Junos での mgmt. VRF 設定

Pocket

Junos では原則、OOB Management (管理)用 VRF が切られていません。
というより、そもそも 管理用 VRF 自体が Junos OS 17.3R1 から搭載された新しい機能であり、それまで管理用 VRF を切ることすらできませんでした。

では、管理用 VRF が切られないとどういう問題が起こるかというと、管理用ポート (OOB mgmt.) に設定したアドレス空間と通常のフォワーディング用ポートに設定したアドレス空間がルーティングテーブル的に被っているように見えます。
この状態でよしなに通信してくれれば良いのですが、同一 prefix のアドレスをそれぞれに設定すれば、OS から見える経路表的には同一の routing table に乗っていても、実際には In-Band と Out-of-Band と異なる場所で管理されている経路情報ですので、その prefix での通信は異常状態となってしまいます。
例えば、192.0.2.1/24 を xe-0/0/0 に設定し、192.0.2.100/24 を em0 (fxp0, me0) に設定した場合などに通信異常が起きます。

じゃあ、管理用の VRF を普通に VRF として定義して、管理用ポートに適用すれば良い、という発想になります。
ところが Junos は NTP や syslog といったシステムが自発するパケットは default VRF からしか通信ができませんでした。
そのため、管理面に default VRF を使用し、実通信面に別 VRF を切るというやり方が一般的でした。

しかし、これだと routing-instances (VRF) の上(中)でプロトコルを設定しなければいけないなど、何かと不便です。
また、Junos のそういった挙動を知らない人からすると、一見すると意味不明な config が出来上がってしまいます。

そのような状況だからかどうかは知りませんが、ようやく Junos OS 17.3R1 から管理用 VRF が使用できることとなりました。

下記に管理用 VRF を切り、デフォルトルートを設定し、Cloudflare へ DNS / NTP を解決するための config になります。
QFX ベースですが、MX や SRX も同様の config で動作します(設定は適宜読み替えてください)。
なお、IP アドレスは 198.51.100.100/24, 2001:db8:1:cafe::100/64 とし、それぞれの最若番が GW とします。

Filed under: techTagged with: ,

No comment yet, add your voice below!


Add a Comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

Comment *
Name *
Email *
Website