什么是SZTP?
安全零配置部署(Secure Zero Touch Provisioning,SZTP),是指在DHCP方式的ZTP开局场景下,增加部署BootStrap服务器,使用双向认证和数据加密保证ZTP数据可信。设备空配置上电后,作为DHCP客户端通过DHCP服务器获取BootStrap服务器的IP地址或域名信息,然后通过预置证书与BootStrap服务器进行双向认证,建立HTTPS连接,从BootStrap服务器上获取开局的相关信息,从而实现安全的零配置部署。SZTP适用于对安全性要求比较高的场景,比如金融行业。
SZTP是如何工作的?
SZTP开局需要提前部署DHCP服务器,BootStrap服务器,开局文件服务器等关键设备,按照下图组建SZTP网络。在介绍SZTP开局过程之前,先介绍SZTP组网中的各个成员的作用。
- Device:新出厂或空配置设备,也为DHCP客户端,待开局的设备。
- DHCP服务器:用来为执行SZTP开局的设备分配临时管理IP地址、缺省网关、DNS服务器地址、BootStrap服务器地址或域名等信息。
- DHCP中继:当执行SZTP开局的设备与DHCP服务器位于不同网段时,需要通过DHCP中继转发DHCP交互报文。
- BootStrap服务器:用于引导设备SZTP开局的服务器,它和设备建立HTTPS连接后,给设备发送开局文件服务器的IP地址和开局文件的下载路径等信息。
- 开局文件服务器:用来保存设备需要的开局文件,如系统软件、配置文件、补丁文件。开局文件服务器和设备建立HTTPS连接,为设备提供开局文件。
- DNS服务器:用来提供域名和IP地址之间的映射关系。执行SZTP的设备可以通过DNS服务器将BootStrap服务器等的域名解析为IP地址。
- Syslog服务器:用来将SZTP开局过程中记录的用户日志上传到网管侧。
SZTP开局组网图
下面以未使用DNS域名服务器为例,说明SZTP的工作过程。
- 空配置设备Device上电后,会作为DHCP客户端向DHCP服务器DHCP请求报文。DHCP服务器收到报文后,会给Device分配IP地址、缺省网关、BootStrap服务器的IP地址或域名信息等。
- Device获取BootStrap服务器的IP地址后,通过预置证书与BootStrap服务器进行双向认证,并建立HTTPS连接,从BootStrap服务器获取开局文件服务器的IP地址和开局文件的下载路径等信息。
- Device获取开局文件服务器的IP地址后,与开局文件服务器建立HTTPS连接,下载系统软件、配置文件等。
- Device将下载的系统软件、配置文件等设置为下次启动时加载的文件,待Device重启后,就实现了版本文件的自动加载。
SZTP如何确保开局的安全性
支持SZTP开局功能的设备在出厂时会预置证书,同样BootStrap服务器、开局文件服务器也会预置相关证书,在设备与BootStrap服务器建立连接时会使用预置证书与BootStrap服务器进行双向认证,建立HTTPS连接,从而保证数据的安全交互。
在设备获取到开局文件服务器的IP地址后,同样使用预置证书与开局文件服务器进行双向认证,建立HTTPS连接,从而安全地下载系统文件、配置文件等。
- 作者: 陈贵香,唐杰
- 最近更新: 2024-02-26
- 浏览次数: 8016
- 平均得分: