أستكشاف أخطاء HTTPS وإصلاحها في مركز Cisco Catalyst للسباحة

خيارات التنزيل

  • PDF     (347.3 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:٢٨ سبتمبر ٢٠٢٣
معرّف المستند:220990

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند إجراء لاستكشاف أخطاء بروتوكول HTTPS وإصلاحها في عملية السباحة ل Cisco Catalyst Center في الأنظمة الأساسية Cisco IOS® XE.

    المتطلبات الأساسية

    المتطلبات

    أنت ينبغي يتلقى منفذ Cisco Catalyst Center من خلال GUI مع مدير دور امتياز ومحول CLI.

    يجب أن يكون مركز Cisco Catalyst قيد التشغيل في جهاز مادي.

    المكونات المستخدمة

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    المشكلة

    هناك خطأ شائع أن cisco مادة حفازة مركز / برمجية إدارة صورة (SWIM) يعرض بعد التحقق من الاستعداد لتحديث الصورة:

    "يتعذر الوصول إلى HTTPS / SCP"

    رسالة الخطأ HTTPS NOT reachable

    يوضح هذا الخطأ أن بروتوكول HTTPS غير قابل للوصول؛ ومع ذلك، سيستخدم مركز Cisco Catalyst بروتوكول SCP لنقل صورة Cisco IOS® XE إلى جهاز الشبكة.

    أحد عيوب إستخدام SCP هو مقدار الوقت اللازم لتوزيع الصورة. HTTPS أسرع من SCP.

    التحقق

    حالة جهاز الشبكة في مخزون Cisco Catalyst Center

    انتقل إلى التوفير > المخزون > تغيير التركيز إلى المخزون

    تحقق من قابلية الوصول والإدارة لجهاز الشبكة للترقية. يجب أن تكون حالة الجهاز قابلة للوصول والمدارة.

    إذا كان لجهاز الشبكة أية حالة أخرى في قابلية الوصول والإدارة، فقم بإصلاح المشكلة قبل الانتقال إلى الخطوات التالية.

    شهادة DNAC-CA المثبتة في جهاز الشبكة

    انتقل إلى جهاز الشبكة وشغل الأمر:

    show running-config | sec crypto pki

    يجب أن ترى DNAC-CA TrustPoint وسلسلة DNAC-CA. إذا لم تتمكن من رؤية TrustPoint أو السلسلة أو كليهما ل DNAC-CA، فأنت بحاجة إلى تحديث إعدادات القياس عن بعد من أجل دفع شهادة DNAC-CA.

    إذا كانت إمكانية تحكم الجهاز معطلة، قم بتثبيت شهادة DNAC-CA يدويا مع الخطوات التالية:

    • في نوع مستعرض الويب https://<dnac_ipaddress>/ca/pemand قم بتنزيل ملف .pem
    • حفظ ملف .pem في الكمبيوتر المحلي
    • فتح ملف .pem باستخدام تطبيق محرر نصي
    • فتح CLI لجهاز الشبكة
    • تحقق من أي شهادة DNA-CA قديمة باستخدام الأمر show run | in crypto pki trustpoint DNAC-CA
    • إذا كانت هناك شهادة DNA-CA قديمة، فقم بإزالة شهادة DNAC-CA باستخدام الأمر no crypto pki trustpoint DNAC-CA  في وضع التكوين 
    • ركضت الأمر في تشكيل أسلوب in order to ركبت DNAC-CA شهادة:
      •  
    crypto pki trustpoint DNAC-CA 
    enrollment mode ra
    enrollment terminal
    usage ssl-client
    revocation-check none
    exit
    crypto pki authenticate DNAC-CA
    • لصق ملف .pem نصي
    • أدخل نعم عند طلبها
    • حفظ التكوين
      •

    استكشاف الأخطاء وإصلاحها

    الاتصال من جهاز الشبكة إلى مركز Cisco Catalyst في جهاز الشبكة من خلال المنفذ 443

    قم بتشغيل إختبار نقل ملفات HTTPS في جهاز الشبكة 

    copy https://<DNAC_IP>/core/img/cisco-bridge.png flash:

    يقوم هذا الاختبار بنقل ملف PNG من Cisco Catalyst Center إلى المحول.

    يصف هذا الإخراج نقل الملفات بنجاح

    MXC.TAC.M.03-1001X-01#copy https://10.x.x.x/core/img/cisco-bridge.png flash:
    Destination filename [cisco-bridge.png]? 
    Accessing https://10.x.x.x/core/img/cisco-bridge.png...
    Loading https://10.x.x.x/core/img/cisco-bridge.png 
    4058 bytes copied in 0.119 secs (34101 bytes/sec)
    MXC.TAC.M.03-1001X-01#

    إذا حصلت على الإخراج التالي، فسيفشل نقل الملف:

    MXC.TAC.M.03-1001X-01#$//10.x.x.x/core/img/cisco-bridge.png flash:
    Destination filename [cisco-bridge.png]? 
    Accessing https://10.x.x.x/core/img/cisco-bridge.png...
    %Error opening https://10.x.x.x/core/img/cisco-bridge.png (I/O error)
    MXC.TAC.M.03-1001X-01#

    إتخاذ الإجراءات التالية:

    • التحقق من حظر جدار الحماية للمنفذ 443 و 80 و 22.
    • تحقق من وجود قائمة وصول في جهاز الشبكة الذي يمنع المنفذ 443 أو بروتوكول HTTPS.
    • قم بالتقاط حزمة في جهاز الشبكة أثناء نقل الملفات.
      •
    note-icon

    ملاحظة: هذا التدبير غير صالح مع الجهاز الظاهري Cisco Catalyst.

              بعد الانتهاء لاختبار نقل ملفات HTTPS، قم بإزالة ملف cisco-bridge.png باستخدام الأمر delete flash:cisco-bridge.png 

    واجهة مصدر عميل HTTPS في جهاز الشبكة

    تحقق من تكوين واجهة مصدر عميل الشبكة بشكل صحيح.

    أنت يستطيع ركضت الأمر show run | in http client source-interface in order to دققت التشكيل:

    MXC.TAC.M.03-1001X-01#show run | in http client source-interface 
    ip http client source-interface GigabitEthernet0
    MXC.TAC.M.03-1001X-01#

    سيفشل إختبار ملف نقل HTTPS إذا كان لدى الجهاز واجهة مصدر غير صحيحة أو كانت واجهة المصدر مفقودة.

    ألق نظرة على المثال:

    يحتوي جهاز Lab على عنوان IP 10.88.174.43 في المخزون cisco Catalyst Center:

    لقطة شاشة المخزون:

    شاشة العرض عن حالة قابلية الوصول والإدارة

    فشل إختبار نقل ملفات HTTPS:

    MXC.TAC.M.03-1001X-01#copy https://10.x.x.x/core/img/cisco-bridge.png flash:
    Destination filename [cisco-bridge.png]? 
    %Warning:There is a file already existing with this name 
    Do you want to over write? [confirm]
    Accessing https://10.x.x.x/core/img/cisco-bridge.png...
    %Error opening https://10.x.x.x/core/img/cisco-bridge.png (I/O error)
    MXC.TAC.M.03-1001X-01#

    التحقق من واجهة المصدر:

    MXC.TAC.M.03-1001X-01#show run | in source-interface
    ip ftp source-interface GigabitEthernet0
    ip http client source-interface GigabitEthernet0/0/0
    ip tftp source-interface GigabitEthernet0
    ip ssh source-interface GigabitEthernet0
    logging source-interface GigabitEthernet0 vrf Mgmt-intf

    التحقق من الواجهات:

    MXC.TAC.M.03-1001X-01#show ip int br | ex unassigned
    Interface IP-Address OK? Method Status Protocol
    GigabitEthernet0/0/0 1.x.x.x YES manual up up 
    GigabitEthernet0 10.88.174.43 YES TFTP up up

    MXC.TAC.M.03-1001X-01#

    وفقا لشريط شاشة المخزون، اكتشف مركز Cisco Catalyst الجهاز باستخدام الواجهة GigabitEthernet0 بدلا من GigabiEthernet0/0/0

    أنت تحتاج أن يعدل مع المصدر قارن صحيح in order to صححت المشكلة.

    MXC.TAC.M.03-1001X-01#conf t
    Enter configuration commands, one per line. End with CNTL/Z.
    MXC.TAC.M.03-1001X-0(config)#ip http client source-interface GigabitEthernet0 
    MXC.TAC.M.03-1001X-0(config)#
    MXC.TAC.M.03-1001X-01#show run | in source-interface
    ip ftp source-interface GigabitEthernet0
    ip http client source-interface GigabitEthernet0
    ip tftp source-interface GigabitEthernet0
    ip ssh source-interface GigabitEthernet0
    logging source-interface GigabitEthernet0 vrf Mgmt-intf
    MXC.TAC.M.03-1001X-01#
    MXC.TAC.M.03-1001X-01#copy https://10.x.x.x/core/img/cisco-bridge.png flash:
    Destination filename [cisco-bridge.png]? 
    Accessing https://10.x.x.x/core/img/cisco-bridge.png...
    Loading https://10.x.x.x/core/img/cisco-bridge.png 
    4058 bytes copied in 0.126 secs (32206 bytes/sec)
    MXC.TAC.M.03-1001X-01#
    note-icon

    ملاحظة: بعد أن تنتهي من إختبار نقل ملفات HTTPS، قم بإزالة ملف Cisco-bridge.png باستخدام الأمر delete flash:cisco-bridge.png

    مزامنة التاريخ

    تحقق من أن جهاز الشبكة لديه تاريخ وساعة صحيحين باستخدام الأمر show clock

    ألق نظرة على سيناريو المعمل الذي تكون فيه شهادة DNAC-CA مفقودة في جهاز Lab. تم دفع تحديث بيانات تتبع الاستخدام، ومع ذلك، فشل تثبيت شهادة DNAC-CA بسبب:

    Jan 1 10:18:05.147: CRYPTO_PKI: trustpoint DNAC-CA authentication status = 0
    %CRYPTO_PKI: Cert not yet valid or is expired -
    start date: 01:42:22 UTC May 26 2023
    end date: 01:42:22 UTC May 25 2025

    كما ترى، فإن النتيجة صحيحة، ومع ذلك، فقد قال الخطأ أن النتيجة غير صالحة أو منتهية الصلاحية.

    التحقق من وقت جهاز الشبكة:

    MXC.TAC.M.03-1001X-01#show clock
    10:24:20.125 UTC Sat Jan 1 1994
    MXC.TAC.M.03-1001X-01#

    يوجد خطأ في التاريخ والوقت. لحل هذه المشكلة، يمكنك تكوين خادم NTP أو تكوين الساعة يدويا باستخدام الأمر clock set  في وضع الامتيازات. 

    مثال تكوين الساعة اليدوية:

    MXC.TAC.M.03-1001X-01#clock set 16:20:00 25 september 2023

    مثال تكوين NTP:

    MXC.TAC.M.03-1001X-0(config)#ntp server vrf Mgmt-intf 10.81.254.131

    تصحيح الأخطاء

    يمكنك تشغيل تصحيح الأخطاء لاستكشاف أخطاء HTTPS وإصلاحها:

    debug ip http all
    debug crypto pki transactions
    debug crypto pki validation
    debug ssl openssl errors
    note-icon

    ملاحظة: بعد الانتهاء من أستكشاف أخطاء جهاز الشبكة وإصلاحها، قم بإيقاف تصحيح الأخطاء باستخدام الأمر undebug all

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    28-Sep-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Ezequiel Tlecuitl Rodriguez
      Technical Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات