- play_arrow Descripción de Junos OS evolucionado
- play_arrow Acceso a un dispositivo de Juniper Networks
- play_arrow Contraseña raíz
- play_arrow Nombre de host del dispositivo
- play_arrow DNS, almacenamiento en caché del servidor e identidad del dispositivo
- play_arrow Cuentas de usuario iniciales
Interfaz de administración en una instancia dedicada
RESUMEN Utilice una instancia de administración dedicada para separar el tráfico de administración del resto de su red.
¿Por qué usar una instancia de VRF no predeterminada?
De forma predeterminada, la interfaz Ethernet de administración (normalmente denominada fxp0 o em0 para Junos OS, o re0:mgmt-* o re1:mgmt-* para Junos OS evolucionado) proporciona la red de administración fuera de banda para el dispositivo. El tráfico de administración fuera de banda no está claramente separado del tráfico de control de protocolo en banda. En su lugar, todo el tráfico pasa a través de la instancia de enrutamiento predeterminada y comparte la tabla de enrutamiento inet.0 predeterminada. Este sistema de gestión del tráfico suscita preocupaciones sobre la seguridad, el rendimiento y la resolución de problemas. Usted (el administrador de red) puede resolver estos problemas limitando la interfaz de administración a una instancia dedicada y no predeterminada de enrutamiento y reenvío virtual (VRF).
- Ventajas de una instancia de administración dedicada
- Descripción general de la instancia de administración
Ventajas de una instancia de administración dedicada
Seguridad mejorada
El tráfico de administración ya no tiene que compartir una tabla de enrutamiento con otro tráfico de control o tráfico de protocolo
Interfaz de administración más fácil de usar para solucionar problemas
Descripción general de la instancia de administración
El nombre de la instancia de VRF de administración dedicada está reservado y codificado de forma rígida como mgmt_junos
; no puede configurar ninguna otra instancia de enrutamiento con el nombre mgmt_junos
. Dado que algunas aplicaciones asumen que la interfaz de administración siempre está presente en la tabla de enrutamiento inet.0 predeterminada, la instancia de VRF de administración dedicada no se instancia de forma predeterminada. Debe configurarlo para que surta efecto.
Una vez implementada la instancia de VRF, el mgmt_junos
tráfico de administración ya no comparte una tabla de enrutamiento (es decir, la tabla de enrutamiento predeterminada) con otro tráfico de control o tráfico de protocolo del sistema. El tráfico de la instancia de mgmt_junos
VRF utiliza tablas de enrutamiento IPv4 e IPv6 privadas. Después de configurar mgmt_junos
, no puede configurar protocolos dinámicos en la interfaz de administración.
Configurar la instancia de administración
Debe agregar a la instancia de mgmt_junos
VRF todas las rutas estáticas que tengan un salto siguiente sobre la interfaz de administración. Si es necesario, también debe configurar los procesos o aplicaciones adecuados para utilizar. mgmt_junos
Todos estos cambios deben hacerse en una sola confirmación. De lo contrario, los períodos de sesiones existentes podrían perderse y tener que renegociarse.
Antes de empezar: Determinar rutas estáticas
Algunas rutas estáticas tienen un siguiente salto a través de la interfaz de administración. Como parte de la configuración de la mgmt_junos
instancia de VRF, debe agregar todas estas rutas estáticas para que puedan llegar a mgmt_junos
la interfaz de administración. Cada configuración es diferente. En primer lugar, debe identificar las rutas estáticas que tienen un próximo salto a través de la interfaz de administración.
Utilice el
show interfaces interface-name terse
comando para buscar la dirección IP de la interfaz de administración predeterminada. La interfaz de administración predeterminada es fxp0 o em0 para Junos OS, o re0:mgmt-0 o re1:mgmt-0 para Junos OS evolucionado.Utilice el
show route forwarding-table
comando para consultar la tabla de reenvío para obtener información del próximo salto para rutas estáticas. Las rutas estáticas aparecen como tipouser
. El siguiente salto para cualquier ruta estática afectada tiene una dirección IP que pertenece a la subred de la dirección IP configurada para la interfaz de administración.Otra forma de encontrar las rutas estáticas asociadas con la red de administración es usar el
Alternativamente, simplemente muestre la parte de ruta estática de la configuración del dispositivo. Utilice la función CLIshow route protocol static next-hop <management-network-gateway-address>
comando.match
para localizar rápidamente todas las rutas estáticas que apuntan a la puerta de enlace predeterminada de la red de administración.
Habilitar la instancia de administración
Recomendamos utilizar el puerto de consola del dispositivo para estas operaciones.
Al cambiar la instancia de administración, se cambia la instancia de VRF subyacente para el puerto de administración. Si utiliza SSH, Telnet o NETCONF, la conexión con el dispositivo se interrumpirá cuando confirme la configuración y tendrá que restablecerla.
Si utiliza SSH, Telnet o NETCONF, utilice commit confirm
.
Para habilitar la instancia de VRF de administración dedicada:
Configurar procesos para utilizar la instancia de administración
Muchos procesos se comunican a través de la interfaz de administración. Un proceso debe admitir una instancia VRF de administración para poder utilizar mgmt_junos
. No todos estos procesos se utilizan mgmt_junos
de forma predeterminada a menos que la instancia de administración esté habilitada. Debe configurar estos procesos para utilizar mgmt_junos
.
Los siguientes procesos requieren esta configuración adicional:
Scripts de automatización
Protocolo de monitoreo BGP (BMP)
Protocolo de tiempo de red (NTP)
SSH saliente
RADIO
API de transferencia de estado representacional (REST)
TACACS+
En Junos OS evolucionado, el registro del sistema utiliza la instancia de mgmt_junos
VRF de forma predeterminada en cuanto se configura la management-instance
instrucción. No es necesario configurar la instancia de mgmt_junos
VRF para el registro del sistema.
La configuración de estos procesos para utilizar la instancia VRF mgmt_junos
es opcional. Si omite este paso, estos procesos seguirán enviando paquetes utilizando únicamente la instancia de enrutamiento predeterminada.