什么是SZTP

安全零配置部署（Secure Zero Touch Provisioning，SZTP），是指在DHCP方式的ZTP开局场景下，增加部署BootStrap服务器，使用双向认证和数据加密保证ZTP数据可信。设备空配置上电后，作为DHCP客户端通过DHCP服务器获取BootStrap服务器的IP地址或域名信息，然后通过初始证书与BootStrap服务器进行双向认证，建立HTTPS连接，从BootStrap服务器上获取开局的相关信息，从而实现安全的零配置部署。SZTP适用于对安全性要求比较高的场景，比如金融行业。

SZTP是如何工作的

SZTP开局需要提前部署DHCP服务器，BootStrap服务器，开局文件服务器等关键设备，按照下图组建SZTP网络。在介绍SZTP开局过程之前，先介绍SZTP组网中的各个成员的作用。

• Device：新出厂或空配置设备，也为DHCP客户端，待开局的设备。
• DHCP服务器：用来为执行SZTP开局的设备分配临时管理IP地址、缺省网关、DNS服务器地址、BootStrap服务器地址或域名等信息。
• DHCP中继：当执行SZTP开局的设备与DHCP服务器位于不同网段时，需要通过DHCP中继转发DHCP交互报文。
• BootStrap服务器：用于引导设备SZTP开局的服务器，它和设备建立HTTPS连接后，给设备发送开局文件服务器的IP地址和开局文件的下载路径等信息。
• 开局文件服务器：用来保存设备需要的开局文件，如系统软件、配置文件、补丁文件。开局文件服务器和设备建立HTTPS连接，为设备提供开局文件。
• DNS服务器：用来提供域名和IP地址之间的映射关系。执行SZTP的设备可以通过DNS服务器将BootStrap服务器等的域名解析为IP地址。
• Syslog服务器：用来将SZTP开局过程中记录的用户日志上传到网管侧。

SZTP开局组网图

下面以未使用DNS域名服务器为例，说明SZTP的工作过程。

1. 空配置设备Device上电后，会作为DHCP客户端向DHCP服务器DHCP请求报文。DHCP服务器收到报文后，会给Device分配IP地址、缺省网关、BootStrap服务器的IP地址或域名信息等。
2. Device获取BootStrap服务器的IP地址后，通过初始证书与BootStrap服务器进行双向认证，并建立HTTPS连接，从BootStrap服务器获取开局文件服务器的IP地址和开局文件的下载路径等信息。
3. Device获取开局文件服务器的IP地址后，与开局文件服务器建立HTTPS连接，下载系统软件、配置文件等。
4. Device将下载的系统软件、配置文件等设置为下次启动时加载的文件，待Device重启后，就实现了版本文件的自动加载。

SZTP如何确保开局的安全性

支持SZTP开局功能的设备在出厂时会加载初始证书，同样BootStrap服务器、开局文件服务器也会加载相关证书，在设备与BootStrap服务器建立连接时会使用初始证书与BootStrap服务器进行双向认证，建立HTTPS连接，从而保证数据的安全交互。

在设备获取到开局文件服务器的IP地址后，同样使用初始证书与开局文件服务器进行双向认证，建立HTTPS连接，从而安全地下载系统文件、配置文件等。