Expert blog

Wat is Zero Touch Provisioning?

Over de betekenis en voordelen van Zero Touch Provisioning (ZTP)

De term Zero Touch Provisioning (ZTP) iverschijnt steeds vaker op de featurelijst van netwerkproducten. ZTP is te vinden in switches, wireless access points, (SD-WAN) routers, NFV-platforms en firewalls.

Wat is het en wat hebben we eigenlijk aan ZTP? Bieden alle ZTP-implementaties dezelfde functionaliteit en zijn ze even gemakkelijk te gebruiken? In deze blog ga ik dieper in op het aanbod van leveranciers, welke verschillen er zijn voor ZTP-implementaties en wat voor impact ZTP heeft.

Wat is Zero Touch Provisioning (ZTP) en wat doet het?

Zoals de naam Zero Touch Provisioning al suggereert, is het doel om ergens een network appliance te installeren zonder dat iemand het op lokaal niveau hoeft te configureren. Een nieuw apparaat of replacement device kan naar een site worden gestuurd, fysiek worden geïnstalleerd en opgestart door een lokaal aanwezige medewerker zonder IT-skills. Hier komt de ZTP-functie om de hoek kjiken, zodat de configuratie en verbinding met het managementsysteem uitgevoerd kan worden. Later in deze blogpost beschrijf ik hoe dat gedaan wordt.

Op wat voor manier is ZTP hulpzaam?

Handmatige configuratie is bewerkelijk, gevoelig voor fouten, kostbaar en tijdrovend. Iemand met een laptop tot zijn beschikking en enkele basisvaardigheden voor configuratie, moet ter plaatse zijn en het apparaat configureren voor standaard operationele zaken, alvorens wij we de configuratie vanuit een centraal beheersysteem kunnen voltooien. Het alternatief zou zijn om het apparaat eerst naar een centrale locatie sturen waar het gereed gemaakt wordt voordat het naar de uiteindelijke locatie wordt doorgestuurd voor installatie. Ook dat is kostbaar (en risicovol) omdat het apparaat twee keer verscheept moet worden en bijvoorbeeld twee keer langs de douane moet gaan. Hierdoor ontstaat bijvoorbeeld het risico dat hardware met een locatie-specifiek IP-adres voor bestemming A, verscheept wordt naar bestemming B.

Met ZTP kan een apparaat direct vanuit elk magazijn naar de bestemmingslocatie verzonden én geïnstalleerd worden binnen enkele minuten nadat deze gearriveerd is. Hierdoor wordt de doorlooptijd, het aantal uren dat besteed wordt aan een installatie en het aantal configuratiefouten drastisch verminderd. Dit zijn zeer kansrijke voordelen wanneer je veel locaties hebt waar geen IT-personeel aanwezig is of wanneer regelmatig nieuwe kantoren of locaties geopend worden, zoals (pop-up) winkels of tijdelijke kantoren. ZTP is daarnaast ook handig voor elk type home-office opstelling.

Hoe werkt ZTP en wat is 'minimal' of 'one touch' provisioning?

Nu wordt het interessant. 'Zero Touch' suggereert namelijk dat degene die de fysieke installatie doet, niets hoeft te doen om het apparaat te configureren. Het apparaat moet dus zelf (met behulp van de fabrieksinstellingen) het management system vinden dat voorziet in de juiste configuratie voor die specifieke locatie en organisatie. Niet alle ZTP-implementaties zijn daarentegen daadwerkelijk 'Zero Touch'. Daarom kom je soms ook termen tegen als 'minimal touch' of 'one touch' provisioning.

Het eerste dat een apparaat altijd moet communiceren is een IP-adres. Gelukkig wordt het Dynamic Host Configuration Protocol (DHCP) tegenwoordig vrijwel overal toegepast, dus dat helpt voor wat betreft ZTP in de eerste fasen van het implementatieproces. DHCP biedt ook het adres van de gateway aan, evenals de local domain name en de locatie van een DNS-server. Wanneer DNS niet wordt aangeboden of onbereikbaar is, dan kan het apparaat altijd proberen de DNS-service van Google te gebruiken op 8.8.8.8. DHCP heeft ook een aantal optionele velden die gebruikt kunnen worden om het device te voorzien van een IP-adres van het management systeem. De default fabrieksinstellingen kunnen ook een pre-defined naam hebben voor het management system (bijvoorbeeld "orchestrator") in de default configuratie. De fabrieksconfiguratie zal dit combineren met de domeinnaam die DHCP heeft gegeven om een ​​DNS-lookup uit te voeren. Dit wordt vervolgens een query voor een host zoals 'orchestrator.example.com'. Dit moet in het DNS naar het IP-adres van je management system worden omgezet, waardoor je het netwerk hier dus wel eenmalig op moet worden voorbereiden. Hetzelfde geldt voor het serveren van het managementadres via DHCP-opties.

Zodra het apparaat een IP-adres heeft en weet waar het naartoe moet voor de configuratie, kunnen er andere obstakels zijn die overwonnen moeten worden. Vaak is de WAN-verbinding simpelweg een link die geactiveerd moet worden via een portal of door de PPoE- of PPoA-verbinding te verifiëren. In dit soort gevallen is handmatige interventie nodig en wordt de 'Z' in ZTP de 'M' voor 'Minimal'.

Een ander obstakel kan een firewall zijn die voorkomt dat de verbinding tot stand komt. In dat geval moeten de firewall rules aangepast worden. Gelukkig kan dit meestal op afstand gedaan worden. Outbound HTTPS is meestal toegestaan, dus dat is het de-facto-protocol om verbinding te maken met het management system.

 

Figuur 1: Typical flow van een ZTP-proces

Alternatieve oplossingen gebruiken geen DNS of DHCP-opties om de locatie van de configuratieserver te achterhalen. Eén leverancier presenteert ZTP bijvoorbeeld wel als een functie, maar vereist dat een gebruiker zich aanmeldt via de consolepoort en een CLI-opdracht invoert om het IP-adres van de configuratieserver in te stellen.

Steeds meer leveranciers bieden een cloudservice ter ondersteuning van de configuratie en het ZTP-proces aan, waaronder Cisco Meraki, Riverbed, Citrix en Juniper Networks. Je hoeft alleen de serienummers van de gekochte apparaten te registreren en de leverancier zorgt ervoor dat de apparaten correct worden geregistreerd en zichtbaar zijn onder jouw management portal account. Het apparaat kan vervolgens volledig geconfigureerd en beheerd worden via de cloud.

Voor de lezers die niet willen dat het netwerk in de cloud beheerd wordt maar on-premise, zijn er zeker opties. De cloudservice van de vendor is in dat geval nog steeds het startpunt voor apparaten met factory default configurattie, maar deze wordt doorgestuurd naar de on-prem-configuratieserver. Vanzelfsprekend vereist elk cloud-based provisioning-schema toegang tot internet. Direct, of via het bedrijfsnetwerk.

'Minimal touch provisioning' met smartphone apps

Kan je nog herinneren hoe je thuisapparaten zoals Ethernet-over-Power extenders en/of Access Points geconfigureerd hebt? Vaak bevatte de doos van de leverancier een CD met een klein programma dat het nieuwe apparaat op je LAN zou vinden en je zou helpen om het configuratieproces te doorlopen. Die dagen zijn nog niet voorbij, maar wel verschoven naar networking devices. Sommige leveranciers bieden nu namelijk 'minimal touch provisioning' aan via een smartphone app. Hierbij gaat men er wel van uit dat er iemand ter plaatse (en bereid) is om een ​​dergelijke app op de telefoon te installeren, verbinding te maken met het apparaat op het lokale LAN, of via een standaard SSID op het apparaat (uiteraard moet het dan wel beschikken over Wi-Fi-mogelijkheden).

Voor de installatie maakt de app verbinding met de configuratieserver en het nieuwe apparaat. De app fungeert als een proxy tussen beiden, hetzij via het lokale netwerk, hetzij via een mobiele data-verbinding. Vaak wordt de camera van de smartphone gebruikt om de streepjescode-sticker van het apparaat te scannen om het serienummer en het model te bepalen.

Eventuele beveiligingsproblemen met ZTP

Het authentificeren van het device en het zorgdragen voor verbinding van het apparaat met de juiste management domain is belangrijk. Het zou een beetje gênant zijn als een verkeerd serienummer wordt geregistreerd en jouw device geconfigureerd wordt door een andere (kwaadwillende) entiteit. Een verloren (of gestolen) apparaat moet ook niet automatisch in jouw infrastructuur geaccepteerd worden. Stel je voor dat jouw SD-WAN-router in handen is van een aanvaller, die hem verbindt met internet en automatisch direct toegang krijgt tot je interne netwerk. Dat is geen wenselijke situatie voor je. Elke cloud-based service moet dan ook beveiligd zijn om te voorkomen dat aanvallers hun apparaten in uw domein plaatsen of de controle over hen nemen.

ZTP samengevat

ZTP wordt steeds breder ondersteun aangezien leveranciers zich realiseren dat hun apparatuur nu overal geïnstalleerd kan worden en dat installatie een enorm belangrijke kostenfactor is. Kijk daarom goed naar ZTP als je met regelmaat apparaten op externe locaties installeert zonder lokaal IT-personeel. Test of de ZTP-functies voor jouw apparatuur binnen jouw omgeving werken en of er aanpassingen nodig zijn. ZTP-implementaties verschillen sterk per leverancier en niet allen zijn daardwerkelijk 'Zero Touch'. Er kunnen basisvereisten zijn waaraan moet worden voldaan om ZTP te laten werken, zoals DHCP en andere protocollen die afhankelijk zijn van DNS en internettoegang. En ook erg belangrijk: zorg ervoor dat een ZTP-functie nooit gebruikt kan worden als een aanvalsmogelijkheid op jouw netwerk.

Jan-Willem Keinke - 14 januari 2019

Wil je meer weten?

Maak een afspraak met onze experts of of laat een bericht achter. Ons team staat klaar om je te helpen.

Bericht sturen Nu bellen Offerte aanvragen

Pagina delen: