または NETCONF セッションを失うことが予想され、その後、再確立する必要があります。

管理インスタンスを使用するためのプロセスの構成

多くのプロセスは、管理インターフェイスを介して通信します。mgmt_junosを使用するには、プロセスが管理 VRF インスタンスをサポートする必要があります。管理インスタンスが有効になっていない限り、これらのプロセスのすべてがデフォルトでmgmt_junosを使用するわけではありません。mgmt_junosを使用するには、これらのプロセスを設定する必要があります。

次のプロセスでは、この追加構成が必要です。

表 1:管理 VRF インスタンスを使用するために設定できるプロセス
過程	管理 VRF をサポートする最初のリリース	詳しくの参照先
自動化スクリプト	Junos OS リリース 18.1R1	スクリプトの代替ソースの場所の使用スクリプトのマスターソースの場所の設定と使用
BGP モニタリング・プロトコル(BMP)	Junos OS リリース 18.3R1	異なるルーティングインスタンス上で実行するための BGP 監視プロトコルの設定
Network Time Protocol(NTP)	Junos OS リリース 18.1R1	NTP
アウトバウンド SSH	Junos OS リリース 19.3R1	アウトバウンド SSH サービスを設定する
半径	Junos OS リリース 18.1R1	RADIUS サーバ認証の設定 RADIUSシステムアカウンティングの設定
REST API	Junos OS リリース 20.3R1	休む
システムロギング(`syslog`)	Junos OS リリース 18.1R1(デフォルト) Junos OS リリース 24.2R1(設定されている場合)	システムロギングおよびルーティングインスタンス
TACACS+	Junos OS リリース 17.4R1	TACACS+ 認証の設定
TACACS+	Junos OS リリース 18.2R1	TACACS+ システムアカウンティングの設定

mgmt_junos VRF インスタンスを使用するためのこれらのプロセスの設定はオプションです。このステップをスキップすると、これらのプロセスはデフォルトのルーティングインスタンスのみを使用してパケットを送信し続けます。

コミット、op、SNMP、イベントスクリプトなどの自動化スクリプトをmgmt_junosを使用してソースから更新するには、次のように設定します。
1. Commit、op、または SNMP スクリプト:
  [edit] user@host# set system scripts (commit | op | snmp) file filename routing-instance mgmt_junos
2. イベントスクリプト:
  [edit] user@host# set event-options event-script file filename routing-instance mgmt_junos
Google が開発したリモートプロシージャコール(gRPC)を使用する自動化スクリプトやアプリケーションの場合:
- gRPC ネットワーク管理インターフェイス(gNMI)
- gRPC ネットワーク運用インターフェイス(gNOI)
- gRPC ルーティング情報ベースインターフェイス(gRIBI)
- Juniper Juniper Extension Toolkit(JET)
1. 構成：
  [edit] user@host# set system services extension-service request-response grpc routing-instance mgmt_junos
1. JET アプリケーションの場合は、以下も構成します。
  [edit] user@host# set system extensions extension-service application file filename routing-instance mgmt_junos

BMP:

パッシブ接続モードの BMP:

content_copy zoom_out_map
[edit]
user@host# set routing-options bmp station station-name routing-instance mgmt_junos
user@host# set routing-options bmp station station-name connection-mode passive
user@host# set routing-options bmp station station-name local-address ip-address
user@host# set routing-options bmp station station-name local-port port-number
user@host# set routing-options bmp station station-name station-address ip-address

アクティブ接続モードの BMP:

content_copy zoom_out_map
[edit]
user@host# set routing-options bmp station station-name routing-instance mgmt_junos
user@host# set routing-options bmp station station-name connection-mode active
user@host# set routing-options bmp station station-name station-address ip-address
user@host# set routing-options bmp station station-name station-port port-number

NTPサービス:
```
[edit]
user@host# set system ntp server server-address routing-instance mgmt_junos
```
また、デフォルトのルーティングインスタンス内の物理インターフェイスまたは論理インターフェイスに、少なくとも 1 つの IP アドレスを設定する必要があります。NTP サービスが mgmt_junos VRF インスタンスと動作できるように、このインターフェイスが稼働していることを確認します。

半径：

content_copy zoom_out_map
[edit]
user@host# set system radius-server server-address routing-instance mgmt_junos
user@host# set system accounting destination radius server server-address routing-instance mgmt_junos

TACACS+:

content_copy zoom_out_map
[edit]
user@host# set system tacplus-server server-address routing-instance mgmt_junos
user@host# set system accounting destination tacplus server server-address routing-instance mgmt_junos

REST API:

content_copy zoom_out_map
[edit]
user@host# set system services rest routing-instance mgmt_junos

システムロギング:

content_copy zoom_out_map
[edit]
user@host# set system syslog host ip-address routing-instance mgmt_junos

アウトバウンド SSH:

content_copy zoom_out_map
[edit]
user@host# set system services outbound-ssh routing-instance mgmt_junos 

管理インスタンスを無効にする方法

mgmt_junos VRF インスタンスを無効にする場合は、行った他の設定変更も削除する必要があります。

management-instance ステートメントを削除して、専用の管理 VRF インスタンスを無効にします。
```
[edit]
user@host# delete system management-instance
```

(オプション)mgmt_junosからスタティックルートを削除しますVRF インスタンス。

content_copy zoom_out_map
[edit routing-instances mgmt_junos routing-option static route]
user@host# delete 10.0.0.0/8 next-hop 10.102.191.254
user@host# delete 172.16.0.0/12 next-hop 10.102.191.254
user@host# delete 192.168.0.0/16 next-hop 10.102.191.254

(オプション)mgmt_junosを使用するプロセスの設定を削除します。これらのプロセスは、デフォルトのルーティングインスタンスを使用したパケットの送信に戻ります。例えば、TACACS+ の mgmt_junos 設定を削除するには:
```
[edit]
user@host# delete system tacplus-server server-address routing-instance mgmt_junos
```

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放

形容

24.2R1

Junos OS リリース 24.2R1以降、 management-instance ステートメントが設定されている場合、システムログ情報はデフォルトで専用管理インスタンスを使用しません。有効にするには、システムロギング用に mgmt_junos VRF インスタンスを設定する必要があります。

18.1R1

Junos OS リリース 18.1R1以降、 management-instance ステートメントが設定されている場合、システムロギングはデフォルトでIPv6アドレスリモートホストとアーカイブサイト専用の管理インスタンスを使用します。

17.3R1

Junos OS リリース 17.3R1 以降では、em0 および fxp0 管理インターフェイスを mgmt_junos VRF インスタンスに制限できます。