ゼロタッチプロビジョニング
ゼロタッチプロビジョニングは、最小限の手動操作で、新しいデバイスのソフトウェアを自動的にインストールまたはアップグレードします。
ゼロタッチプロビジョニングの概要
ゼロタッチプロビジョニング(ZTP)により、最小限の手動操作で、ネットワーク内の新しいデバイスのプロビジョニングを自動的に行うことができます。デバイスに応じて、管理ポートまたはネットワーク ポートのいずれかを使用して、ネットワークに接続できます。デバイスをネットワークに物理的に接続し、工場出荷時のデフォルト設定で起動すると、デバイスはソフトウェア リリースをアップグレード(またはダウングレード)し、ネットワークから構成ファイルを自動的にインストールします。構成ファイルには、構成またはスクリプトを使用できます。スクリプトを使用すると、デバイス固有の設定ファイルを作成し、Webサーバに対してHTTPリクエスト操作を実行して、特定の設定ファイルまたはソフトウェアリリースをダウンロードできます。
ネットワーク上で必要なソフトウェア イメージおよびコンフィギュレーション ファイルを見つけるために、デバイスはダイナミック ホスト コンフィギュレーション プロトコル(DHCP)サーバで設定された情報を使用します。この情報を提供するようDHCPサーバーを設定しない場合、デバイスはプリインストールされたソフトウェアと工場出荷時のデフォルト設定で起動します。
特定のスイッチでは、PHC(Phone Home Client)を使用してスイッチのソフトウェアをプロビジョニングできます。スイッチの起動時に、DHCP サーバーから ZTP 用に受信した DHCP オプションがある場合、ZTP が再開されます。DHCP オプションが存在しない場合は、PHC が試行されます。PHC の詳細については、 Phone-Home クライアントを使用したバーチャルシャーシのプロビジョニングを参照してください。
どのプラットフォームが ZTP をサポートしているかを確認するには、ブラウザーで [Feature Explorer] に移動します。[Feature Explorer] ページの [ Explore Features ] セクションで、[ All Features] を選択します。[ Feature Grouped by Feature Family ] ボックスで、[Zero Touch Provisioning] を選択します。[ フィーチャの検索 ] 編集ボックスにフィーチャの名前を入力することもできます。ZTP サポートがどのように拡張されたかについて詳しくは、このトピックの最後にある「リリース履歴」の表を参照してください。
- ZTP ワークフロー
- スクリプトを使用したデバイスのプロビジョニング
- ゼロタッチ プロビジョニング再起動プロセスのトリガー
- ZTP に関する注意事項
- PTX1000 ルーターの WAN インターフェイスを使用したゼロ タッチ プロビジョニング
ZTP ワークフロー
デバイスがデフォルト設定で起動すると、次のイベントが発生します。
-
DHCPクライアントは、サポートされているインターフェイスで実行されます。
-
DHCP サーバーは IP アドレスをプロビジョニングし、ZTP プロセスに関連する応答に複数の DHCP オプションを含めます。
-
デバイスはDHCPオプションを処理し、設定ファイルの検索、スクリプトの実行、ソフトウェアのアップグレードやダウングレードを行います。
-
イメージと設定ファイルの両方が存在する場合は、イメージがインストールされ、設定が適用されます。
-
イメージ ファイルのみが存在する場合、イメージはデバイスにインストールされます。
-
イメージがデバイスにすでにインストールされているイメージと同じ場合、ZTP は続行し、インストール手順をスキップします。
-
デバイスでイメージを取得できなかった場合、ZTP はイメージの取得を再試行します。
-
イメージが破損している場合、インストールは失敗します。
何らかの理由でインストールに失敗した場合、ZTP は再起動します。
-
構成ファイルのみが存在する場合は、設定がダウンロードされます。
ファイルの最初の行が #!文字の後にインタプリタパスが続く場合、ファイルはスクリプトと見なされ、スクリプトはインタプリタによって実行されます。スクリプトがエラーを返す場合、ZTP ステートマシンはスクリプトを再取得し、スクリプトの実行を再試行します。
構成ファイルをダウンロードできない場合、ZTP プロセスは再度ダウンロードを試みます。
構成ファイルが破損していたり、構文エラーがあったり、デバイスでサポートされていないコマンドが含まれていたりすると、デバイスはコミットできず、再試行メカニズムが再起動します。
-
イメージまたは構成ファイルがない場合は、ZTP プロセスが再開されます。
-
ファイルサーバー情報がない場合、ZTP プロセスが再開されます。
-
設定がコミットされると、ZTP プロセスは成功したと見なされ、終了します。
スクリプトを使用したデバイスのプロビジョニング
ZTP プロセス中に、新しいネットワーク デバイスを接続して起動すると、デバイスは DHCP サーバーに IP アドレスを要求します。サーバーは、IPアドレスと、設定されている場合はデバイスのソフトウェアイメージおよび構成ファイルのファイル名と場所を提供します。構成ファイルには、構成またはスクリプトを使用できます。
構成ファイルが指定されている場合、オペレーティング システムはファイルの最初の行に基づいて、そのファイルがスクリプトであるかどうかを判断します。最初の行に #! 文字が含まれ、その後にインタープリターパスが続く場合、オペレーティングシステムはファイルをスクリプトとして扱い、指定されたインタプリタで実行します。
スクリプトがエラー(つまり、0 以外の値)を返す場合、ZTP ステートマシンはスクリプトを再取得し、実行を試みます。これは、スクリプトが正常に実行されるまで続きます。
表 1 は、サポートされるスクリプトタイプ、対応するインタープリターパス、ZTP プロセス中にそのスクリプトタイプをサポートするプラットフォームの概要を示しています。
| スクリプトの種類 |
インタプリタパス |
プラットフォームのサポート |
|---|---|---|
| シェルスクリプト |
|
すべてのデバイス |
| SLAX スクリプト |
|
すべてのデバイス |
| Python スクリプト |
|
拡張自動化機能を備えたJunos OS実行デバイス Junos OS Evolvedを実行しているデバイス |
セキュリティ上の理由から、Junos OS では、Junos OS を搭載したデバイスで署名されていない Python スクリプトを実行するための厳しい要件を設けています。拡張自動化を備えたJunos OSを実行するデバイスと、Junos OS Evolvedを実行するデバイスのみが、DHCPオプション43サブオプション01で署名されていないPythonスクリプトの使用をサポートしています。
オペレーティングシステムは、インタプリタパスが続く文字 #! 見つからない場合、ファイルをテキスト形式の設定として扱い、デバイス上に設定を読み込みます。
ゼロタッチ プロビジョニング再起動プロセスのトリガー
ZTP は、次のいずれかのイベントが発生すると再起動します。
-
構成ファイル、スクリプト ファイル、またはイメージ ファイルの要求が失敗します。
-
設定ファイルが正しくないため、コミットに失敗します。
-
構成ファイルもイメージファイルもありません。
-
イメージファイルが破損しており、インストールに失敗します。
-
ファイル・サーバー情報がありません。
-
DHCP サーバーに有効な ZTP パラメータが設定されていません。
-
どのDHCPクライアントインターフェイスもバインド状態にならない場合。
-
構成ファイルまたはイメージファイルの取得を 6 回試行すると、ZTP トランザクションが失敗します。
これらのイベントのいずれかが発生すると、ZTP はすべての DHCP クライアントが構成したインターフェイス(管理およびネットワーク)で DHCP クライアントステートマシンをリセットし、ステートマシンを再起動します。ステート マシンを再起動すると、DHCP クライアントは最新の DHCP サーバー構成パラメータを取得できます。
ZTP が再起動する前に、バインドされたおよびバインドされていない DHCP クライアントインターフェイスのリストを作成するのに十分な時間を確保するために、約 15 秒から 30 秒が経過する必要があります。
バインドおよびバインドされていないDHCPクライアントインターフェイスのリストには、次のものを含めることができます。
-
エントリはありません。
-
複数のDHCPクライアントインターフェイス。
DHCP サーバーからすべての ZTP パラメーター(ソフトウェアイメージファイル、構成ファイル、ファイルサーバー情報)を受信した DHCP クライアントインターフェイスが優先されます。
バインドされたクライアントインターフェイスとバインドされていないクライアントインターフェイスのリストが作成され、DHCP クライアントが ZTP アクティビティに選択されると、既存のデフォルトルートはすべて削除され、選択された DHCP クライアントインターフェイスは新しいデフォルトルートを追加します。新しいデフォルトルートを追加するには、1 つの ZTP インスタンスのみをアクティブにできます。
ZTPの再起動後、DHCPクライアントは最大6回、DHCPサーバーからのファイルの取得を試み、その間に10〜15秒が経過します。成功したかどうかにかかわらず、すべての試行はログに記録され、コンソールで確認できます。
障害が発生した場合、または試行回数が制限を超えた場合、ZTP は停止します。その後、ZTP は DHCP クライアントバインディングをクリアし、DHCP が設定されたインターフェイス上のステートマシンを再起動します。
ZTP 再起動プロセスは、ソフトウェアのアップグレードが成功するか、オペレータが手動でユーザー設定をコミットして ZTP 設定を削除するまで続行されます。
ZTP に関する注意事項
EXシリーズスイッチには、ダウングレードの制限が2つあります。
-
ZTP がサポートされていない Junos OS リリース 12.2 より前のソフトウェア バージョンにダウングレードした場合、ゼロタッチ プロビジョニング プロセスの構成ファイル自動インストール フェーズは行われません。
-
耐障害性デュアルルート パーティションをサポートしていないソフトウェア バージョン(Junos OS リリース 10.4R2以前)にダウングレードするには、デバイス上でいくつかの手動作業を実行する必要があります。詳細については、「 デュアルルート パーティションの設定」を参照してください。
QFXシリーズスイッチに関する注意事項は次のとおりです。
-
元の CLI を実行している QFX3500 および QFX3600 スイッチでは、ZTP を使用して Junos OS リリース 12.2 以降から Junos OS リリース 13.2X51-D15 以降にアップグレードすることはできません。
-
QFX5200 スイッチは、15.1X53-D30 の HTTP でのみ動作します。FTP プロトコルと TFTP プロトコルはサポートされていません。
-
QFX5100 スイッチの自動化が強化された Junos OS イメージでゼロタッチプロビジョニング(ZTP)を実行する場合は、サーバーから取得される構成ファイルの
[edit system]階層で、ルート認証と、Chef と Puppet のプロバイダー名、ライセンスタイプ、デプロイスコープを設定します。{ master:0} root# set root-authentication (encrypted-password password | plain-text-password password | ssh-dsa public-key | ssh-rsa public-key) root# set extensions providers juniper license-type customer deployment-scope commercial root# set extensions providers chef license-type customer deployment-scope commercial -
Junos OS リリース 18.1R1 では、ソフトウェアをアップグレードする場合、ソフトウェアのフル アップグレードを実行する必要があります。フルアップグレードには、Junos OSソフトウェアとホストソフトウェアパッケージの両方のアップグレードが含まれます。
PTX1000 ルーターの WAN インターフェイスを使用したゼロ タッチ プロビジョニング
ゼロタッチプロビジョニング(ZTP)により、最小限の手動操作で、ネットワーク内のルーターを自動的にプロビジョニングできます。Junos OS リリース 19.3R1 以降では、WAN インターフェイスまたは管理インターフェイスのいずれかを使用して、ZTP ブートストラップ プロセス中に適切なソフトウェアと構成ファイルをルーターに自動的にダウンロードしてインストールできます。
初めてルーターをネットワークに接続する際、ルーターで使用可能な任意の WAN ポートを選択して光インターフェイスを接続できます。ZTP は、光インターフェイス タイプに基づいて WAN インターフェイスを自動的に構成し、デバイスを動的ホスト構成プロトコル(DHCP)サーバーに接続してブートストラップ プロセスを実行します。
デバイスに接続された光インターフェイスタイプと WAN インターフェイス速度に基づいて作成された WAN インターフェイスは、ZTP が正常に完了するまで、サポートされているすべてのポート速度に自動移行します。速度の自動移行により、WANポートと接続した光インターフェイスとの物理リンクが確立され、ピアエンドデバイスがDHCPサーバーに接続されます。
PTX1000ポートマッピング は、PTX1000ルーターのポートで使用可能な組み合わせを示しています。
DHCP オプションを使用したゼロ タッチ プロビジョニング
ゼロタッチプロビジョニング(ZTP)を使用すると、ネットワークに追加するジュニパーネットワークデバイスを自動的にプロビジョニングできます。実行するスクリプトまたは読み込む構成ファイルのいずれかを使用して、サポートされている任意のデバイスをプロビジョニングできます。また、ZTP を使用するには、この手順で提供される必要な情報を使用して DHCP サーバーを構成する必要があります。
必要に応じて、Phone Home サーバーまたはリダイレクト サーバーの HTTP プロキシ サーバーを設定できます。Phone-Home クライアントが DHCP オプション 43 サブオプション 8 を介して HTTP プロキシ サーバーに関する情報を受信すると、プロキシ サーバーとの HTTPS 透過トンネルが作成されます。トンネルが確立されると、Phone Home クライアントは、そのトンネルを Phone Home サーバーまたはリダイレクト サーバーのプロキシとして使用します。Phone-Home クライアントは、トンネルを介してソフトウェア イメージと構成ファイルをデバイスにダウンロードします。ブートストラップが完了すると、デバイスが再起動し、トンネルが終了します。
ZTPでは、デバイスが工場出荷時のデフォルト状態である必要があります。工場出荷時のデバイスは、プリインストールされたソフトウェアと工場出荷時のデフォルト設定で起動します。現在工場出荷時のデフォルト設定がないデバイスでは、 request system zeroize コマンドを発行できます。
request system zeroize コマンドは、PTX1000、PTX10001-20C、QFX10002-60C、PTX10002-60C デバイスではサポートされていません。PTX1000 ルーターの工場出荷時のデフォルト設定には、request system zeroize ではなく request vmhost zeroize コマンドを発行する必要があります。
PTX10001-20C デバイスでは、 request vmhost zeroize コマンドを発行すると、次のメッセージが 2 回表示されます。 VMHost Zeroization : Erase all data, including configuration and log files ? [yes,no] (no) yes warning: Vmhost will reboot and may not boot without configuration Erase all data, including configuration and log files? [yes,no] (no) yes
開始する前に、以下を実行します。
-
デバイスが次のネットワークリソースにアクセスできることを確認します。
-
ネットワーク上のソフトウェアイメージと設定ファイルの場所を提供するDHCPサーバー
設定手順については、DHCPサーバーのマニュアルを参照してください。
-
ソフトウェア イメージおよびコンフィギュレーション ファイルが保存されているファイル転送プロトコル(anonymous FTP)、ハイパーテキスト転送プロトコル(HTTP)、またはハイパーテキスト転送プロトコル セキュア(HTTPS)、または Trivial File Transfer Protocol(TFTP)サーバ
手記:TFTPはサポートされていますが、トランスポートプロトコルの信頼性が高いため、代わりにFTPまたはHTTPを使用することを推奨します。
注意:HTTP URL の長さは 256 文字に制限されています。
-
DNS 逆引き参照を実行するためのドメイン生成アルゴリズム (DNS) サーバー (サポートされていません)。
-
(オプション)ネットワーク上で時刻同期を実行するためのNTPサーバ
-
(オプション)システムログメッセージとアラートを管理するためのシステムログ(syslog)サーバー。
Syslog メッセージは、ZTP 中にこの syslog サーバーに転送されます。
-
-
(オプション)Phone-Home サーバーまたはリダイレクト サーバーの HTTP プロキシ サーバー。
-
デバイスのMACアドレスを見つけて記録します。
PTX10008デバイスでは、管理MACアドレスはルーティングエンジンに配置されています。
デバイスがソフトウェア アップデート プロセスを実行している間は、設定をコミットできません。デバイスが構成ファイルの自動インストール プロセスを実行している間に設定をコミットすると、プロセスは停止し、構成ファイルはネットワークからダウンロードされません。
DHCP オプションを使用してデバイスのゼロタッチ プロビジョニングを有効にするには:
DHCPv6オプションを使用したゼロタッチプロビジョニング
DHCPv6 オプションを使用したゼロタッチ プロビジョニング(ZTP)は、Junos OS Flex イメージではサポートされていません。Flex イメージのファイル名には「flex」という単語が含まれています。Flex イメージのファイル名の例は、 jinstall-host-qfx-5e-flex-x86-64-20.4R3.8-secure-signed.tgz です。
DHCPv6 プロトコルには、サブネット ルートを学習してインストールするためのIA_NA (非一時アドレスの ID アソシエーション) のサブネット オプションはありません。代わりに、サブネット ルートは近隣探索プロトコルを介してインストールされます。
IPv6では、デバイスはルーターアドバタイズメント(RA)メッセージを使用して、他のリンクパラメータとともにIPv6プレフィックスを定期的にアドバタイズします。クライアント(ZTP を実行しているジュニパーデバイス)では、DHCPv6 クライアントがバインドされると、近隣検索プロトコル(NDP)がこれらのプレフィックスを学習し、クライアントインターフェイスを介してプレフィックスルートをインストールし、ネクストホップをゲートウェイデバイスのローカルアドレスへのリンクとして使用します。
クライアントデバイスでは、ルーターアドバタイズメント設定は、DHCPv6設定とともにデフォルトで有効になっています。
-
デバイスが次のネットワークリソースにアクセスできることを確認します。
-
ネットワーク上のソフトウェアイメージと設定ファイルの場所を提供するDHCPサーバー
設定手順については、DHCPサーバーのマニュアルを参照してください。
-
MXシリーズでは、ソフトウェアイメージと設定ファイルが保存されているファイル転送プロトコル(anonymous FTP)、簡易ファイル転送プロトコル(TFTP)、ハイパーテキスト転送プロトコル(HTTP)、またはハイパーテキスト転送プロトコルセキュア(HTTPS)サーバー。
注意:HTTP URL の長さは 256 文字に制限されています。
-
EX3400、EX4300、QFX5100、QFX5200 デバイスでは、ソフトウェア イメージと設定ファイルが保存されているハイパーテキスト転送プロトコル(HTTP)またはハイパーテキスト転送プロトコルセキュア(HTTPS)サーバー。
注意:HTTP URL の長さは 256 文字に制限されています。
-
(オプション)Phone-Home サーバーまたはリダイレクト サーバーの HTTP プロキシ サーバー。
-
-
デバイスに印刷されているMACアドレスを見つけて記録します。
ゼロタッチプロビジョニング(ZTP)を使用すると、ネットワークに追加するジュニパーネットワークデバイスを自動的にプロビジョニングできます。実行するスクリプトまたは読み込む構成ファイルのいずれかを使用して、サポートされている任意のデバイスをプロビジョニングできます。
ZTP を使用するには、必要な情報を提供するよう DHCP サーバーを設定します。この情報を提供するようDHCPサーバーを設定しない場合、デバイスはプリインストールされたソフトウェアと工場出荷時のデフォルト設定で起動します。デバイスが工場出荷時のデフォルト状態でない場合は、 request system zeroize コマンドを発行できます。
必要に応じて、Phone Home サーバーまたはリダイレクト サーバーの HTTP プロキシ サーバーを設定できます。Phone-Home クライアントが DHCP オプション 17 サブオプション 8 を介して HTTP プロキシ サーバーに関する情報を受信すると、プロキシ サーバーとの HTTPS 透過トンネルが作成されます。トンネルが確立されると、Phone Home クライアントは、そのトンネルを Phone Home サーバーまたはリダイレクト サーバーのプロキシとして使用します。Phone-Home クライアントは、トンネルを介してソフトウェア イメージと構成ファイルをデバイスにダウンロードします。ブートストラップが完了すると、デバイスが再起動し、トンネルが終了します。
Junos OS リリース 20.2R1-S1 以降、DHCPv6 クライアントは、MX シリーズ、EX3400、EX4300、QFX5100、QFX5200 スイッチでサポートされています。DHCPv4 と DHCPv6 の両方のクライアントが、デフォルト設定の一部として含まれています。ブートストラップ プロセス中、デバイスはまず DHCPv4 クライアントを使用して、DHCP サーバーからイメージおよび構成ファイルに関する情報を要求します。デバイスは、DHCPv4バインディングを順次チェックします。DHCPv4 バインディングの 1 つで障害が発生した場合、デバイスはプロビジョニングが成功するまでバインディングのチェックを続けます。ただし、DHCPv4 バインディングがない場合、デバイスは DHCPv6 バインディングを確認し、デバイスを正常にプロビジョニングできるようになるまで DHCPv4 と同じプロセスに従います。DHCP サーバーは、DHCPv6 オプション 59 と 17、および該当するサブオプションを使用して、サーバーと DHCP クライアント間で ZTP 関連の情報を交換します。
デバイスがソフトウェア アップデート プロセスを実行している間は、設定をコミットできません。デバイスが構成ファイルの自動インストール プロセスを実行している間に設定をコミットすると、プロセスは停止し、構成ファイルはネットワークからダウンロードされません。
DHCPv6 オプションを使用するデバイスでゼロタッチ プロビジョニングを使用するには、次の手順を実行します。
SRXシリーズファイアウォールでのゼロタッチプロビジョニング
- SRXシリーズファイアウォールのゼロタッチプロビジョニングを理解する
- SRXシリーズファイアウォールでゼロタッチプロビジョニングを設定する
- ゼロタッチプロビジョニング用SRXシリーズファイアウォールの工場出荷時のデフォルト設定について
SRXシリーズファイアウォールのゼロタッチプロビジョニングを理解する
このトピックは、以下のセクションで構成されています。
SRXシリーズファイアウォールのZTPを理解する
ゼロタッチプロビジョニング(ZTP)により、デバイスのプロビジョニングと設定を自動的に行うことができ、ネットワークにデバイスを追加するために必要な手動操作のほとんどを最小限に抑えることができます。ZTP は、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500 の各デバイスでサポートされています。
Junos OS リリース 20.2R1以降、SRX300、SRX320、SRX340、SRX345、SRX550 HM、SRX1500のデバイスでは、ゼロタッチプロビジョニングとDHCPオプションを使用してデバイスをプロビジョニングできます。詳細については、「 DHCP オプションを使用したゼロ タッチ プロビジョニング 」を参照してください。
ZTP は現在、SRX1500 の xe-0/0/16 ポートと xe-0/0/17 ポートでサポートされています。これらのポートを使用しないために、xe-0/0/18およびxe-0/0/19ポートに以下のデフォルト設定を追加しました。
set interfaces xe-0/0/18 unit 0 family inet dhcp vendor-id Juniper-srx1500 set interfaces xe-0/0/19 unit 0 family inet dhcp vendor-id Juniper-srx1500 set security zones security-zone untrust interfaces xe-0/0/18.0 host-inbound-traffic system-services dhcp set security zones security-zone untrust interfaces xe-0/0/18.0 host-inbound-traffic system-services tftp set security zones security-zone untrust interfaces xe-0/0/18.0 host-inbound-traffic system-services https set security zones security-zone untrust interfaces xe-0/0/19.0 host-inbound-traffic system-services dhcp set security zones security-zone untrust interfaces xe-0/0/19.0 host-inbound-traffic system-services tftp set security zones security-zone untrust interfaces xe-0/0/19.0 host-inbound-traffic system-services https
SRXシリーズファイアウォール上のZTPは、デバイスの電源がオンのとき、デバイスの初期起動と設定を行います。この機能には、次のものが含まれます。
-
デバイスの必要最低限のブートストラップを提供します。SRXシリーズファイアウォールは、工場出荷時のデフォルト設定で出荷されます。工場出荷時のデフォルト設定には、セキュアな暗号化接続を使用して中央サーバーに接続するために使用されるリダイレクト サーバーの URL が含まれています。
-
SRXシリーズファイアウォールが工場出荷時のデフォルト設定で起動したときに、インターネット経由でサーバーに自動的に接続し、お客様またはユーザーが指定した設定とJunos OSイメージをサーバーからダウンロードします。まず新しいイメージをインストールしてから、初期設定が適用され、SRXシリーズファイアウォールにコミットされます。
ZTP には以下のメリットがあります。
-
導入の簡素化と迅速化
-
構成精度の向上
-
追加リソースなしでネットワークの拡張をサポート
ZTPプロセスでは、ネットワークアクティベーターを使用して、最初にSRXシリーズファイアウォールをプロビジョニングします。
Network Activatorの概要
Network Service Activatorは、迅速なデバイス検出とプロビジョニングを可能にして、自動構成を可能にするため、複雑なデバイス設定が不要になります。
Network Activatorはまず、エンドユーザーのサイトに存在するSRXシリーズファイアウォール(以下、本ドキュメントでは リモートデバイス と呼びます)をプロビジョニングします。リモートデバイスは、すべての対話に完全な承認と認証を提供するプロセスを使用して、Network Activatorをホストしているサーバーからブートイメージと初期設定ファイルをダウンロードします。初期プロビジョニングが完了すると、リモート デバイスは管理サーバーと通信し、管理サーバーはリモート デバイスの管理と監視を開始します。
Network Activatorは、分散アーキテクチャを使用してリモートデバイスをサポートします。Network Activator は、1 つの集中管理サーバー(中央サーバー)と複数の地域管理サーバー(地域サーバー)にインストールされます。デバイスは、割り当てられた地域サーバーと直接通信します。分散型アーキテクチャにより、初期プロビジョニングプロセスの効率を最適化し、ネットワークのハイパフォーマンスと拡張性に貢献します。
図 1 :分散アーキテクチャと、初期プロビジョニング プロセスに関連するコンポーネントについて説明します。
の初期プロビジョニングに関連するコンポーネント
初期プロビジョニングプロセスにおけるコンポーネントの役割は次のとおりです。
-
リモート デバイスが初期プロビジョニングの要求を送信します。リモートデバイスは、エンドユーザーの場所に常駐します。
-
リダイレクト ツールは、ITU-T X.509 PKI(秘密キー基盤)デジタル証明書を使用して、リモート デバイスが割り当てられた地域サーバーにアクセスするための認証と承認を提供します。リダイレクトサービスは、ジュニパーネットワークスが運用および保守するAmazon Web Services(AWS)でホストされています。
-
中央サーバーはネットワークアクティベーターをホストし、地域アクティベーターサーバーと通信します。サービスプロバイダまたは中央企業の拠点の管理者は、このサーバーと対話して、Network Activatorをインストールして設定します。中央サーバーは、サービス・プロバイダーの地理的な中心的な場所にあります。
-
リージョン サーバーは、ネットワーク アクティベーターもホストします。このサーバーは、割り当てられたリモートデバイスに関する情報を保存し、それらのデバイスと直接通信します。このサーバーは、通常、プロバイダーがエンド ユーザー用に指定した地域の管理上の場所に常駐します。
図 2 は、初期プロビジョニングのワークフローを示しています。
のワークフロー
具体的には、プロビジョニングワークフローは次のように進行します。
-
サービスプロバイダの管理者は、以下を実行します。
-
中央サーバーにNetwork Activatorをインストールしてセットアップします。
-
リダイレクトツールにリモートデバイスと地域サーバーを追加します。
-
-
中央サーバーは、インストールを地域サーバーに転送します。
-
エンド ユーザーは、リモート デバイスの電源をオンにしてコンピューターに接続し、Web ページに認証コードを入力して、初期プロビジョニングの要求を送信します。
-
デバイスは、その X.509 証明書と完全修飾ドメイン名(FQDN)をプロビジョニング要求としてリダイレクト ツールに送信します。
-
リダイレクト ツールは、管理者がこのデバイスに指定した地域サーバーのデータ ストアを検索し、デバイスの要求がサーバーに指定された X.509 証明書と一致することを確認します。
-
リダイレクト ツールは、地域サーバーの連絡先情報をデバイスに送信します。
-
デバイスは、ブート イメージの URL と初期設定の場所の要求をリージョン サーバーに送信します。
-
地域サーバーがデバイスに情報を送信します。
-
デバイスは、リージョン サーバーからブート イメージと構成を取得します。
-
デバイスは、ブート イメージと構成を使用して起動し、動作可能になります。
制限
-
正しいアクティベーションコードの入力試行回数に制限はありません。
-
リモート デバイスがサーバーにアクセスできない場合(工場出荷時のデフォルト設定で設定されたアドレスが正しくないか、サーバーがダウンしているなどの理由)、リモート デバイスは代替サーバーへの接続を試みます(工場出荷時のデフォルト設定で設定されている場合)。サーバーが 1 つしか構成されていない場合は、接続を再試行できます。このようなシナリオでは、コンソールからデバイスを手動で設定することをお勧めします。
-
アクティベーションコードを入力するための認証Webページにユーザーを自動的にリダイレクトするために必要なキャプティブ ポータルリダイレクトはサポートされていません。デバイスに接続した後、アクティベーションページに手動で移動する必要があります。
SRXシリーズファイアウォールでゼロタッチプロビジョニングを設定する
開始する前に、以下を実行します。
-
デバイスを開梱し、設置し、必要なケーブル配線を完了し、ラップトップまたはその他の端末デバイスを接続して、デバイスの電源を入れます。詳細については、お使いのデバイスの 『ハードウェアインストールガイド 』を参照してください。
-
SRX300、SRX320、SRX340、SRX345、SRX550M デバイスの場合は、管理デバイスを接続し、J-Web インターフェイスにアクセスします。
詳細については、 SRX300、 SRX320、 SRX340、 SRX345、 SRX550Mの各デバイスのクイック スタート ガイドを参照してください。
ZTP を使用するオプションが提供されます。このオプションを使用することも、スキップして J-Web ウィザードに進むこともできます。
-
SRX1500 デバイスの場合、J-Web を使用してデバイスを設定する前に、CLI にアクセスしてルート認証と管理インターフェイスを設定する必要があります。詳細については、「 SRX1500 サービスゲートウェイを設定する方法」を参照してください。
このセクションでは、SRXシリーズファイアウォールでZTPを使用してデバイスの初期プロビジョニングを行う手順を説明します。
ZTPを使用してSRXシリーズファイアウォールをプロビジョニングするには、次の手順に従います。
- 管理デバイスから Web ブラウザーを起動し、Web ページに認証コードを入力します ( 図 3 を参照)。
図 3: ZTP
のアクティベーション コード入力
デバイスの認証に成功すると、 図4に示すように、サーバからソフトウェアイメージと初期設定のダウンロードが開始されます。
図4:ZTPプロセス(ソフトウェアイメージのダウンロード)
の開始
このステップでは、次のことを行います。
-
アクティベーションコードがサーバーに送信され、認証が成功すると、サーバーは初期設定をデバイスにプッシュします。認証に失敗した場合は、正しいコードを入力するように求められます。
-
サーバーは、オプションで、SRXシリーズファイアウォールに新しいソフトウェアイメージをプッシュできます。この場合、新しいイメージが最初にインストールされ、次に初期設定がデバイスに適用されてコミットされます。
新しいイメージがインストールされ、初期設定がデバイスに適用されてコミットされます。プロセスが完了すると、確認メッセージが表示されます ( 図 5 参照)。
図 5:ZTP プロセス
の完了
-
新しいソフトウェア イメージと設定がシステムに正常にインストールされると、クライアントはイメージと設定を提供したサーバーに bootstrap-complete 通知を送信します。通知が送信されると、サーバーの名前を含む構成がシステムから削除されます。次回 ZTP を使用する場合は、リダイレクトサーバーの URL を明示的に設定する必要があります。
いずれかの段階で障害が発生した場合、手順は最初からやり直されます。
ZTP プロセスは、Junos OS バージョンをアップグレードまたはダウングレードします。SRXシリーズファイアウォールでのダウングレード中に、ZTPがサポートされていないJunos OS リリース15.1X49-D100より前のソフトウェアバージョンにダウングレードすると、ZTPプロセスの自動インストールフェーズは行われません。
SRX300、SRX320、SRX340、SRX345、およびSRX550Mデバイスでは、ZTPがデバイスのプロビジョニングのデフォルトの方法です。ただし、J-Web ベースのプロビジョニング(SRX300 シリーズのデバイスと SRX550M デバイスでサポートされている J-Web セットアップ ウィザード)を使用する場合は、ZTP の代わりに、クライアント ポータルで提供されるオプションを使用して、J-Web セットアップ ウィザードにスキップして、デバイスのソフトウェアの初期構成を実行できます。
「 Skip to JWeb 」オプションを選択した場合は、 図 6 に示すように、システムの root 認証パスワードを構成する必要があります。
の設定
SRX1500デバイスでは、[ JWeb にスキップ ] オプションはサポートされていません。J-Web にアクセスするには、CLI を使用した SRX1500 の初期設定時に ZTP クライアント設定を削除する必要があります。
ゼロタッチプロビジョニング用SRXシリーズファイアウォールの工場出荷時のデフォルト設定について
サービス ゲートウェイは、工場出荷時のデフォルト設定で出荷されます。以下は、ZTP の設定を含むデフォルト設定の例です。
system {
phone-home {
rfc-compliant;
server https://redirect.juniper.net;
}
}
この構成では、次の点に注意してください。
-
serverは、サーバーの名前または IP アドレスを示します。SRXシリーズファイアウォールの工場出荷時のデフォルト設定には、複数のサーバーのIPアドレスが含まれている場合があります。 -
rfc-compliantは、アップグレード後、サーバーが RFC 標準に準拠する特定の動作を実施することを示します。
デフォルトでは、システムの自動インストール設定は、デバイスの工場出荷時のデフォルト設定の一部です。そのため、管理者は、地域サーバーからリモート デバイス(SRXシリーズファイアウォール)に送信される構成ファイルに、工場出荷時のデフォルト設定に delete system autoinstallation オプションが含まれていることを確認する必要があります。
ゼロタッチプロビジョニングの監視
コンソールおよび動作モードコマンドを使用して、ゼロタッチプロビジョニングを監視できます。
- コンソールを使用した Junos OS でのゼロタッチ プロビジョニングの監視
- システム ログ アラートを使用したゼロ タッチ プロビジョニングの監視
- エラーメッセージを使用したゼロタッチプロビジョニングの監視
- システム ログ ファイルを使用した DHCP オプションを使用した Junos OS でのゼロ タッチ プロビジョニングの監視
- システム ログ ファイルを使用し、DHCPv6 オプションを使用した Junos OS でのゼロ タッチ プロビジョニングの監視
- show dhcp client binding コマンドの使用
- show dhcpv6 client binding コマンドの使用
- show dhcp client statistics コマンドの使用
- show dhcpv6 client statistics コマンドの使用
コンソールを使用した Junos OS でのゼロタッチ プロビジョニングの監視
ZTP プロセス中に、以下のゼロタッチプロビジョニング(ZTP)アクティビティがコンソールに表示されます。
-
ZTP プロセスの開始時刻と終了時刻。
-
バインドおよびバインドされていないDHCPクライアントインターフェイスのリスト。
-
DHCPサーバがDHCPクライアントに送信するDHCPオプション。
-
どのインターフェイスが ZTP に使用されているかを示すログ。
-
DHCP クライアントが DHCP サーバーから取得する ZTP パラメーター。
-
設定ファイルとイメージ ファイルのファイル名、ファイル サーバーの名前、ファイルの取得に使用されるプロトコル、DHCP サーバーが設定ファイルとイメージ ファイルを取得する時間。
-
ファイルがサーバー上にない、またはサーバーに到達できないことによって引き起こされる障害状態、およびタイムアウト。
-
現在の ZTP サイクルでの再試行回数と残りの試行回数。
-
ファイル転送の完了。
-
ZTP プロセスのインストール、再起動、および状態。
-
内部状態エラーと ZTP プロセスの終了。
-
既定のルートが追加または削除されたときのログ。
システム ログ アラートを使用したゼロ タッチ プロビジョニングの監視
目的
この例では、システム ログ アラートが、自動イメージ アップグレードが開始されることを警告します。
アクション
次のシステム ログ アラートを使用して、自動イメージ アップグレード プロセスを監視します。
“ALERT:Auto-image upgrade will start. This can terminate config CLI session(s). Modified configuration will be lost. To stop Auto-image, in CLI do the following: 'edit; delete chassis auto-image-upgrade; commit'.” “Checking whether image upgrade is already invoked”
意味
このシステム ログ アラートは、自動イメージ アップグレードが開始されることを示し、自動イメージ アップグレード プロセスを停止する方法に関する情報を提供します。
エラーメッセージを使用したゼロタッチプロビジョニングの監視
システム ログ ファイルを使用した DHCP オプションを使用した Junos OS でのゼロ タッチ プロビジョニングの監視
目的
システム ログ ファイルは、自動アップグレード プロセスの状態、バインドされたおよびバインドされていない DHCP クライアント インターフェイスのリスト、ファイル サーバーの IP アドレス、イメージと構成ファイルの名前と場所、構成ファイルとイメージ ファイルの取得の成功と失敗に関する情報を提供します。
アクション
次のシステム ログ ファイルの情報を使用して、自動アップグレード プロセスを監視します。
Auto Image Upgrade: Start fetching config-file file from server 10.1.1.1 through irb using ftp Auto Image Upgrade: Tried [2] attempts to fetch config-file file from server 10.1.1.1 through irb. Summary: "Retrieving /config-file :: Failed to open file.". To retry [4] times. Auto Image Upgrade: Tried [4] attempts to fetch config-file file from server 10.1.1.1 through irb. Summary: "Retrieving /config-fileconfig-file :: Failed to open file.". To retry [2] times. Auto Image Upgrade: Tried [6] attempts to fetch config-file file from server 10.1.1.1 through irb. Summary: "Retrieving /config-file :: Failed to open file.". To retry [0] times. Auto Image Upgrade: All [6] attempts to fetch config-file file from server 10.1.1.1 through irb FAILED. Start retry again in few minutes.
意味
これらのシステム ログ ファイルは、ファイル サーバからの構成ファイルの取得に 6 回失敗したこと、ファイル サーバの IP アドレス、DHCP クライアント インターフェイス名、および再試行プロセスの発生回数を示します。
システム ログ ファイルを使用し、DHCPv6 オプションを使用した Junos OS でのゼロ タッチ プロビジョニングの監視
目的
システム ログ ファイルは、自動アップグレード プロセスの状態、バインドされたおよびバインドされていない DHCP クライアント インターフェイスのリスト、ファイル サーバーの IP アドレス、イメージと構成ファイルの名前と場所、構成ファイルとイメージ ファイルの取得の成功と失敗に関する情報を提供します。
アクション
次のシステム ログ ファイルの情報を使用して、自動アップグレード プロセスを監視します。
Auto Image Upgrade: Tried [2] attempts to fetch junos-vmhost-install -20.2.tgz file from server 2001:db8::1 through et-0 /0/0:2. Summary: "fetch-secure: https://[2001:*: Connection refused". To retry [4] times. Auto Image Upgrade: Tried [4] attempts to fetch junos-vmhost-install -20.2.tgz file from server 2001:db8::1 through et-0 /0/0:2. Summary: "fetch-secure: https://[2001:*: Connection refused". To retry [2] times. Auto Image Upgrade: Tried [6] attempts to fetch junos-vmhost-install- 20.2.tgz file from server 2001:db8::1 through et-0 /0/0:2. Summary: "fetch-secure: https://[2001:*: Connection refused". To retry [0] times.
意味
これらのシステム ログ ファイルは、ファイル サーバーからのイメージ ファイルの取得に 6 回失敗したこと、ファイル サーバーの IP アドレス、DHCPv6 クライアント インターフェイス名、および再試行プロセスが発生した回数を示します。
show dhcp client binding コマンドの使用
目的
show dhcp client binding コマンドを発行して、DHCP クライアント バインディング情報を表示します
アクション
show dhcp client binding コマンドを発行して、DHCP クライアントの IP アドレス、DHCP クライアントのハードウェア アドレス、DHCP クライアントの IP アドレスのリースの期限が切れる秒数、バインディング テーブル内の DHCP クライアント IP アドレスの状態、アクティブなクライアント バインディングを持つインターフェイスの名前を表示します。
DHCPクライアントバインディングを表示
user@device# show dhcp client binding IP address Hardware address Expires State Interface 10.0.0.0 00:22:83:2a:db:dc 0 SELECTING irb.0 10.6.6.13 00:22:83:2a:db:dd 49201 BOUND vme.0 10.0.0.0 00:22:83:2a:db:df 0 SELECTING xe-0/0/0.0 10.0.0.0 00:22:83:2a:db:e0 0 SELECTING xe-0/0/1.0
意味
このコマンドの出力は、バインドされた 1 つのクライアント インターフェイスがあり、DHCP サーバーから DHCP オファーを受信しているインターフェイスが 3 つあることを示しています。
show dhcpv6 client binding コマンドの使用
目的
show dhcpv6 client binding コマンドを発行して、DHCP クライアント バインディング情報を表示します
アクション
show dhcp6 client binding コマンドを発行して、DHCPv6 クライアントの IP アドレス、DHCPv6 クライアントのハードウェア アドレス、DHCPv6 クライアントの IP アドレス リースの期限が切れる秒数、バインディング テーブル内の DHCPv6 クライアント IP アドレスの状態、およびアクティブなクライアント バインディングを持つインターフェイスの名前を表示します。
DHCPv6クライアントバインディングを表示
user@device# show dhcpv6 client binding IP/prefix Expires State ClientType Interface Client DUID 2001:db8::10 57 SELECTING STATEFUL em0.0 LL0x3-54:4b:8c:d3:a2:34 2001:db8::10 46 SELECTING STATEFUL em2.0 LL0x3-54:4b:8c:d3:a2:35 2001:db8::10 38 SELECTING STATEFUL et-0/0/0:0.0 LL0x3-54:4b:8c:d3:a2:3b 2001:db8::10 530 BOUND STATEFUL et-0/0/0:1.0 LL0x3-54:4b:8c:d3:a2:3c
意味
このコマンドの出力は、バインドされた 1 つのクライアント インターフェイスがあり、DHCP サーバーから DHCPv6 オファーを受信しているインターフェイスが 3 つあることを示しています。
show dhcp client statistics コマンドの使用
目的
show dhcp client statistics コマンドを発行して、DHCP クライアントの統計情報を表示します。
アクション
show dhcp client statistics コマンドを発行して、ドロップされたパケット数、送受信された DHCP および BOOTP メッセージの数などの DHCP クライアント統計情報を表示します。
DHCPクライアント統計を表示
user@device# show dhcp client statistics
Packets dropped:
Total 14
Send error 14
Messages received:
BOOTREPLY 5
DHCPOFFER 1
DHCPACK 4
DHCPNAK 0
DHCPFORCERENEW 0
Messages sent:
BOOTREQUEST 6751
DHCPDECLINE 0
DHCPDISCOVER 6747
DHCPREQUEST 4
DHCPINFORM 0
DHCPRELEASE 0
DHCPRENEW 0
DHCPREBIND 0
意味
このコマンドの出力には、エラーでドロップされたパケットの数、受信した BOOTREPLY および DHCPOFFER メッセージの数、送信された BOOTREQUEST および DHCPREQUEST メッセージの数が表示されます。
show dhcpv6 client statistics コマンドの使用
目的
show dhcpv6 client statistics コマンドを発行して、DHCPv6 クライアントの統計情報を表示します。
アクション
show dhcpv6 client statistics コマンドを発行して、ドロップされたパケット数や送受信された DHCPv6 メッセージの数などの DHCPv6 クライアント統計情報を表示します。
DHCPv6クライアント統計を表示
user@device# show dhcpv6 client statistics
Dhcpv6 Packets dropped:
Total 20323
Bad Send 7580
Bad Options 12743
Messages received:
DHCPV6_ADVERTISE 13
DHCPV6_REPLY 109
DHCPV6_RECONFIGURE 0
Messages sent:
DHCPV6_DECLINE 0
DHCPV6_SOLICIT 879
DHCPV6_INFORMATION_REQUEST 0
DHCPV6_RELEASE 0
DHCPV6_REQUEST 9
DHCPV6_CONFIRM 0
DHCPV6_RENEW 61
DHCPV6_REBIND 41
意味
このコマンドの出力には、エラーでドロップされたパケットの数と、送受信された DHCPV6 メッセージの数が表示されます。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。