NFX 系列设备上的零接触配置
了解全自动部署
通过零接触配置(ZTP),您只需极少的手动干预,即可在网络中自动配置和配置NFX系列设备。ZTP 允许您在不登录设备的情况下进行配置更改或软件升级。NFX 系列设备支持带有 Sky Enterprise 的 ZTP,Sky Enterprise 是一款基于云的网络管理应用程序。有关 Sky Enterprise 的详细信息,请参阅 Sky Enterprise 文档。
初始预配过程涉及以下组件:
NFX 系列设备 — 将请求发送到瞻博网络的重定向服务器。
重定向服务器 - 为网络中的设备提供身份验证和授权,以访问其分配的中央服务器以获取启动映像和初始配置文件。重定向服务器位于瞻博网络。
可以通过 IPv4 或 IPv6 网络连接到重定向服务器。根据源地址,重定向服务器将 ZTP 重定向到具有 IPv4 或 IPv6 地址的相应中央服务器。
NFX 系列设备随附出厂默认配置。出厂默认配置包括重定向服务器的 URL,该 URL 用于使用安全加密连接连接到中央服务器。
中央服务器 — 管理网络和远程定位的 NFX 系列设备。中央服务器位于中央地理位置。或者,您也可以将 Contrail Service Orchestration (CSO) 与 Sky Enterprise 结合使用。CSO 部署网络服务,Sky Enterprise 管理网络中的设备。
预暂存 NFX 系列设备
预配置是设备的可选步骤,用于绕过瞻博网络的重定向服务器,并连接到客户特定的重定向服务器或区域服务器,以便在网络中进行身份验证和授权。预配置涉及在将设备运送到客户站点进行安装之前,从设备中的特定目录复制和应用证书和客户特定配置。
特定于客户的资源存储在内部。当设备使用出厂默认配置启动时,将复制预留资源并将配置应用到设备上。
图 1 说明了预暂存 NFX 系列设备的工作流程。
预留工作流按如下方式进行:
设备出厂时采用出厂默认配置。
为了预留设备,用户或 ISP 会将特定于客户的资源(如证书和配置)复制到设备。
要添加预留配置和证书,请运行:
user@host>request system phone-home pre-stage add configuration file user@host>request system phone-home pre-stage add certificates file/files
设备预留后,设备将交付给最终用户。
最终用户打开远程设备的电源,通过将其中一个 WAN 端口(0/12 和 0/13)连接到 ISP,将设备连接到 ISP。有关详细信息,请参阅 NFX250 下一代设备上的初始配置 。
设备应用预留配置,并使用证书对客户特定的重定向服务器或区域服务器进行身份验证。
重定向服务器或区域服务器将相应的中央服务器信息发送到设备。
设备向中央服务器发送配置请求。中央服务器使用启动映像和在中央服务器上为该特定设备配置的配置进行响应。
设备从中央服务器获取启动映像和配置文件。
设备将升级到启动映像,并应用配置以启动服务并正常运行。
要删除预留配置和证书,请运行:
user@host>request system phone-home pre-stage delete configuration file user@host>request system phone-home pre-stage delete certificate all | file user@host>request system phone-home pre-stage delete all
要验证预留配置和证书,请运行:
user@host>show system phone-home pre-stage configuration user@host>show system phone-home pre-stage certificate user@host>show system phone-home pre-stage
使用 request system software add image
命令升级映像或使用命令将设备 request system zeroize
归零时,不会删除预留资源。
呼叫总部的默认配置为:
user@jdm# set system phone-home server https://redirect.juniper.net user@jdm# set system phone-home upgrade-image-before-configuration
要启用跟踪操作,请执行以下操作:
user@jdm# set system phone-home traceoptions file file-name size file-size user@jdm# set system phone-home traceoptions flag [all | config | function | misc | socket | state-machine]
禁用跟踪操作:
user@jdm# set system phone-home traceoptions no-remote-trace
配置 NFX 系列设备
图 2 说明了 NFX 系列设备初始配置的工作流程。
联系瞻博网络支持,将设备和相应的中央服务器添加到重定向服务器。
预配工作流按如下方式进行:
最终用户打开远程设备的电源,并通过 WAN 端口将远程设备连接到 ISP。
远程设备将其 X.509 证书和完全限定域名 (FQDN) 作为设置请求传输到重定向服务器。
重定向服务器在其数据存储中搜索管理员为远程设备指定的中央服务器,并确认远程设备的请求与为服务器指定的 X.509 证书相对应。
重定向服务器将中央服务器的联系信息发送到远程设备。
远程设备向中央服务器发送请求,以获取启动映像的 URL 和初始配置文件的位置。中央服务器使用请求的信息进行响应。
远程设备从中央服务器获取启动映像和配置文件。
远程设备将升级到启动映像(如果启动映像与 NFX 系列设备上运行的映像不同),并应用配置以启动服务并正常运行。
使用 Sky Enterprise 配置 NFX 系列设备
图 2 说明了使用 Sky Enterprise 对 NFX 系列设备进行初始配置的工作流程。
预配工作流按如下方式进行:
最终用户打开远程设备的电源,并通过 WAN 端口将远程设备连接到 ISP。
NFX 系列设备将其 X.509 证书和完全限定域名 (FQDN) 作为设置请求传输到重定向服务器。
重定向服务器将设备连接到 Sky Enterprise。
单击从 Sky Enterprise 收到的授权电子邮件中的链接。或者,您可以使用 Sky Enterprise 应用程序对设备进行授权。
NFX 系列设备已注册到 Sky Enterprise。
设备的初始配置开始。初始配置过程大约需要 60 秒。