了解配置文件的自动安装 (Junos OS)
自动安装是一个自动化过程,不需要在设备上进行任何特定配置。为了简化该过程,可以指定一个或多个用于自动安装的接口、协议和配置服务器。
自动安装概述
如果要设置多台设备,自动安装可以通过网络自动将配置文件加载到新的或现有设备上,从而帮助实现配置过程的自动化。您可以使用 J-Web 配置编辑器或 CLI 配置编辑器来配置设备以进行自动安装。
自动安装为连接到网络并打开的新设备或配置为自动安装的设备提供自动配置。只要设备开机,自动安装过程就会开始,并且无法在 CompactFlash (CF) 卡中找到有效的配置文件。通常,当设备首次开机或者从 CF 卡中删除配置文件时,配置文件不可用。借助自动安装功能,可以从网络的中心位置部署多个设备。
要使自动安装过程正常工作,您必须在网络中的配置服务器上存储一个或多个特定于主机或默认的配置文件,并提供可用的服务(通常为动态主机配置协议 (DHCP))来为设备分配 IP 地址。
当您将瞻博网络新设备上的以太网或串行端口连接到网络并打开设备电源时,系统会自动进行安装。为了简化该过程,可以在设备上显式启用自动安装,并指定配置服务器、自动安装接口和 IP 地址获取协议。
本节包含以下主题:
自动安装配置文件
在 SRX 系列防火墙上,您可以指定配置文件所在的远程服务器。如果在设备的 CompactFlash 卡上找不到配置文件,设备会自动从此远程服务器检索配置文件。出于安全考虑,您可以使用 DES 密码对这些远程文件进行加密,检索到这些文件后,设备会对其进行解密,以便在服务器上使用。
要加密文件,我们建议使用 OpenSSL 工具。您可以在 http://www.openssl.org/ 上获取 OpenSSL 工具。若要加密文件,请使用以下语法:
% openssl enc -des -k passphrase -in original-file -out encrypted-file
passphrase- 用于加密配置文件的密码。密码短语应为不带路径信息或文件扩展名的文件名。original-file- 未加密的配置文件。encrypted-file- 加密配置文件的名称。
例如,如果要加密活动配置文件 juniper.conf.gz,则密码为 juniper.conf。用于加密文件的 openSSL 语法为:
% openssl enc -des -k juniper.conf -in juniper.conf.gz -out juniper.conf.gz.enc
支持的自动安装接口和协议
在设备上进行自动安装之前,设备必须获取 IP 地址。您为 IP 地址获取选择的协议将确定要连接到网络以进行自动安装的设备接口。设备会检测到连接的接口,并使用适合该接口的协议请求 IP 地址。以太网 LAN 接口或串行 LAN 或 WAN 接口支持自动安装。 表 1 列出了设备可在这些接口上用于 IP 地址获取的协议。
接口和封装类型 |
自动安装协议 |
|---|---|
具有高级数据链路控制 (HDLC) 的以太网 LAN 接口 |
DHCP、BOOTP 或反向地址解析协议 (RARP) |
带 HDLC 的串行 WAN 接口 |
串行线路地址解析协议 (SLARP) |
具有帧中继的串行 WAN 接口 |
BOOTP |
如果具有自动安装配置文件的服务器与新设备不在同一 LAN 网段上,或者网络需要特定设备,则必须配置直接连接到新设备的中间设备,新设备可以通过该设备发送简单文件传输协议 (TFTP)、BOOTP 和域名系统 (DNS) 请求。在这种情况下,您可以将中间设备的 IP 地址指定为接收 TFTP 自动安装请求的位置。
新设备上的典型自动安装过程
设备首次开机时,会执行以下自动安装任务:
新设备在每个连接的接口上同时发送 DHCP、BOOTP、RARP 或 SLARP 请求,以获取 IP 地址。
如果 DHCP 服务器响应,它将向设备提供以下部分或全部信息:
自动安装接口的 IP 地址和子网掩码。
存储配置文件的 TFTP(通常)、超文本传输协议 (HTTP) 或 FTP 服务器的位置。
要从 TFTP 服务器请求的配置文件的名称。
TFTP 服务器的 IP 地址或主机名。
如果 DHCP 服务器仅提供主机名,则网络上必须有 DNS 服务器才能将名称解析为 IP 地址。
中间设备的 IP 地址(如果配置服务器与新设备位于不同的 LAN 分段上)。
新设备获取 IP 地址后,设备上的自动安装过程会尝试通过以下方式下载配置文件:
如果 DHCP 服务器指定了特定于主机的配置文件(引导文件),
hostname.conf设备将在 TFTP 服务器请求中使用该文件名。(在文件名中,hostname是新设备的主机名。新设备上的自动安装过程会发出三个单播 TFTP 请求。hostname.conf如果这些尝试失败,设备会向任何可用的 TFTP 服务器广播三个文件请求。如果新设备找不到
hostname.conf,则自动安装过程会单播或广播对名为network.conf的默认设备配置文件的 TFTP 请求,其中包含主机名到 IP 地址的映射信息,以尝试查找其主机名。如果
network.conf不包含新设备的主机名条目,则自动安装过程会发送 DNS 请求,并尝试将新设备的 IP 地址解析为主机名。如果新设备可以确定其主机名,它将为
hostname.conf该文件发送 TFTP 请求。如果新设备无法将其 IP 地址映射到主机名,它将发送针对默认配置文件
router.conf的 TFTP 请求。
新设备在 TFTP 服务器上找到配置文件后,自动安装会下载该文件,在设备上安装该文件,然后提交配置。
如果将 DHCP 服务器配置为仅提供 TFTP 服务器主机名,请将 TFTP 服务器的 IP 地址到主机名映射条目添加到网络中 DNS 服务器上的 DNS 数据库文件。
如果新设备与 DHCP 服务器(或其他提供 IP 地址解析的设备)不在同一网段上,请将现有设备配置为中间设备以接收 TFTP 和 DNS 请求并将其转发至 TFTP 服务器和 DNS 服务器。您必须使用提供 TFTP 和 DNS 服务的主机的 IP 地址配置中间设备上的 LAN 或串行接口。将此接口连接到新设备。
从 Junos OS 15.1X49-D60 版本和 Junos OS 17.3R1 版本开始,在 SRX300、SRX320、SRX340、SRX345、SRX550M 和 SRX1500 防火墙上,一些出厂默认配置将会发生变化。
name-server用于配置一个或多个域名系统 (DNS) 名称服务器的语句更改为 8.8.8.8 和 8.8.4.4。以前是 208.67.222.222 和 208.67.220.220。在层次结构中
[edit system services]引入了一项新的系统服务,即通过 SSH 的 NETCONF 服务:edit system services netconf ssh使用 J-Web 界面进行 HTTPS(安全管理)访问的以下配置设置已更改。现在,无需为 J-Web 管理指定接口详细信息。使用此配置,您可以通过 HTTPS 从任何接口管理设备。
edit system services web-management https interface [irb.0]层次结构下现在支持
[edit system]许可证自动更新 URL (https://ae1.juniper.net/junos/key_retrieval):license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; } }引入了新的系统日志配置来配置系统日志消息,以记录用户输入的所有命令以及层次结构下
[edit system]的所有身份验证或授权尝试:syslog { archive size 100k files 3; user * { any emergency; } file messages { any notice; authorization info; } file interactive-commands { interactive-commands any; } }
以上出厂默认配置也适用于 SRX380 系列防火墙。
在 SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550M 防火墙上,在出厂默认配置中,telnet 和 xnm-clear-text 不是系统服务的一部分。
在 Junos OS 15.1X49-D40 及更早版本中,支持在同一接口上使用 USB 和层以太网交换来配置自动安装。但是,该命令导致接口相关配置安装不正确。
SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550M 防火墙不支持在同一接口上进行第 2 层以太网交换。
system autoinstallation interfaces <interface names>不能在同一接口上配置命令和set interface <interface names> unit 0 family ethernet-switching命令。
SRX1500防火墙和 vSRX 虚拟防火墙 实例不支持 USB 自动安装。
自动安装是指通过网络从您创建并存储在配置服务器(通常为简单文件传输协议 (TFTP) 服务器)上的预先存在的配置文件自动配置设备。您可以使用自动安装自动配置新设备,并从网络的中心位置部署多个设备。
启用自动安装,以便网络中的交换机在开机时实现自动安装。要配置自动安装,请指定配置服务器、自动安装接口和 IP 地址获取协议。
QFX5200交换机只能使用 HTTP 进行自动安装。不支持 TFTP 和 FTP 协议。
自动安装的典型用途
自动安装软件的典型用途包括:
从网络的中心位置部署和更新多个设备。
更新设备 — 当手动配置为自动安装的设备开机时,将发生自动安装。
自动安装配置文件和 IP 地址
要使自动安装过程正常运行,您必须在网络中的配置服务器上存储一个或多个特定于主机的或默认的配置文件,并提供可用的服务(通常为动态主机配置协议 (DHCP))来为交换机分配 IP 地址。
您可以在交换机上设置以下配置文件以进行自动安装:
network.conf - 自动安装的默认配置文件,您可以在其中为网络上的设备指定 IP 地址和关联主机名。
switch.conf - 用于自动安装的默认配置文件,其最低配置足以让您远程连接到设备并手动对其进行配置。
hostname.conf — 特定于主机的配置文件,用于在设备上自动安装,其中包含交换机所需的所有配置信息。在文件名中, hostname 将替换为分配给交换机的主机名。
如果带有自动安装配置文件的服务器与新设备不在同一 LAN 网段,或者网络需要特定设备,则必须配置直接连接到新交换机的中间设备,新交换机可以通过该中间设备发送 TFTP、启动协议 (BOOTP) 和域名系统 (DNS) 请求。在这种情况下,您可以将中间设备的 IP 地址指定为接收 TFTP 自动安装请求的位置。
新交换机上的典型自动安装过程
配置为自动安装的交换机开机后,将执行以下自动安装任务:
交换机同时在每个连接的接口上发送 DHCP 或 BOOTP 请求以获取 IP 地址。
如果 DHCP 服务器响应这些请求,它将向交换机提供以下部分或全部信息:
自动安装接口的 IP 地址和子网掩码。
存储配置文件的(通常)TFTP 服务器、超文本传输协议 (HTTP) 服务器或 FTP 服务器的位置。
要从 TFTP 服务器请求的配置文件的名称。
TFTP 服务器的 IP 地址或主机名。
如果 DHCP 服务器提供服务器的主机名,则网络上必须有一个 DNS 服务器才能将名称解析为 IP 地址。
中间设备的 IP 地址(如果配置服务器与交换机位于不同的 LAN 分段上)。
交换机获取 IP 地址后,交换机上的自动安装过程会尝试通过以下方式下载配置文件:
如果 DHCP 服务器指定了特定于主机的配置文件 hostname.conf,交换机将在 TFTP 服务器请求中使用该文件名。新交换机上的自动安装过程会对 hostname.conf 发出三个单播 TFTP 请求。如果这些尝试失败,交换机会向任何可用的 TFTP 服务器广播三个文件请求。
如果交换机未找到 hostname.conf 文件,自动安装过程会针对包含交换机主机名到 IP 地址映射信息的 network.conf 文件发送三个单播 TFTP 请求。如果这些尝试失败,交换机会向任何可用的 TFTP 服务器广播三个文件请求。
如果交换机找不到包含交换机主机名条目的 network.conf 文件,自动安装过程将发出 DNS 请求,并尝试将交换机的 IP 地址解析为主机名。
如果交换机确定其主机名,它将发送 .conf 文件的 hostname TFTP 请求。
如果交换机无法将其 IP 地址映射到主机名,它将发送针对默认配置文件 switch.conf 的 TFTP 请求。TFTP 请求过程与 network.conf 文件的请求过程相同。
交换机在 TFTP 服务器上找到配置文件后,自动安装过程会下载该文件,将文件安装在交换机上,然后提交配置。
Junos 节点统一器组中卫星设备的自动安装过程
自动安装可为连接到网络并打开电源的新路由器或配置为自动安装的路由器提供自动配置。只要路由器开机,自动安装过程就会开始,并且无法在 CompactFlash 卡中找到有效的配置文件。通常,当路由器首次开机或者从 CompactFlash 卡中删除配置文件时,配置文件不可用。借助自动安装功能,可以从网络的中心位置部署多个路由器。
要使自动安装过程正常运行,您必须在网络中的配置服务器上存储一个或多个特定于主机的或默认的配置文件,并且具有可用的服务(通常为动态主机配置协议 (DHCP)),以便为路由器分配 IP 地址。
当您将新的瞻博网络路由器上的以太网接口连接到网络并打开路由器电源时,系统会自动进行安装。为了简化该过程,可以在路由器上显式启用自动安装,并指定配置服务器、自动安装接口和 IP 地址获取协议。
本主题将介绍如下内容:
支持的自动安装接口和协议
在路由器上进行自动安装之前,路由器必须获取 IP 地址或 U 盘。您为 IP 地址获取选择的协议将确定要连接到网络进行自动安装的路由器接口。路由器检测到已连接的接口,并使用适合该接口的协议请求 IP 地址。以太网 LAN 接口支持自动安装。对于 IP 地址获取,JNU 卫星路由器在以太网 LAN 接口上使用 DHCP、BOOTP 或反向地址解析协议 (RARP)。
如果带有自动安装配置文件的服务器与新路由器不在同一局域网网段,或者网络需要特定的路由器,则必须配置直接连接到新路由器的中间路由器,新路由器可以通过该路由器发送 HTTP、FTP、简单文件传输协议 (TFTP)、BOOTP 和域名系统 (DNS) 请求。在这种情况下,您可以将中间路由器的 IP 地址指定为接收 HTTP、FTP 或 TFTP 自动安装请求的位置。
新路由器上的典型自动安装过程
路由器首次开机时,会执行以下自动安装任务:
新路由器在每个连接的接口上同时发送 DHCP、BOOTP 或 RARP 请求,以获取 IP 地址。
如果 DHCP 服务器响应,它将向路由器提供以下部分或全部信息:
自动安装接口的 IP 地址和子网掩码。
存储配置文件的 TFTP(通常)、HTTP 或 FTP 服务器的位置。
要从 HTTP、FTP 或 TFTP 服务器请求的配置文件的名称。
HTTP、FTP 或 TFTP 服务器的 IP 地址或主机名。
如果 DHCP 服务器仅提供主机名,则网络上必须有 DNS 服务器才能将名称解析为 IP 地址。
中间路由器的 IP 地址(如果配置服务器与新路由器位于不同的 LAN 分段)。
新路由器获取 IP 地址后,路由器上的自动安装过程会尝试通过以下方式下载配置文件:
如果配置文件指定为 URL,路由器将使用 HTTP、FTP 或 TFTP 从 URL 获取配置文件,具体取决于 URL 中指定的协议。
如果 DHCP 服务器指定了特定于主机的配置文件(引导文件),
hostname.conf路由器将在 TFTP 服务器请求中使用该文件名。(在文件名中, hostname 是新路由器的主机名。新路由器上的自动安装过程会对 hostname.conf 发出三个单播 TFTP 请求。如果这些尝试失败,路由器会向任何可用的 TFTP 服务器广播三个文件请求。如果新路由器找不到 hostname.conf,自动安装过程会单播或广播 TFTP 请求,以获取名为 network.conf 的默认路由器配置文件,其中包含主机名到 IP 地址的映射信息,以尝试查找其主机名。
如果 network.conf 不包含新路由器的主机名条目,则自动安装过程会发送 DNS 请求,并尝试将新路由器的 IP 地址解析为主机名。
如果新路由器可以确定其主机名,它将发送 .conf 文件的hostname TFTP 请求。
如果新路由器无法将其 IP 地址映射到主机名,它将发送针对默认配置文件 router.conf 的 TFTP 请求。
新路由器在 TFTP 服务器上找到配置文件后,自动安装过程会下载该文件,将文件安装在路由器上,然后提交配置。
如果 Junos 节点统一器 (JNU) 组包含 MX 系列路由器作为管理卫星设备的控制器,如 EX 系列以太网交换机、QFX 系列设备和 ACX 系列通用城域网路由器,则卫星设备支持自动安装功能。JNU 具有自动安装机制,使卫星设备能够使用网络上或本地可移动介质提供的配置,或两者的组合,开箱即用地进行自我配置,无需手动干预。这种自动安装方法也称为 零接触 工具。
全自动配置具有以下优势:
路由器可以从仓库发送到部署站点,无需任何预配置步骤。
简化了在基站部署设备所需的程序,从而降低了运营和管理成本。
您可以在很短的时间内推出大量此类设备。
出厂默认设置为启用自动安装。对路由器进行首次配置后,您可以执行以下任一作:
JNU 出厂默认文件 jnu-factory.conf 位于 /etc/config/ 目录中,其中包含用于在卫星设备上执行自动安装的配置。可以通过在
[edit system autoinstallation]层次结构级别包含delete-after-commit语句并提交配置来禁用全自动配置。这样,保存的配置将在下次系统重新启动时使用。或者,如果路由器必须在每次系统重新启动时从服务器获取配置,则不得更改全自动配置(即,不得在
[edit system autoinstallation]层次结构级别包含delete-after-commit语句并提交设置)。
另见
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。