隔离Juniper管理飞机

Question

显然，Juniper管理路由是默认路由表的一部分。我可以使用逻辑系统将服务平面与管理路由隔离开来吗？有什么缺点吗？

Answer 1

这很容易演变成一场辩论，当然，你可以在不同的逻辑系统中进行管理，但感觉到的好处是什么呢？您仍然需要同样地保护主实例。

在我看来，你只会增加复杂性，这就增加了停机的风险。

这将是不同的事情在SUP2T或Nexus7k与CMP，在那里你真正有单独的带外接口可用。

我的建议将是优化最小的复杂性，通过正常的主要实例进行频带内ssh管理，并将RS232 (唉，必要的邪恶)作为备份。

如果你走这条路，它会工作的，会有一些麻烦，比如复制软件，但是你可以用“设置cli逻辑系统MGMT”来处理它。

当系统或网络出现故障时，您需要两种解决方案，一种用于日常工作，另一种用于OOB。OOB很简单，您需要RS232 (因为RS232是您唯一可以使用的解决方案)来尝试在junos没有运行或没有响应时(设置系统调试器-打开中断)重新启动框。

对于你主要的日常工作来说，这更值得商榷，你有三种选择：

1. 频带上使用(与生产INET相同的路线)
2. 使用路由-实例(您将获得路由分离，但使用相同的RPD副本，但我猜您使用的是FXP0，这里不支持)
3. 使用逻辑系统，只为MGMT运行RPD的另一个副本。

你说过需要对称的路线。因此，我假设您希望为MGMT使用FXP0，并且您需要另一条用于返回流量的竞争路由，因为NMS服务器网络被用于其他方面，而不仅仅是NMS，这有点令人担忧。

在我看来，FXP0根本不需要，因为它不是OOB (就像CMP那样)，您甚至不能通过FW过滤器保护FXP0端口，因为它不是HW接口。

但是，如果我们假设您想继续使用FXP0，那么您确实非常--必须将其放入逻辑-系统中，即使您没有对网管系统进行竞争的路由，您仍然需要将FXP0置于逻辑系统中，否则您将您的网管网络暴露于来自on波段的攻击，这是您无法保护的，因为您不能在FXP0接口中设置HW过滤器。