전용 인스턴스의 관리 인터페이스
요약 전용 관리 인스턴스를 사용하여 관리 트래픽을 네트워크의 나머지 부분과 분리합니다.
기본이 아닌 VRF 인스턴스를 사용하는 이유는 무엇입니까?
기본적으로 관리 이더넷 인터페이스(일반적으로 Junos OS의 경우 fxp0 또는 em0, Junos OS Evolved의 경우 re0:mgmt-* 또는 re1:mgmt-*로 명명됨)는 디바이스에 대역 외 관리 네트워크를 제공합니다. 대역 외 관리 트래픽은 대역 내 프로토콜 제어 트래픽과 명확하게 구분되지 않습니다. 대신 모든 트래픽은 기본 라우팅 인스턴스를 통과하고 기본 inet.0 라우팅 테이블을 공유합니다. 이러한 트래픽 처리 시스템은 보안, 성능 및 문제 해결에 대한 우려를 야기합니다. 사용자(네트워크 관리자)는 관리 인터페이스를 기본이 아닌 전용 가상 라우팅 및 포워딩(VRF) 인스턴스로 제한하여 이러한 문제를 해결할 수 있습니다.
전용 관리 인스턴스의 이점
-
보안 개선
-
관리 트래픽은 더 이상 라우팅 테이블을 다른 제어 트래픽 또는 프로토콜 트래픽과 공유할 필요가 없습니다
-
보다 쉽게 관리 인터페이스를 사용하여 문제를 해결할 수 있습니다.
-
Junos OS의 경우, 기본이 아닌 관리 VRF 인스턴스는 em0 및 fxp0 인터페이스만 지원합니다. 기본이 아닌 관리 VRF 인스턴스는 em1과 같은 다른 관리 인터페이스를 지원하지 않습니다.
-
기본이 아닌 관리 VRF 인스턴스는 EX 시리즈 디바이스의 가상 관리 이더넷(VME) 인터페이스를 지원합니다. VME 인터페이스는 Virtual Chassis를 관리하는 데 사용됩니다. 자세한 내용은 Virtual Chassis의 글로벌 관리 이해를 참조하십시오
관리 인스턴스 개요
전용 관리 VRF 인스턴스의 이름은 예약되어 있으며 (으 mgmt_junos)로 하드코딩되어 있습니다. 이름으로 mgmt_junos다른 라우팅 인스턴스를 구성할 수 없습니다. 일부 애플리케이션에서는 관리 인터페이스가 항상 기본 inet.0 라우팅 테이블에 있다고 가정하기 때문에 전용 관리 VRF 인스턴스는 기본적으로 인스턴스화되지 않습니다. 적용하려면 구성해야 합니다.
VRF 인스턴스를 구축 mgmt_junos 하면 관리 트래픽은 더 이상 시스템의 다른 제어 트래픽 또는 프로토콜 트래픽과 라우팅 테이블(즉, 기본 라우팅 테이블)을 공유하지 않습니다. VRF 인스턴스의 트래픽은 mgmt_junos 프라이빗 IPv4 및 IPv6 라우팅 테이블을 사용합니다. 을 구성 mgmt_junos한 후에는 관리 인터페이스에서 동적 프로토콜을 구성할 수 없습니다.
관리 인스턴스 구성
관리 인터페이스를 mgmt_junos 통해 다음 홉이 있는 모든 정적 경로를 VRF 인스턴스에 추가해야 합니다. 필요한 경우 사용할 mgmt_junos적절한 프로세스 또는 응용 프로그램도 구성해야 합니다. 이러한 모든 변경은 단일 커밋에서 수행해야 합니다. 그렇지 않으면 기존 세션이 손실되어 재협상해야 할 수 있습니다.
시작하기 전에: 고정 경로 결정
일부 정적 경로에는 관리 인터페이스를 통해 다음 홉이 있습니다. VRF 인스턴스 구성의 mgmt_junos 일부로, 관리 인터페이스에 도달할 수 있도록 이러한 모든 정적 경로를 에 mgmt_junos 추가해야 합니다. 각 설정은 다릅니다. 먼저 관리 인터페이스를 통해 다음 홉이 있는 정적 경로를 식별해야 합니다.
show interfaces interface-name terse명령을 사용하여 기본 관리 인터페이스의 IP 주소를 찾습니다. 기본 관리 인터페이스는 Junos OS의 경우 fxp0 또는 em0, Junos OS Evolved의 경우 re0:mgmt-0 또는 re1:mgmt-0입니다.user@host> show interfaces fxp0 terse Interface Admin Link Proto Local Remote fxp0 up up fxp0.0 up up inet 10.102.183.152/20
show route forwarding-table명령을 사용하여 정적 경로에 대한 다음 홉 정보를 위해 포워딩 테이블을 확인합니다. 고정 경로는 유형user으로 표시됩니다. 영향을 받는 모든 정적 경로의 다음 홉에는 관리 인터페이스에 대해 구성된 IP 주소의 서브넷에 속하는 IP 주소가 있습니다.user@host> show route forwarding-table Routing table: default.inet Internet: Enabled protocols: Bridging, Destination Type RtRef Next hop Type Index NhRef Netif default perm 0 rjct 36 1 0.0.0.0/32 perm 0 dscd 34 1 10.0.0.0/8 user 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.0.1.0/24 intf 0 rslv 584 1 ge-0/0/0.0 10.0.1.0/32 dest 0 10.0.1.0 recv 582 1 ge-0/0/0.0 10.0.1.1/32 intf 0 10.0.1.1 locl 583 2 10.0.1.1/32 dest 0 10.0.1.1 locl 583 2 10.0.1.255/32 dest 0 10.0.1.255 bcst 581 1 ge-0/0/0.0 10.102.176.0/20 intf 0 rslv 340 1 fxp0.0 10.102.176.0/32 dest 0 10.102.176.0 recv 338 1 fxp0.0 10.102.176.3/32 dest 1 0:50:56:9f:1b:2e ucst 350 2 fxp0.0 10.102.183.152/32 intf 0 10.102.183.152 locl 339 2 10.102.183.152/32 dest 0 10.102.183.152 locl 339 2 10.102.191.253/32 dest 0 10:e:7e:b1:b0:80 ucst 348 1 fxp0.0 10.102.191.254/32 dest 0 0:0:5e:0:1:d0 ucst 341 6 fxp0.0 10.102.191.255/32 dest 0 10.102.191.255 bcst 337 1 fxp0.0 172.16.0.0/12 user 0 10.102.191.254 ucst 341 6 fxp0.0 192.168.0.0/16 user 0 10.102.191.254 ucst 341 6 fxp0.0 224.0.0.0/4 perm 0 mdsc 35 1 224.0.0.1/32 perm 0 224.0.0.1 mcst 31 1 255.255.255.255/32 perm 0 bcst 32 1
관리 네트워크와 연결된 정적 경로를 찾는 또 다른 방법은 명령을 사용하는
show route protocol static next-hop <management-network-gateway-address>것입니다.user@host> show route protocol static next-hop 10.102.191.254 inet.0: 10 destinations, 10 routes (10 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.0.0/8 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 172.16.0.0/12 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0 192.168.0.0/16 *[Static/5] 2d 21:48:36 > to 10.102.191.254 via fxp0.0match기능을 사용하여 관리 네트워크의 기본 게이트웨이를 가리키는 모든 정적 경로를 빠르게 찾을 수 있습니다.user@host> show configuration routing-options static | match 10.102.191.254 route 10.0.0.0/8 next-hop 10.102.191.254; route 172.16.0.0/12 next-hop 10.102.191.254; route 192.168.0.0/16 next-hop 10.102.191.254;
관리 인스턴스 활성화
이러한 작업에는 디바이스 콘솔 포트를 사용하는 것이 좋습니다.
관리 인스턴스를 변경하면 관리 포트의 기본 VRF 인스턴스가 변경됩니다. SSH, Telnet 또는 NETCONF를 사용하는 경우 구성을 커밋할 때 디바이스에 대한 연결이 끊어지며 이를 다시 설정해야 합니다.
SSH, Telnet 또는 NETCONF를 사용하는 경우 을 사용합니다 commit confirm.
전용 관리 VRF 인스턴스를 활성화하려면:
관리 인스턴스를 사용하도록 프로세스 구성
많은 프로세스가 관리 인터페이스를 통해 통신합니다. 프로세스는 을(를) 사용할 mgmt_junos수 있도록 관리 VRF 인스턴스를 지원해야 합니다. management-instance가 활성화되지 않는 한 이러한 모든 프로세스가 기본적으로 사용되는 mgmt_junos 것은 아닙니다. 을 사용하려면 mgmt_junos이러한 프로세스를 구성해야 합니다.
다음 프로세스에는 이러한 추가 구성이 필요합니다.
| 프로세스 |
관리 VRF를 지원하기 위한 첫 번째 릴리스 |
상세 정보 |
|---|---|---|
| 자동화 스크립트 |
Junos OS 릴리스 18.1R1 |
|
| BMP(BGP Monitoring Protocol) |
Junos OS 릴리스 18.3R1 |
|
| 증권 시세 표시기 |
Junos OS 릴리스 18.1R1 |
|
| 아웃바운드 SSH |
Junos OS 릴리스 19.3R1 |
아웃바운드 SSH 서비스 구성 |
| 반지름 |
Junos OS 릴리스 18.1R1 |
|
| REST API |
Junos OS 릴리스 20.3R1 |
|
| 시스템 로깅( |
Junos OS 릴리스 18.1R1(기본값) Junos OS 릴리스 24.2R1(구성 시) |
|
| TACACS+ |
Junos OS 릴리스 17.4R1 |
|
| Junos OS 릴리스 18.2R1 |
VRF 인스턴스를 사용하도록 mgmt_junos 이러한 프로세스를 구성하는 것은 선택 사항입니다. 이 단계를 건너뛸 경우 이러한 프로세스는 기본 라우팅 인스턴스만을 사용하여 패킷을 계속 전송합니다.
관리 인스턴스를 비활성화하는 방법
VRF 인스턴스를 비활성화 mgmt_junos 할 때 다른 구성 변경 사항도 제거해야 합니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.
management-instance 기본적으로 전용 관리 인스턴스를 사용하지 않습니다. VRF를 활성화하려면 시스템 로깅을
mgmt_junos 위한 VRF 인스턴스를 구성해야 합니다.
management-instance 문이 구성될 때 기본적으로 IPv6 주소 지정 원격 호스트 및 아카이브 사이트의 전용 관리 인스턴스를 사용합니다.
mgmt_junos 제한할 수 있습니다.
management-instance 기본적으로 IPv4 주소 지정 원격 호스트에 대한 전용 관리 라우팅 인스턴스를 사용합니다.