Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

設定ファイルの自動インストールについて(Junos OS)

自動インストールは自動化されたプロセスであり、デバイスに特定の構成は必要ありません。プロセスを単純化するために、自動インストールに使用する 1 つ以上のインターフェース、プロトコル、および構成サーバーを指定できます。

自動インストールの概要

多数のデバイスを設定する場合、自動インストールは、ネットワーク経由で新規または既存のデバイスに構成ファイルを自動的にロードするため、設定プロセスの自動化に役立ちます。J-Web 設定エディターまたは CLI 設定エディターのいずれかを使用して、自動インストールを行うデバイスを設定できます。

自動インストールでは、ネットワークに接続して電源を入れる新しいデバイス、または自動インストール用に構成されたデバイスの自動構成が提供されます。自動インストール プロセスは、デバイスの電源がオンになり、コンパクトフラッシュ(CF)カードに有効なコンフィギュレーション ファイルが見つからない場合に開始されます。通常、コンフィギュレーション・ファイルは、デバイスの電源を初めてオンにしたとき、またはコンフィギュレーション・ファイルがCFカードから削除された場合には使用できません。自動インストール機能を使用すると、ネットワーク内の中央の場所から複数のデバイスを導入できます。

自動インストール プロセスを機能させるには、1 つ以上のホスト固有またはデフォルトの構成ファイルをネットワーク内の構成サーバーに格納し、デバイスに IP アドレスを割り当てるサービス(通常は動的ホスト構成プロトコル (DHCP) を利用できるようにする必要があります。

新しいジュニパーネットワークスデバイスのイーサネットポートまたはシリアルポートをネットワークに接続し、デバイスの電源を入れると、自動インストールが自動的に実行されます。プロセスを簡素化するために、デバイスでの自動インストールを明示的に有効にし、構成サーバー、自動インストール インターフェイス、および IP アドレス取得のプロトコルを指定できます。

このセクションでは、以下のトピックについて説明します。

設定ファイルの自動インストール

SRXシリーズファイアウォールでは、設定ファイルが置かれているリモートサーバーを指定できます。デバイスのコンパクトフラッシュ カードに構成ファイルが見つからない場合、デバイスはこのリモート サーバーから構成ファイルを自動的に取得します。セキュリティ上の理由から、これらのリモート ファイルは DES 暗号を使用して暗号化でき、取得されると、デバイスはサーバで使用するために復号化します。

ファイルを暗号化するには、OpenSSL ツールをお勧めします。OpenSSL ツールは http://www.openssl.org/ で入手できます。ファイルを暗号化するには、次の構文を使用します。

  • passphrase- コンフィギュレーション ファイルの暗号化に使用されるパスフレーズ。パスフレーズは、パス情報やファイル拡張子を含まないファイル名にする必要があります。

  • original-file- 暗号化されていない設定ファイル。

  • encrypted-file- 暗号化された設定ファイルの名前。

例えば、アクティブなコンフィギュレーション・ファイル juniper.conf.gz暗号化する場合、パスフレーズは juniper.confです。ファイルの暗号化に使用される openSSL 構文は次のとおりです。

サポートされる自動インストール・インターフェースおよびプロトコル

デバイスへの自動インストールを実行する前に、デバイスは IP アドレスを取得する必要があります。IP アドレス取得用に選択したプロトコルによって、自動インストール用のネットワークに接続するデバイス インターフェイスが決まります。デバイスは接続されたインターフェイスを検出し、インターフェイスに適したプロトコルでIPアドレスを要求します。自動インストールは、イーサネット LAN インターフェイス、シリアル LAN、または WAN インターフェイスを介してサポートされます。 表1 に、デバイスがこれらのインターフェイスでIPアドレス取得に使用できるプロトコルを示します。

表1:自動インストール時のIPアドレス取得用のインターフェイスとプロトコル

インターフェイスとカプセル化タイプ

自動インストールのプロトコル

HDLC(High-Level Data Link Control)搭載のイーサネットLANインターフェイス

DHCP、BOOTP、またはReverse Address Resolution Protocol(RARP)

HDLCとのシリアルWANインターフェイス

シリアル回線アドレス解決プロトコル(SLARP)

フレームリレー付きシリアルWANインターフェイス

ブート

自動インストール設定ファイルが設定されたサーバが新しいデバイスと同じLANセグメント上にない場合、またはネットワークで特定のデバイスが必要な場合は、新しいデバイスがTFTP(簡易ファイル転送プロトコル)、BOOTP、およびDNS(ドメインネームシステム)要求を送信できる、新しいデバイスに直接接続された中間デバイスを設定する必要があります。この場合、自動インストールの TFTP 要求を受信する場所として中間デバイスの IP アドレスを指定します。

新しいデバイスでの一般的な自動インストール プロセス

デバイスの電源を初めてオンにすると、次の自動インストール タスクが実行されます。

  1. 新しいデバイスは、接続された各インターフェイスで DHCP、BOOTP、RARP、または SLARP 要求を同時に送信して、IP アドレスを取得します。

    DHCP サーバーが応答すると、以下の情報の一部またはすべてがデバイスに提供されます。

    • 自動インストール・インターフェースの IP アドレスとサブネット・マスク。

    • コンフィギュレーション・ファイルが保存されているTFTP(通常)、ハイパーテキスト転送プロトコル(HTTP)、または FTP サーバーの場所。

    • TFTP サーバから要求するコンフィギュレーション ファイルの名前。

    • TFTPサーバーのIPアドレスまたはホスト名。

      DHCP サーバーがホスト名のみを提供する場合、名前を IP アドレスに解決するには、DNS サーバーがネットワーク上で使用可能である必要があります。

    • 構成サーバーが新しいデバイスとは異なる LAN セグメント上にある場合の中間デバイスの IP アドレス。

  2. 新しいデバイスがIPアドレスを取得すると、デバイスの自動インストールプロセスは、次の方法で設定ファイルのダウンロードを試みます。

    1. DHCP サーバがホスト固有のコンフィギュレーション ファイル(ブート ファイル) hostname.confを指定した場合、デバイスは TFTP サーバ要求でそのファイル名を使用します。(ファイル名中の hostname は新しいデバイスのホスト名です)。新しいデバイスでの自動インストール プロセスでは、 hostname.confに対して 3 つのユニキャスト TFTP 要求が行われます。これらの試みが失敗した場合、デバイスはファイルの使用可能な TFTP サーバーに 3 つの要求をブロードキャストします。

    2. 新しいデバイスが hostname.confを検出できない場合、自動インストール プロセスは、ホスト名から IP アドレスへのマッピング情報を含む network.conf と呼ばれるデフォルトのデバイス コンフィギュレーション ファイルに対する TFTP 要求をユニキャストまたはブロードキャストして、ホスト名の検索を試みます。

    3. network.confに新しいデバイスのホスト名エントリーがない場合、自動インストールプロセスはDNSリクエストを送信し、新しいデバイスのIPアドレスをホスト名に解決しようとします。

    4. 新しいデバイスがホスト名を特定できる場合は、 hostname.conf ファイルの TFTP 要求を送信します。

    5. 新しいデバイスがIPアドレスをホスト名にマッピングできない場合、デフォルトコンフィギュレーションファイル router.confのTFTPリクエストを送信します。

  3. 新しいデバイスが TFTP サーバ上でコンフィギュレーション ファイルを見つけると、自動インストールによってファイルがダウンロードされ、デバイスにファイルがインストールされ、コンフィギュレーションがコミットされます。

手記:
  • TFTP サーバのホスト名のみを提供するように DHCP サーバを設定する場合は、TFTP サーバの IP アドレスからホスト名へのマッピング エントリを、ネットワーク内の DNS サーバの DNS データベース ファイルに追加します。

  • 新しいデバイスがDHCPサーバー(またはIPアドレス解決を提供する他のデバイス)と同じネットワークセグメント上にない場合は、TFTPおよびDNS要求を受信し、TFTPサーバーとDNSサーバーに転送する中間デバイスとして既存のデバイスを設定します。TFTPおよびDNSサービスを提供するホストのIPアドレスを使用して、中間デバイス上のLANまたはシリアルインターフェイスを設定する必要があります。このインターフェイスを新しいデバイスに接続します。

手記:

Junos OSリリース15.1X49-D60およびJunos OSリリース17.3R1以降、SRX300、SRX320、SRX340、SRX345、SRX550M、およびSRX1500ファイアウォールでは、工場出荷時のデフォルト設定の一部が変更されています。

  • 1 つ以上のドメイン・ネーム・システム (DNS) ネーム・サーバーの構成に使用される name-server ステートメントが、8.8.8.8 および 8.8.4.4 に変更されます。以前は、208.67.222.222 および 208.67.220.220 でした。

  • 新しいシステムサービス、SSH経由のNETCONFサービスが、 [edit system services] 階層に導入されました。

  • J-Webインタフェースを使用したHTTPS(セキュア管理)アクセスについて、以下の構成設定を変更しました。これで、J-Web管理のためにインターフェイスの詳細を指定する必要がなくなりました。この設定により、HTTPS を介して任意のインターフェイスからデバイスを管理できます。

  • ライセンス自動更新URL(https://ae1.juniper.net/junos/key_retrieval)が、 [edit system] 階層でサポートされるようになりました。

  • 新しいシステム ログ設定が導入され、システム ログ メッセージを設定して、ユーザが入力したすべてのコマンドと、 [edit system] 階層におけるすべての認証または許可の試行が記録されます。

上記の工場出荷時のデフォルト設定は、SRX380シリーズファイアウォールにも適用されます。

手記:

SRX300、SRX320、SRX340、SRX345、SRX380、および SRX550M ファイアウォールでは、工場出荷時のデフォルト設定では、telnetおよびxnmクリアテキストはシステム サービスの一部ではありません。

手記:

Junos OS リリース 15.1X49-D40 以前では、USB を使用した自動インストールの設定とレイヤー イーサネット スイッチングが同じインターフェイスでサポートされていました。しかし、このコマンドが原因で、インターフェイス関連の設定が正しくインストールされませんでした。

レイヤー2イーサネットスイッチングは、SRX300、SRX320、SRX340、SRX345、SRX380、およびSRX550Mファイアウォールの同じインターフェイスではサポートされていません。

system autoinstallation interfaces <interface names> コマンドと set interface <interface names> unit 0 family ethernet-switching コマンドを同じインターフェイスで設定することはできません。

手記:

USB自動インストールは、SRX1500ファイアウォールおよびvSRX仮想ファイアウォールインスタンスではサポートされていません。

自動インストールとは、設定サーバー(通常は Trivial File Transfer Protocol(TFTP)サーバー)に作成して保存する既存の構成ファイルから、ネットワーク経由でデバイスを自動的に構成することです。自動インストールを使用すると、新しいデバイスを自動的に構成し、ネットワーク内の中央の場所から複数のデバイスを展開できます。

自動インストールを有効にすると、ネットワーク内のスイッチの電源がオンになったときに自動インストールが実装されます。自動インストールを構成するには、構成サーバー、自動インストール・インターフェース、および IP アドレス取得用のプロトコルを指定します。

手記:

QFX5200スイッチは、自動インストールにおいてHTTPでのみ機能します。TFTP および FTP プロトコルはサポートされていません。

自動インストールの一般的な用途

ソフトウェアの自動インストールの一般的な用途は次のとおりです。

  • ネットワーク内の中央の場所から複数のデバイスを展開および更新する場合。

  • デバイスを更新するには - 自動インストールは、手動で自動インストールが設定されたデバイスの電源がオンになったときに行われます。

自動インストール構成ファイルと IP アドレス

自動インストール プロセスを機能させるには、1 つ以上のホスト固有またはデフォルトの構成ファイルをネットワーク内の構成サーバーに格納し、スイッチに IP アドレスを割り当てるサービス(通常は DHCP(動的ホスト構成プロトコル))を利用できるようにする必要があります。

スイッチに自動インストールするために、以下のコンフィギュレーション ファイルを設定できます。

  • network.conf:自動インストールのデフォルト コンフィギュレーション ファイルで、ネットワーク上のデバイスの IP アドレスと関連ホスト名を指定します。

  • switch.conf:デバイスにtelnet接続して手動で設定するのに十分な最小限の設定を持つ、自動インストール用のデフォルト設定ファイル。

  • hostname.conf:スイッチに必要なすべての設定情報を含む、デバイスへの自動インストール用のホスト固有コンフィギュレーション ファイル。ファイル名では、 hostnameスイッチに割り当てられたホスト名に置き換えられます。

自動インストール コンフィギュレーション ファイルが設定されたサーバが新しいデバイスと同じ LAN セグメント上にない場合、またはネットワークで特定のデバイスが必要な場合は、新しいスイッチに直接接続された中間デバイスを設定する必要があります。この中間デバイスは、新しいスイッチが TFTP、ブート プロトコル(BOOTP)、ドメイン ネーム システム(DNS)要求を送信できます。この場合、自動インストールの TFTP 要求を受信する場所として中間デバイスの IP アドレスを指定します。

新しいスイッチでの一般的な自動インストール プロセス

自動インストール用に設定されたスイッチの電源がオンになると、次の自動インストール作業が実行されます。

  1. スイッチは、接続された各インターフェイスで同時に DHCP または BOOTP 要求を送信して、IP アドレスを取得します。

    DHCP サーバーは、これらの要求に応答すると、以下の情報の一部またはすべてをスイッチに提供します。

    • 自動インストール・インターフェースの IP アドレスとサブネット・マスク。

    • コンフィギュレーション ファイルが保存されている(通常は)TFTP サーバー、ハイパーテキスト転送プロトコル(HTTP)サーバー、または FTP サーバーの場所。

    • TFTP サーバから要求するコンフィギュレーション ファイルの名前。

    • TFTPサーバーのIPアドレスまたはホスト名。

      DHCP サーバーがサーバーのホスト名を提供する場合、名前を IP アドレスに解決するには、DNS サーバーがネットワーク上で使用可能である必要があります。

    • 設定サーバーがスイッチとは異なる LAN セグメント上にある場合の中間デバイスの IP アドレス。

  2. スイッチが IP アドレスを取得した後、スイッチの自動インストール プロセスは、次の方法でコンフィギュレーション ファイルのダウンロードを試みます。

    1. DHCP サーバがホスト固有のコンフィギュレーション ファイル hostname.conf を指定した場合、スイッチはそのファイル名を TFTP サーバ要求に使用します。新しいスイッチの自動インストール プロセスでは、hostname.conf に対して 3 つのユニキャスト TFTP 要求が行われます。これらの試みが失敗した場合、スイッチはファイルの使用可能な TFTP サーバーに 3 つの要求をブロードキャストします。

    2. スイッチが hostname.conf ファイルを見つけられない場合、自動インストール プロセスは、スイッチのホスト名から IP アドレスへのマッピング情報を含む network.conf ファイルに対して 3 つのユニキャスト TFTP リクエストを送信します。これらの試みが失敗した場合、スイッチはファイルの使用可能な TFTP サーバーに 3 つの要求をブロードキャストします。

    3. スイッチのホスト名エントリーを含む network.conf ファイルをスイッチが見つけられなかった場合、自動インストールプロセスはDNSリクエストを送信し、スイッチのIPアドレスをホスト名に解決しようとします。

    4. スイッチがホスト名を特定すると、hostname.conf ファイルに対する TFTP リクエストを送信します。

    5. スイッチがその IP アドレスをホスト名にマッピングできない場合、スイッチはデフォルト設定ファイル switch.conf の TFTP リクエストを送信します。TFTP リクエストの手順は、 network.conf ファイルの場合と同じです。

  3. スイッチが TFTP サーバでコンフィギュレーション ファイルを見つけると、自動インストール プロセスによってファイルがダウンロードされ、スイッチにインストールされ、設定がコミットされます。

手記:

詳細については製品 データシート を参照するか、ジュニパーアカウントチームまたはジュニパーパートナーにお問い合わせください。ライセンス管理に関する一般的な情報については、 『ジュニパー ライセンス ガイド 』を参照してください。

Junos Node Unifier グループ内のサテライト デバイスへの自動インストール プロセス

自動インストールでは、ネットワークに接続して電源をオンにする新しいルーター、または自動インストール用に構成されたルーターの自動構成が提供されます。自動インストール プロセスは、ルータの電源がオンになり、コンパクトフラッシュ カードで有効なコンフィギュレーション ファイルが見つからない場合に開始されます。通常、コンフィギュレーション ファイルは、ルータの電源を初めてオンにしたとき、またはコンフィギュレーション ファイルがコンパクトフラッシュ カードから削除された場合に使用できません。自動インストール機能を使用すると、ネットワーク内の中央の場所から複数のルーターを導入できます。

自動インストール プロセスを機能させるには、1 つ以上のホスト固有または既定の構成ファイルをネットワーク内の構成サーバーに格納し、ルーターに IP アドレスを割り当てるサービス(通常は動的ホスト構成プロトコル (DHCP) を利用できるようにする必要があります。

新しいジュニパーネットワークス ルーターのイーサネット インターフェイスをネットワークに接続し、ルーターの電源を入れると、自動インストールが自動的に実行されます。プロセスを簡素化するために、ルーターで自動インストールを明示的に有効にし、構成サーバー、自動インストール インターフェイス、および IP アドレス取得のプロトコルを指定できます。

このトピックでは、以下について説明します。

サポートされる自動インストール・インターフェースおよびプロトコル

ルーターへの自動インストールを実行する前に、ルーターはIPアドレスまたはUSBキーを取得する必要があります。IP アドレス取得用に選択したプロトコルによって、自動インストールのためにネットワークに接続するルーター インターフェイスが決まります。ルーターは接続されたインターフェイスを検出し、インターフェイスに適したプロトコルでIPアドレスを要求します。自動インストールは、イーサネット LAN インターフェイス経由でサポートされています。IPアドレスの取得には、JNUサテライトルーターは、イーサネットLANインターフェイス上でDHCP、BOOTP、またはリバースアドレス解決プロトコル(RARP)を使用します。

自動インストール設定ファイルがあるサーバーが新しいルーターと同じLANセグメント上にない場合、またはネットワークに特定のルーターが必要な場合は、新しいルーターに直接接続された中間ルーターを設定する必要があります。このルーターは、新しいルーターがHTTP、FTP、Trivial File Transfer Protocol(TFTP)、BOOTPを送信できます。 およびドメイン ネーム システム(DNS)要求。この場合、自動インストールの HTTP、FTP、または TFTP 要求を受信する場所として、中間ルーターの IP アドレスを指定します。

新しいルーターでの一般的な自動インストール プロセス

ルーターの電源を初めてオンにすると、次の自動インストール タスクが実行されます。

  1. 新しいルーターは、接続された各インターフェイスで同時に DHCP、BOOTP、または RARP 要求を送信して、IP アドレスを取得します。

    DHCP サーバーが応答すると、次の情報の一部またはすべてがルーターに提供されます。

    • 自動インストール・インターフェースの IP アドレスとサブネット・マスク。

    • コンフィギュレーション ファイルが保存されている TFTP(通常は)、HTTP、または FTP サーバーの場所。

    • HTTP、FTP、または TFTP サーバーから要求するコンフィギュレーション ファイルの名前。

    • HTTP、FTP、または TFTP サーバーの IP アドレスまたはホスト名。

      DHCP サーバーがホスト名のみを提供する場合、名前を IP アドレスに解決するには、DNS サーバーがネットワーク上で使用可能である必要があります。

    • 構成サーバーが新しいルーターとは異なる LAN セグメント上にある場合の中間ルーターの IP アドレス。

  2. 新しいルーターが IP アドレスを取得した後、ルーターの自動インストール プロセスは、次の方法で構成ファイルのダウンロードを試みます。

    1. コンフィギュレーション ファイルが URL として指定されている場合、ルーターは URL で指定されたプロトコルに応じて、HTTP、FTP、または TFTP を使用して URL からコンフィギュレーション ファイルを取得します。

    2. DHCP サーバがホスト固有のコンフィギュレーション ファイル(ブート ファイル) hostname.confを指定した場合、ルータは TFTP サーバ要求でそのファイル名を使用します。(ファイル名中の hostname は新しいルーターのホスト名です)。新しいルータへの自動インストール プロセスでは、 hostname.conf に対して 3 つのユニキャスト TFTP 要求が行われます。これらの試みが失敗した場合、ルーターはファイルの使用可能な TFTP サーバーに 3 つの要求をブロードキャストします。

    3. 新しいルーターが hostname.conf を見つけることができない場合、自動インストール プロセスは、ホスト名から IP アドレスへのマッピング情報を含む network.conf と呼ばれるデフォルトのルーター コンフィギュレーション ファイルに対する TFTP 要求をユニキャストまたはブロードキャストして、ホスト名の検索を試みます。

    4. network.confに新しいルーターのホスト名エントリーが含まれていない場合、自動インストールプロセスはDNSリクエストを送信し、新しいルーターのIPアドレスをホスト名に解決しようとします。

    5. 新しいルータがホスト名を特定できる場合は、 hostname.conf ファイルの TFTP 要求を送信します。

    6. 新しいルーターがその IP アドレスをホスト名にマッピングできない場合、デフォルトのコンフィギュレーション ファイル router.conf に対して TFTP リクエストを送信します。

  3. 新しいルータが TFTP サーバでコンフィギュレーション ファイルを見つけた後、自動インストール プロセスでファイルをダウンロードし、そのファイルをルータにインストールして、設定をコミットします。

EXシリーズイーサネットスイッチ、QFXシリーズデバイス、ACXシリーズユニバーサルメトロルーターなどのサテライトデバイスを管理するコントローラとしてMXシリーズルーターを含むJunos Node Unifier(JNU)グループでは、サテライトデバイスの自動インストール機能がサポートされています。JNUには自動インストールメカニズムがあり、ネットワーク上またはリムーバブルメディアを介してローカルで利用可能な設定を使用するか、またはその両方の組み合わせを使用して、手動による介入なしにサテライトデバイスをすぐに設定できます。この自動インストール方法は、 ゼロタッチ 設備とも呼ばれます。

ゼロタッチ構成には、次のようなメリットがあります。

  • ルーターは、事前設定手順なしで倉庫から展開サイトに送ることができます。

  • セルサイトにデバイスを展開するために必要な手順が簡素化され、その結果、運用および管理コストが削減されます。

  • これらのデバイスを非常に短時間で多数展開できます。

工場出荷時のデフォルト設定では、自動インストールに対応しています。ルーターに最初の設定を行った後、次のいずれかを実行できます。

  • JNUの工場出荷時のデフォルトファイルjnu-factory.confは、/etc/config/ディレクトリに存在し、サテライトデバイスで自動インストールを実行するための設定が含まれています。ゼロタッチ設定を無効にするには、[edit system autoinstallation]階層レベルで delete-after-commit ステートメントを含め、設定をコミットします。こうすることで、保存した設定が次回のシステム再起動時に使用されます。

  • または、システムの再起動のたびにルーターがサーバーから設定を取得する必要がある場合は、ゼロタッチ設定を変更しないでください(つまり、[edit system autoinstallation]階層レベルにdelete-after-commitステートメントを含めて設定をコミットしないでください)。

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

解放
形容
15.1X49-D60
Junos OSリリース15.1X49-D60およびJunos OSリリース17.3R1以降、SRX300、SRX320、SRX340、SRX345、SRX550MおよびSRX1500デバイスでは、工場出荷時のデフォルト設定の一部が変更されています。