Ayúdenos a mejorar su experiencia.

Háganos saber su opinión.

¿Podría dedicar dos minutos de su tiempo a completar una encuesta?

Announcement: Our new, consolidated Junos CLI Reference is now available.

close
external-header-nav
keyboard_arrow_up
list Table of Contents

¿Fue útil esta traducción automática?

starstarstarstarstar
Go to English page
DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

Interfaz de administración en una instancia dedicada

date_range 31-Oct-24

RESUMEN Utilice una instancia de administración dedicada para separar el tráfico de administración del resto de su red.

¿Por qué usar una instancia de VRF no predeterminada?

De forma predeterminada, la interfaz Ethernet de administración (normalmente denominada fxp0 o em0 para Junos OS, o re0:mgmt-* o re1:mgmt-* para Junos OS evolucionado) proporciona la red de administración fuera de banda para el dispositivo. El tráfico de administración fuera de banda no está claramente separado del tráfico de control de protocolo en banda. En su lugar, todo el tráfico pasa a través de la instancia de enrutamiento predeterminada y comparte la tabla de enrutamiento inet.0 predeterminada. Este sistema de gestión del tráfico suscita preocupaciones sobre la seguridad, el rendimiento y la resolución de problemas. Usted (el administrador de red) puede resolver estos problemas limitando la interfaz de administración a una instancia dedicada y no predeterminada de enrutamiento y reenvío virtual (VRF).

Ventajas de una instancia de administración dedicada

  • Seguridad mejorada

  • El tráfico de administración ya no tiene que compartir una tabla de enrutamiento con otro tráfico de control o tráfico de protocolo

  • Interfaz de administración más fácil de usar para solucionar problemas

Descripción general de la instancia de administración

El nombre de la instancia de VRF de administración dedicada está reservado y codificado de forma rígida como mgmt_junos; no puede configurar ninguna otra instancia de enrutamiento con el nombre mgmt_junos. Dado que algunas aplicaciones asumen que la interfaz de administración siempre está presente en la tabla de enrutamiento inet.0 predeterminada, la instancia de VRF de administración dedicada no se instancia de forma predeterminada. Debe configurarlo para que surta efecto.

Una vez implementada la instancia de VRF, el mgmt_junos tráfico de administración ya no comparte una tabla de enrutamiento (es decir, la tabla de enrutamiento predeterminada) con otro tráfico de control o tráfico de protocolo del sistema. El tráfico de la instancia de mgmt_junos VRF utiliza tablas de enrutamiento IPv4 e IPv6 privadas. Después de configurar mgmt_junos, no puede configurar protocolos dinámicos en la interfaz de administración.

Configurar la instancia de administración

Debe agregar a la instancia de mgmt_junos VRF todas las rutas estáticas que tengan un salto siguiente sobre la interfaz de administración. Si es necesario, también debe configurar los procesos o aplicaciones adecuados para utilizar. mgmt_junos Todos estos cambios deben hacerse en una sola confirmación. De lo contrario, los períodos de sesiones existentes podrían perderse y tener que renegociarse.

Antes de empezar: Determinar rutas estáticas

Algunas rutas estáticas tienen un siguiente salto a través de la interfaz de administración. Como parte de la configuración de la mgmt_junos instancia de VRF, debe agregar todas estas rutas estáticas para que puedan llegar a mgmt_junos la interfaz de administración. Cada configuración es diferente. En primer lugar, debe identificar las rutas estáticas que tienen un próximo salto a través de la interfaz de administración.

  1. Utilice el show interfaces interface-name terse comando para buscar la dirección IP de la interfaz de administración predeterminada. La interfaz de administración predeterminada es fxp0 o em0 para Junos OS, o re0:mgmt-0 o re1:mgmt-0 para Junos OS evolucionado.

  2. Utilice el show route forwarding-table comando para consultar la tabla de reenvío para obtener información del próximo salto para rutas estáticas. Las rutas estáticas aparecen como tipo user. El siguiente salto para cualquier ruta estática afectada tiene una dirección IP que pertenece a la subred de la dirección IP configurada para la interfaz de administración.

  3. Otra forma de encontrar las rutas estáticas asociadas con la red de administración es usar el show route protocol static next-hop <management-network-gateway-address> comando.

    Alternativamente, simplemente muestre la parte de ruta estática de la configuración del dispositivo. Utilice la función CLI match para localizar rápidamente todas las rutas estáticas que apuntan a la puerta de enlace predeterminada de la red de administración.

Habilitar la instancia de administración

Nota:

Recomendamos utilizar el puerto de consola del dispositivo para estas operaciones.

Al cambiar la instancia de administración, se cambia la instancia de VRF subyacente para el puerto de administración. Si utiliza SSH, Telnet o NETCONF, la conexión con el dispositivo se interrumpirá cuando confirme la configuración y tendrá que restablecerla.

Si utiliza SSH, Telnet o NETCONF, utilice commit confirm.

Para habilitar la instancia de VRF de administración dedicada:

  1. Configure el mgmt_junos Instancia de VRF.
    content_copy zoom_out_map
    [edit]
    user@host# set routing-instances mgmt_junos description description 
  2. Configure la management-instance instrucción.
    content_copy zoom_out_map
    [edit]
    user@host# set system management-instance
  3. Agregue las rutas estáticas adecuadas a la carpeta mgmt_junos Instancia de VRF.

    Para obtener información sobre cómo determinar las rutas estáticas que se van a cambiar, consulte Antes de empezar: Determinar rutas estáticas.

    content_copy zoom_out_map
    [edit routing-instances mgmt_junos routing-option static route]
    user@host# set 10.0.0.0/8 next-hop 10.102.191.254
    user@host# set 172.16.0.0/12 next-hop 10.102.191.254
    user@host# set 192.168.0.0/16 next-hop 10.102.191.254
    

    Si utiliza grupos de configuración, puede establecer estos cambios como parte de un grupo:

    content_copy zoom_out_map
    [edit groups global routing-instances mgmt_junos routing-options static route]
    user@host# set 10.0.0.0/8 next-hop 10.102.191.254
    user@host# set 172.16.0.0/12 next-hop 10.102.191.254
    user@host# set 192.168.0.0/16 next-hop 10.102.191.254
    
  4. Confirme la configuración.
    Si utiliza SSH, Telnet o NETCONF, utilice commit confirm. Espere perder, y luego tener que restablecer, la sesión SSH, Telnet o NETCONF.

Configurar procesos para utilizar la instancia de administración

Muchos procesos se comunican a través de la interfaz de administración. Un proceso debe admitir una instancia VRF de administración para poder utilizar mgmt_junos. No todos estos procesos se utilizan mgmt_junos de forma predeterminada a menos que la instancia de administración esté habilitada. Debe configurar estos procesos para utilizar mgmt_junos.

Los siguientes procesos requieren esta configuración adicional:

  • Scripts de automatización

  • Protocolo de monitoreo BGP (BMP)

  • Protocolo de tiempo de red (NTP)

  • SSH saliente

  • RADIO

  • API de transferencia de estado representacional (REST)

  • TACACS+

En Junos OS evolucionado, el registro del sistema utiliza la instancia de mgmt_junos VRF de forma predeterminada en cuanto se configura la management-instance instrucción. No es necesario configurar la instancia de mgmt_junos VRF para el registro del sistema.

La configuración de estos procesos para utilizar la instancia VRF mgmt_junos es opcional. Si omite este paso, estos procesos seguirán enviando paquetes utilizando únicamente la instancia de enrutamiento predeterminada.

  1. Para actualizar los scripts de automatización desde un origen mediante mgmt_junos, configure lo siguiente:
    1. Comandos de compromiso, op o SNMP:
      content_copy zoom_out_map
      [edit]
      user@host# set system scripts (commit | op | snmp) file filename routing-instance mgmt_junos
    2. Guiones de eventos:
      content_copy zoom_out_map
      [edit]
      user@host# set event-options event-script file filename routing-instance mgmt_junos
    3. Scripts del kit de herramientas de extensión (JET) de Juniper:
      content_copy zoom_out_map
      [edit]
      user@host# set system extensions extension-service application file filename routing-instance mgmt_junos
  2. BMP:
    1. BMP en modo de conexión pasiva:
      content_copy zoom_out_map
      [edit]
      user@host# set routing-options bmp station station-name routing-instance mgmt_junos
      user@host# set routing-options bmp station station-name connection-mode passive
      user@host# set routing-options bmp station station-name local-address ip-address
      user@host# set routing-options bmp station station-name local-port port-number
      user@host# set routing-options bmp station station-name station-address ip-address
    2. BMP en modo de conexión activa:
      content_copy zoom_out_map
      [edit]
      user@host# set routing-options bmp station station-name routing-instance mgmt_junos
      user@host# set routing-options bmp station station-name connection-mode active
      user@host# set routing-options bmp station station-name station-address ip-address
      user@host# set routing-options bmp station station-name station-port port-number
  3. Servicio NTP:
    content_copy zoom_out_map
    [edit]
    user@host# set system ntp server server-address routing-instance mgmt_junos

    También debe configurar al menos una dirección IP en una interfaz física o lógica dentro de la instancia de enrutamiento predeterminada. Asegúrese de que esta interfaz esté activa para que el servicio NTP pueda funcionar con la instancia VRF mgmt_junos .

  4. RADIO:
    content_copy zoom_out_map
    [edit]
    user@host# set system radius-server server-address routing-instance mgmt_junos
    user@host# set system accounting destination radius server server-address routing-instance mgmt_junos
  5. TACACS+:
    content_copy zoom_out_map
    [edit]
    user@host# set system tacplus-server server-address routing-instance mgmt_junos
    user@host# set system accounting destination tacplus server server-address routing-instance mgmt_junos
  6. La API de REST:
    content_copy zoom_out_map
    [edit]
    user@host# set system services rest routing-instance mgmt_junos
  7. SSH saliente:
    content_copy zoom_out_map
    [edit]
    user@host# set system services outbound-ssh routing-instance mgmt_junos 

Cómo deshabilitar la instancia de administración

Cuando deshabilite la instancia de mgmt_junos VRF, también debe eliminar los demás cambios de configuración realizados.

  1. Elimine la management-instance instrucción para deshabilitar la instancia de VRF de administración dedicada.
    content_copy zoom_out_map
    [edit]
    user@host# delete system management-instance
  2. (Opcional) Elimine las rutas estáticas de la mgmt_junos Instancia de VRF.
    content_copy zoom_out_map
    [edit routing-instances mgmt_junos routing-option static route]
    user@host# delete 10.0.0.0/8 next-hop 10.102.191.254
    user@host# delete 172.16.0.0/12 next-hop 10.102.191.254
    user@host# delete 192.168.0.0/16 next-hop 10.102.191.254
    
  3. (Opcional) Quite las configuraciones de los procesos que utilizan mgmt_junos. Estos procesos volverán a enviar paquetes utilizando la instancia de enrutamiento predeterminada. Por ejemplo, para quitar la configuración de mgmt_junos TACACS+ :
    content_copy zoom_out_map
    [edit]
    user@host# delete system tacplus-server server-address routing-instance mgmt_junos
external-footer-nav