Aprovisionamiento sin intervención
El aprovisionamiento sin intervención instala o actualiza el software automáticamente en sus nuevos dispositivos de Juniper Networks con una intervención manual mínima.
Descripción general del aprovisionamiento sin intervención
El aprovisionamiento sin intervención (ZTP) le permite aprovisionar nuevos dispositivos de Juniper Networks en su red automáticamente, con una intervención manual mínima. Puede usar puertos de administración o puertos de red, según su dispositivo, para conectarse a la red. Cuando conecta físicamente un dispositivo a la red y lo arranca con una configuración predeterminada de fábrica, el dispositivo actualiza (o degrada) la versión de software e instala automáticamente un archivo de configuración desde la red. El archivo de configuración puede ser una configuración o un script. Mediante scripts puede crear archivos de configuración específicos del dispositivo y realizar operaciones de solicitud HTTP a servidores web para descargar archivos de configuración o versiones de software específicos.
Para buscar la imagen de software y los archivos de configuración necesarios en la red, el dispositivo utiliza información que ha configurado en un servidor de Protocolo de configuración dinámica de host (DHCP). Si no configura el servidor DHCP para proporcionar esta información, el dispositivo arrancará con el software preinstalado y la configuración predeterminada de fábrica.
Para ciertos conmutadores, puede usar el cliente de teléfono residencial (PHC) para aprovisionar software para el conmutador. Cuando se inicia el conmutador, si hay opciones DHCP recibidas del servidor DHCP para ZTP, ZTP se reanuda. Si las opciones DHCP no están presentes, se intenta PHC. Para obtener más información acerca de PHC, consulte Aprovisionar un chasis virtual mediante el cliente Phone-Home.
Para ver qué plataformas admiten ZTP, en un navegador, vaya al Explorador de características. En la sección Explorar características de la página Explorador de características, seleccione Todas las características. En el cuadro Características agrupadas por familia de características , seleccione Aprovisionamiento sin intervención. También puede escribir el nombre de la característica en el cuadro de edición Buscar características . Consulte la tabla Historial de versiones al final de este tema para obtener más detalles sobre cómo se ha ampliado la compatibilidad con ZTP.
- Flujo de trabajo ZTP
- Aprovisionamiento de un dispositivo mediante un script
- Activadores del proceso de reinicio del aprovisionamiento sin intervención
- Advertencias relacionadas con ZTP
- Aprovisionamiento sin intervención mediante interfaces WAN en enrutadores PTX1000
Flujo de trabajo ZTP
Cuando un dispositivo se inicia con la configuración predeterminada, se producen los siguientes eventos:
-
El cliente DHCP se ejecuta en interfaces compatibles.
-
El servidor DHCP aprovisiona una dirección IP e incluye varias opciones DHCP en la respuesta relacionadas con el proceso ZTP.
-
El dispositivo procesa las opciones de DHCP y localiza los archivos de configuración, ejecuta scripts y actualiza o degrada el software.
-
Si los archivos de imagen y de configuración están presentes, la imagen se instala y se aplica la configuración.
-
Si solo está presente el archivo de imagen, la imagen se instala en el dispositivo.
-
Si la imagen es la misma que la imagen ya instalada en el dispositivo, ZTP continúa y omite el paso de instalación.
-
Si el dispositivo no pudo recuperar la imagen, ZTP intentará recuperar la imagen nuevamente.
-
Si la imagen está dañada, la instalación falla.
Si la instalación falla por cualquier motivo, ZTP se reiniciará.
-
Si solo está presente el archivo de configuración, se descarga la configuración.
Si la primera línea del archivo consiste en el comando #! seguidos de una ruta de intérprete, el archivo se considera un script y el intérprete ejecuta el script. Si el script devuelve un error, el equipo de estado ZTP volverá a recuperar el script e intentará ejecutarlo nuevamente.
Si no se puede descargar el archivo de configuración, el proceso ZTP intentará descargarlo de nuevo.
Si el archivo de configuración está dañado, tiene errores de sintaxis o incluye comandos que no son compatibles con el dispositivo, el dispositivo no podrá confirmar y el mecanismo de reintento se reiniciará.
-
Si no hay ninguna imagen o archivo de configuración, el proceso ZTP comienza de nuevo.
-
Si no hay información del servidor de archivos, el proceso ZTP comienza de nuevo.
-
Una vez confirmada la configuración, el proceso ZTP se considera correcto y finaliza.
Aprovisionamiento de un dispositivo mediante un script
Durante el proceso ZTP, cuando conecta y arranca un nuevo dispositivo de red, el dispositivo solicita una dirección IP al servidor DHCP. El servidor proporciona la dirección IP y, si está configurado, los nombres de archivo y las ubicaciones de la imagen de software y el archivo de configuración del dispositivo. El archivo de configuración puede ser una configuración o un script.
Si se proporciona un archivo de configuración, el sistema operativo determina si el archivo es un script basado en la primera línea del archivo. Si la primera línea contiene los caracteres #!
seguidos de una ruta de intérprete, el sistema operativo trata el archivo como un script y lo ejecuta con el intérprete especificado.
Si el script devuelve un error (es decir, un valor distinto de cero), la máquina de estado ZTP recupera el script e intenta ejecutarlo de nuevo. Esto continúa hasta que el script se ejecuta correctamente.
En la Tabla 1 se describen los tipos de script admitidos, la ruta del intérprete correspondiente y las plataformas que admiten ese tipo de script durante el proceso ZTP.
Tipo de script |
Ruta del intérprete |
Soporte de plataforma |
---|---|---|
Script de shell |
|
Todos los dispositivos |
Script SLAX |
|
Todos los dispositivos |
Script de Python |
|
Dispositivos que ejecutan Junos OS con automatización mejorada Dispositivos que ejecutan Junos OS evolucionado |
Por motivos de seguridad, Junos OS tiene requisitos estrictos para ejecutar scripts de Python sin firmar en dispositivos que ejecutan Junos OS. Solo los dispositivos que ejecutan Junos OS con automatización mejorada y los dispositivos que ejecutan Junos OS Evolved admiten el uso de scripts de Python sin firmar en la opción 43 de DHCP, subopción 01.
Si el sistema operativo no encuentra los caracteres #!
seguidos por una ruta de intérprete, trata el archivo como una configuración en formato de texto y carga la configuración en el dispositivo.
Activadores del proceso de reinicio del aprovisionamiento sin intervención
ZTP se reinicia cuando se produce cualquiera de los eventos siguientes:
-
Se produce un error en la solicitud del archivo de configuración, el archivo de script o el archivo de imagen.
-
El archivo de configuración es incorrecto y se produce un error en la confirmación.
-
No hay ningún archivo de configuración ni ningún archivo de imagen disponible.
-
El archivo de imagen está dañado y la instalación falla.
-
No hay información del servidor de archivos disponible.
-
El servidor DHCP no tiene configurados parámetros ZTP válidos.
-
Cuando ninguna de las interfaces de cliente DHCP pasa a un estado enlazado.
-
La transacción ZTP falla después de seis intentos de recuperar el archivo de configuración o el archivo de imagen.
Cuando se produce alguno de estos eventos, ZTP restablece el equipo de estado del cliente DHCP en todas las interfaces configuradas por el cliente DHCP (administración y red) y, a continuación, reinicia el equipo de estado. El reinicio de la máquina de estado permite al cliente DHCP obtener los parámetros configurados por el servidor DHCP más recientes.
Antes de que se reinicie ZTP, deben transcurrir aproximadamente de 15 a 30 segundos para que haya tiempo suficiente para crear una lista de interfaces de cliente DHCP enlazadas y no enlazadas.
La lista de interfaces de cliente DHCP enlazadas y no enlazadas puede contener:
-
No hay entradas.
-
Varias interfaces de cliente DHCP.
Se da prioridad a las interfaces de cliente DHCP que han recibido todos los parámetros ZTP (archivo de imagen de software, archivo de configuración e información del servidor de archivos) del servidor DHCP.
Después de crear las listas de interfaces de cliente enlazadas y no enlazadas, y de seleccionar un cliente DHCP para la actividad ZTP, se elimina cualquier ruta predeterminada existente y la interfaz de cliente DHCP seleccionada agrega una nueva ruta predeterminada. Para agregar una nueva ruta predeterminada, solo puede estar activa una instancia de ZTP.
Después de reiniciar ZTP, el cliente DHCP intenta recuperar archivos del servidor DHCP hasta seis veces, con diez a quince segundos transcurriendo entre intentos. Cada intento, ya sea exitoso o no, se registra y se puede ver en la consola.
Si se produce un error o el número de intentos supera el límite, ZTP se detiene. A continuación, ZTP borra los enlaces de cliente DHCP y reinicia la máquina de estado en las interfaces configuradas por DHCP.
El proceso de reinicio de ZTP continúa hasta que haya una actualización de software correcta o un operador confirme manualmente una configuración de usuario y elimine la configuración de ZTP.
Advertencias relacionadas con ZTP
Existen dos limitaciones de degradación para los conmutadores de la serie EX:
-
Si cambia a una versión de software anterior a Junos OS versión 12.2, en la que no se admite ZTP, la fase de autoinstalación del archivo de configuración del proceso de aprovisionamiento sin intervención no se produce.
-
Para cambiar a una versión de software que no admita particiones de raíz dual resistentes (Junos OS versión 10.4R2 o anterior), debe realizar algún trabajo manual en el dispositivo. Para obtener más información, consulte Configuración de particiones de raíz dual.
Las siguientes son advertencias para los conmutadores de la serie QFX:
-
En conmutadores QFX3500 y QFX3600 que ejecutan la CLI original, no puede utilizar ZTP para actualizar desde Junos OS versión 12.2 o posterior a Junos OS versión 13.2X51-D15 o posterior.
-
QFX5200 conmutadores solo funcionan con HTTP en 15.1X53-D30. No se admiten los protocolos FTP y TFTP.
-
Si está realizando el aprovisionamiento sin intervención (ZTP) con una imagen de Junos OS que contiene automatización mejorada para el conmutador QFX5100, configure la autenticación raíz y el nombre del proveedor, el tipo de licencia y el ámbito de implementación para Chef y Puppet en la
[edit system]
jerarquía del archivo de configuración que se obtiene del servidor:{ master:0} root# set root-authentication (encrypted-password password | plain-text-password password | ssh-dsa public-key | ssh-rsa public-key) root# set extensions providers juniper license-type customer deployment-scope commercial root# set extensions providers chef license-type customer deployment-scope commercial
-
En Junos OS versión 18.1R1, si está actualizando el software, debe realizar una actualización de software completa. Una actualización completa incluye la actualización tanto del software Junos OS como de los paquetes de software host.
Aprovisionamiento sin intervención mediante interfaces WAN en enrutadores PTX1000
El aprovisionamiento sin intervención (ZTP) le permite aprovisionar su enrutador en su red automáticamente, con una intervención manual mínima. A partir de Junos OS versión 19.3R1, puede utilizar interfaces WAN o interfaces de administración para descargar e instalar automáticamente el software adecuado y el archivo de configuración en el enrutador durante el proceso de arranque de ZTP.
Cuando conecte el enrutador a la red por primera vez, puede elegir cualquier puerto WAN disponible en el enrutador para conectar la óptica. El ZTP configura automáticamente las interfaces WAN según el tipo de óptica y, a continuación, conecta el dispositivo al servidor del Protocolo de configuración dinámica de host (DHCP) para realizar el proceso de arranque.
Las interfaces WAN creadas según el tipo de óptica que conectó al dispositivo y la interfaz WAN aceleran las transiciones automáticas a través de todas las velocidades de puerto compatibles posibles hasta que el ZTP se completa correctamente. La transición automática de velocidad garantiza establecer un vínculo físico del puerto WAN con la óptica que conectó y la conectividad del dispositivo final del par con el servidor DHCP.
PTX1000 asignación de puertos muestra las combinaciones disponibles para los puertos en los enrutadores PTX1000.
Aprovisionamiento sin intervención mediante opciones de DHCP
El aprovisionamiento sin intervención (ZTP) permite el aprovisionamiento automático de los dispositivos de red de Juniper que agregue a su red. Puede aprovisionar cualquier dispositivo compatible mediante un script que se ejecutará o un archivo de configuración que se cargará. También deberá configurar un servidor DHCP con la información necesaria, que se proporciona en este procedimiento, para utilizar ZTP.
Opcionalmente, puede configurar un servidor proxy HTTP para el servidor phone-home o el servidor de redirección. Cuando el cliente phone-home recibe información sobre el servidor proxy HTTP a través de la opción 43 de DHCP subopción 8, creará un túnel transparente HTTPS con el servidor proxy. Una vez establecido el túnel, el cliente phone-home utiliza el túnel como proxy para el servidor phone-home o el servidor de redirección. El cliente phone-home descarga la imagen del software y el archivo de configuración a través del túnel en el dispositivo. Una vez completado el arranque, el dispositivo se reinicia y el túnel se cierra.
ZTP requiere que el dispositivo esté en un estado predeterminado de fábrica. El dispositivo arranca de fábrica con el software preinstalado y la configuración predeterminada de fábrica. En un dispositivo que actualmente no tiene la configuración predeterminada de fábrica, puede ejecutar el request system zeroize
comando.
El request system zeroize
comando no se admite en dispositivos PTX1000, PTX10001-20C, QFX10002-60C PTX10002-60C. Debe emitir el comando (en lugar de ) para la request vmhost zeroize
configuración predeterminada de request system zeroize
fábrica en enrutadores PTX1000.
En dispositivos PTX10001-20C, después de ejecutar el request vmhost zeroize
comando, verá el siguiente mensaje dos veces: VMHost Zeroization : Erase all data, including configuration and log files ? [yes,no] (no) yes warning: Vmhost will reboot and may not boot without configuration Erase all data, including configuration and log files? [yes,no] (no) yes
Antes de empezar:
-
Asegúrese de que el dispositivo tenga acceso a los siguientes recursos de red:
-
El servidor DHCP que proporciona la ubicación de la imagen de software y los archivos de configuración en la red
Consulte la documentación del servidor DHCP para obtener instrucciones de configuración.
-
El servidor de Protocolo de transferencia de archivos (FTP anónimo), Protocolo de transferencia de hipertexto (HTTP), Protocolo de transferencia de hipertexto seguro (HTTPS) o Protocolo trivial de transferencia de archivos (TFTP) en el que se almacenan los archivos de configuración e imagen de software
Nota:Aunque se admite TFTP, se recomienda utilizar FTP o HTTP en su lugar, ya que estos protocolos de transporte son más confiables.
CAUTELA:Las URL HTTP están limitadas a 256 caracteres de longitud.
-
Un servidor del Sistema de nombres de dominio (DNS) para realizar búsquedas DNS inversas (no compatible).
-
(Opcional) Un servidor NTP para realizar la sincronización de hora en la red
-
(Opcional) Un servidor de registro del sistema (syslog) para administrar los mensajes y alertas de registro del sistema.
Los mensajes de syslog se reenviarán a este servidor syslog durante ZTP.
-
-
(Opcional) Un servidor proxy HTTP para el servidor phone-home o el servidor de redirección.
-
Localice y registre la dirección MAC de su dispositivo.
En PTX10008 dispositivos, las direcciones MAC de administración se encuentran en los motores de enrutamiento.
No puede confirmar una configuración mientras el dispositivo está realizando el proceso de actualización de software. Si confirma una configuración mientras el dispositivo está realizando el proceso de autoinstalación del archivo de configuración, el proceso se detiene y el archivo de configuración no se descarga de la red.
Para habilitar el aprovisionamiento sin intervención para un dispositivo mediante las opciones de DHCP:
Aprovisionamiento sin intervención mediante las opciones de DHCPv6
El aprovisionamiento sin intervención (ZTP) con opciones de DHCPv6 no se admite en las imágenes de Junos OS Flex. Una imagen Flex tiene la palabra "flex" en el nombre de archivo. Aquí hay un ejemplo de nombre de archivo de una imagen de Flex: jinstall-host-qfx-5e-flex-x86-64-20.4R3.8-secure-signed.tgz.
El protocolo DHCPv6 no tiene una opción de subred para que el IA_NA (asociación de identidad para direcciones no temporales) aprenda e instale rutas de subred. En su lugar, la ruta de subred se instala a través del protocolo de detección de vecinos.
En IPv6, los dispositivos anuncian periódicamente prefijos IPv6 junto con otros parámetros de vínculo mediante mensajes de anuncio de enrutador (RA). En el cliente (dispositivo Juniper que ejecuta ZTP), una vez que el cliente DHCPv6 está enlazado, el protocolo de detección del vecino (NDP) aprenderá estos prefijos e instalará las rutas de prefijo a través de la interfaz del cliente, con el siguiente salto como vínculo a la dirección local del dispositivo de puerta de enlace.
En el dispositivo cliente, la configuración de anuncio del enrutador está habilitada de forma predeterminada junto con la configuración de DHCPv6.
-
Asegúrese de que el dispositivo tenga acceso a los siguientes recursos de red:
-
El servidor DHCP que proporciona la ubicación de la imagen de software y los archivos de configuración en la red
Consulte la documentación del servidor DHCP para obtener instrucciones de configuración.
-
En la serie MX, el servidor de Protocolo de transferencia de archivos (FTP anónimo), Protocolo trivial de transferencia de archivos (TFTP), Protocolo de transferencia de hipertexto (HTTP) o Protocolo seguro de transferencia de hipertexto (HTTPS) en el que se almacenan los archivos de imagen y configuración del software.
CAUTELA:Las URL HTTP están limitadas a 256 caracteres de longitud.
-
En los dispositivos EX3400, EX4300, QFX5100 y QFX5200, el servidor de Protocolo de transferencia de hipertexto (HTTP) o Protocolo seguro de transferencia de hipertexto (HTTPS) en el que se almacenan los archivos de imagen y configuración del software.
CAUTELA:Las URL HTTP están limitadas a 256 caracteres de longitud.
-
(Opcional) Un servidor proxy HTTP para el servidor phone-home o el servidor de redirección.
-
-
Localice y registre la dirección MAC impresa en el dispositivo.
El aprovisionamiento sin intervención (ZTP) permite el aprovisionamiento automático de los dispositivos de red de Juniper que agregue a su red. Puede aprovisionar cualquier dispositivo compatible mediante un script que se ejecutará o un archivo de configuración que se cargará.
Para utilizar ZTP, configure un servidor DHCP para proporcionar la información necesaria. Si no configura el servidor DHCP para proporcionar esta información, el dispositivo arrancará con el software preinstalado y la configuración predeterminada de fábrica. Si su dispositivo no está en un estado predeterminado de fábrica, puede emitir el request system zeroize
comando.
Opcionalmente, puede configurar un servidor proxy HTTP para el servidor phone-home o el servidor de redirección. Cuando el cliente phone-home recibe información sobre el servidor proxy HTTP a través de la opción 17 de DHCP subopción 8, creará un túnel transparente HTTPS con el servidor proxy. Una vez establecido el túnel, el cliente phone-home utiliza el túnel como proxy para el servidor phone-home o el servidor de redirección. El cliente phone-home descarga la imagen del software y el archivo de configuración a través del túnel en el dispositivo. Una vez completado el arranque, el dispositivo se reinicia y el túnel se cierra.
A partir de Junos OS versión 20.2R1-S1, el cliente DHCPv6 es compatible con los conmutadores MX-Series, EX3400, EX4300 QFX5100 y QFX5200. Los clientes DHCPv4 y DHCPv6 se incluyen como parte de la configuración predeterminada. Durante el proceso de arranque, el dispositivo utiliza primero el cliente DHCPv4 para solicitar información sobre la imagen y el archivo de configuración del servidor DHCP. El dispositivo comprueba los enlaces DHCPv4 secuencialmente. Si se produce un error con uno de los enlaces DHCPv4, el dispositivo seguirá comprobando si hay enlaces hasta que el aprovisionamiento se realice correctamente. Sin embargo, si no hay enlaces DHCPv4, el dispositivo comprobará si hay enlaces DHCPv6 y seguirá el mismo proceso que para DHCPv4 hasta que el dispositivo se pueda aprovisionar correctamente. El servidor DHCP utiliza las opciones 59 y 17 de DHCPv6 y las subopciones aplicables para intercambiar información relacionada con ZTP entre él y el cliente DHCP.
No puede confirmar una configuración mientras el dispositivo está realizando el proceso de actualización de software. Si confirma una configuración mientras el dispositivo está realizando el proceso de autoinstalación del archivo de configuración, el proceso se detiene y el archivo de configuración no se descarga de la red.
Para usar el aprovisionamiento sin intervención para un dispositivo con opciones de DHCPv6:
Aprovisionamiento sin intervención en firewalls de la serie SRX
- Descripción del aprovisionamiento sin intervención en firewalls de la serie SRX
- Configuración del aprovisionamiento sin intervención en un firewall de la serie SRX
- Descripción de la configuración predeterminada de fábrica en el firewall de la serie SRX para el aprovisionamiento sin intervención
Descripción del aprovisionamiento sin intervención en firewalls de la serie SRX
En este tema se incluyen las siguientes secciones:
- Descripción de ZTP en firewalls de la serie SRX
- Descripción general de Network Activator
- Limitaciones
Descripción de ZTP en firewalls de la serie SRX
El aprovisionamiento sin intervención (ZTP) le permite aprovisionar y configurar dispositivos automáticamente, lo que minimiza la mayor parte de la intervención manual necesaria para agregar dispositivos a una red. ZTP es compatible con dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M y SRX1500.
A partir de Junos OS versión 20.2R1 en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550 HM y SRX1500, puede utilizar el aprovisionamiento sin intervención con opciones DHCP para aprovisionar el dispositivo. Consulte Aprovisionamiento sin intervención mediante opciones DHCP para obtener más información.
ZTP en firewalls de la serie SRX es responsable del arranque inicial y la configuración del dispositivo cuando el dispositivo está encendido. Esta funcionalidad incluye:
-
Proporcionar el arranque mínimo del dispositivo. El firewall de la serie SRX se suministra con una configuración predeterminada de fábrica. La configuración predeterminada de fábrica incluye la dirección URL del servidor de redireccionamiento, que se utiliza para conectarse al servidor central mediante una conexión cifrada segura.
-
Conectarse automáticamente al servidor a través de Internet y descargar la configuración y la imagen de Junos OS especificadas por el cliente o usuario desde el servidor cuando el firewall de la serie SRX se inicia con la configuración predeterminada de fábrica. La nueva imagen se instala primero y, a continuación, la configuración inicial se aplica y se confirma en el firewall de la serie SRX.
ZTP ofrece las siguientes ventajas:
-
Implementación simplificada y más rápida
-
Mayor precisión de la configuración
-
Soporte para escalar la red sin recursos adicionales
El proceso ZTP utiliza Network Activator para aprovisionar inicialmente firewalls de la serie SRX.
Descripción general de Network Activator
Network Service Activator permite el descubrimiento rápido de dispositivos y el aprovisionamiento para la configuración automatizada a fin de eliminar la configuración compleja de dispositivos.
Network Activator inicialmente aprovisiona firewalls de la serie SRX (en adelante, dispositivos remotos en esta documentación), que residen en los sitios de los usuarios finales. Los dispositivos remotos descargan una imagen de arranque y archivos de configuración inicial de los servidores que alojan Network Activator, utilizando un proceso que proporciona autorización y autenticación completas para todas las interacciones. Cuando se completa el aprovisionamiento inicial, el dispositivo remoto se comunica con un servidor de administración, que luego comienza a administrar y monitorear el dispositivo remoto.
Network Activator utiliza una arquitectura distribuida para admitir dispositivos remotos. Network Activator se instala en un servidor de administración central (servidor central) y en varios servidores de administración regional (servidores regionales). Un dispositivo se comunica directamente con su servidor regional asignado. La arquitectura distribuida optimiza la eficiencia del proceso de aprovisionamiento inicial, contribuyendo al alto rendimiento y escalamiento de la red.
Figura 1 Ilustra la arquitectura distribuida y los componentes involucrados en el proceso de aprovisionamiento inicial.
Las funciones de los componentes en el proceso de aprovisionamiento inicial son las siguientes:
-
El dispositivo remoto envía solicitudes de aprovisionamiento inicial. El dispositivo remoto reside en la ubicación del usuario final.
-
La herramienta de redireccionamiento proporciona autenticación y autorización para que los dispositivos remotos accedan a sus servidores regionales asignados mediante el uso de certificados digitales de infraestructura de clave privada (PKI) UIT-T X.509. El servicio de redireccionamiento está alojado en Amazon Web Services (AWS), operado y mantenido por Juniper Networks.
-
El servidor central aloja Network Activator y se comunica con los servidores activadores regionales. Los administradores de un proveedor de servicios o de una ubicación central de la empresa interactúan con este servidor para instalar y configurar el Activador de red. El servidor central se encuentra en una ubicación geográfica central para el proveedor de servicios.
-
El servidor regional también aloja Network Activator. Este servidor almacena información sobre sus dispositivos remotos asignados y se comunica directamente con esos dispositivos. Este servidor suele residir en una ubicación administrativa regional que el proveedor designa para el usuario final.
La figura 2 ilustra el flujo de trabajo de aprovisionamiento inicial.
En detalle, el flujo de trabajo de aprovisionamiento procede de la siguiente manera:
-
El administrador del proveedor de servicios:
-
Instala y configura Network Activator en el servidor central.
-
Agrega dispositivos remotos y servidores regionales en la herramienta de redireccionamiento.
-
-
El servidor central reenvía la instalación a los servidores regionales.
-
El usuario final enciende el dispositivo remoto, lo conecta a un equipo e introduce el código de autenticación en la página web para enviar una solicitud de aprovisionamiento inicial.
-
El dispositivo transmite su certificado X.509 y su nombre de dominio completo (FQDN) como una solicitud de aprovisionamiento a la herramienta de redireccionamiento.
-
La herramienta de redireccionamiento busca en su almacén de datos el servidor regional que el administrador especificó para este dispositivo y confirma que la solicitud del dispositivo corresponde al certificado X.509 especificado para el servidor.
-
La herramienta de redireccionamiento envía la información de contacto del servidor regional al dispositivo.
-
El dispositivo envía una solicitud al servidor regional para obtener la URL de la imagen de arranque y la ubicación de la configuración inicial.
-
El servidor regional envía la información al dispositivo.
-
El dispositivo obtiene la imagen de arranque y la configuración del servidor regional.
-
El dispositivo utiliza la imagen de arranque y la configuración para iniciarse y entrar en funcionamiento.
Limitaciones
-
No hay restricciones en el número de intentos para introducir el código de activación correcto.
-
Si el dispositivo remoto no puede comunicarse con el servidor (porque la dirección configurada en la configuración predeterminada de fábrica no es correcta o porque el servidor no funciona, etc.), el dispositivo remoto intenta conectarse a un servidor alternativo (si está configurado en la configuración predeterminada de fábrica). Si solo hay un servidor configurado, puede volver a intentar conectarse. En tales escenarios, le recomendamos que configure el dispositivo manualmente a través de la consola.
-
No se admite la redirección cautiva del portal, necesaria para redirigir automáticamente a los usuarios a la página web de autenticación para introducir el código de activación. Debe navegar manualmente a la página de activación después de conectarse al dispositivo.
Configuración del aprovisionamiento sin intervención en un firewall de la serie SRX
Antes de empezar:
-
Desempaque el dispositivo, instálelo, complete el cableado necesario, conecte una computadora portátil o cualquier otro dispositivo terminal y encienda el dispositivo. Consulte la Guía de instalación de hardware de su dispositivo para obtener más información.
-
Para SRX300, SRX320, SRX340, SRX345 y dispositivos SRX550M, conecte el dispositivo de administración y acceda a la interfaz J-Web.
Para obtener más información, consulte las guías de inicio rápido de los dispositivos respectivos en SRX300, SRX320, SRX340, SRX345 y SRX550M.
Se le proporciona la opción de usar ZTP; puede usar esta opción u omitirla y continuar con los asistentes de J-Web.
-
Para dispositivos SRX1500, antes de poder usar J-Web para configurar el dispositivo, debe acceder a la CLI para configurar la autenticación raíz y la interfaz de administración. Para obtener más información, consulte Cómo configurar la puerta de enlace de SRX1500 Services.
En esta sección se proporcionan instrucciones paso a paso sobre cómo usar ZTP en un firewall de la serie SRX para el aprovisionamiento inicial del dispositivo.
Para aprovisionar un firewall de la serie SRX mediante ZTP:
Después de instalar correctamente la nueva imagen de software y la configuración en el sistema, el cliente envía la bootstrap-complete
notificación al servidor que proporcionó la imagen y la configuración. Después de enviar la notificación, la configuración que incluye los nombres de los servidores se elimina del sistema. Cuando utilice ZTP la próxima vez, debe configurar explícitamente la dirección URL del servidor de redireccionamiento.
En caso de fracaso en cualquier etapa, el procedimiento se inicia de nuevo.
El proceso ZTP actualiza o degrada la versión de Junos OS. Durante una degradación en un firewall de la serie SRX, si cambia a una versión de software anterior a Junos OS versión 15.1X49-D100, en la que no se admite ZTP, la fase de autoinstalación del proceso ZTP no ocurre.
Para los dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M, ZTP es el método predeterminado para aprovisionar los dispositivos. Sin embargo, si desea utilizar el aprovisionamiento basado en J-Web (asistentes de configuración de J-Web compatibles con la línea de dispositivos SRX300 y dispositivos SRX550M), en lugar de ZTP, puede usar la opción proporcionada en el portal del cliente para saltar a los asistentes de configuración de J-Web para realizar la configuración inicial del software del dispositivo.
Si selecciona la opción Saltar a JWeb , debe configurar la contraseña de autenticación raíz del sistema como se muestra en la figura 6.
Para dispositivos SRX1500, no se admite la opción Saltar a JWeb . Para acceder a J-Web, la configuración del cliente ZTP debe eliminarse durante la configuración inicial de SRX1500 a través de la CLI.
Descripción de la configuración predeterminada de fábrica en el firewall de la serie SRX para el aprovisionamiento sin intervención
La puerta de enlace de servicios se suministra con una configuración predeterminada de fábrica. A continuación se muestra un ejemplo de la configuración predeterminada que incluye la configuración para ZTP:
system { phone-home { rfc-compliant; server https://redirect.juniper.net; } }
Tenga en cuenta que, en esta configuración:
-
server
indica el nombre o la dirección IP del servidor. La configuración predeterminada de fábrica en un firewall de la serie SRX puede incluir direcciones IP de más de un servidor. -
rfc-compliant
indica que después de una actualización, el servidor aplica determinados comportamientos que cumplen con los estándares RFC.
De forma predeterminada, la configuración de autoinstalación del sistema forma parte de la configuración predeterminada de fábrica del dispositivo. Por lo tanto, el administrador debe asegurarse de que el archivo de configuración enviado desde el servidor regional al dispositivo remoto (firewall de la serie SRX) debe incluir la delete system autoinstallation
opción en la configuración predeterminada de fábrica.
Supervisión del aprovisionamiento sin intervención
Puede usar los comandos de consola y modo operativo para supervisar el aprovisionamiento sin intervención.
- Uso de la consola para supervisar el aprovisionamiento sin intervención en Junos OS
- Uso de alertas de registro del sistema para supervisar el aprovisionamiento sin intervención
- Uso de mensajes de error para supervisar el aprovisionamiento sin intervención
- Uso de los archivos de registro del sistema para supervisar el aprovisionamiento sin intervención en Junos OS mediante las opciones de DHCP
- Uso de archivos de registro del sistema para supervisar el aprovisionamiento sin intervención en Junos OS mediante las opciones de DHCPv6
- Uso del comando show dhcp client binding
- Uso del comando show dhcpv6 client binding
- Uso del comando show dhcp client statistics
- Uso del comando show dhcpv6 client statistics
Uso de la consola para supervisar el aprovisionamiento sin intervención en Junos OS
Las siguientes actividades de aprovisionamiento sin intervención (ZTP) se muestran en la consola durante el proceso ZTP:
-
Horas de inicio y finalización del proceso ZTP.
-
Listas de interfaces de cliente DHCP enlazadas y no enlazadas.
-
Opciones DHCP que los servidores DHCP envían a los clientes DHCP.
-
Registros que indican qué interfaces se utilizan para ZTP.
-
Parámetros ZTP que los clientes DHCP obtienen de los servidores DHCP.
-
Nombres de archivo de archivos de configuración e imagen, nombres de servidores de archivos, protocolos utilizados para capturar archivos y momentos en que los servidores DHCP obtienen archivos de configuración e imagen.
-
Estados de error causados por archivos que no están en servidores, o servidores inaccesibles, y tiempos de espera.
-
Número de intentos realizados, y número de intentos restantes, para volver a intentarlo en el ciclo ZTP actual.
-
Finalización de transferencias de archivos.
-
Instalación, reinicio y estado del proceso ZTP.
-
Errores de estado interno y terminación del proceso ZTP.
-
Registros de cuándo se agregaron o eliminaron rutas predeterminadas.
Uso de alertas de registro del sistema para supervisar el aprovisionamiento sin intervención
Propósito
En este ejemplo, la alerta de registro del sistema le avisa de que se iniciará la actualización automática de la imagen.
Acción
Utilice la siguiente alerta de registro del sistema para supervisar el proceso de actualización automática de imágenes.
“ALERT:Auto-image upgrade will start. This can terminate config CLI session(s). Modified configuration will be lost. To stop Auto-image, in CLI do the following: 'edit; delete chassis auto-image-upgrade; commit'.” “Checking whether image upgrade is already invoked”
Significado
Esta alerta de registro del sistema indica que se iniciará la actualización automática de imágenes y proporciona información sobre cómo detener el proceso de actualización automática de imágenes.
Uso de mensajes de error para supervisar el aprovisionamiento sin intervención
Propósito
Los mensajes de error proporcionan información sobre qué opciones DHCP no están configuradas.
Acción
Utilice la información del siguiente mensaje de error para averiguar qué opciones de DHCP no están configuradas.
“DHCP Log Server Option” “DHCP Host Name Option” “DHCP NTP Server Option”
Significado
El mensaje de error indica que las opciones de servidor de registro DHCP, nombre de host y servidor NTP no están configuradas.
Uso de los archivos de registro del sistema para supervisar el aprovisionamiento sin intervención en Junos OS mediante las opciones de DHCP
Propósito
Los archivos de registro del sistema proporcionan información sobre el estado del proceso de actualización automática, listas de interfaces de cliente DHCP enlazadas y no enlazadas, direcciones IP de servidores de archivos, nombres y ubicaciones de archivos de imagen y configuración, e intentos exitosos y fallidos de obtener archivos de configuración e imagen.
Acción
Use la información de los siguientes archivos de registro del sistema para supervisar el proceso de actualización automática.
Auto Image Upgrade: Start fetching config-file file from server 10.1.1.1 through irb using ftp Auto Image Upgrade: Tried [2] attempts to fetch config-file file from server 10.1.1.1 through irb. Summary: "Retrieving /config-file :: Failed to open file.". To retry [4] times. Auto Image Upgrade: Tried [4] attempts to fetch config-file file from server 10.1.1.1 through irb. Summary: "Retrieving /config-fileconfig-file :: Failed to open file.". To retry [2] times. Auto Image Upgrade: Tried [6] attempts to fetch config-file file from server 10.1.1.1 through irb. Summary: "Retrieving /config-file :: Failed to open file.". To retry [0] times. Auto Image Upgrade: All [6] attempts to fetch config-file file from server 10.1.1.1 through irb FAILED. Start retry again in few minutes.
Significado
Estos archivos de registro del sistema indican que hubo seis intentos fallidos de recuperar el archivo de configuración del servidor de archivos, la dirección IP del servidor de archivos, el nombre de la interfaz de cliente DHCP y el número de veces que se produjo el proceso de reintento.
Uso de archivos de registro del sistema para supervisar el aprovisionamiento sin intervención en Junos OS mediante las opciones de DHCPv6
Propósito
Los archivos de registro del sistema proporcionan información sobre el estado del proceso de actualización automática, listas de interfaces de cliente DHCP enlazadas y no enlazadas, direcciones IP de servidores de archivos, nombres y ubicaciones de archivos de imagen y configuración, e intentos exitosos y fallidos de obtener archivos de configuración e imagen.
Acción
Use la información de los siguientes archivos de registro del sistema para supervisar el proceso de actualización automática.
Auto Image Upgrade: Tried [2] attempts to fetch junos-vmhost-install -20.2.tgz file from server 2001:db8::1 through et-0 /0/0:2. Summary: "fetch-secure: https://[2001:*: Connection refused". To retry [4] times. Auto Image Upgrade: Tried [4] attempts to fetch junos-vmhost-install -20.2.tgz file from server 2001:db8::1 through et-0 /0/0:2. Summary: "fetch-secure: https://[2001:*: Connection refused". To retry [2] times. Auto Image Upgrade: Tried [6] attempts to fetch junos-vmhost-install- 20.2.tgz file from server 2001:db8::1 through et-0 /0/0:2. Summary: "fetch-secure: https://[2001:*: Connection refused". To retry [0] times.
Significado
Estos archivos de registro del sistema indican que hubo seis intentos fallidos de recuperar el archivo de imagen del servidor de archivos, la dirección IP del servidor de archivos, el nombre de la interfaz de cliente DHCPv6 y el número de veces que se produjo el proceso de reintento.
Uso del comando show dhcp client binding
Propósito
Emita el comando para mostrar la información de enlace del show dhcp client binding
cliente DHCP
Acción
Emita el show dhcp client binding
comando para mostrar la dirección IP del cliente DHCP, la dirección de hardware del cliente DHCP, el número de segundos en los que expira la concesión de la dirección IP del cliente DHCP, el estado de la dirección IP del cliente DHCP en la tabla de enlace y el nombre de la interfaz que tiene enlaces de cliente activos.
Mostrar enlace de cliente DHCP
user@device# show dhcp client binding IP address Hardware address Expires State Interface 10.0.0.0 00:22:83:2a:db:dc 0 SELECTING irb.0 10.6.6.13 00:22:83:2a:db:dd 49201 BOUND vme.0 10.0.0.0 00:22:83:2a:db:df 0 SELECTING xe-0/0/0.0 10.0.0.0 00:22:83:2a:db:e0 0 SELECTING xe-0/0/1.0
Significado
El resultado de este comando muestra que hay una interfaz de cliente enlazada y que hay tres interfaces que reciben ofertas DHCP del servidor DHCP.
Uso del comando show dhcpv6 client binding
Propósito
Emita el comando para mostrar la información de enlace del show dhcpv6 client binding
cliente DHCP
Acción
Emita el show dhcp6 client binding
comando para mostrar la dirección IP del cliente DHCPv6, la dirección de hardware del cliente DHCPv6, el número de segundos en los que expira la concesión de la dirección IP del cliente DHCPv6, el estado de la dirección IP del cliente DHCPv6 en la tabla de enlace y el nombre de la interfaz que tiene enlaces de cliente activos.
Mostrar enlace de cliente DHCPv6
user@device# show dhcpv6 client binding IP/prefix Expires State ClientType Interface Client DUID 2001:db8::10 57 SELECTING STATEFUL em0.0 LL0x3-54:4b:8c:d3:a2:34 2001:db8::10 46 SELECTING STATEFUL em2.0 LL0x3-54:4b:8c:d3:a2:35 2001:db8::10 38 SELECTING STATEFUL et-0/0/0:0.0 LL0x3-54:4b:8c:d3:a2:3b 2001:db8::10 530 BOUND STATEFUL et-0/0/0:1.0 LL0x3-54:4b:8c:d3:a2:3c
Significado
El resultado de este comando muestra que hay una interfaz de cliente enlazada y que hay tres interfaces que reciben ofertas DHCPv6 del servidor DHCP.
Uso del comando show dhcp client statistics
Propósito
Ejecute el comando para mostrar las estadísticas del show dhcp client statistics
cliente DHCP.
Acción
Ejecute el show dhcp client statistics
comando para mostrar estadísticas del cliente DHCP, como el número de paquetes descartados y el número de mensajes DHCP y BOOTP enviados y recibidos.
Mostrar estadísticas de cliente DHCP
user@device# show dhcp client statistics Packets dropped: Total 14 Send error 14 Messages received: BOOTREPLY 5 DHCPOFFER 1 DHCPACK 4 DHCPNAK 0 DHCPFORCERENEW 0 Messages sent: BOOTREQUEST 6751 DHCPDECLINE 0 DHCPDISCOVER 6747 DHCPREQUEST 4 DHCPINFORM 0 DHCPRELEASE 0 DHCPRENEW 0 DHCPREBIND 0
Significado
El resultado de este comando muestra cuántos paquetes se descartaron con errores, el número de mensajes BOOTREPLY y DHCPOFFER que se recibieron, y el número de mensajes BOOTREQUEST y DHCPREQUEST que se enviaron.
Uso del comando show dhcpv6 client statistics
Propósito
Ejecute el comando para mostrar las estadísticas del show dhcpv6 client statistics
cliente DHCPv6.
Acción
Emita el show dhcpv6 client statistics
comando para mostrar las estadísticas del cliente DHCPv6, como el número de paquetes descartados y el número de mensajes DHCPv6 enviados y recibidos.
Mostrar estadísticas de cliente DHCPv6
user@device# show dhcpv6 client statistics Dhcpv6 Packets dropped: Total 20323 Bad Send 7580 Bad Options 12743 Messages received: DHCPV6_ADVERTISE 13 DHCPV6_REPLY 109 DHCPV6_RECONFIGURE 0 Messages sent: DHCPV6_DECLINE 0 DHCPV6_SOLICIT 879 DHCPV6_INFORMATION_REQUEST 0 DHCPV6_RELEASE 0 DHCPV6_REQUEST 9 DHCPV6_CONFIRM 0 DHCPV6_RENEW 61 DHCPV6_REBIND 41
Significado
El resultado de este comando muestra cuántos paquetes se descartaron con errores y el número de mensajes DHCPV6 que se recibieron y enviaron.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.