Foro en Español

Reply
Highlighted
Moderator
Posts: 894
Registered: ‎07-29-2010

[Tutorial] Zero Touch Provisioning ArubaOS-SW con Airwave

Hola

 

Últimamente me he estado pegando bastante con esta funcionalidad, así que, aunque viene muy bien explicada en el manual, aquí va una pequeña guía con los truquitos que suelo usar.

 

Descripción:

Con esta funcionalidad perseguimos poder desplegar switches sin ninguna intervención (técnica) in-situ y mínima intervención técnica en los sistemas centrales. Para ello, se puede auto-provisionar los switches utilizando DHCP con opción 43 o Activate. Voy a centrarme en Activate porque considero que será la opción más utilizada, pero si tenéis dudas sobre la opción 43 preguntadlas y elaboramos más sobre esa parte.

 

Preparación:

Antes de entrar en detalle con las configuraciones, aquí van unos cuantas cosas que deberíais tener en cuenta.

 

Lo primero que tiene que hacer el switch antes de "hablar" con Activate es, recibir IP por DHCP, ser capaz de resolver "device.arubanetworks.com" y sincronizar la hora con "pool.ntp.org". Si hay alguna regla que impide llegar a "pool.ntp.org" desde vuestra red, podéis enviar otro servidor NTP mediante opción 42 de DHCP.

 

Además de esto, si vuestro Airwave tiene versión 8.2.3 o superior (muy recomendable) y vuestros switches aún no tienen la versión 16.03, tenéis que permitir TLS 1.0 y 1.1 en AMP Setup > General > Additional AMP Services.

 

Por último, tenéis que aseguraros de que tenéis una cuenta en "Activate" y que vuestros switches van apareciendo ahí. Podéis registraros para activar "Activate" (valga la redundancia) en este enlace.

 

Configuración previa

Antes de nada, vamos a modificar los parámetros gobales para que airwave acepte solamente a los switches que estén en nuestra cuenta de Activate. En "AMP Setup > General > Automatic Authorization", vamos a configurar que los switches que vienen de ZTP se importen como “Managed Read/Write”. Además, la opción de  "Authorize Aruba Instant APs & Aruba Switches to AirWave" hay que configurarla como "Whitelist" (esto nos permitirá leer información extra de Activate) y en "Use Device Configured Group/Folder" vamos a marcar "Yes" (queremos que el grupo/carpeta que hayamos configurado en "Activate" mande sobre cualquier configuración que pueda haber en Airwave).

image (1).png

Una vez hecho esto, yendo a "AP/Devices > New" veremos que ha aparecido un pequeño desplegable que nos permitirá decirle a Airwave que se baje de Airwave la lista de nuestros dispositivos:

image (2).png

Aquí seleccionaríamos "Import Instant AP & Aruba Switch Whitelist from Activate". Esto nos llevará a otra pantalla donde introducimos nuestro usuario de Activate y la carpeta que queremos leer (ojo que para esto Airwave tiene que tener salida a Internet).

 

Configuración de la plantilla

Para que vuestro switch haga "Zero Touch Provisioning", Airwave tiene que tener una plantilla que cargar a los nuevos switches que vayan apareciendo (como es lógico). Yo lo que suelo hacer es añadir un nuevo switch e importar la plantilla a partir de este switch. Los pasos para ello serían los siguientes:

 

  1. En el switch, añado la línea "amp-server ip <IP de airwave> group <Grupo que tendrá la configuracion> folder <Carpeta donde quiero poner el primer switch> secret <PSK_Switches>"
  2. Con esto, el switch aparecerá en Airwave, dentro de "New Devices", y se creará el grupo y carpeta que hayamos marcado. Desde ahí podemos mover el switch a nuestra carpeta e importar la configuración. Si le habéis cambiado las credenciales de acceso o la community al switch tendréis que seleccionar el switch en Airwave, ir a "Manage" y cambiar las credenciales.
  3. Para importar la configuración podremos hacerlo desde la opción de "Audit" sobre el primer switch. Esto nos propondrá ir a configurar la plantilla. Otra opción es ir directamente al grupo que acabamos de crear e ir a "Templates". Una vez ahí seleccionad "Fetch template from device" e importad la configuración del switch que acabáis de añadir:image (3).png
  4. Si vuestro switch no tiene las credenciales por defecto (como debería ser), marcad "Yes" donde dice "Change credentials AMP uses to contact devices after successful config push". Esto os permitirá configurar las credenciales que usará Airwave para comunicarse con el switch después de hacer la provision:image (4).png

Una vez hecho esto, vuestro Airwave estará preparado para provisionar todos los switches que vayan apareciendo en vuestro "activate".

 

Nota: Para hacer pruebas yo lo que suelo hacer es; primero preparar toda la configuración con el switch de pruebas, después vuelvo a importar la lista de switches de "activate", y por último hago un reseteo de fábrica del switch (delete config1).

 

Resultado esperado

Una vez preparada la configuración, el resultado esperado es el siguiente:

  1. El switch arranca, coge una IP por DHCP e intenta sincronizar su reloj contra pool.ntp.org
  2. El switch intenta resolver device.arubanetworks.com y establecer una sesión SSL (se autentica con el certificado TPM, así que no hay nada que configurar) contra "activate" para descargar la información que le corresponda. 
  3. Una vez recibida de activate la IP y el grupo/carpeta de Airwave, inicia una sesión SSL para "crearse" en Airwave. Si tenemos marcada la opción de "whitelist" se autentica usando el certificado TPM, igual que con Activate.
  4. En cuanto Activate ve al switch se conecta a él y le manda descargarse la nueva configuración (por defecto usa SFTP).
  5. El switch carga la nueva configuración en su "startup-config" y se reinicia para arrancar con ella.

 

Troubleshooting

Cuando estéis haciendo pruebas podéis conectaros por consola y aplicar comandos en el switch. El proceso de ZTP no se rompe hasta que no entras por primera vez en el switch. Yo suelo usar los siguientes comandos:

"debug ztp" > saca logs del proceso de provisión

"debug events" > saca logs de la configuración desde Airwave, NTP, etc

"debug destination session" > muestra por pantalla los logs que acabamos de activar.

 

También podéis ver información importante en Airwave yendo a "System > Event Log".

 

Espero que os resulte de ayuda. Un abrazo!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
Showing results for 
Search instead for 
Did you mean: