設定ファイルの自動インストールについて(Junos OS)

設定ファイルの自動インストール

SRXシリーズファイアウォールでは、設定ファイルが配置されているリモートサーバーを指定できます。デバイスのコンパクトフラッシュ カードに構成ファイルが見つからない場合、デバイスはこのリモートサーバーから構成ファイルを自動的に取得します。セキュリティ上の理由から、これらのリモート ファイルを DES 暗号で暗号化し、取得されると、デバイスはサーバーで使用するために復号化します。

ファイルを暗号化するには、OpenSSL ツールをお勧めします。OpenSSLツールは http://www.openssl.org/ で入手できます。ファイルを暗号化するには、次の構文を使用します。

• passphrase—構成ファイルの暗号化に使用されるパスフレーズ。パスフレーズは、パス情報やファイル拡張子を除いたファイル名にする必要があります。

• original-file- 暗号化されていない構成ファイル。

• encrypted-file—暗号化された構成ファイルの名前。

たとえば、アクティブな構成ファイル juniper.conf.gzを暗号化する場合、パスフレーズは juniper.confになります。ファイルの暗号化に使用される OpenSSL 構文は次のとおりです。

サポートされている自動インストール インターフェイスとプロトコル

デバイスの自動インストールを実行する前に、デバイスは IP アドレスを取得する必要があります。IPアドレス取得用に選択したプロトコルによって、自動インストールのためにネットワークに接続するデバイスインターフェイスが決まります。デバイスは接続されたインターフェイスを検出し、インターフェイスに適したプロトコルでIPアドレスを要求します。自動インストールは、イーサネットLANインターフェイス、シリアルLANまたはWANインターフェイスを介してサポートされます。 表 1 は、デバイスが IP アドレスを取得するためにこれらのインターフェイスで使用できるプロトコルを示しています。

自動インストール 構成ファイルを持つサーバが新しいデバイスと同じ LAN セグメント上にない場合、または特定のデバイスがネットワークで必要な場合は、新しいデバイスが TFTP(簡易ファイル転送プロトコル)、BOOTP、および DNS(ドメイン生成アルゴリズム)要求を送信できる中間デバイスを直接接続するように設定する必要があります。この場合、自動インストールのTFTP要求を受信する場所として、中間デバイスのIPアドレスを指定します。

新しいデバイスでの一般的な自動インストール プロセス

デバイスに初めて電源を入れると、次の自動インストール タスクが実行されます。

1. 新しいデバイスは、接続された各インターフェイスで DHCP、BOOTP、RARP、または SLARP 要求を同時に送信し、IP アドレスを取得します。

   DHCPサーバーが応答すると、次の情報の一部またはすべてをデバイスに提供します。

   • 自動インストールインターフェースの IP アドレスとサブネットマスク。

   • 構成ファイルが格納されている TFTP(通常は)、ハイパーテキスト転送プロトコル(HTTP)、または FTP サーバーの場所。

   • TFTPサーバーに要求する構成ファイルの名前。

   • TFTPサーバーのIPアドレスまたはホスト名。

     DHCPサーバーがホスト名のみを提供する場合、名前をIPアドレスに解決するためのDNS サーバーがネットワーク上で使用可能になっている必要があります。

   • 構成サーバーが新しいデバイスとは異なる LAN セグメント上にある場合の中間デバイスの IP アドレス。

2. 新しいデバイスが IP アドレスを取得した後、デバイスの自動インストール プロセスは、次の方法で構成ファイルをダウンロードしようとします。

   1. DHCPサーバーがホスト固有の構成ファイル(ブートファイル) hostname.confを指定した場合、デバイスはTFTPサーバー要求でそのファイル名を使用します。(ファイル名の hostname は、新しいデバイスのホスト名です。)新しいデバイスでの自動インストール プロセスでは、 hostname.confに対して 3 つのユニキャスト TFTP 要求が行われます。これらの試行が失敗すると、デバイスはファイルに対して使用可能な TFTP サーバに 3 つの要求をブロードキャストします。

   2. 新しいデバイスが hostname.conf見つからない場合、自動インストール プロセスは、ホスト名から IP アドレスへのマッピング情報を含む network.conf と呼ばれるデフォルト デバイス 構成ファイルの TFTP 要求をユニキャストまたはブロードキャストして、ホスト名の検索を試みます。

   3. network.confに新しいデバイスのホスト名エントリが含まれていない場合、自動インストールプロセスはDNS 要求を送信し、新しいデバイスのIPアドレスをホスト名に解決しようとします。

   4. 新しいデバイスがホスト名を特定できる場合は、 hostname.conf ファイルに対してTFTP要求を送信します。

   5. 新しいデバイスがそのIPアドレスをホスト名にマッピングできない場合、デフォルト構成ファイル router.confのTFTP要求を送信します。

3. 自動インストールは、新しいデバイスがTFTPサーバ上の構成ファイルを見つけると、ファイルをダウンロードし、そのファイルをデバイスにインストールして、設定をコミットします。

自動インストールとは、ユーザーが作成して設定サーバ(通常は TFTP(簡易ファイル転送プロトコル)サーバ)に保存する既存の構成ファイルから、ネットワーク経由でデバイスを自動的に設定することです。自動インストールを使用して、新しいデバイスを自動的に設定し、ネットワークの中央の場所から複数のデバイスを展開できます。

自動インストールを有効にすると、ネットワーク内のスイッチの電源がオンになったときに自動インストールが実装されます。自動インストールを設定するには、構成サーバー、自動インストール インターフェイス、および IP アドレス取得用のプロトコルを指定します。

自動インストールの一般的な用途

ソフトウェアの自動インストールの一般的な用途は次のとおりです。

• ネットワークの中央から複数のデバイスを展開して更新すること。

• デバイスを更新するには - 自動インストールは、自動インストール用に手動で設定されたデバイスの電源がオンになったときに発生します。

自動インストールの構成ファイルと IP アドレス

自動インストール プロセスを機能させるには、ネットワーク内の構成サーバーに 1 つ以上のホスト固有またはデフォルトの構成ファイルを保存し、スイッチに IP アドレスを割り当てるサービス(通常は動的ホスト構成プロトコル(DHCP))を利用できるようにする必要があります。

スイッチでの自動インストール用に、以下の設定ファイルを設定できます。

• network.conf:自動インストール用のデフォルト構成ファイルで、ネットワーク上のデバイスの IP アドレスと関連するホスト名を指定します。

• switch.conf—デバイスに telnet で接続して手動で設定するのに十分な最小設定を備えた、自動インストール用のデフォルト構成ファイル。

• hostname.conf—スイッチに必要なすべての設定情報を含む、デバイスへの自動インストールのためのホスト固有の構成ファイル。ファイル名の hostname は、スイッチに割り当てられたホスト名に置き換えられます。

自動インストール構成ファイルを持つサーバが新しいデバイスと同じLANセグメント上にない場合、またはネットワークで特定のデバイスが必要な場合は、新しいスイッチに直接接続された中間デバイスを設定する必要があります。この中間デバイスを介して、新しいスイッチはTFTP、ブートプロトコル(BOOTP)、およびドメイン生成アルゴリズム(DNS)要求を送信できます。この場合、自動インストールのTFTP要求を受信する場所として、中間デバイスのIPアドレスを指定します。

新規スイッチでの一般的な自動インストール プロセス

自動インストール用に設定されたスイッチの電源がオンになると、次の自動インストール タスクが実行されます。

1. スイッチは、接続された各インターフェイスで DHCP または BOOTP 要求を同時に送信して、IP アドレスを取得します。

   DHCPサーバーがこれらの要求に応答すると、以下の情報の一部またはすべてをスイッチに提供します。

   • 自動インストールインターフェースの IP アドレスとサブネットマスク。

   • 構成ファイルが格納されている(通常は)TFTPサーバー、ハイパーテキスト転送プロトコル(HTTP)サーバー、またはFTPサーバーの場所。

   • TFTPサーバーに要求する構成ファイルの名前。

   • TFTPサーバーのIPアドレスまたはホスト名。

     DHCPサーバーがサーバーのホスト名を提供する場合、名前をIPアドレスに解決するためのDNS サーバーがネットワーク上で使用可能である必要があります。

   • 設定サーバーがスイッチとは別のLANセグメント上にある場合の中間デバイスのIPアドレス。

2. スイッチが IP アドレスを取得した後、スイッチの自動インストール プロセスは、以下の方法で構成ファイルをダウンロードしようとします。

   1. DHCPサーバーがホスト固有の構成ファイルhostname.confを指定した場合、スイッチはTFTPサーバー要求でそのファイル名を使用します。新しいスイッチの自動インストール プロセスでは、hostname.conf に対して 3 つのユニキャスト TFTP 要求が行われます。これらの試みが失敗した場合、スイッチはファイルに対する使用可能なTFTPサーバーに3つの要求をブロードキャストします。

   2. スイッチが hostname.conf ファイルを見つけられない場合、自動インストール プロセスは、スイッチのホスト名と IP アドレスのマッピング情報を含む network.conf ファイルに対して 3 つのユニキャスト TFTP 要求を送信します。これらの試みが失敗した場合、スイッチはファイルに対する使用可能なTFTPサーバーに3つの要求をブロードキャストします。

   3. スイッチがスイッチのホスト名エントリーを含む network.conf ファイルを見つけられない場合、自動インストールプロセスはDNS 要求を送信し、スイッチのIPアドレスをホスト名に解決しようとします。

   4. スイッチはホスト名を決定すると、hostname.confファイルに対してTFTP要求を送信します。

   5. スイッチがIPアドレスをホスト名にマッピングできない場合、スイッチはデフォルト構成ファイル switch.confのTFTP要求を送信します。TFTP要求手順は、 network.conf ファイルの場合と同じです。

3. スイッチがTFTPサーバー上の構成ファイルを見つけると、自動インストール プロセスによってファイルがダウンロードされ、スイッチにファイルがインストールされ、設定がコミットされます。

サポートされている自動インストール インターフェイスとプロトコル

ルーターに自動インストールを行う前に、ルーターはIPアドレスまたはUSBキーを取得する必要があります。IP アドレス取得用に選択したプロトコルによって、自動インストールのためにネットワークに接続するルーター インターフェイスが決まります。ルーターは接続されたインターフェイスを検出し、インターフェイスに適したプロトコルでIPアドレスを要求します。自動インストールは、イーサネットLANインターフェイスを介してサポートされています。IPアドレスの取得に、JNUサテライトルーターは、DHCP、BOOTP、またはイーサネットLANインターフェイス上のRARP(Reverse Address Resolution Protocol)を使用します。

自動インストール構成ファイルを持つサーバが新しいルーターと同じLANセグメント上にない場合、またはネットワークで特定のルーターが必要な場合、新しいルーターに直接接続された中間ルーターを設定する必要があります。この中間ルーターを介して、新しいルーターはHTTP、FTP、TFTP(簡易ファイル転送プロトコル)、BOOTP、 およびドメイン生成アルゴリズム(DNS)要求。この場合、自動インストール用のHTTP、FTP、またはTFTP要求を受信する場所として、中間ルーターのIPアドレスを指定します。

新しいルーターでの一般的な自動インストール プロセス

ルーターに初めて電源を入れると、次の自動インストール タスクが実行されます。

1. 新しいルーターは、接続された各インターフェイスでDHCP、BOOTP、または RARP リクエストを同時に送信し、IP アドレスを取得します。

   DHCPサーバーが応答すると、次の情報の一部またはすべてがルーターに提供されます。

   • 自動インストールインターフェースの IP アドレスとサブネットマスク。

   • 構成ファイルが格納されている TFTP(通常は)、HTTP、または FTP サーバーの場所。

   • HTTP、FTP、または TFTP サーバから要求する構成ファイルの名前。

   • HTTP、FTP、または TFTP サーバーの IP アドレスまたはホスト名。

     DHCPサーバーがホスト名のみを提供する場合、名前をIPアドレスに解決するためのDNS サーバーがネットワーク上で使用可能になっている必要があります。

   • 構成サーバーが新しいルーターとは異なる LAN セグメント上にある場合の中間ルーターの IP アドレス。

2. 新しいルーターがIPアドレスを取得した後、ルーターの自動インストールプロセスは、次の方法で構成ファイルをダウンロードしようとします。

   1. 構成ファイルがURLとして指定されている場合、ルータはURLで指定されたプロトコルに応じて、HTTP、FTP、またはTFTPを使用してURLから構成ファイルを取得します。

   2. DHCPサーバーがホスト固有の構成ファイル(ブートファイル) hostname.confを指定した場合、ルーターはTFTPサーバー要求でそのファイル名を使用します。(ファイル名の hostname は、新しいルーターのホスト名です。)新しいルーターでの自動インストール プロセスでは、 hostname.conf に対して 3 つのユニキャスト TFTP 要求が行われます。これらの試みが失敗した場合、ルーターはファイルに対する利用可能なTFTPサーバーに3つのリクエストをブロードキャストします。

   3. 新しいルーターが hostname.conf を見つけられない場合、自動インストール プロセスは、ホスト名から IP アドレスへのマッピング情報を含む network.conf と呼ばれるデフォルト ルーター 構成ファイルの TFTP 要求をユニキャストまたはブロードキャストして、ホスト名の検索を試みます。

   4. network.conf に新しいルーターのホスト名エントリが含まれていない場合、自動インストール プロセスは DNS 要求を送信し、新しいルーターの IP アドレスをホスト名に解決しようとします。

   5. 新しいルーターがホスト名を特定できると、 hostname.conf ファイルに対してTFTP要求を送信します。

   6. 新しいルーターがそのIPアドレスをホスト名にマッピングできない場合、デフォルト構成ファイル router.confのTFTP要求を送信します。

3. 新しいルーターがTFTPサーバー上の構成ファイルを見つけると、自動インストール プロセスによってファイルがダウンロードされ、ルーターにファイルがインストールされ、設定がコミットされます。

EXシリーズイーサネットスイッチ、QFXシリーズデバイス、ACXシリーズユニバーサルメトロルーターなどのサテライトデバイスを管理するコントローラーとしてMXシリーズルーターを含むJunos Node Unifier(JNU)グループでは、サテライトデバイスに対して自動インストール機能がサポートされています。JNUには自動インストールメカニズムがあり、ネットワーク上またはリムーバブルメディアを介してローカルに利用可能な設定、あるいはその両方を組み合わせて使用することで、サテライトデバイスは手動操作なしですぐに設定することができます。この自動インストール方法は、 ゼロタッチ 機能とも呼ばれます。

ゼロタッチ設定には、次のようなメリットがあります。

• ルーターは、事前設定手順なしで倉庫から導入サイトに送ることができます。

• セルサイトにデバイスを展開するために必要な手順が簡素化され、運用コストと管理コストが削減されます。

• 大量のデバイスを短時間で展開することができます。

工場出荷時のデフォルト設定では、自動インストールが有効になっています。ルーターに最初の設定を行った後、次のいずれかを実行できます。

• JNUの工場出荷時のデフォルト・ファイルであるjnu-factory.confは、/etc/config/ディレクトリにあり、サテライト・デバイスで自動インストールを実行するための設定が含まれています。ゼロタッチ設定を無効にするには、[edit system autoinstallation]階層にdelete-after-commitステートメントを含め、設定をコミットします。こうすることで、保存された設定が次回のシステムの再起動時に使用されます。

• また、システムを再起動するたびにルーターがサーバーから設定を取得する必要がある場合は、ゼロタッチ設定を変更しないでください(つまり、[edit system autoinstallation]階層レベルでdelete-after-commitステートメントを含めて設定をコミットしないでください)。