Zero-touch deployment med IMC BIMS
Transcription
Zero-touch deployment med IMC BIMS
Zero-touch deployment med IMC BIMS Geir Åge Leirvik - [email protected] ATEA Community - 2015 Agenda –Intro til Zero-touch –Oversikt IMC BIMS –ZTD løsningseksempel: –Svitsjutrulling @hvorsomhelst –Løsningsdemo Ekstramatriell ADVPN with X.509 certs konnektivitet til avdelingskontor Zero Touch Deployment A Real World Problem NetOps: Config, monitoring • Hvert steg i prosessen koster penger • Skal du sende kvalifisert mannskap til hver plass blir det dyrt og kapasiteten mindre. • Jo mer kompleks løsning, desto mer menneskelig factor – desto større risiko for feil • ZTD kan bootstrappe via USB, TFTP eller SMS Hardware: Auditing, shipment (Wo)Man in a van: Need minimal install process No console cable. Zero Touch Deployment A Real World Problem NetOps: Config, monitoring • Zero touch hjelper i alle deler av prosessen. • NetOps – minimer manuell cut’n’paste – minimer tidsforbruk og risiko ved manuell fjernkonfigurasjon • Onsite personell – Trenger ikke konsollkabel. Fokus på installasjon av maskivare – ikke konfigursjon • Hardware – Ikke lenger behov for staging – shipper rett fra distribusjon. Senker kost. Hardware: Auditing, shipment (Wo)Man in a van: Need minimal install process No console cable. Zero Touch Deployment Hvordan det virker med DHCP • Prosess 1. Svitsjen booter og mottar DHCP info: defaultgw, tftpd server og boot file name 2. Ved oppstart – svitsj laster ned boot strap config med TR-069 – CWMP kommandoer + kommandoer for sikkerhet og andre nødvendige tjenester (autodeploy.cfg) TFTPd BIMS NOC DHCP d Customer or transit network 3. Svitsjen kobler til og melder seg som kandidat til BIMS 4. Config template på BIMs med variabler– deployes og parametrene fylles ut – fra .CSV eller interaktivt 5. Svitsjen (som periodisk) kontakter IMC BIMS server, gjennomfører CWMP samtale, konfigurasjon lasts ned til enhet. 6. Svitsjen er ferdig konfigurert HP 5700 Switch Zero Touch Deployment Hvordan det virker med DHCP DHCP oppsett dhcp server ip-pool swimming extended network ip range 192.168.225.121 192.168.225.254 network mask 255.255.255.0 gateway-list 192.168.225.1 dns-list 8.8.8.8 8.8.4.4 domain-name community.local expired day 0 hour 8 tftp-server ip-address 192.168.225.128 option 43 ascii http://10.240.252.12:9090 option 67 ascii config.cfg TFTPd BIMS NOC Autodeploy.cfg interface vlan1 ip address dhcp-alloc DHCPd Customer or transit network ip http enable telnet server enable cwmp HP 5700 Switch cwmp enable cwmp acs url http://192.168.225.128:9090 cwmp acs username bims cwmp acs password simple bims cwmp cpe inform interval enable cwmp cpe inform interval 15 cwmp cpe username bims cwmp cpe password simple bims cwmp cpe connect interface vlan1 Zero Touch Deployment Hvordan det virker med DHCP Templatesysname ${sname} int vlan1 ip address ${ipmgmt} 24 snmp-agent snmp-agent community read public snmp-agent community write private snmp-agent sys-info version all snmp-agent target-host trap address udp-domain 192.168.225.128 params securityname public v2c user-interface vty 0 15 authentication-mode none user privilege level 3 telnet server enable save force return TFTPd BIMS NOC DHCP d Customer or transit network HP 5700 Switch Zero Touch Deployment Hvordan det virker med DHCP TFTPd BIMS NOC DHCP d Customer or transit network HP 5700 Switch Så med ruter IMC BIMS Zero Touch Deployment Slik virker• det TR-069 aka CPE WAN • Customer DC / NoC Mgmt Protocol (CWMP) • Bi-Dir HTTP for Ingredienser:kommunikasjon mellom CPE & config server • IMC Branch Intelligent Management Software (BIMS) avdelingskontor enhetskonfig & mgmt. • En ut-av-boksen TR-069 protokoll kapabel enhet, MSR ruter eller en supporter svitsj Carrier Network • USB stick med basic config eller tftpserver og DHCP med basic config (option 150, option 67) • Onsite “tekniker” for fysisk installasjon (og potensiell isetting av USB minnepinne). USB Remote Branch device IMC BIMS Zero Touch Deployment Slik virker det - USB minnepinne Customer DC / NoC • Prosess 1. BIMS satt opp med enhetsid – device ID (serienummer & OUI) & konfigurasjonsmal - config template. Carrier Network 2. USB config peker på IMC server. 3. Oppstart - ruter laster config fra USB. 4. Ruter kontakter IMC server, CWMP samtale, endelig ruterkonfigurasjon lastes ned til enhet. 5. Ruter online. USB Remote Branch device Zero Touch Deployment Slik virker det • Prosess 1. BIMS satt opp med enhetsid – device ID (serienummer & OUI) & konfigurasjonsmal - config template. 2. USB config peker på IMC server. 3. Oppstart - ruter laster config fra USB. 4. Ruter kontakter IMC server, CWMP samtale, endelig ruterkonfigurasjon lastes ned til enhet. 5. Ruter online. Can use DHCP Zero Touch Deployment Slik virker det • Prosess 1. BIMS satt opp med enhetsid – device ID (serienummer & OUI) & konfigurasjonsmal - config template. 2. USB config peker på IMC server. 3. Oppstart - ruter laster config fra USB. 4. Ruter kontakter IMC server, CWMP samtale, endelig ruterkonfigurasjon lastes ned til enhet. 5. Ruter online. interface GigabitEthernet0/4 port link-mode route ip address dhcp-alloc cwmp cwmp cwmp cwmp cwmp cwmp cwmp cwmp cwmp enable acs url http://10.200.1.132:9090 acs username bims acs password simple bims cpe username bims cpe password simple bims cpe inform interval enable cpe inform interval 15 Can use DNS Zero Touch Deployment Slik virker det • Prosess 1. BIMS satt opp med enhetsid – device ID (serienummer & OUI) & konfigurasjonsmal - config template. 2. USB config peker på IMC server. 3. Oppstart - ruter laster config fra USB. 4. Ruter kontakter IMC server, CWMP samtale, endelig ruterkonfigurasjon lastes ned til enhet. 5. Ruter online. Zero Touch Deployment Slik virker det • Prosess 1. BIMS satt opp med enhetsid – device ID (serienummer & OUI) & konfigurasjonsmal - config template. 2. USB config peker på IMC server. 3. Oppstart - ruter laster config fra USB. 4. Ruter kontakter IMC server, CWMP samtale, endelig ruterkonfigurasjon lastes ned til enhet. 5. Ruter online. Zero Touch Deployment Slik virker det • Prosess 1. BIMS satt opp med enhetsid – device ID (serienummer & OUI) & konfigurasjonsmal - config template. 2. USB config peker på IMC server. 3. Oppstart - ruter laster config fra USB. 4. Ruter kontakter IMC server, CWMP samtale, endelig ruterkonfigurasjon lastes ned til enhet. 5. Ruter online. Zero Touch Deployment The End? • Auto-deploy kan fungere alene via tftp – men TR-069 sikrer at ikke alt som kobles på kommer på nett. • Men dette kan også brukes til mye mer – se ekstramateriell for VPN mm Zero Touch Deployment: Tid for demo og lab. Labguide - oppgaver Lab oppgaver Lab miljø: VSR 1000 – virtuell ruter – vår CPE i dag Windows 10 – virtuell maskin med IMC-BIMS – DHCP server og tftp server Fysisk PC – med internett-tilgang og tilgang til virtuelt miljø Adresser – 192.168.225.0 - alle kan bruke det samme siden nettet er internt for hver PC. Oppgave: Sette opp med egen adresse og eget hostname + andre atributter dere ønsker. Dokumentasjon: Flytdiagram USB boot - dette skal vi IKKE bruke nå Appendix 1 – Ekstramateriell (in English) ZTD Combo ADVPN ZTD BGP X.509 PKI ZTD - ADVPN IMC BIMS Auto-Discovery Virtual Private Network Customer DC / NoC • Process VAM Server / Hub Hub 1. Uses DYNAMIC public addresses 2. Build private VPN network 3. Uses VPN Address Mgmt (VAM) protocol Carrier Network 4. Client/server model - client learns public address of other clients via server 5. Multipoint IPSEC Tunnels built hub/spoke or spoke/spoke VAM Client / Spoke ZTD - ADVPN IMC BIMS Auto-Discovery Virtual Private Network Customer DC / NoC • VAM Server config vam server advpn-domain abc id 1 pre-shared-key cipher xxx server enable hub-group 0 hub private-address 10.150.0.1 hub private-address 10.150.0.2 spoke private-address range 10.150.0.0 10.150.0.255 VAM Server / Hub Hub Carrier Network Hub Private address configured and address range for spokes VAM Client / Spoke IMC BIMS ZTD - ADVPN Auto-Discovery Virtual Private Network Customer DC / NoC • VAM Server Address Map <HP6804-1>dis vam server address-map ADVPN domain name: abc Total private address mappings: 3 Group Private address Public address 0 10.150.0.1 172.16.51.1 0 10.150.0.2 172.16.52.1 0 10.150.0.5 172.16.50.1 VAM Server / Hub Type Hub Hub Spoke NAT No No No Holding 22H 49M 22H 47M 22H 47M time 20S 3S 3S Hub Carrier Network VAM client register public address with server which maps to a private address VAM Client / Spoke ZTD - ADVPN IMC BIMS Auto-Discovery Virtual Private Network Customer DC / NoC • Client config interface Tunnel5 mode advpn gre ip binding vpn-instance x ip address 10.150.0.5 255.255.255.0 pim dm source GigabitEthernet0/0.50 tunnel protection ipsec profile abc vam client Spoke1 # vam client name Spoke1 advpn-domain abc server primary ip-address 172.16.51.1 pre-shared-key cipher xxx client enable VAM Server / Hub Hub Carrier Network VAM Client / Spoke IMC BIMS ZTD - ADVPN Auto-Discovery Virtual Private Network Customer DC / NoC • Hub config interface Tunnel5 mode advpn gre ip binding vpn-instance x ip address 10.150.0.1 255.255.255.0 pim dm source GigabitEthernet2/0/3.51 tunnel protection ipsec profile abc vam client Hub1 # vam client name Hub1 advpn-domain abc server primary ip-address 172.16.51.1 pre-shared-key cipher xxx client enable VAM Server / Hub Hub Carrier Network Only 1 tunnel interface needed Reduces admin overhead VAM Client / Spoke ZTD Combo ADVPN ZTD BGP X.509 PKI ZTD - BGP IMC BIMS BGP tweak for Auto-deploy Customer DC / NoC • Normally, even with peer groups, peer statements must be configured for each neighbour. • BGP peer statement subnet allows hub to passively listen for TCP SYN from a source subnet: VAM Server / Hub Hub Carrier Network eBGP session bgp 65100 peer 10.150.0.0 24 enable • Reduce admin overhead • Only clients need hub peer statements VAM Client / Spoke eBGP session ZTD Combo ADVPN ZTD BGP X.509 PKI Certificate Authority IMC BIMS ZTD - Security PKI Infrastructure • Public Key Infrastructure (PKI) = asymmetric key infrastructure for encryption & authentication of network users and data. • Distributes X.509 digital certificates as public keys, creates chain of trust rooted at Certificate Authority. Customer DC / NoC VAM Server / Hub Hub Carrier Network • IPSEC can utilise certs from CA to build Security Associates between Hub & Spokes. • Improves security over statically configured pre-shared keys. P2MP IPSEC ADVPN tunnel VAM Client / Spoke Certificate Authority IMC BIMS ZTD - Security PKI Infrastructure • Example Config interface Tunnel5 mode advpn gre ip binding vpn-instance x ip address 10.150.0.5 255.255.255.0 pim dm source GigabitEthernet0/0.50 tunnel protection ipsec profile abc vam client Spoke1 # ike profile abc certificate domain hpnemea exchange-mode aggressive match remote identity address 0.0.0.0 0.0.0.0 proposal 10 Customer DC / NoC VAM Server / Hub Hub Carrier Network P2MP IPSEC ADVPN tunnel VAM Client / Spoke Certificate Authority IMC BIMS ZTD - Security PKI Infrastructure • Example Config interface Tunnel5 mode advpn gre ip binding vpn-instance x ip address 10.150.0.5 255.255.255.0 pim dm source GigabitEthernet0/0.50 tunnel protection ipsec profile abc vam client Spoke1 # ike profile abc certificate domain hpnemea exchange-mode aggressive match remote identity address 0.0.0.0 0.0.0.0 proposal 10 Customer DC / NoC VAM Server / Hub Hub Carrier Network P2MP IPSEC ADVPN tunnel VAM Client / Spoke Zero Touch Deployment: Flow Certificate Authority Cert Request Public Private Map VAM Server Router certs for IPSEC needed Router IPSEC active Registe r IMC BIMS Config Router configured Cert IPSEC SA Hub CWM P ADVPN tunnel Router L3 connection up BGP TCP Syn Hub USB Insert Router boot Established Router up Certificate Authority IMC BIMS ZTD - Security PKI Hooks for ZTD Auto mode: router requests X.509 from CA • Example Config Customer DC / NoC VAM Server / Hub pki domain hpnemea ca identifier JN-FI-CA8 certificate request url http://10.200.1.132:80/certsrv/mscep/mscep.dll certificate request from ra certificate request entity hpnemea certificate request mode auto public-key rsa general name abc length 2048 root-certificate fingerprint md5 8621C06F5E51590C3D7EA89E29EFC044 undo crl check enable Hub Carrier Network P2MP Public key auto-generated onIPSEC ADVPN tunnel boot-up VAM Client / Spoke Zero Touch Deployment: Demo time.