以太网管理界面VRF


新的Cisco路由器和交换机配备了专用以太网端口,该端口独特的目的是通过SSH或Telnet提供对设备的管理访问。此界面在其自己的VRF中被隔离为“MGMT-VRF”。将管理以太网接口放置在自己的VRF中对管理以太网接口有以下影响:

  1. 必须在VRF内中国体育彩票开奖或使用许多功能,因此CLI可能不同于其他路由器上的某些管理以太网函数。
  2. 防止传输流量遍历设备。由于所有SPA接口和管理以太网接口都在不同的VRF中自动自动,因此没有运输流量可以进入管理以太网接口并留下SPA接口,反之亦然。
  3. 改进了界面的安全性。由于MGMT-Intf VRF具有其自己的路由表,因此在其自己的VRF中,如果用户仅由用户明确输入,则只能将路由添加到管理以太网接口的路由表。
  4. 管理以太网接口VRF支持IPv4和IPv6地址系列。


这意味着静态默认路由不应干扰全局路由表中的路由或中国体育彩票开奖的任何其他VRF,该管理流量在其自己的VRF中被隔离。管理界面的中国体育彩票开奖无法根据VRF修改,只能为其分配IP地址和静态默认路由以允许连接。

目的是将该接口连接到隔离IP网络,该接口可以保证“始终”访问该设备的管理目的。

但是,它不是必须使用该接口进行管理的。您仍然可以将您的设备中国体育彩票开奖为在全局路由表或任何其他VRF上接受SSH和Telnet会话(换句话说,来自任何其他接口)。

对于Cisco Catalyst Switch 3850,千兆以太网管理界面是自动的自身VRF的一部分。这个名为“MGMT-INTF”的VRF自动中国体育彩票开奖并专用于管理以太网接口;没有其他接口可以加入此VRF。因此,该VRF不参与MPLS VPN VRF或任何其他网络宽VRF。 MGMT-INTF VRF支持环回接口。

MGMT-VRF的基本中国体育彩票开奖
以下是基本相关管理界面Configuriton:

vrf definition Mgmt-vrf
 !
 address-family ipv4
 exit-address-family
 !
 address-family ipv6
 exit-address-family

interface GigabitEthernet0/0
 vrf forwarding Mgmt-vrf
 ip address 10.9.2.15 255.255.255.0
 negotiation auto
!



静态路线


ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.9.2.26



行vty访问

VTY行的常见中国体育彩票开奖

access-list 101 permit ip 10.9.2.0 0.255.255.255 any log


line vty 0 4
 access-class 101 in 
 exec-timeout 4 30
 logging synchronous
 login authentication VTYAUTH
 transport input ssh
line vty 5 15
 access-class 101 in 
 exec-timeout 4 30
 logging synchronous
 login authentication VTYAUTH
 transport input ssh
!

不幸的是,ping到10.9.2.15工作正常但不是ssh。 SW拒绝中国体育彩票开奖

SW-1#show vrf brief 
  Name                             Default RD            Protocols   Interfaces
  Mgmt-vrf                         <not set>             ipv4,ipv6   Gi0/0
SW-1#show ip rout
SW-1#show ip route 
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override

Gateway of last resort is not set

SW-1#show ip route vrf Mgmt-vrf

Routing Table: Mgmt-vrf
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override

Gateway of last resort is 10.9.2.26 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 10.9.2.26
      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        10.9.2.0/24 is directly connected, GigabitEthernet0/0
L        10.9.2.15/32 is directly connected, GigabitEthernet0/0
SW-1#show ssh
%No SSHv2 server connections running.
%No SSHv1 server connections running.
SW-1#show ip ssh
SSH Enabled - version 2.0
Authentication methods:publickey,keyboard-interactive,password
Encryption Algorithms:aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
MAC Algorithms:hmac-sha1,hmac-sha1-96
Authentication timeout: 120 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
IOS Keys in SECSH format(ssh-rsa, base64 encoded):
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCeYIx6ncI+YtYVVwrDPZxKc7wbzosd/4c3oGS6i3Sq
HJIStPO6Hn29l7FJERkkdZOVCHlfzbrFT0vy0RlC3BU6RncIEVXtFWDhicbmg9cVXevJSumRSSqzeROJ
ddU+1p5knstQlk2NENPMapacuYio2lf1uVC5AfJcamEESlQXXxPpZGuRSDIeKYb23M9PgsScUiTJRVmH
+4/v2ebZOZuE/MMUHR1cA012z5ZESCZqjtxOAo0l+XxAjb2M2IoXvnKiSqGh1P1XwQZoQXXz/2jcf67B
aXO+onaI7PutYjCUzVHyTmNtzUMxM1teQVpzXcfpSoXuL8pacnLjVZfql1hz                    
SW-1#

解决方案:

line vty 0 4
 access-class 101 in vrf-also
 exec-timeout 4 30
 logging synchronous
 login authentication VTYAUTH
 transport input ssh
line vty 5 15
 access-class 101 in vrf-also
 exec-timeout 4 30
 logging synchronous
 login authentication VTYAUTH
 transport input ssh
!

NTP.  

ntp server vrf Mgmt-vrf 10.9.1.242
ntp server vrf Mgmt-vrf 10.9.6.5

可以从我的标准模板中找到其他中国体育彩票开奖:


参考:

经过 Jon.

发表评论