NFX 系列设备上的全自动部署
了解全自动部署
全自动部署 (ZTP) 允许您在网络中自动调配和配置 NFX 系列设备,而手动干预最少。借助 ZTP,您无需登录设备即可进行配置更改或软件升级。NFX 系列设备通过 Sky Enterprise 支持 ZTP,Sky Enterprise 是基于云的网络管理应用程序。有关 Sky Enterprise 的详细信息,请参阅 Sky Enterprise 文档。
初始调配流程涉及以下组件:
NFX 系列设备 — 向瞻博网络重定向服务器发送请求。
重定向服务器 — 为网络中的设备提供身份验证和授权,以访问其分配的中央服务器,以获取启动映像和初始配置文件。重定向服务器驻留在瞻博网络。
与重定向服务器的连接可以通过 IPv4 或 IPv6 网络实现。根据源地址,服务器将 ZTP 重定向至具有 IPv4 或 IPv6 地址的相应中央服务器。
NFX 系列设备随附出厂默认配置。出厂默认配置包括重定向服务器的 URL,用于使用安全加密连接连接到中央服务器。
中央服务器 — 远程管理网络和 NFX 系列设备。中央服务器位于中央地理位置。或者,您可以使用 Contrail 服务编排 (CSO) 和 Sky Enterprise。CSO 部署网络服务,Sky Enterprise 管理网络中的设备。
预暂存 NFX 系列设备
预停留是设备通过瞻博网络重定向服务器并连接到客户特定的重定向服务器或区域服务器以在网络中进行身份验证和授权的可选步骤。预贴涉及在设备的特定目录中复制和应用证书和客户特定配置,然后再将设备运至客户现场进行安装。
客户特定的资源存储在内部。使用出厂默认配置启动设备时,会复制预阶段资源,并在设备上应用配置。
图 1 展示了预盖 NFX 系列设备的工作流程。
的工作流程
前阶段工作流程如下所示:
本设备使用出厂默认配置从出厂发货。
要预登台设备,用户或 ISP 会将证书和配置等客户特定资源复制到设备上。
要添加预级配置和证书,请运行:
user@host>request system phone-home pre-stage add configuration file user@host>request system phone-home pre-stage add certificates file/files
预登台设备后,设备将发运至最终用户。
最终用户接通远程设备电源,并将设备连接到 ISP,方法是将其中一个 WAN 端口(0/12 和 0/13)连接到 ISP。有关详细信息,请参阅 NFX250 新一代设备的初始配置 。
设备应用预级配置,并使用证书对客户特定的重定向服务器或区域服务器进行身份验证。
重定向服务器或区域服务器将相应的中央服务器信息发送至设备。
设备向中央服务器发送调配请求。中央服务器响应该特定设备的启动映像和在中央服务器上调配的配置。
设备从中央服务器取出启动映像和配置文件。
设备升级到启动映像并应用配置以启动服务并开始运行。
要删除预级配置和证书,请运行:
user@host>request system phone-home pre-stage delete configuration file user@host>request system phone-home pre-stage delete certificate all | file user@host>request system phone-home pre-stage delete all
要验证预级配置和证书,请运行:
user@host>show system phone-home pre-stage configuration user@host>show system phone-home pre-stage certificate user@host>show system phone-home pre-stage
如果使用 命令升级映像,或者使用 request system software add image 命令将设备 request system zeroize 归零,则预级资源不会被删除。
电话回家的默认配置是:
user@jdm# set system phone-home server https://redirect.juniper.net user@jdm# set system phone-home upgrade-image-before-configuration
要启用追踪操作:
user@jdm# set system phone-home traceoptions file file-name size file-size user@jdm# set system phone-home traceoptions flag [all | config | function | misc | socket | state-machine]
要禁用追踪操作:
user@jdm# set system phone-home traceoptions no-remote-trace
调配 NFX 系列设备
图 2 展示了 NFX 系列设备初始调配的工作流程。
初始调配的工作流程
联系 Juniper Support,将设备和相应的中央服务器添加到重定向服务器。
调配工作流程如下所示:
最终用户接通远程设备电源,并通过 WAN 端口将远程设备连接到 ISP。
远程设备将 X.509 证书和完全限定域名 (FQDN) 作为调配请求传输至重定向服务器。
重定向服务器会搜索管理员为远程设备指定的中央服务器的数据存储,并确认远程设备的要求与为服务器指定的 X.509 证书对应。
重定向服务器将中央服务器的联系信息发送至远程设备。
远程设备向中央服务器发送启动映像的 URL 和初始配置文件位置的请求。中央服务器会对请求的信息做出响应。
远程设备从中央服务器取出启动映像和配置文件。
远程设备升级到启动映像(如果启动映像与 NFX 系列设备上运行的映像不同),并应用配置以启动服务并开始操作。
使用 Sky Enterprise 配置 NFX 系列设备
图 2 展示了使用 Sky Enterprise 初始调配 NFX 系列设备的工作流程。
调配工作流程如下所示:
最终用户接通远程设备电源,并通过 WAN 端口将远程设备连接到 ISP。
NFX 系列设备将 X.509 证书和完全限定域名 (FQDN) 作为调配请求传输至重定向服务器。
重定向服务器将设备连接到 Sky Enterprise。
单击您从 Sky Enterprise 收到的授权电子邮件中的链接。或者,您可以使用 Sky Enterprise 应用程序来授权设备。
NFX 系列设备在 Sky Enterprise 上注册。
设备的初始配置开始。初始配置过程大约需要 60 秒。