ゼロタッチプロビジョニング
ゼロタッチプロビジョニングは、最小限の手動操作で、新しいジュニパーネットワークスデバイスにソフトウェアを自動的にインストールまたはアップグレードします。
ゼロタッチプロビジョニングの概要
ゼロタッチプロビジョニング(ZTP)により、手動による操作を最小限に抑えながら、ネットワーク内の新しいジュニパーネットワークスデバイスを自動的にプロビジョニングできます。デバイスに応じて、管理ポートまたはネットワークポートのいずれかを使用してネットワークに接続できます。デバイスをネットワークに物理的に接続し、工場出荷時のデフォルト設定で起動すると、デバイスはソフトウェアリリースをアップグレード(またはダウングレード)し、ネットワークから設定ファイルを自動的にインストールします。設定ファイルは、設定またはスクリプトです。スクリプトを使用して、デバイス固有の設定ファイルを作成し、WebサーバーへのHTTPリクエスト操作を実行して、特定の設定ファイルやソフトウェアリリースをダウンロードできます。
ネットワーク上で必要なソフトウェアイメージと設定ファイルを見つけるために、デバイスはDynamic Host Configuration Protocol(DHCP)サーバーで設定した情報を使用します。この情報を提供するようにDHCPサーバーを設定しない場合、デバイスは事前インストールされたソフトウェアと工場出荷時のデフォルト設定で起動します。
一部のスイッチでは、PHC(phone-home client)を使用してスイッチ用のソフトウェアをプロビジョニングできます。スイッチの起動時に、DHCPサーバーからZTP用のDHCPオプションを受信した場合、ZTPが再開されます。DHCP オプションが存在しない場合、PHC が試行されます。PHC の詳細については、「 Phone-Home クライアントを使用したバーチャルシャーシのプロビジョニング」を参照してください。
ZTPをサポートするプラットフォームを確認するには、ブラウザで 機能エクスプローラーに移動します。機能エクスプローラーページの 機能の探索 セクションで、 すべての機能を選択します。[ 機能ファミリー別にグループ化された機能 ] ボックスで、[ゼロ タッチ プロビジョニング] を選択します。[ フィーチャの検索 ] 編集ボックスにフィーチャの名前を入力することもできます。ZTPサポートがどのように拡張されたかの詳細については、このトピックの最後にあるリリース履歴の表を参照してください。
- ZTPワークフロー
- スクリプトを使用したデバイスのプロビジョニング
- ゼロタッチプロビジョニング再起動プロセスのトリガー
- ZTPに関する注意事項
- PTX1000ルーターでのWANインターフェイスを使用したゼロタッチプロビジョニング
ZTPワークフロー
デバイスがデフォルト設定で起動すると、以下のイベントが発生します。
-
DHCP クライアントは、サポートされているインターフェイスで実行されます。
-
DHCP サーバーは IP アドレスをプロビジョニングし、ZTP プロセスに関連する応答にいくつかの DHCP オプションを含めます。
-
デバイスは、DHCP オプションを処理し、設定ファイルを検索し、スクリプトを実行し、ソフトウェアのアップグレードやダウングレードを行います。
-
イメージファイルと設定ファイルの両方が存在する場合、イメージがインストールされ、設定が適用されます。
-
イメージファイルのみが存在する場合、イメージがデバイスにインストールされます。
-
イメージがデバイスにすでにインストールされているイメージと同じ場合、ZTPは続行し、インストール手順をスキップします。
-
デバイスがイメージを取得できなかった場合、ZTPはイメージの取得を再試行します。
-
イメージが破損している場合、インストールは失敗します。
何らかの理由でインストールに失敗すると、ZTPが再起動します。
-
設定ファイルのみが存在する場合、設定がダウンロードされます。
ファイルの最初の行が #!文字の後にインタプリタパスが続く場合、ファイルはスクリプトと見なされ、スクリプトはインタプリタによって実行されます。スクリプトがエラーを返した場合、ZTPステートマシンはスクリプトを再取得し、スクリプトの再実行を試みます。
設定ファイルをダウンロードできない場合、ZTPプロセスは再度ダウンロードを試みます。
設定ファイルが破損している場合、構文エラーがある場合、またはデバイスでサポートされていないコマンドが含まれている場合、デバイスはコミットできず、再試行メカニズムが再起動されます。
-
イメージまたは設定ファイルがない場合、ZTPプロセスが再開されます。
-
ファイルサーバー情報がない場合、ZTPプロセスが再開されます。
-
設定がコミットされると、ZTPプロセスは成功したとみなされ、終了します。
スクリプトを使用したデバイスのプロビジョニング
ZTPプロセス中に、新しいネットワークデバイスを接続して起動すると、デバイスはDHCPサーバーにIPアドレスを要求します。サーバーは、デバイスのソフトウェアイメージと設定ファイルのIPアドレスと、設定されている場合はファイル名と場所を提供します。設定ファイルは、設定またはスクリプトです。
設定ファイルが提供されている場合、オペレーティングシステムはファイルの1行目に基づいてファイルがスクリプトかどうかを判断します。最初の行に文字 #! その後にインタプリタパスが続く場合、オペレーティングシステムはファイルをスクリプトとして扱い、指定されたインタプリタで実行します。
スクリプトがエラー(つまり、ゼロ以外の値)を返した場合、ZTPステートマシンはスクリプトを再取得し、再実行を試みます。これは、スクリプトが正常に実行されるまで続きます。
表1 は、サポートされるスクリプトタイプ、対応するインタプリタパス、ZTPプロセス中にそのスクリプトタイプをサポートするプラットフォームの概要を示しています。
| スクリプトタイプ |
インタープリターパス |
プラットフォームのサポート |
|---|---|---|
| シェルスクリプト |
|
すべてのデバイス |
| SLAXスクリプト |
|
すべてのデバイス |
| Pythonスクリプト |
|
自動化が強化されたJunos OSを実行するデバイス Junos OS Evolvedを実行しているデバイス |
セキュリティ上の理由から、Junos OS では、署名されていない Python スクリプトを Junos OS 搭載デバイス上で実行するための厳格な要件が設けられています。自動化が強化された Junos OS を実行しているデバイスと Junos OS Evolved を実行しているデバイスのみ、DHCP オプション 43 サブオプション 01 の署名されていない Python スクリプトの使用をサポートしています。
オペレーティングシステムは、インタプリタパス #! 続く文字を見つけられない場合、ファイルをテキスト形式の設定として扱い、デバイスに設定を読み込みます。
ゼロタッチプロビジョニング再起動プロセスのトリガー
ZTPは、以下のイベントのいずれかが発生すると再起動します。
-
設定ファイル、スクリプトファイル、またはイメージファイルのリクエストに失敗します。
-
設定ファイルが正しくないため、コミットに失敗します。
-
使用可能なコンフィギュレーション・ファイルもイメージ・ファイルもありません。
-
イメージファイルが破損しており、インストールに失敗します。
-
ファイルサーバー情報はありません。
-
DHCP サーバーに有効な ZTP パラメーターが設定されていません。
-
どのDHCPクライアントインターフェイスもバインド状態にならない場合。
-
設定ファイルまたはイメージファイルの取得を6回試みた後にZTPトランザクションが失敗する。
これらのイベントのいずれかが発生すると、ZTPはDHCPクライアント設定のすべてのインターフェイス(管理およびネットワーク)でDHCPクライアントステートマシンをリセットし、ステートマシンを再起動します。ステートマシンを再起動すると、DHCPクライアントはDHCPサーバーが設定した最新のパラメーターを取得できます。
ZTPが再起動する前に、バインドされたDHCPクライアントインターフェイスとバインドされていないDHCPクライアントインターフェイスのリストを作成するのに十分な時間を確保するまで、約15〜30秒を経過する必要があります。
バインドおよび非バインドのDHCPクライアントインターフェイスのリストには、以下が含まれます。
-
エントリーはありません。
-
複数のDHCPクライアントインターフェイス。
DHCPサーバーからすべてのZTPパラメーター(ソフトウェアイメージファイル、設定ファイル、ファイルサーバー情報)を受信したDHCPクライアントインターフェイスに優先度が与えられます。
バインドされたクライアントインターフェイスとバインドされていないクライアントインターフェイスのリストが作成され、ZTPアクティビティに対してDHCPクライアントが選択されると、既存のデフォルトルートが削除され、選択されたDHCPクライアントインターフェイスに新しいデフォルトルートが追加されます。新しいデフォルトルートを追加するためには、1つのZTPインスタンスのみをアクティブにすることができます。
ZTPが再起動した後、DHCPクライアントはDHCPサーバーからファイルの取得を最大6回試み、試行の間に10〜15秒が経過します。成功したかどうかに関係なく、すべての試行が記録され、コンソールで確認できます。
障害が発生した場合、または試行回数が制限を超えると、ZTPは停止します。その後、ZTPはDHCPクライアントバインディングをクリアし、DHCP設定インターフェイス上のステートマシンを再起動します。
ZTP再起動プロセスは、ソフトウェアのアップグレードが成功するか、運用担当者が手動でユーザー設定をコミットしてZTP設定を削除するまで続きます。
ZTPに関する注意事項
EXシリーズスイッチには、ダウングレードの2つの制限があります。
-
ZTPがサポートされていないJunos OSリリース12.2より前のソフトウェアバージョンにダウングレードした場合、ゼロタッチプロビジョニングプロセスの設定ファイルの自動インストールフェーズは行われません。
-
耐障害性に優れたデュアルルートパーティション(Junos OSリリース10.4R2以前)をサポートしないソフトウェアバージョンにダウングレードするには、デバイス上でいくつかの手動作業を実行する必要があります。詳細については、 デュアルルートパーティションの設定を参照してください。
以下は、QFXシリーズスイッチに関する注意事項です。
-
元のCLIを実行しているQFX3500およびQFX3600スイッチでは、ZTPを使用してJunos OSリリース12.2以降からJunos OSリリース13.2X51-D15以降にアップグレードすることはできません。
-
QFX5200スイッチは、15.1X53-D30のHTTPでのみ動作します。FTPおよびTFTPプロトコルはサポートされていません。
-
QFX5100スイッチの高度な自動化を含むJunos OSイメージを使用してゼロタッチプロビジョニング(ZTP)を実行している場合は、サーバーから取得された設定ファイルの
[edit system]階層で、ChefとPuppetのルート認証、プロバイダ名、ライセンスタイプ、導入スコープを設定します。{ master:0} root# set root-authentication (encrypted-password password | plain-text-password password | ssh-dsa public-key | ssh-rsa public-key) root# set extensions providers juniper license-type customer deployment-scope commercial root# set extensions providers chef license-type customer deployment-scope commercial -
Junos OSリリース18.1R1では、ソフトウェアをアップグレードする場合、ソフトウェアのフルアップグレードを実行する必要があります。フル アップグレードには、Junos OS ソフトウェアとホスト ソフトウェア パッケージの両方のアップグレードが含まれます。
PTX1000ルーターでのWANインターフェイスを使用したゼロタッチプロビジョニング
ゼロタッチプロビジョニング(ZTP)により、手動操作を最小限に抑えて、ネットワーク内のルーターを自動的にプロビジョニングできます。Junos OSリリース19.3R1以降、WANインターフェイスまたは管理インターフェイスのいずれかを使用して、ZTPブートストラッププロセス中に、適切なソフトウェアと設定ファイルを自動的にダウンロードしてルーターにインストールできます。
初めてルーターをネットワークに接続する際、ルーターで使用可能な任意の WAN ポートを選択して光インターフェイスを接続できます。ZTPは、光インターフェイスタイプに基づいてWANインターフェイスを自動的に設定し、デバイスをDHCP(ダイナミックホスト構成プロトコル)サーバーに接続してブートストラッププロセスを実行します。
デバイスに接続した光インターフェイスタイプとWANインターフェイス速度に基づいて作成されたWANインターフェイスは、ZTPが正常に完了するまで、サポートされているすべてのポート速度に自動遷移します。速度の自動遷移により、WANポートと接続した光インターフェイスおよびDHCPサーバーへのピアエンドデバイスの接続との物理的なリンクが確立されます。
PTX1000パケットトランスポートルーターハードウェアガイドには、PTX1000ルーターのポートで使用可能な組み合わせが示されています。
DHCP オプションを使用したゼロ タッチ プロビジョニング
ゼロタッチプロビジョニング(ZTP)により、ネットワークに追加したジュニパーネットワークデバイスのプロビジョニングを自動で行えます。実行するスクリプトまたは読み込む設定ファイルのいずれかを使用して、サポートされているデバイスをプロビジョニングできます。また、ZTPを使用するには、この手順で提供されている必要な情報を使用してDHCPサーバーを設定する必要があります。
オプションで、電話ホームサーバーまたはリダイレクトサーバーのいずれかにHTTPプロキシサーバーを設定することができます。電話ホームクライアントがDHCPオプション43サブオプション8を介してHTTPプロキシサーバーに関する情報を受信すると、プロキシサーバーとのHTTPS透過トンネルを作成します。トンネルが確立されると、Phone-Home クライアントは、そのトンネルを Phone-Home サーバーまたはリダイレクト サーバーのプロキシとして使用します。phone-home クライアントは、ソフトウェア イメージと設定ファイルをトンネルを介してデバイスにダウンロードします。ブートストラップが完了すると、デバイスが再起動し、トンネルが終了します。
ZTPを使用するには、デバイスが工場出荷時のデフォルト状態である必要があります。工場出荷時のデバイスは、事前インストールされたソフトウェアと工場出荷時のデフォルト設定で起動します。現在工場出荷時のデフォルト設定になっていないデバイスでは、 request system zeroize コマンドを発行できます。
request system zeroizeコマンドは、PTX1000、PTX10001-20C、QFX10002-60C、PTX10002-60Cデバイスではサポートされていません。PTX1000ルーターで工場出荷時のデフォルト設定を行うには、(request system zeroizeではなく)request vmhost zeroizeコマンドを発行する必要があります。
PTX10001-20C デバイスでは、 request vmhost zeroize コマンドを発行すると、次のメッセージが 2 回表示されます。 VMHost Zeroization : Erase all data, including configuration and log files ? [yes,no] (no) yes warning: Vmhost will reboot and may not boot without configuration Erase all data, including configuration and log files? [yes,no] (no) yes
始める前に:
-
デバイスが以下のネットワークリソースにアクセスできることを確認します。
-
ネットワーク上のソフトウェアイメージと設定ファイルの場所を提供するDHCPサーバー
設定手順については、DHCP サーバーのドキュメントを参照してください。
-
ソフトウェアイメージと設定ファイルが保存されているファイル転送プロトコル(匿名FTP)、Hypertext Transfer Protocol(HTTP)、Hypertext Transfer Protocol Secure(HTTPS)、またはTrivial File Transfer Protocol(TFTP)サーバー
注:TFTPはサポートされていますが、代わりにFTPまたはHTTPを使用することをお勧めします。これらのトランスポートプロトコルの方が信頼性が高いためです。
注意:HTTP URLの長さは256文字に制限されています。
-
逆DNSルックアップを実行するためのドメインネームシステム(DNS)サーバー(サポートされていません)。
-
(オプション)ネットワーク上で時刻同期を実行するNTPサーバー
-
(オプション)システムログメッセージとアラートを管理するシステムログ(syslog)サーバー。
Syslogメッセージは、ZTP中にこのsyslogサーバーに転送されます。
-
-
(オプション)電話ホームサーバーまたはリダイレクトサーバー用のHTTPプロキシサーバー。
-
デバイスの MACアドレスを見つけて記録します。
PTX10008デバイスでは、管理MACアドレスがルーティングエンジンに配置されています。
デバイスがソフトウェア更新プロセスを実行している間は、設定をコミットすることはできません。デバイスが設定ファイルの自動インストールプロセスの実行中に設定をコミットすると、プロセスは停止し、設定ファイルはネットワークからダウンロードされません。
DHCP オプションを使用してデバイスのゼロタッチ プロビジョニングを有効にするには:
DHCPv6オプションを使用したゼロタッチプロビジョニング
DHCPv6オプションを使用したゼロタッチプロビジョニング(ZTP)は、Junos OSフレックスイメージではサポートされていません。フレックス画像のファイル名に「フレックス」という単語が含まれています。フレックスイメージのファイル名の例は次のとおりです :jinstall-host-qfx-5e-flex-x86-64-20.4R3.8-secure-signed.tgz。
DHCPv6プロトコルには、サブネットルートを学習してインストールするためのIA_NA(非一時アドレスのID関連付け)用のサブネットオプションがありません。代わりに、サブネットルートはネイバーディスカバリープロトコルを介してインストールされます。
IPv6では、デバイスは、ルーターアドバタイズメント(RA)メッセージを使用して、他のリンクパラメーターとともにIPv6プレフィックスを定期的にアドバタイズします。クライアント(ZTPを実行しているジュニパーデバイス)では、DHCPv6クライアントがバインドされると、近隣探索プロトコル(NDP)はこれらのプレフィックスを学習し、クライアントインターフェイスを介してプレフィックスルートをインストールし、ネクストホップをゲートウェイデバイスのローカルアドレスへのリンクとして使用します。
クライアントデバイスでは、DHCPv6設定とともにルーターアドバタイズ設定がデフォルトで有効になっています。
-
デバイスが以下のネットワークリソースにアクセスできることを確認します。
-
ネットワーク上のソフトウェアイメージと設定ファイルの場所を提供するDHCPサーバー
設定手順については、DHCP サーバーのドキュメントを参照してください。
-
MXシリーズでは、ソフトウェアイメージと設定ファイルが保存されているファイル転送プロトコル(匿名FTP)、トリビアルファイル転送プロトコル(TFTP)、ハイパーテキスト転送プロトコル(HTTP)、またはハイパーテキスト転送プロトコルセキュア(HTTPS)サーバー。
注意:HTTP URLの長さは256文字に制限されています。
-
EX3400、EX4300、QFX5100、QFX5200デバイスでは、ソフトウェアイメージと設定ファイルが保存されているハイパーテキスト転送プロトコル(HTTP)またはハイパーテキスト転送プロトコルセキュア(HTTPS)サーバー。
注意:HTTP URLの長さは256文字に制限されています。
-
(オプション)電話ホームサーバーまたはリダイレクトサーバー用のHTTPプロキシサーバー。
-
-
デバイスに印刷されている MACアドレスを見つけて記録します。
ゼロタッチプロビジョニング(ZTP)により、ネットワークに追加したジュニパーネットワークデバイスのプロビジョニングを自動で行えます。実行するスクリプトまたは読み込む設定ファイルのいずれかを使用して、サポートされているデバイスをプロビジョニングできます。
ZTPを使用するには、必要な情報を提供するようにDHCPサーバーを設定します。この情報を提供するようにDHCPサーバーを設定しない場合、デバイスは事前インストールされたソフトウェアと工場出荷時のデフォルト設定で起動します。デバイスが工場出荷時のデフォルト状態でない場合は、 request system zeroize コマンドを発行できます。
オプションで、電話ホームサーバーまたはリダイレクトサーバーのいずれかにHTTPプロキシサーバーを設定することができます。電話ホームクライアントがDHCPオプション17サブオプション8を介してHTTPプロキシサーバーに関する情報を受信すると、プロキシサーバーとのHTTPSトランスペアレントトンネルを作成します。トンネルが確立されると、Phone-Home クライアントは、そのトンネルを Phone-Home サーバーまたはリダイレクト サーバーのプロキシとして使用します。phone-home クライアントは、ソフトウェア イメージと設定ファイルをトンネルを介してデバイスにダウンロードします。ブートストラップが完了すると、デバイスが再起動し、トンネルが終了します。
Junos OSリリース20.2R1-S1以降、DHCPv6クライアントはMXシリーズ、EX3400、EX4300、QFX5100、QFX5200スイッチでサポートされています。DHCPv4 クライアントと DHCPv6 クライアントの両方が、デフォルト設定の一部として含まれています。ブートストラッププロセス中に、デバイスはまずDHCPv4クライアントを使用して、DHCPサーバーにイメージと設定ファイルに関する情報をリクエストします。デバイスは、DHCPv4バインディングを順次チェックします。DHCPv4バインディングの1つに障害が発生した場合、デバイスはプロビジョニングが成功するまでバインディングのチェックを続行します。ただし、DHCPv4バインディングがない場合、デバイスはDHCPv6バインディングを確認し、デバイスが正常にプロビジョニングされるまでDHCPv4と同じプロセスに従います。DHCP サーバーは、DHCPv6 オプション 59 および 17 および該当するサブオプションを使用して、DHCP サーバーと DHCP クライアントの間で ZTP 関連情報を交換します。
デバイスがソフトウェア更新プロセスを実行している間は、設定をコミットすることはできません。デバイスが設定ファイルの自動インストールプロセスの実行中に設定をコミットすると、プロセスは停止し、設定ファイルはネットワークからダウンロードされません。
DHCPv6オプションを使用してデバイスにゼロタッチプロビジョニングを使用するには:
SRXシリーズファイアウォールでのゼロタッチプロビジョニング
- SRXシリーズファイアウォールでのゼロタッチプロビジョニングについて
- SRXシリーズファイアウォールでのゼロタッチプロビジョニングの設定
- ゼロタッチプロビジョニングのためのSRXシリーズファイアウォールの工場出荷時のデフォルト設定について
SRXシリーズファイアウォールでのゼロタッチプロビジョニングについて
このトピックでは、次のセクションについて説明します。
SRXシリーズファイアウォール上のZTPについて
ゼロタッチプロビジョニング(ZTP)により、デバイスを自動的にプロビジョニングおよび設定できるため、デバイスをネットワークに追加する際に必要となる手動介入のほとんどを最小限に抑えることができます。ZTPは、SRX300、SRX320、SRX340、SRX345、SRX550M、およびSRX1500デバイスでサポートされています。
リリース20.2R1 Junos OS以降、SRX300、SRX320、SRX340、SRX345、SRX550 HM、およびSRX1500デバイスでは、DHCP オプションを備えたゼロタッチプロビジョニングを使用してデバイスをプロビジョニングできます。詳細については、 DHCPオプションを使用したゼロタッチプロビジョニング を参照してください。
ZTPは現在、SRX1500のxe-0/0/16およびxe-0/0/17ポートでサポートされています。これらのポートの使用を回避するために、以下のデフォルト設定がxe-0/0/18およびxe-0/0/19ポートに追加されました。
set interfaces xe-0/0/18 unit 0 family inet dhcp vendor-id Juniper-srx1500 set interfaces xe-0/0/19 unit 0 family inet dhcp vendor-id Juniper-srx1500 set security zones security-zone untrust interfaces xe-0/0/18.0 host-inbound-traffic system-services dhcp set security zones security-zone untrust interfaces xe-0/0/18.0 host-inbound-traffic system-services tftp set security zones security-zone untrust interfaces xe-0/0/18.0 host-inbound-traffic system-services https set security zones security-zone untrust interfaces xe-0/0/19.0 host-inbound-traffic system-services dhcp set security zones security-zone untrust interfaces xe-0/0/19.0 host-inbound-traffic system-services tftp set security zones security-zone untrust interfaces xe-0/0/19.0 host-inbound-traffic system-services https
SRXシリーズファイアウォール上のZTPは、デバイスの初期起動と、デバイスの電源投入時の設定を担当します。この機能には以下が含まれます。
-
デバイスの最低限のブートストラップを提供します。SRXシリーズファイアウォールは、工場出荷時のデフォルト設定で出荷されます。工場出荷時のデフォルト設定には、セキュアで暗号化された接続を使用して中央サーバーに接続するために使用されるリダイレクトサーバーのURLが含まれています。
-
インターネット経由でサーバーに自動的に接続し、SRXシリーズファイアウォールを工場出荷時のデフォルト設定で起動する際に、お客様またはユーザーが指定した設定とJunos OSイメージをサーバーからダウンロードします。最初に新しいイメージをインストールし、次に初期設定を適用して、SRXシリーズファイアウォールにコミットします。
ZTPには、次のようなメリットがあります。
-
導入の簡略化と迅速化
-
設定精度の向上
-
追加リソースなしでネットワークの拡張をサポート
ZTPプロセスでは、ネットワークアクティベーターを使用して、SRXシリーズファイアウォールを最初にプロビジョニングします。
ネットワークアクティベーターの概要
Network Service Activatorは、デバイスの迅速な検出とプロビジョニングを可能にし、複雑なデバイス設定を不要にします。
Network Activatorは最初に、エンドユーザーのサイトに常駐するSRXシリーズファイアウォール(以下、このドキュメントでは リモートデバイス と呼びます)をプロビジョニングします。リモートデバイスは、すべての対話に完全な承認と認証を提供するプロセスを使用して、Network Activatorをホストするサーバーからブートイメージと初期設定ファイルをダウンロードします。初期プロビジョニングが完了すると、リモートデバイスは管理サーバーと通信し、管理サーバーはリモートデバイスの管理と監視を開始します。
Network Activatorは、分散型アーキテクチャを使用してリモートデバイスをサポートします。Network Activatorは、1つの中央管理サーバー(中央サーバー)と複数の地域管理サーバー(地域サーバー)にインストールされます。デバイスは、割り当てられた地域サーバーと直接通信します。分散型アーキテクチャは、初期プロビジョニングプロセスの効率を最適化し、ネットワークの高性能化と拡張性の向上に貢献します。
図1分散型アーキテクチャと、初期プロビジョニングプロセスに含まれるコンポーネントについて説明します。
の初期プロビジョニングに関わるコンポーネント
初期プロビジョニングプロセスにおけるコンポーネントの役割は次のとおりです。
-
リモートデバイスは、初期プロビジョニングのリクエストを送信します。リモートデバイスは、エンドユーザーの場所に存在します。
-
リダイレクトツールは、ITU-T X.509プライベートキーインフラストラクチャ(PKI)デジタル証明書を使用して、リモートデバイスが割り当てられた地域サーバーにアクセスするための認証と承認を提供します。リダイレクトサービスは、ジュニパーネットワークスが運用および保守するAmazon Web Services(AWS)でホストされています。
-
中央サーバーはネットワークアクティベーターをホストし、地域のアクティベーターサーバーと通信します。サービスプロバイダまたは企業の中央の場所の管理者は、このサーバーを操作して、Network Activatorをインストールしてセットアップします。中央サーバーは、サービスプロバイダの地理的に中央に配置されています。
-
地域サーバーは、Network Activatorもホストします。このサーバーは、割り当てられたリモートデバイスに関する情報を保存し、それらのデバイスと直接通信します。このサーバーは通常、プロバイダーがエンド ユーザー向けに指定した地域管理場所に配置されます。
図2は、初期プロビジョニングワークフローを示しています。
のワークフロー
詳細には、プロビジョニングワークフローは次のように進みます。
-
サービスプロバイダの管理者:
-
中央サーバーにNetwork Activatorをインストールしてセットアップします。
-
リダイレクトツールにリモートデバイスと地域サーバーを追加します。
-
-
中央サーバーは、インストールを地域サーバーに転送します。
-
エンドユーザーはリモートデバイスの電源を入れ、コンピューターに接続し、Webページに認証コードを入力して、初期プロビジョニングのリクエストを送信します。
-
デバイスは、X.509証明書と完全修飾ドメイン名(FQDN)をプロビジョニング要求としてリダイレクトツールに送信します。
-
リダイレクトツールは、管理者がこのデバイスに指定した地域サーバーのデータストアを検索し、デバイスのリクエストがサーバーに指定されたX.509証明書に対応していることを確認します。
-
リダイレクトツールは、地域サーバーの連絡先情報をデバイスに送信します。
-
デバイスは、ブート イメージの URL と初期設定の場所を求めるリクエストを地域サーバーに送信します。
-
地域サーバーがデバイスに情報を送信します。
-
デバイスは、地域のサーバーからブートイメージと設定を取得します。
-
デバイスは、ブート イメージと設定を使用して起動し、運用可能になります。
制限事項
-
正しいアクティベーションコードを入力する回数に制限はありません。
-
リモートデバイスがサーバーに到達できない場合(工場出荷時のデフォルト設定で設定されたアドレスが正しくない、サーバーがダウンしている場合など)、リモートデバイスは代替サーバーへの接続を試みます(工場出荷時のデフォルト設定で設定されている場合)。サーバーが1つしか設定されていない場合は、接続を再試行できます。このようなシナリオでは、コンソールを使用してデバイスを手動で設定することをお勧めします。
-
アクティベーションコードを入力するためにユーザーを認証Webページに自動的にリダイレクトするために必要なキャプティブポータルリダイレクトはサポートされていません。デバイスに接続した後、アクティベーションページに手動で移動する必要があります。
SRXシリーズファイアウォールでのゼロタッチプロビジョニングの設定
始める前に:
-
デバイスを開梱して取り付け、必要なケーブル配線を完了し、ラップトップまたはその他の端末デバイスを接続して、デバイスの電源を入れます。詳細については、お使いのデバイスの ハードウェアインストールガイド を参照してください。
-
SRX300、SRX320、SRX340、SRX345、およびSRX550Mデバイスの場合は、管理デバイスを接続してJ-Webインターフェイスにアクセスします。
詳細については、 SRX300、 SRX320、 SRX340、 SRX345、 およびSRX550Mの各デバイスのクイックスタートガイドを参照してください。
ZTPを使用するオプションが提供されています。このオプションを使用することも、スキップしてJ-Webウィザードに進むこともできます。
-
SRX1500デバイスでは、J-Webを使用してデバイスを設定する前に、CLIにアクセスしてルート認証と管理インターフェイスを設定する必要があります。詳細については、「 SRX1500 サービスゲートウェイの設定方法」を参照してください。
このセクションでは、デバイスの初期プロビジョニングにSRXシリーズファイアウォールでZTPを使用する方法を順を追って説明します。
ZTPを使用してSRXシリーズファイアウォールをプロビジョニングするには:
- 管理デバイスからWebブラウザを起動し、図3に示すようにWebページに認証コードを入力します。
図3: ZTP
のアクティベーションコードの入力
デバイスの認証に成功すると、 図4に示すように、サーバーからソフトウェアイメージと初期設定のダウンロードが開始されます。
図4:ZTPプロセスの開始(ソフトウェアイメージのダウンロード)
このステップでは:
-
アクティベーションコードがサーバーに送信され、認証に成功するとサーバーが初期設定をデバイスにプッシュします。認証に失敗した場合は、正しいコードを入力するよう求められます。
-
サーバーは、オプションで新しいソフトウェアイメージをSRXシリーズファイアウォールにプッシュできます。その場合は、まず新しいイメージをインストールしてから、初期設定を適用してデバイスにコミットします。
新しいイメージがインストールされ、初期設定がデバイスに適用され、コミットされます。プロセスが完了すると、 図5に示すように確認メッセージが表示されます。
図5:ZTPプロセスの完了
-
新しいソフトウェアイメージと設定をシステムに正常にインストールすると、クライアントはイメージと設定を提供したサーバーに bootstrap-complete 通知を送信します。通知が送信されると、サーバー名を含む設定がシステムから削除されます。次回ZTPを使用する場合は、リダイレクトサーバーのURLを明示的に設定する必要があります。
どの段階でも障害が発生した場合は、手順を最初からやり直します。
ZTPプロセスは、Junos OSバージョンのアップグレードまたはダウングレードのいずれかを行います。SRXシリーズファイアウォールのダウングレード中に、ZTPがサポートされていないJunos OSリリース15.1X49-D100より前のソフトウェアバージョンにダウングレードした場合、ZTPプロセスの自動インストールフェーズは行われません。
SRX300、SRX320、SRX340、SRX345、SRX550Mデバイスでは、ZTPがデバイスのプロビジョニングのデフォルト方法です。ただし、J-Webベースのプロビジョニング(SRX300シリーズのデバイスおよびSRX550MデバイスでサポートされているJ-Webセットアップウィザード)を使用する場合は、ZTPの代わりに、クライアントポータルで提供されているオプションを使用して、デバイスのソフトウェアの初期設定を実行するためのJ-Webセットアップウィザードにスキップできます。
「JWebにスキップ」オプションを選択した場合、図6に示すようにシステムroot認証パスワードを設定する必要があります。
の設定
SRX1500デバイスでは、[ JWebにスキップ ]オプションはサポートされていません。J-Webにアクセスするには、CLIを介してSRX1500の初期セットアップ時にZTPクライアント設定を削除する必要があります。
ゼロタッチプロビジョニングのためのSRXシリーズファイアウォールの工場出荷時のデフォルト設定について
サービスゲートウェイは工場出荷時のデフォルト設定で出荷されます。以下は、ZTPの設定を含むデフォルト設定の例です。
system {
phone-home {
rfc-compliant;
server https://redirect.juniper.net;
}
}
この設定では、以下の点にご注意ください。
-
serverは、サーバーの名前またはIPアドレスを示します。SRXシリーズファイアウォールの工場出荷時のデフォルト設定には、複数のサーバーのIPアドレスが含まれている場合があります。 -
rfc-compliantは、アップグレード後、サーバーがRFC標準に準拠した特定の動作を適用することを示します。
デフォルトでは、システムの自動インストール設定はデバイスの工場出荷時のデフォルト設定の一部です。そのため、管理者は、地域のサーバーからリモートデバイス(SRXシリーズファイアウォール)に送信される設定ファイルに、工場出荷時のデフォルト設定に delete system autoinstallation オプションが含まれている必要があることを確認する必要があります。
ゼロタッチプロビジョニングの監視
コンソールおよび動作モードコマンドを使用して、ゼロタッチプロビジョニングを監視できます。
- コンソールを使用して Junos OS のゼロタッチ プロビジョニングを監視する
- システムログアラートを使用したゼロタッチプロビジョニングの監視
- エラーメッセージを使用したゼロタッチプロビジョニングの監視
- システムログファイルを使用し、DHCPオプションを使用したJunos OSのゼロタッチプロビジョニングを監視する
- システムログファイルを使用し、DHCPv6オプションを使用したJunos OSのゼロタッチプロビジョニングを監視する
- show dhcp client bindingコマンドの使用
- show dhcpv6 client bindingコマンドの使用
- show dhcp client statisticsコマンドの使用
- show dhcpv6 client statisticsコマンドの使用
コンソールを使用して Junos OS のゼロタッチ プロビジョニングを監視する
ZTPプロセス中は、以下のゼロタッチプロビジョニング(ZTP)アクティビティがコンソールに表示されます。
-
ZTPプロセスの開始時刻と終了時刻
-
バインドされたDHCPクライアントインターフェイスとバインドされていないDHCPクライアントインターフェイスのリスト。
-
DHCP サーバーが DHCP クライアントに送信する DHCP オプション。
-
ZTPに使用されるインターフェイスを示すログ。
-
DHCPクライアントがDHCPサーバーから取得するZTPパラメーター。
-
設定ファイルとイメージファイルのファイル名、ファイルサーバーの名前、ファイルの取得に使用されるプロトコル、DHCPサーバーが設定とイメージファイルを取得する時間。
-
ファイルがサーバー上にない、またはサーバーに到達できないこと、およびタイムアウトによって引き起こされる障害状態。
-
現在のZTPサイクルにおける再試行回数と残りの試行回数
-
ファイル転送の完了。
-
ZTPプロセスのインストール、再起動、状態
-
内部状態エラーとZTPプロセスの終了
-
デフォルトルートが追加または削除されたときのログ。
システムログアラートを使用したゼロタッチプロビジョニングの監視
目的
この例では、自動イメージアップグレードが開始されることをシステムログアラートで警告します。
アクション
次のシステムログアラートを使用して、自動イメージアップグレードプロセスを監視します。
“ALERT:Auto-image upgrade will start. This can terminate config CLI session(s). Modified configuration will be lost. To stop Auto-image, in CLI do the following: 'edit; delete chassis auto-image-upgrade; commit'.” “Checking whether image upgrade is already invoked”
意味
このシステムログアラートは、自動イメージアップグレードが開始されることを示し、自動イメージアップグレードプロセスを停止する方法に関する情報を提供します。
エラーメッセージを使用したゼロタッチプロビジョニングの監視
システムログファイルを使用し、DHCPオプションを使用したJunos OSのゼロタッチプロビジョニングを監視する
目的
システムログファイルには、自動アップグレードプロセスの状態、バインドおよびバインドされていないDHCPクライアントインターフェイスのリスト、ファイルサーバーのIPアドレス、イメージファイルと設定ファイルの名前と場所、設定ファイルとイメージファイルの取得の成功と失敗に関する情報が記載されています。
アクション
以下のシステムログファイルの情報を使用して、自動アップグレードプロセスを監視します。
Auto Image Upgrade: Start fetching config-file file from server 10.1.1.1 through irb using ftp Auto Image Upgrade: Tried [2] attempts to fetch config-file file from server 10.1.1.1 through irb. Summary: "Retrieving /config-file :: Failed to open file.". To retry [4] times. Auto Image Upgrade: Tried [4] attempts to fetch config-file file from server 10.1.1.1 through irb. Summary: "Retrieving /config-fileconfig-file :: Failed to open file.". To retry [2] times. Auto Image Upgrade: Tried [6] attempts to fetch config-file file from server 10.1.1.1 through irb. Summary: "Retrieving /config-file :: Failed to open file.". To retry [0] times. Auto Image Upgrade: All [6] attempts to fetch config-file file from server 10.1.1.1 through irb FAILED. Start retry again in few minutes.
意味
これらのシステムログファイルは、ファイルサーバーから設定ファイルを取得しようとして6回失敗したこと、ファイルサーバーのIPアドレス、DHCPクライアントインターフェイス名、および再試行プロセスの発生回数を示しています。
システムログファイルを使用し、DHCPv6オプションを使用したJunos OSのゼロタッチプロビジョニングを監視する
目的
システムログファイルには、自動アップグレードプロセスの状態、バインドおよびバインドされていないDHCPクライアントインターフェイスのリスト、ファイルサーバーのIPアドレス、イメージファイルと設定ファイルの名前と場所、設定ファイルとイメージファイルの取得の成功と失敗に関する情報が記載されています。
アクション
以下のシステムログファイルの情報を使用して、自動アップグレードプロセスを監視します。
Auto Image Upgrade: Tried [2] attempts to fetch junos-vmhost-install -20.2.tgz file from server 2001:db8::1 through et-0 /0/0:2. Summary: "fetch-secure: https://[2001:*: Connection refused". To retry [4] times. Auto Image Upgrade: Tried [4] attempts to fetch junos-vmhost-install -20.2.tgz file from server 2001:db8::1 through et-0 /0/0:2. Summary: "fetch-secure: https://[2001:*: Connection refused". To retry [2] times. Auto Image Upgrade: Tried [6] attempts to fetch junos-vmhost-install- 20.2.tgz file from server 2001:db8::1 through et-0 /0/0:2. Summary: "fetch-secure: https://[2001:*: Connection refused". To retry [0] times.
意味
これらのシステムログファイルには、ファイルサーバーからのイメージファイルの取得が6回失敗したこと、ファイルサーバーのIPアドレス、DHCPv6クライアントインターフェイス名、および再試行プロセスの発生回数が示されています。
show dhcp client bindingコマンドの使用
目的
show dhcp client bindingコマンドを発行して、DHCPクライアントバインディング情報を表示します
アクション
show dhcp client binding コマンドを発行して、DHCP クライアントの IP アドレス、DHCP クライアントのハードウェア アドレス、DHCP クライアントの IP アドレス リースが期限切れになる秒数、バインディング テーブル内の DHCP クライアント IP アドレスの状態、アクティブなクライアント バインディングを持つインターフェイスの名前を表示します。
show dhcp client binding
user@device# show dhcp client binding IP address Hardware address Expires State Interface 10.0.0.0 00:22:83:2a:db:dc 0 SELECTING irb.0 10.6.6.13 00:22:83:2a:db:dd 49201 BOUND vme.0 10.0.0.0 00:22:83:2a:db:df 0 SELECTING xe-0/0/0.0 10.0.0.0 00:22:83:2a:db:e0 0 SELECTING xe-0/0/1.0
意味
このコマンドの出力には、バインドされているクライアントインターフェイスが1つあり、DHCPサーバーからDHCPオファーを受信しているインターフェイスが3つあることを示しています。
show dhcpv6 client bindingコマンドの使用
目的
show dhcpv6 client bindingコマンドを発行して、DHCPクライアントバインディング情報を表示します
アクション
show dhcp6 client binding コマンドを発行して、DHCPv6 クライアントの IP アドレス、DHCPv6 クライアントのハードウェア アドレス、DHCPv6 クライアントの IP アドレス リースが期限切れになる秒数、バインディング テーブル内の DHCPv6 クライアント IP アドレスの状態、アクティブなクライアント バインディングを持つインターフェイスの名前を表示します。
show dhcpv6 client binding
user@device# show dhcpv6 client binding IP/prefix Expires State ClientType Interface Client DUID 2001:db8::10 57 SELECTING STATEFUL em0.0 LL0x3-54:4b:8c:d3:a2:34 2001:db8::10 46 SELECTING STATEFUL em2.0 LL0x3-54:4b:8c:d3:a2:35 2001:db8::10 38 SELECTING STATEFUL et-0/0/0:0.0 LL0x3-54:4b:8c:d3:a2:3b 2001:db8::10 530 BOUND STATEFUL et-0/0/0:1.0 LL0x3-54:4b:8c:d3:a2:3c
意味
このコマンドの出力では、バインドされているクライアントインターフェイスが1つあり、DHCPサーバーからDHCPv6オファーを受信しているインターフェイスが3つあることを示しています。
show dhcp client statisticsコマンドの使用
目的
show dhcp client statistics コマンドを発行して、DHCP クライアントの統計情報を表示します。
アクション
show dhcp client statistics コマンドを発行して、ドロップしたパケット数や送受信した DHCP および BOOTP メッセージ数などの DHCP クライアント統計情報を表示します。
show dhcp client statistics
user@device# show dhcp client statistics
Packets dropped:
Total 14
Send error 14
Messages received:
BOOTREPLY 5
DHCPOFFER 1
DHCPACK 4
DHCPNAK 0
DHCPFORCERENEW 0
Messages sent:
BOOTREQUEST 6751
DHCPDECLINE 0
DHCPDISCOVER 6747
DHCPREQUEST 4
DHCPINFORM 0
DHCPRELEASE 0
DHCPRENEW 0
DHCPREBIND 0
意味
このコマンドの出力には、エラーでドロップされたパケット数、受信した BOOTREPLY および DHCPOFFER メッセージの数、送信された BOOTREQUEST および DHCPREQUEST メッセージの数が表示されます。
show dhcpv6 client statisticsコマンドの使用
目的
show dhcpv6 client statistics コマンドを発行して、DHCPv6 クライアントの統計情報を表示します。
アクション
show dhcpv6 client statistics コマンドを発行して、ドロップしたパケット数や送受信した DHCPv6 メッセージ数などの DHCPv6 クライアント統計情報を表示します。
show dhcpv6 client statistics
user@device# show dhcpv6 client statistics
Dhcpv6 Packets dropped:
Total 20323
Bad Send 7580
Bad Options 12743
Messages received:
DHCPV6_ADVERTISE 13
DHCPV6_REPLY 109
DHCPV6_RECONFIGURE 0
Messages sent:
DHCPV6_DECLINE 0
DHCPV6_SOLICIT 879
DHCPV6_INFORMATION_REQUEST 0
DHCPV6_RELEASE 0
DHCPV6_REQUEST 9
DHCPV6_CONFIRM 0
DHCPV6_RENEW 61
DHCPV6_REBIND 41
意味
このコマンドの出力には、エラーでドロップされたパケットの数と、送受信したDHCPV6メッセージの数が表示されます。
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。