Zero-touch deployment med IMC BIMS

Transcription

Zero-touch deployment med IMC BIMS
Zero-touch
deployment med
IMC BIMS
Geir Åge Leirvik - [email protected]
ATEA Community - 2015
Agenda
–Intro til Zero-touch
–Oversikt IMC BIMS
–ZTD løsningseksempel:
–Svitsjutrulling @hvorsomhelst
–Løsningsdemo
Ekstramatriell
ADVPN with X.509 certs konnektivitet til avdelingskontor
Zero Touch Deployment
A Real World Problem
NetOps:
Config,
monitoring
• Hvert steg i prosessen koster
penger
• Skal du sende kvalifisert
mannskap til hver plass blir det
dyrt og kapasiteten mindre.
• Jo mer kompleks løsning,
desto mer menneskelig factor –
desto større risiko for feil
• ZTD kan bootstrappe via USB,
TFTP eller SMS
Hardware:
Auditing,
shipment
(Wo)Man in a
van: Need
minimal install
process
No console
cable.
Zero Touch Deployment
A Real World Problem
NetOps:
Config,
monitoring
• Zero touch hjelper i alle deler
av prosessen.
• NetOps – minimer manuell
cut’n’paste – minimer
tidsforbruk og risiko ved
manuell fjernkonfigurasjon
• Onsite personell – Trenger ikke
konsollkabel. Fokus på
installasjon av maskivare –
ikke konfigursjon
• Hardware – Ikke lenger behov
for staging – shipper rett fra
distribusjon. Senker kost.
Hardware:
Auditing,
shipment
(Wo)Man in a
van: Need
minimal install
process
No console
cable.
Zero Touch Deployment
Hvordan det virker med DHCP
• Prosess
1. Svitsjen booter og mottar DHCP info: defaultgw, tftpd server og boot file name
2. Ved oppstart – svitsj laster ned boot strap
config med TR-069 – CWMP kommandoer +
kommandoer for sikkerhet og andre
nødvendige tjenester (autodeploy.cfg)
TFTPd
BIMS
NOC
DHCP
d
Customer or transit
network
3. Svitsjen kobler til og melder seg som
kandidat til BIMS
4. Config template på BIMs med variabler–
deployes og parametrene fylles ut – fra .CSV
eller interaktivt
5. Svitsjen (som periodisk) kontakter IMC BIMS
server, gjennomfører CWMP samtale,
konfigurasjon lasts ned til enhet.
6. Svitsjen er ferdig konfigurert
HP
5700
Switch
Zero Touch Deployment
Hvordan det virker med DHCP
DHCP oppsett
dhcp server ip-pool swimming extended
network ip range 192.168.225.121
192.168.225.254
network mask 255.255.255.0
gateway-list 192.168.225.1
dns-list 8.8.8.8 8.8.4.4
domain-name community.local
expired day 0 hour 8
tftp-server ip-address 192.168.225.128
option 43 ascii http://10.240.252.12:9090
option 67 ascii config.cfg
TFTPd
BIMS
NOC
Autodeploy.cfg
interface vlan1
ip address dhcp-alloc
DHCPd
Customer or transit
network
ip http enable
telnet server enable
cwmp
HP
5700
Switch
cwmp enable
cwmp acs url http://192.168.225.128:9090
cwmp acs username bims
cwmp acs password simple bims
cwmp cpe inform interval enable
cwmp cpe inform interval 15
cwmp cpe username bims
cwmp cpe password simple bims
cwmp cpe connect interface vlan1
Zero Touch Deployment
Hvordan det virker med DHCP
Templatesysname ${sname}
int vlan1
ip address ${ipmgmt} 24
snmp-agent
snmp-agent community read public
snmp-agent community write private
snmp-agent sys-info version all
snmp-agent target-host trap address udp-domain
192.168.225.128 params securityname public v2c
user-interface vty 0 15
authentication-mode none
user privilege level 3
telnet server enable
save force
return
TFTPd
BIMS
NOC
DHCP
d
Customer or transit
network
HP
5700
Switch
Zero Touch Deployment
Hvordan det virker med DHCP
TFTPd
BIMS
NOC
DHCP
d
Customer or transit
network
HP
5700
Switch
Så med ruter
IMC BIMS
Zero Touch Deployment
Slik virker• det
TR-069 aka CPE WAN
•
Customer DC / NoC
Mgmt Protocol (CWMP)
• Bi-Dir HTTP for
Ingredienser:kommunikasjon mellom
CPE & config server
• IMC Branch Intelligent Management
Software (BIMS) avdelingskontor
enhetskonfig & mgmt.
• En ut-av-boksen TR-069 protokoll
kapabel enhet, MSR ruter eller en
supporter svitsj
Carrier Network
• USB stick med basic config eller tftpserver og DHCP med basic config
(option 150, option 67)
• Onsite “tekniker” for fysisk installasjon
(og potensiell isetting av USB
minnepinne).
USB
Remote Branch
device
IMC BIMS
Zero Touch Deployment
Slik virker det - USB minnepinne
Customer DC / NoC
• Prosess
1. BIMS satt opp med enhetsid – device
ID (serienummer & OUI) &
konfigurasjonsmal - config template.
Carrier Network
2. USB config peker på IMC server.
3. Oppstart - ruter laster config fra USB.
4. Ruter kontakter IMC server, CWMP
samtale, endelig ruterkonfigurasjon
lastes ned til enhet.
5. Ruter online.
USB
Remote Branch
device
Zero Touch Deployment
Slik virker det
• Prosess
1. BIMS satt opp med enhetsid – device
ID (serienummer & OUI) &
konfigurasjonsmal - config template.
2. USB config peker på IMC server.
3. Oppstart - ruter laster config fra USB.
4. Ruter kontakter IMC server, CWMP
samtale, endelig ruterkonfigurasjon
lastes ned til enhet.
5. Ruter online.
Can use DHCP
Zero Touch Deployment
Slik virker det
• Prosess
1. BIMS satt opp med enhetsid – device
ID (serienummer & OUI) &
konfigurasjonsmal - config template.
2. USB config peker på IMC server.
3. Oppstart - ruter laster config fra USB.
4. Ruter kontakter IMC server, CWMP
samtale, endelig ruterkonfigurasjon
lastes ned til enhet.
5. Ruter online.
interface GigabitEthernet0/4
port link-mode route
ip address dhcp-alloc
cwmp
cwmp
cwmp
cwmp
cwmp
cwmp
cwmp
cwmp
cwmp
enable
acs url http://10.200.1.132:9090
acs username bims
acs password simple bims
cpe username bims
cpe password simple bims
cpe inform interval enable
cpe inform interval 15
Can use DNS
Zero Touch Deployment
Slik virker det
• Prosess
1. BIMS satt opp med enhetsid – device
ID (serienummer & OUI) &
konfigurasjonsmal - config template.
2. USB config peker på IMC server.
3. Oppstart - ruter laster config fra USB.
4. Ruter kontakter IMC server, CWMP
samtale, endelig ruterkonfigurasjon
lastes ned til enhet.
5. Ruter online.
Zero Touch Deployment
Slik virker det
• Prosess
1. BIMS satt opp med enhetsid – device
ID (serienummer & OUI) &
konfigurasjonsmal - config template.
2. USB config peker på IMC server.
3. Oppstart - ruter laster config fra USB.
4. Ruter kontakter IMC server, CWMP
samtale, endelig ruterkonfigurasjon
lastes ned til enhet.
5. Ruter online.
Zero Touch Deployment
Slik virker det
• Prosess
1. BIMS satt opp med enhetsid – device
ID (serienummer & OUI) &
konfigurasjonsmal - config template.
2. USB config peker på IMC server.
3. Oppstart - ruter laster config fra USB.
4. Ruter kontakter IMC server, CWMP
samtale, endelig ruterkonfigurasjon
lastes ned til enhet.
5. Ruter online.
Zero Touch Deployment
The End?
• Auto-deploy kan fungere alene via
tftp – men TR-069 sikrer at ikke alt
som kobles på kommer på nett.
• Men dette kan også brukes til mye
mer – se ekstramateriell for VPN mm
Zero Touch Deployment:
Tid for demo og lab.
Labguide - oppgaver
Lab oppgaver
Lab miljø:
VSR 1000 – virtuell ruter – vår CPE i dag
Windows 10 – virtuell maskin med IMC-BIMS – DHCP server og tftp server
Fysisk PC – med internett-tilgang og tilgang til virtuelt miljø
Adresser – 192.168.225.0 - alle kan bruke det samme siden nettet er internt
for hver PC.
Oppgave: Sette opp med egen adresse og eget hostname + andre atributter
dere ønsker.
Dokumentasjon:
Flytdiagram USB boot - dette skal vi IKKE bruke nå 
Appendix 1 – Ekstramateriell (in
English)
ZTD Combo
ADVPN
ZTD
BGP
X.509
PKI
ZTD - ADVPN
IMC BIMS
Auto-Discovery Virtual Private Network
Customer DC / NoC
• Process
VAM Server / Hub
Hub
1. Uses DYNAMIC public addresses
2. Build private VPN network
3. Uses VPN Address Mgmt (VAM)
protocol
Carrier Network
4. Client/server model - client learns
public address of other clients via
server
5. Multipoint IPSEC Tunnels built
hub/spoke or spoke/spoke
VAM Client / Spoke
ZTD - ADVPN
IMC BIMS
Auto-Discovery Virtual Private Network
Customer DC / NoC
• VAM Server config
vam server advpn-domain abc id 1
pre-shared-key cipher xxx
server enable
hub-group 0
hub private-address 10.150.0.1
hub private-address 10.150.0.2
spoke private-address range 10.150.0.0 10.150.0.255
VAM Server / Hub
Hub
Carrier Network
Hub Private address
configured and address
range for spokes
VAM Client / Spoke
IMC BIMS
ZTD - ADVPN
Auto-Discovery Virtual Private Network
Customer DC / NoC
• VAM Server Address Map
<HP6804-1>dis vam server address-map
ADVPN domain name: abc
Total private address mappings: 3
Group
Private address Public address
0
10.150.0.1
172.16.51.1
0
10.150.0.2
172.16.52.1
0
10.150.0.5
172.16.50.1
VAM Server / Hub
Type
Hub
Hub
Spoke
NAT
No
No
No
Holding
22H 49M
22H 47M
22H 47M
time
20S
3S
3S
Hub
Carrier Network
VAM client register public
address with server which
maps to a private address
VAM Client / Spoke
ZTD - ADVPN
IMC BIMS
Auto-Discovery Virtual Private Network
Customer DC / NoC
• Client config
interface Tunnel5 mode advpn gre
ip binding vpn-instance x
ip address 10.150.0.5 255.255.255.0
pim dm
source GigabitEthernet0/0.50
tunnel protection ipsec profile abc
vam client Spoke1
#
vam client name Spoke1
advpn-domain abc
server primary ip-address 172.16.51.1
pre-shared-key cipher xxx
client enable
VAM Server / Hub
Hub
Carrier Network
VAM Client / Spoke
IMC BIMS
ZTD - ADVPN
Auto-Discovery Virtual Private Network
Customer DC / NoC
• Hub config
interface Tunnel5 mode advpn gre
ip binding vpn-instance x
ip address 10.150.0.1 255.255.255.0
pim dm
source GigabitEthernet2/0/3.51
tunnel protection ipsec profile abc
vam client Hub1
#
vam client name Hub1
advpn-domain abc
server primary ip-address 172.16.51.1
pre-shared-key cipher xxx
client enable
VAM Server / Hub
Hub
Carrier Network
Only 1 tunnel interface
needed
Reduces admin overhead
VAM Client / Spoke
ZTD Combo
ADVPN
ZTD
BGP
X.509
PKI
ZTD - BGP
IMC BIMS
BGP tweak for Auto-deploy
Customer DC / NoC
• Normally, even with peer groups, peer
statements must be configured for each
neighbour.
• BGP peer statement subnet allows hub to
passively listen for TCP SYN from a source
subnet:
VAM Server / Hub
Hub
Carrier Network
eBGP session
bgp 65100
peer 10.150.0.0 24 enable
• Reduce admin overhead
• Only clients need hub peer statements
VAM Client / Spoke
eBGP session
ZTD Combo
ADVPN
ZTD
BGP
X.509
PKI
Certificate Authority
IMC BIMS
ZTD - Security
PKI Infrastructure
• Public Key Infrastructure (PKI) = asymmetric
key infrastructure for encryption &
authentication of network users and data.
• Distributes X.509 digital certificates as public
keys, creates chain of trust rooted at
Certificate Authority.
Customer DC / NoC
VAM Server / Hub
Hub
Carrier Network
• IPSEC can utilise certs from CA to build
Security Associates between Hub & Spokes.
• Improves security over statically configured
pre-shared keys.
P2MP
IPSEC ADVPN tunnel
VAM Client / Spoke
Certificate Authority
IMC BIMS
ZTD - Security
PKI Infrastructure
• Example Config
interface Tunnel5 mode advpn gre
ip binding vpn-instance x
ip address 10.150.0.5 255.255.255.0
pim dm
source GigabitEthernet0/0.50
tunnel protection ipsec profile abc
vam client Spoke1
#
ike profile abc
certificate domain hpnemea
exchange-mode aggressive
match remote identity address 0.0.0.0 0.0.0.0
proposal 10
Customer DC / NoC
VAM Server / Hub
Hub
Carrier Network
P2MP
IPSEC ADVPN tunnel
VAM Client / Spoke
Certificate Authority
IMC BIMS
ZTD - Security
PKI Infrastructure
• Example Config
interface Tunnel5 mode advpn gre
ip binding vpn-instance x
ip address 10.150.0.5 255.255.255.0
pim dm
source GigabitEthernet0/0.50
tunnel protection ipsec profile abc
vam client Spoke1
#
ike profile abc
certificate domain hpnemea
exchange-mode aggressive
match remote identity address 0.0.0.0 0.0.0.0
proposal 10
Customer DC / NoC
VAM Server / Hub
Hub
Carrier Network
P2MP
IPSEC ADVPN tunnel
VAM Client / Spoke
Zero Touch Deployment:
Flow
Certificate
Authority
Cert
Request
Public
Private
Map
VAM Server
Router certs for
IPSEC needed
Router
IPSEC active
Registe
r
IMC BIMS
Config
Router
configured
Cert
IPSEC
SA
Hub
CWM
P
ADVPN
tunnel
Router L3
connection up
BGP TCP
Syn
Hub
USB
Insert
Router
boot
Established
Router up
Certificate Authority
IMC BIMS
ZTD - Security
PKI Hooks for ZTD
Auto mode: router requests
X.509 from CA
• Example Config
Customer DC / NoC
VAM Server / Hub
pki domain hpnemea
ca identifier JN-FI-CA8
certificate request url http://10.200.1.132:80/certsrv/mscep/mscep.dll
certificate request from ra
certificate request entity hpnemea
certificate request mode auto
public-key rsa general name abc length 2048
root-certificate fingerprint md5 8621C06F5E51590C3D7EA89E29EFC044
undo crl check enable
Hub
Carrier Network
P2MP
Public key auto-generated onIPSEC ADVPN tunnel
boot-up
VAM Client / Spoke
Zero Touch Deployment:
Demo time.