専用インスタンスの管理インターフェイス
概要 専用の管理インスタンスを使用して、管理トラフィックをネットワークの他の部分から分離します。
デフォルト以外の VRF インスタンスを使用する理由
デフォルトでは、管理イーサネット インターフェイス(Junos OS では通常 fxp0 または em0、Junos OS Evolved で re0:mgmt-* または re1:mgmt-* という名前)が、デバイスのアウトオブバンド管理ネットワークを提供します。アウトオブバンド管理トラフィックは、インバンドプロトコル制御トラフィックから明確に分離されていません。代わりに、すべてのトラフィックがデフォルトのルーティング インスタンスを通過し、デフォルトの inet.0 ルーティングテーブルを共有します。このようなトラフィック処理システムにより、セキュリティ、パフォーマンス、およびトラブルシューティングに関する懸念が生じます。ネットワーク管理者は、管理インターフェイスを専用非デフォルト VRF(仮想ルーティングおよび転送)インスタンスに限定することで、これらの問題を解決できます。
専用管理インスタンスのメリット
-
セキュリティの改善
-
管理トラフィックが、他の制御トラフィックやプロトコルトラフィックとルーティングテーブルを共有する必要がなくなりました
-
管理インターフェイスを使用してトラブルシューティングが容易
-
Junos OS の場合、デフォルト以外の管理 VRF インスタンスは、em0 および fxp0 インターフェイスのみをサポートします。デフォルト以外の管理 VRF インスタンスは、em1 などの他の管理インターフェイスをサポートしていません。
-
デフォルト以外の管理 VRF インスタンスは、EXシリーズ デバイス上の仮想管理イーサネット(VME)インターフェイスをサポートします。VME インターフェイスは、バーチャルシャーシの管理に使用されます。詳細については、「バーチャルシャーシのグローバル管理について」を参照してください
管理インスタンスの概要
専用の管理 VRF インスタンスの名前は予約されており、 mgmt_junos としてハードコードされています。 mgmt_junos という名前で他のルーティング インスタンスを設定することはできません。アプリケーションによっては、管理インターフェイスがデフォルトの inet.0 ルーティングテーブルに常に存在することを前提としているため、専用の管理 VRF インスタンスはデフォルトでインスタンス化されません。有効にするには、設定する必要があります。
mgmt_junos VRF インスタンスを展開すると、管理トラフィックはシステム内の他の制御トラフィックやプロトコル トラフィックとルーティングテーブル(つまりデフォルト ルーティングテーブル)を共有しなくなります。mgmt_junos VRF インスタンスのトラフィックは、プライベート IPv4 および IPv6 ルーティング テーブルを使用します。mgmt_junosを設定した後は、管理インターフェイスで動的プロトコルを設定することはできません。
管理インスタンスを設定する
管理インターフェイス上にネクスト ホップがあるスタティック ルートは、 mgmt_junos VRF インスタンスに追加する必要があります。必要に応じて、 mgmt_junosを使用する適切なプロセスまたはアプリケーションも構成する必要があります。これらの変更はすべて、1 回のコミットで行う必要があります。そうしないと、既存のセッションが失われ、再ネゴシエートが必要になる可能性があります。
開始する前に:スタティック ルートを決定する
一部のスタティック ルートには、管理インターフェイスを経由するネクスト ホップがあります。 mgmt_junos VRF インスタンスの設定の一環として、これらのスタティック ルートをすべて mgmt_junos に追加して、管理インターフェイスに到達できるようにする必要があります。それぞれのセットアップは異なります。まず、管理インターフェイスを経由するネクスト ホップを持つスタティック ルートを特定する必要があります。
show interfaces interface-name terseコマンドを使用して、デフォルトの管理インターフェイスの IP アドレスを検索します。デフォルトの管理インターフェイスは、Junos OSの場合はfxp0またはem0、Junos OS Evolvedの場合はre0:mgmt-0またはre1:mgmt-0です。user@host> show interfaces fxp0 terse Interface Admin Link Proto Local Remote fxp0 up up fxp0.0 up up inet 10.102.183.152/20
show route forwarding-tableコマンドを使用して、スタティック ルートのネクストホップ情報の 転送テーブル を確認します。スタティックルートは、タイプuserとして表示されます。影響を受ける静的ルートのネクスト ホップには、管理インターフェイスに設定された IP アドレスのサブネットに該当する IP アドレスがあります。user@host> show route forwarding-table Routing table: default.inet Internet: Enabled protocols: Bridging, Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 36 1 0.0.0.0/32 perm 0 dscd 34 1 10.0.0.0/8 user 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.0.1.0/24 intf 0 rslv 584 1 ge-0/0/0.0 10.0.1.0/32 dest 0 10.0.1.0 recv 582 1 ge-0/0/0.0 10.0.1.1/32 intf 0 10.0.1.1 locl 583 2 10.0.1.1/32 dest 0 10.0.1.1 locl 583 2 10.0.1.255/32 dest 0 10.0.1.255 bcst 581 1 ge-0/0/0.0 10.102.176.0/20 intf 0 rslv 340 1 fxp0.0 10.102.176.0/32 dest 0 10.102.176.0 recv 338 1 fxp0.0 10.102.176.3/32 dest 1 0:50:56:9f:1b:2e ucst 350 2 fxp0.0 10.102.183.152/32 intf 0 10.102.183.152 locl 339 2 10.102.183.152/32 dest 0 10.102.183.152 locl 339 2 10.102.191.253/32 dest 0 10:e:7e:b1:b0:80 ucst 348 1 fxp0.0 10.102.191.254/32 dest 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.102.191.255/32 dest 0 10.102.191.255 bcst 337 1 fxp0.0 172.16.0.0/12 user 0 10.102.191.254 ucst 341 6 fxp0.0 192.168.0.0/16 user 0 10.102.191.254 ucst 341 6 fxp0.0 224.0.0.0/4 perm 0 mdsc 35 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 31 1 255.255.255.255/32 perm 0 bcst 32 1
管理ネットワークに関連付けられた静的ルートを見つける別の方法は、
show route protocol static next-hop <management-network-gateway-address>コマンドを使用することです。user@host> show route protocol static next-hop 10.102.191.254 inet.0: 10 destinations, 10 routes (10 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.0.0/8 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 172.16.0.0/12 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 192.168.0.0/16 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0match機能を使用して、管理ネットワークのデフォルトゲートウェイを指すすべての静的ルートをすばやく見つけることができます。user@host> show configuration routing-options static | match 10.102.191.254 route 10.0.0.0/8 next-hop 10.102.191.254; route 172.16.0.0/12 next-hop 10.102.191.254; route 192.168.0.0/16 next-hop 10.102.191.254;
管理インスタンスの有効化
これらの操作には、デバイスのコンソール ポートの使用を推奨します。
管理インスタンスを変更すると、管理ポートの基盤となる VRF インスタンスが変更されます。SSH、Telnet、または NETCONF を使用している場合、設定をコミットするとデバイスへの接続が切断され、再確立する必要があります。
SSH、Telnet、または NETCONF を使用する場合は、 commit confirm を使用してください。
専用の管理 VRF インスタンスを有効にするには、次の手順を実行します。
管理インスタンスを使用するためのプロセスの構成
多くのプロセスは、管理インターフェイスを介して通信します。mgmt_junosを使用するには、プロセスが管理 VRF インスタンスをサポートする必要があります。 管理インスタンスが有効になっていない限り、これらのプロセスのすべてがデフォルトでmgmt_junosを使用するわけではありません。mgmt_junosを使用するには、これらのプロセスを設定する必要があります。
次のプロセスでは、この追加構成が必要です。
| 過程 |
管理 VRF をサポートする最初のリリース |
詳しくの参照先 |
|---|---|---|
| 自動化スクリプト |
Junos OS リリース 18.1R1 |
|
| BGP モニタリング・プロトコル(BMP) |
Junos OS リリース 18.3R1 |
|
| NTP |
Junos OS リリース 18.1R1 |
|
| アウトバウンド SSH |
Junos OS リリース 19.3R1 |
アウトバウンド SSH サービスを設定する |
| 半径 |
Junos OS リリース 18.1R1 |
|
| REST API |
Junos OS リリース 20.3R1 |
|
| システムロギング( |
Junos OS リリース 18.1R1(デフォルト) Junos OS リリース 24.2R1(設定されている場合) |
|
| TACACS+ |
Junos OS リリース 17.4R1 |
|
| Junos OS リリース 18.2R1 |
mgmt_junos VRF インスタンスを使用するためのこれらのプロセスの設定はオプションです。このステップをスキップすると、これらのプロセスはデフォルトのルーティング インスタンスのみを使用してパケットを送信し続けます。
管理インスタンスを無効にする方法
mgmt_junos VRF インスタンスを無効にする場合は、行った他の設定変更も削除する必要があります。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。
management-instance ステートメントが設定されている場合、システムログ情報はデフォルトで専用管理インスタンスを使用しません。有効にするには、システム ロギング用に
mgmt_junos VRF インスタンスを設定する必要があります。
management-instance ステートメントが設定されている場合、システムロギングはデフォルトでIPv6アドレスリモートホストとアーカイブサイト専用の管理インスタンスを使用します。
mgmt_junos VRF インスタンスに制限できます。
management-instance ステートメントが設定されている場合、システムロギングはデフォルトでIPv4アドレスリモートホスト専用の管理ルーティング インスタンスを使用します。