boton
Contactar

• Ciberglosario

¿Qué es Zero Touch Provisioning (ZTP)?

El Zero Touch Provisioning (ZTP) es un método de automatización de red que permite que un dispositivo (un router, un switch, un firewall, un punto de acceso o un gateway) se configure solo en el momento en que se enciende y se conecta, sin ingeniero en la sede y sin configuración manual. El dispositivo se envía a la ubicación, alguien conecta los cables, y el equipo contacta con un sistema central de aprovisionamiento por cualquier transporte disponible, se autentica, descarga su imagen de software y su configuración completa, y se incorpora a la red en minutos. El ZTP convierte el despliegue de decenas, cientos o miles de sedes de un proyecto de ingeniería de campo en un ejercicio de logística. Es una de las capacidades que definen a las plataformas SD-WAN modernas, y un diferenciador clave de la CNM SD-WAN Suite de Teldat, donde el despliegue automático de routers sobre cualquier transporte, incluido el celular, viene integrado en la plataforma.

1Definición de Zero Touch Provisioning2Cómo funciona el ZTP, paso a paso3Aprovisionamiento manual vs ZTP4Para qué se usa el ZTP5Qué exigir a un sistema ZTP6Consideraciones de seguridad del ZTP7El ZTP en la CNM SD-WAN Suite de Teldat8Preguntas frecuentes – FAQ’s

Definición de Zero Touch Provisioning

El Zero Touch Provisioning es la automatización de todo lo que ocurre entre encender un dispositivo de red nuevo y que ese dispositivo quede plenamente operativo con su configuración de producción. En un flujo ZTP, el dispositivo sale de fábrica o del almacén en estado genérico. Su identidad (número de serie, certificado) se registra previamente en un sistema central de aprovisionamiento. Cuando el equipo arranca en la sede de destino, obtiene conectividad básica, contacta con el sistema de aprovisionamiento, demuestra quién es, y recibe su versión de firmware y su configuración asignadas. Sin cable de consola, sin portátil, sin línea de comandos, sin ingeniero.

El «zero touch» se refiere a los toques técnicos, no a los físicos. Alguien tiene que desembalar el dispositivo, conectar la alimentación y enchufar el cable WAN o las antenas. La clave es que ese alguien puede ser cualquiera: el encargado de la tienda, un mensajero, un electricista. Cada tarea que antes requería conocimientos de redes se ha trasladado de la sede al sistema central, donde se hace una vez, en una plantilla, para todas las sedes.

El ZTP importa porque el despliegue de dispositivos es donde históricamente se atascan los proyectos de red de sucursales. Enviar un ingeniero cualificado a cada sede es caro y lento; preconfigurar los equipos en un almacén de staging crea sus propios problemas de logística y de control de versiones. El ZTP elimina ambos: los dispositivos viajan directamente de la fábrica o el distribuidor a la sede, y la configuración vive en el sistema central hasta el momento exacto en que se necesita.

¿Cómo funciona el ZTP? paso a paso

Un flujo ZTP tiene una anatomía estándar con independencia del fabricante o del tipo de dispositivo. Los seis pasos siguientes describen la secuencia tal y como ocurre en un despliegue SD-WAN moderno, desde el registro del dispositivo hasta que la sede transporta tráfico de producción.

1
Registro del dispositivo antes del envío
Cada dispositivo tiene una identidad única, normalmente su número de serie vinculado a un certificado instalado en fábrica. Antes del despliegue, el administrador registra esa identidad en el sistema central y la asocia a una sede, una plantilla y una versión de software. Esa vinculación es lo que después permite al sistema reconocer al dispositivo y entregarle la configuración correcta, y nada más.
2
Encendido y conectividad básica
En la sede, el dispositivo arranca con su imagen de fábrica y obtiene conectividad IP básica por el transporte que haya disponible: DHCP sobre una línea de banda ancha, una SIM preinstalada en 4G/5G, o un enlace Ethernet conectado. El ZTP celular es especialmente potente porque no requiere absolutamente nada de la sede; el dispositivo llega con su propio camino hacia el sistema de aprovisionamiento.
3
Descubrimiento del sistema de aprovisionamiento
El dispositivo localiza su servicio de aprovisionamiento mediante alguno de los mecanismos estándar: una URL grabada en fábrica, opciones DHCP que apuntan al servidor, o un servicio de redirección del fabricante que asocia el número de serie con la instancia del cliente correcta. A partir de este punto, cada intercambio viaja por un canal cifrado.
4
Autenticación mutua
El dispositivo demuestra su identidad con su certificado, y el sistema de aprovisionamiento demuestra la suya, de modo que un equipo robado o falsificado no puede descargar una configuración y un servidor impostor no puede inyectarla. Este paso de autenticación mutua es lo que separa un ZTP de calidad de producción de un script de conveniencia; es la frontera de seguridad de todo el flujo.
5
Descarga de software y configuración
El sistema entrega primero la versión de firmware asignada (actualizando o revirtiendo según haga falta), y después la configuración completa generada desde la plantilla de la sede: interfaces, enrutado, túneles del overlay, política de seguridad, QoS, Wi Fi. Las plantillas con variables por sede permiten que mil sucursales compartan una única definición, manteniendo por sede solo los valores que difieren (direcciones, nombres, datos de SIM).
6
Validación y traspaso a operaciones
Tras aplicar su configuración, el dispositivo establece sus túneles del overlay, se registra en la plataforma de gestión y empieza a reportar telemetría. El NOC ve la sede llegar en línea con sus indicadores de salud en la misma consola que el resto de sedes. Desde el primer encendido hasta el tráfico de producción, el tiempo típico transcurrido se mide en minutos.

Aprovisionamiento manual vs ZTP

El argumento a favor del ZTP se vuelve evidente cuando los dos modelos de despliegue se ponen uno al lado del otro. La tabla siguiente compara el aprovisionamiento manual tradicional (ingeniero en sede o almacén de staging) con el ZTP en las dimensiones que determinan el coste y la velocidad de un proyecto a escala de sucursales.

Dimensión Aprovisionamiento manual Zero Touch Provisioning
Quién configura el dispositivo Ingeniero de redes, en la sede o en un almacén de staging El sistema central; en la sede, cualquiera que sepa conectar cables
Tiempo por sede Horas por dispositivo, más desplazamiento o tránsito por staging Minutos desde el encendido hasta producción
Competencias necesarias en la sede Conocimiento de CLI y de la plataforma Ninguna; desembalar, conectar, encender
Coste por despliegue Tiempo y desplazamiento de ingeniero, o logística de almacén, por sede Marginal; el coste se concentra en plantillas que se construyen una vez
Exposición al error humano Tecleo manual y selección de versión por cada dispositivo Eliminada en la sede; los errores se corrigen una vez en la plantilla
Consistencia de configuración Deriva entre sedes e ingenieros con el tiempo Idéntica por construcción; una plantilla, muchas sedes
Control de versiones de firmware La que venía de fábrica o se preparó en staging; actualizaciones manuales después Forzado en el aprovisionamiento; cada sede aterriza en la versión asignada
Escalado a cientos de sedes Crecimiento lineal de coste y de calendario Oleadas de decenas de sedes por semana con el mismo equipo
Sustitución de hardware averiado Visita de ingeniero o logística de repuestos preconfigurados Se envía un repuesto genérico; se autoaprovisiona al llegar

La economía se multiplica con la escala. Para cinco sedes, el aprovisionamiento manual es una incomodidad. Para quinientas, es el coste dominante y el camino crítico de todo el despliegue. El ZTP invierte la ecuación: el esfuerzo se traslada a construir buenas plantillas una vez, y cada sede adicional cuesta casi nada de poner en línea. Por eso la sustitución de hardware bajo ZTP transforma también las operaciones de campo: un router averiado se cambia por un repuesto genérico entregado por mensajería que se aprovisiona solo, en lugar de una visita de ingeniero con una unidad preconfigurada.

¿Para qué se usa el ZTP?

El ZTP cubre mucho más que la primera instalación. En los despliegues de Teldat, la misma maquinaria de aprovisionamiento gestiona el ciclo de vida operativo completo del parque de dispositivos. Las seis actividades siguientes son donde el ZTP entrega valor medible en redes en producción.

1
Despliegues masivos de sedes
El caso de uso estrella: desplegar sucursales, tiendas u oficinas nuevas a escala de oleada. Los dispositivos viajan directamente a las sedes, el personal local los enchufa, y oleadas de decenas de sedes por semana entran en línea con un equipo central pequeño. Las migraciones SD-WAN y las sustituciones de MPLS funcionan exactamente con este patrón.
2
Activación de una sede nueva individual
Incluso una sola sede se beneficia. Una oficina nueva o una ubicación temporal recibe su router de un día para otro y está en la red corporativa a la mañana siguiente, sin esperar a que se programe la visita de un ingeniero. Combinado con FWA 5G como transporte, una sede puede estar operativa antes de que se instale ninguna línea fija.
3
Actualizaciones masivas de firmware y OS
Cada router, switch, firewall o punto de acceso ejecuta software que necesita actualizarse por funcionalidades, correcciones y vulnerabilidades. La misma maquinaria central que aprovisiona los dispositivos lanza campañas coordinadas de firmware sobre todo el parque, por oleadas y ventanas de mantenimiento, sin tocar ninguna sede.
4
Reconfiguración masiva y por sede
Los cambios de negocio se traducen en cambios de configuración: una política de aplicación nueva, una regla de segmentación, un ajuste de QoS. Con el aprovisionamiento por plantillas, el cambio se hace una vez y se propaga a todas las sedes afectadas, o se aplica ad hoc a una sola sede, con el mismo flujo auditado.
5
Sustitución de hardware (RMA) sin ingenieros
Cuando un dispositivo falla, un repuesto genérico viaja a la sede. En el momento en que se enciende, es reconocido por su identidad, hereda la configuración de la sede y restaura el servicio. La reparación en campo deja de depender de la disponibilidad de ingenieros y del stock de repuestos preconfigurados.
6
Expansión del parque al ritmo del negocio
Crecer significa más dispositivos: más sucursales, más puntos de acceso, más gateways industriales. El ZTP hace que la red escale al ritmo del negocio en lugar de al ritmo del calendario de IT, que es precisamente la propiedad que las organizaciones de retail, logística y servicios en crecimiento rápido necesitan de su plataforma de red.

¿Qué exigir a un sistema ZTP?

No todas las implementaciones de ZTP son iguales. Estos son los factores que separan un sistema ZTP de calidad de producción de un simple script de arranque, y los que merece la pena examinar de cerca antes de confiar un despliegue grande a cualquier plataforma.

1
Seguridad del canal de aprovisionamiento
Las comunicaciones entre el sistema ZTP y el dispositivo son una superficie de ataque crítica: quien controle ese canal controla la configuración del dispositivo. La autenticación mutua por certificado, el transporte cifrado y las imágenes de firmware firmadas son obligatorios, no opcionales. Examina esto primero.
2
Plano de gestión out of band
Un sistema bien diseñado separa el plano de gestión del plano de datos. Si la conexión con el servicio de aprovisionamiento se pierde, o el propio servicio deja de funcionar momentáneamente, el dispositivo sigue encaminando tráfico con normalidad. Las sedes nunca deben depender de la nube de gestión para mantenerse en línea.
3
Arquitectura multi tenant
Para proveedores de servicios y grandes organizaciones, el sistema ZTP debe gestionar las topologías de varios clientes o unidades de negocio desde una única plataforma, con aislamiento estricto entre tenants. Esto es lo que habilita los modelos operados por partner y cogestionados sobre infraestructura compartida.
4
Aprovisionamiento desde cualquier lugar, por cualquier transporte
Un sistema ZTP remoto debe aprovisionar, actualizar y configurar dispositivos en cualquier parte del mundo sobre cualquier conectividad, incluida la celular. El ZTP sobre 4G/5G elimina la última dependencia de la infraestructura de la sede: el dispositivo llega con su propio camino de gestión en la SIM.
5
GUI con motor de generación de configuraciones
Las plantillas con variables, los flujos gráficos guiados y la generación de configuraciones reducen el umbral de competencias para operar el parque y encogen el margen de error. La prueba: ¿puede un administrador competente que no sea experto en CLI definir y desplegar un tipo de sede nuevo sin ayuda del fabricante?
6
Integración con el overlay SD-WAN
En la red de sucursales, el ZTP vale más como parte de un sistema mayor: la misma plataforma que aprovisiona el dispositivo debe gestionar después sus túneles del overlay, sus políticas de aplicación, su seguridad y su telemetría. El aprovisionamiento como herramienta aislada deja sin resolver la mitad más difícil de la operación.

Consideraciones de seguridad del ZTP

El ZTP automatiza el momento más sensible en la vida de un dispositivo desde el punto de vista de la seguridad: el momento en que recibe su identidad, su software y su política. Bien hecho, el ZTP es más seguro que el aprovisionamiento manual, porque elimina la improvisación sede a sede. Los seis puntos siguientes son lo que significa «bien hecho».

1
Identidad del dispositivo anclada en hardware
Un ZTP de calidad de producción vincula cada dispositivo a un certificado único instalado en fábrica o a un elemento seguro, no solo a un número de serie impreso en una etiqueta. Una identidad que puede clonarse o adivinarse socava toda la cadena: el registro, la autenticación y la entrega de configuración cuelgan de ella.
2
Autenticación mutua, en ambas direcciones
El dispositivo debe verificar al servidor de aprovisionamiento con el mismo rigor con que el servidor verifica al dispositivo. Las comprobaciones en una sola dirección dejan la puerta abierta a ataques de servidor impostor, donde un equipo en una red comprometida recibe una configuración maliciosa en su momento más confiado: el primer arranque.
3
Imágenes de software firmadas y verificadas
El firmware entregado durante el aprovisionamiento debe ir firmado criptográficamente y ser verificado por el dispositivo antes de instalarse. Esto cierra la vía de ataque a la cadena de suministro en la que una imagen manipulada se inyecta entre la plataforma de gestión y la sede.
4
Entrega de configuración de mínimo privilegio
Un dispositivo debe poder recuperar exactamente su propia configuración y nada más. Comprometer el equipo de una sede no debe exponer plantillas, credenciales ni detalles de topología de otras sedes. La entrega acotada por identidad de dispositivo es el control que contiene el radio de impacto.
5
Operaciones de aprovisionamiento auditadas y por roles
Cada registro, cambio de plantilla y despliegue debe poder atribuirse a una persona y a un rol. En los modelos cogestionados y operados por partner, el control de acceso por roles determina quién puede aprovisionar qué, que es además la base de un reparto limpio de responsabilidades entre equipos.
6
Postura de seguridad inmediata desde el primer arranque
La configuración entregada por ZTP debe incluir la pila de seguridad completa desde el primer minuto: política del NGFW embebido, segmentación, pertenencia al overlay cifrado. Una sede no debe pasar nunca por una ventana en la que está en línea pero desprotegida esperando una segunda pasada de configuración.

El ZTP en la CNM SD-WAN Suite de Teldat

El despliegue automático de routers es uno de los diferenciadores clave de Teldat, integrado en la CNM SD-WAN Suite en lugar de añadido por encima. El ZTP en la plataforma de Teldat cubre routers de sucursal, gateways industriales, dispositivos FWA 5G y puntos de acceso, sobre cualquier transporte, y es la misma maquinaria que después ejecuta las actualizaciones, las reconfiguraciones y la sustitución de hardware de todo el parque.

1
ZTP integrado en la CNM SD-WAN Suite
La CNM SD-WAN Suite incluye el ZTP como función nativa de su capa de aprovisionamiento, junto al inventario de dispositivos, las plantillas de configuración masiva, el control de acceso de usuarios y el resto de la definición del servicio SD-WAN. Aprovisionamiento, overlay, seguridad y telemetría son una plataforma, no una cadena de herramientas separadas.
2
Aprovisionamiento por cualquier transporte, incluido el celular
Los dispositivos Teldat se autoaprovisionan sobre banda ancha, fibra, Ethernet o 4G/5G. Con una SIM instalada, un router llega a la sede llevando su propio camino de gestión, sin requerir literalmente nada de la infraestructura local. Esta es la base de la activación de sede en el mismo día con FWA 5G como transporte principal o provisional.
3
Plantillas y generación guiada de configuraciones
CNM ofrece flujos gráficos guiados con un motor de generación de configuraciones: los tipos de sede se definen una vez como plantillas con variables por sede, y las sedes nuevas se instancian rellenando los valores. El umbral de competencias baja de experto en CLI a administrador formado, que es exactamente lo que exige operar cientos de sedes.
4
Plano de gestión out of band
Teldat separa el plano de gestión del plano de datos. Si se pierde la conectividad con la plataforma CNM, las sedes siguen encaminando tráfico con su última configuración aplicada. La nube de gestión hace falta para cambiar la red, nunca para mantenerla funcionando.
5
Multi tenant para partners y grandes organizaciones
La CNM SD-WAN Suite opera en modo multi tenant con aislamiento por cliente y control de acceso por roles, soportando servicios gestionados operados por partner y modelos cogestionados. La misma maquinaria ZTP sirve a una única empresa o a un proveedor de servicios que opera decenas de redes de clientes.
6
Probado a escala europea
El ZTP de Teldat es el motor de despliegue del mayor proyecto SD-WAN y XDR de Europa, en la Junta de Andalucía con 2.700 sedes, y de despliegues de retail donde las tiendas insignia se activan con conectividad 5G y ZTP desde el primer día. El despliegue por oleadas a esta escala es procedimiento estándar en la plataforma.

Por qué el ZTP es una propiedad de plataforma, no una funcionalidad: el valor del ZTP no está en el primer arranque, está en todo lo que reutiliza la misma maquinaria después: las campañas de firmware, los cambios de política, las sustituciones de hardware, el crecimiento del parque. Como Teldat integra el ZTP en la capa de aprovisionamiento de la CNM SD-WAN Suite, un dispositivo aprovisionado en minutos el primer día se actualiza, se reconfigura y, si hace falta, se sustituye mediante el mismo flujo auditado y basado en plantillas durante toda su vida. La automatización del día cero que no se extiende a las operaciones del día dos resuelve solo la mitad fácil del problema.

FAQ’s sobre Zero Touch Provisioning

❯ ¿Qué es Zero Touch Provisioning en términos simples?

El Zero Touch Provisioning (ZTP) es una forma de desplegar dispositivos de red sin enviar un ingeniero a la sede. El dispositivo viaja en estado genérico; cuando alguien lo enchufa y lo enciende, contacta automáticamente con un sistema central, se autentica, descarga su software y su configuración asignados, y se incorpora a la red. Todo el trabajo técnico ocurre centralmente, una vez, en plantillas; en la sede, cualquiera que sepa conectar cables puede desplegar un router.

❯ ¿Cómo funciona el ZTP?

La identidad del dispositivo (número de serie más un certificado instalado en fábrica) se registra en un sistema central de aprovisionamiento y se vincula a una plantilla de sede antes del envío. En el primer arranque, el dispositivo obtiene conectividad básica (DHCP sobre banda ancha o una SIM preinstalada en 4G/5G), descubre el servicio de aprovisionamiento, y ambos se autentican mutuamente. El dispositivo recibe entonces su firmware y su configuración completa, establece sus túneles del overlay y empieza a reportar telemetría. El tiempo típico desde el encendido hasta producción se mide en minutos.

❯ ¿Es seguro el ZTP?

Una implementación ZTP de calidad de producción es más segura que el aprovisionamiento manual, porque elimina la improvisación sede a sede y aplica un flujo uniforme y auditado. Los requisitos: identidad del dispositivo anclada en un certificado hardware, autenticación mutua entre dispositivo y servidor, transporte cifrado, imágenes de firmware firmadas criptográficamente, y entrega acotada para que cada dispositivo solo pueda recuperar su propia configuración. El canal entre el sistema ZTP y el dispositivo es una superficie de ataque crítica y debe evaluarse en primer lugar al elegir plataforma.

❯ ¿Cuál es la diferencia entre ZTP y aprovisionamiento manual?

El aprovisionamiento manual requiere que un ingeniero de redes configure cada dispositivo, en la sede o en un almacén de staging, dedicando horas por equipo con desplazamientos o logística extra, e introduciendo oportunidades de error humano por cada dispositivo. El ZTP traslada todo el trabajo de configuración a una plantilla central construida una vez; en la sede, el dispositivo se aprovisiona solo en minutos tras el encendido. A escala de sucursales, el ZTP convierte el despliegue del camino crítico del proyecto en una tarea logística, y habilita la sustitución de hardware por mensajería en lugar de por visita de ingeniero.

❯ ¿Para qué se usa el ZTP además del despliegue inicial?

La misma maquinaria de aprovisionamiento gestiona el ciclo de vida completo del dispositivo: campañas masivas de actualización de firmware y sistema operativo, cambios de configuración masivos o por sede, sustitución de hardware (un repuesto genérico se autoaprovisiona con la configuración de la sede del equipo averiado) y expansión del parque al ritmo del negocio. Un aprovisionamiento de día cero que también ejecuta las operaciones del día dos es lo que distingue una capacidad de plataforma de un script de despliegue.

❯ ¿Cómo implementa Teldat el Zero Touch Provisioning?

Teldat integra el ZTP de forma nativa en la CNM SD-WAN Suite, cubriendo routers de sucursal, gateways industriales, dispositivos FWA 5G y puntos de acceso. Los dispositivos se autoaprovisionan por cualquier transporte, incluido el celular 4G/5G; la configuración se genera desde plantillas gráficas con variables por sede; el plano de gestión está separado del plano de datos para que las sedes nunca dependan de la nube para seguir funcionando; y la operación multi tenant soporta modelos gestionados por partner y cogestionados. Este despliegue automático de routers es el motor de los mayores proyectos de Teldat, incluidas las 2.700 sedes de la Junta de Andalucía.

Despliega tu red sin instalaciones ni modificaciones, con Teldat

La CNM SD-WAN Suite aprovisiona routers, gateways y puntos de acceso automáticamente por cualquier transporte, incluido el 5G, con configuración basada en plantillas, seguridad embebida desde el primer arranque y la misma maquinaria ejecutando actualizaciones y sustituciones durante toda la vida del parque. Probada en 2.700 sedes.