以太网管理接口VRF


新的Cisco路由器和交换机带有专用的以太网端口,其唯一目的是通过SSH或Telnet提供对设备的管理访问。 此接口隔离在其自己的称为“ Mgmt-vrf”的VRF中。 将管理以太网接口放置在其自己的VRF中会对管理以太网接口产生以下影响:

  1. 必须在VRF内配置或使用许多功能,因此对于其他路由器上的某些管理以太网功能,CLI可能会有所不同。
  2. 防止传输流量穿越设备。因为所有SPA接口和管理以太网接口自动位于不同的VRF中,所以任何传输流量都不能进入管理以太网接口并离开SPA接口,反之亦然。
  3. 改善了界面的安全性。由于Mgmt-intf VRF由于位于其自己的VRF中而具有其自己的路由表,因此,如果用户明确输入了路由,则只能将其添加到管理以太网接口的路由表中。
  4. 管理以太网接口VRF支持IPv4和IPv6地址族。


这意味着静态默认路由不应干扰全局路由表或配置的任何其他VRF中的路由,管理流量在其自己的VRF中是隔离的。无法根据VRF修改管理接口的配置,您只能为其分配IP地址和静态默认路由以允许连接。

目的是将该接口连接到隔离的IP网络,该网络可以保证仅出于管理目的“始终在线”访问设备。

但是,使用该接口进行管理不是必须的。您仍然可以将设备配置为在全局路由表或任何其他VRF(换句话说,来自任何其他接口)上接受SSH和Telnet会话。

对于Cisco Catalyst交换机3850,千兆以太网管理接口自动成为其自身VRF的一部分。此VRF(名为“ Mgmt-intf”)是自动配置的 并且专用于管理以太网接口;没有其他接口可以加入此VRF。因此,此VRF不参与MPLS 虚拟专用网 VRF或任何其他网络范围内的VRF。 Mgmt-intf VRF支持回送接口。

Mgmt-vrf的基本配置
这是基本的相关管理接口配置:

vrf definition Mgmt-vrf
 !
 address-family ipv4
 exit-address-family
 !
 address-family ipv6
 exit-address-family

interface GigabitEthernet0/0
 vrf forwarding Mgmt-vrf
 ip address 10.9.2.15 255.255.255.0
 negotiation auto
!



静态路线


ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.9.2.26



线VTY访问

VTY线路的通用配置

access-list 101 permit ip 10.9.2.0 0.255.255.255 any log


line vty 0 4
 access-class 101 in 
 exec-timeout 4 30
 logging synchronous
 login authentication VTYAUTH
 transport input ssh
line vty 5 15
 access-class 101 in 
 exec-timeout 4 30
 logging synchronous
 login authentication VTYAUTH
 transport input ssh
!

不幸的是,ping到10.9.2.15可以正常工作,但不能使用ssh。 SW拒绝配置

SW-1#show vrf brief 
  Name                             Default RD            Protocols   Interfaces
  Mgmt-vrf                         <not set>             ipv4,ipv6   Gi0/0
SW-1#show ip rout
SW-1#show ip route 
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override

Gateway of last resort is not set

SW-1#show ip route vrf Mgmt-vrf

Routing Table: Mgmt-vrf
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override

Gateway of last resort is 10.9.2.26 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 10.9.2.26
      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        10.9.2.0/24 is directly connected, GigabitEthernet0/0
L        10.9.2.15/32 is directly connected, GigabitEthernet0/0
SW-1#show ssh
%No SSHv2 server connections running.
%No SSHv1 server connections running.
SW-1#show ip ssh
SSH Enabled - version 2.0
Authentication methods:publickey,keyboard-interactive,password
Encryption Algorithms:aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
MAC Algorithms:hmac-sha1,hmac-sha1-96
Authentication timeout: 120 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
IOS Keys in SECSH format(ssh-rsa, base64 encoded):
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCeYIx6ncI+YtYVVwrDPZxKc7wbzosd/4c3oGS6i3Sq
HJIStPO6Hn29l7FJERkkdZOVCHlfzbrFT0vy0RlC3BU6RncIEVXtFWDhicbmg9cVXevJSumRSSqzeROJ
ddU+1p5knstQlk2NENPMapacuYio2lf1uVC5AfJcamEESlQXXxPpZGuRSDIeKYb23M9PgsScUiTJRVmH
+4/v2ebZOZuE/MMUHR1cA012z5ZESCZqjtxOAo0l+XxAjb2M2IoXvnKiSqGh1P1XwQZoQXXz/2jcf67B
aXO+onaI7PutYjCUzVHyTmNtzUMxM1teQVpzXcfpSoXuL8pacnLjVZfql1hz                    
SW-1#

解决方案:

line vty 0 4
 access-class 101 in vrf-also
 exec-timeout 4 30
 logging synchronous
 login authentication VTYAUTH
 transport input ssh
line vty 5 15
 access-class 101 in vrf-also
 exec-timeout 4 30
 logging synchronous
 login authentication VTYAUTH
 transport input ssh
!

NTP  

ntp server vrf Mgmt-vrf 10.9.1.242
ntp server vrf Mgmt-vrf 10.9.6.5

其他配置可以从我的标准模板中找到:


参考:

通过 约翰

发表评论