Juniper Branch-SRX automatisiert installieren

Hat man die Aufgabe eine größere Menge (>10) an SRX Firewalls auszurollen, ist es sinnvoll sich vorher kurz Gedanken zu machen, wie man dies automatisiert und standardisiert bewerkstelligen kann. Das spart neben Zeit auch noch Nerven und viele mögliche Fehlerquellen.

Darum wollen wir euch heute zeigen welche Mittel Juniper uns da an die Hand gibt.

Gerade wenn man sehr viele Systeme mit gleicher bzw. ähnlicher Konfiguration hat, ist es bei uns betriebliche Praxis geworden den „USB autoinstallation on SRX branch platforms for software upgrade/downgrade [001]“ Weg zu gehen.

01 Voraussetzungen

1. Eine Branch SRX vom Typ SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 oder SRX650.
2. Ein USB Medium, das von JunOS erkannt (z.B. unser teamix USB-Stick – gerne beim Marketing nachfragen 😉 )
3. Idealerweise eine halbwegs standardisierte Konfigurationsdatei.

02 Vorbereitung des USB Mediums

1. USB Medium neu formatieren mit FAT/FAT32.
2. Gewünschtes Software Image drauf kopieren (fängt normalerweise mit „junos-srxsme…“ an und muss auch damit anfangen sonst wird es nicht erkannt).
3. Auf dem USB Medium eine leere Datei namens „autoinstall.conf“ anlegen.
4. Die gewünschte Konfiguration in einer Datei mit dem Namen „junos-config.conf“ ablegen.

03 Der eigentliche Bespielvorgang

1. SRX ganz normal booten (mit altem, zu ersetzendem System und Config) und Warten bis Login-Prompt da ist.
2. Vorbereitetes USB Medium reinstecken und Warten bis alle Status-LEDs orange blinken.
3. Den „Reset Config“ Knopf drücken, daraufhin sollten die Status-LEDs  fest orange leuchten.
4. Warten bis die Status-LEDs grün leuchten, dann ist der Bespielvorgang abgeschlossen.
5. USB-Medium rausziehen, dann rebootet die SRX in die neue JunOS Version und die neue Config.
6. Jetzt kann die Config noch „individualisiert“ werden, idealerweise per vorgefertigtem „Script-Book“.
   1. Bei uns besteht so ein „Script-Book“ oftmals aus einigen „replace pattern …“ Zeilen.
   2. Automatisierungsprofis können natürlich eine Config auch per Script generieren lassen.
7. Fertig.

Warnung: Die alte Konfiguration ist nach dem Bespielvorgang weg (da wird nicht gemerged, etc.)!

Quellen

• Kollege Bernhard Steinert, der das Thema im „KAMPLS“ Projekt zur Anwendung gebracht hat.
• [001] http://kb.juniper.net/InfoCenter/index?page=content&id=KB23882
• [002] http://www.juniper.net/techpubs/en_US/junos12.1×44/topics/task/operational/security-junos-os-upgrade-usb-flash-drive-preparing.html

Bei Fragen helfen wir gerne weiter!

Richard Müller

Richard Müller ist Geschäftsführer der Proact Deutschland GmbH. Den "kreativen" Umgang mit Computern und Datennetzen lernte er schon im Schulalter. Bis heute hat Richard eine Begeisterung für technisch brilliante Konzepte und Lösungsansätze in den Bereichen IT-Infrastruktur - hier vor allem alles rund ums Netzwerk.