أستكشاف أخطاء ترخيص Nexus 9000 وإصلاحها
المقدمة
يصف هذا المستند أكثر أنواع الأخطاء شيوعا مع الترخيص الذكي على محولات Nexus 9000 Series.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- الترخيص الذكي على محول سلسلة Nexus 9000
- أداة Cisco Smart License (CSLU)
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
أخطاء فشل الاتصالات
"يتعذر إنشاء اتصال آمن نظرا لتعذر التحقق من صحة شهادة TLS الخاصة بالخادم"
ينتج خطأ CSLU هذا بشكل خاص إما عن تكوين FQDN غير صحيح باستخدام إما أوامر URL الذكي للترخيص أو أوامر License smart url smart، أو بواسطة بعض الأجهزة في المسار تقوم بانتحال SSL (عادة جدار حماية مع تمكين فحص SSL).
لا يختلف HTTPS على محول Nexus عن أي نظام تشغيل عميل نموذجي. عند الوصول إلى إرتباط HTTPS، يتحقق العميل من FQDN الذي يحاول الوصول إليه مقابل FQDN الذي تم إستلامه في الشهادة - إما في حقل CN في رأس الموضوع، أو في حقل SAN. يتحقق العميل أيضا مما إذا كانت الشهادة المستلمة موقعة من قبل مرجع مصدق موثوق به.
إذا حاولت الوصول إلى https://www.cisco.com، فسيفتحه المستعرض دون أية مشكلات. ومع ذلك، إذا قمت بفتح https://173.37.145.84، فستتلقى تحذيرا بأن الاتصال لا يمكن الوثوق به، حتى على الرغم من أن www.cisco.com سيحل الأمر إلى 173.37.145.84. يحاول المستعرض الوصول إلى 173.37.145.84، ولا يرى "173.37.145.84" في الشهادة المقدمة من الخادم، وبالتالي فإن الشهادة غير صالحة.
هذا هو السبب في أنه عند تكوين عنوان CSSM على المحول، فمن المهم إستخدام عنوان URL المقترح تماما من قبل CSSM نفسها؛ يحتوي على FQDN المضمنة في الشهادة:
من المهم أيضا أن نتذكر أن هناك شهادات منفصلة تستخدم للإدارة المسبقة ل CSSM (ميناء 8443 افتراضيا) وتسجيل الترخيص (ميناء 443 افتراضيا). يمكن أن تكون شهادة الإدارة موقعة ذاتيا، أو موقعة من قبل مرجع مصدق مؤسسة محلية موثوق به داخل المؤسسة، أو من قبل مرجع مصدق موثوق به بشكل عام، ولكن الترخيص يستخدم دائما المرجع المصدق الخاص بترخيص Cisco الجذر. ويتم القيام بذلك تلقائيا دون أي تدخل إضافي من قبل المستخدم:
يتم الثقة بهذا المرجع المصدق بواسطة محولات Cisco، ولكن ليس بواسطة أجهزة الكمبيوتر العميلة العادية. إذا حاولت الوصول إلى عنوان URL المقترح من قبل CSSM باستخدام جهاز كمبيوتر، يعرض المستعرض خطأ بسبب عدم الثقة في المرجع المصدق، ولكن المحول لا توجد به أي مشاكل:
ومع ذلك، إذا كان هناك جدار حماية يقوم بفحص SSL باستخدام انتحال الشهادات بين المحول وخادم CSSM، فإن جدار الحماية يستبدل الشهادة الموقعة من Cisco CA بشهادة مختلفة موقعة بشكل نموذجي من قبل CA للمؤسسة، والتي تكون موثوق بها من قبل جميع أجهزة الكمبيوتر والخوادم في المؤسسة، ولكن ليس من قبل المحول. تأكد من إستبعاد أي حركة مرور إلى CSSM من فحص HTTPS.
عند أستكشاف أخطاء "التحقق من صحة شهادة الخادم TLS" وإصلاحها، يمكنك الوصول إلى عنوان URL الذي تم تكوينه على المحول باستخدام مستعرض والتحقق من توقيع الشهادة بشكل صحيح بواسطة Cisco CA، ومن تطابق FQDN في سلسلة عنوان URL مع FQDN في الشهادة.
"فشل الاتصالات" أو "تعذر حل المضيف: cslu-local
عادة ما يتم تكوين CSSM باستخدام FQDN في عنوان URL، وفي معظم عمليات نشر Nexus لم يتم تكوين DNS، مما يؤدي بشكل متكرر إلى هذا النوع من الفشل.
تتمثل الخطوة الأولى لاستكشاف الأخطاء وإصلاحها في إختبار اتصال شبكة FQDN التي تم تكوينها من تردد الراديو (VRF) المستخدم للترخيص الذكي. على سبيل المثال، مع هذا التكوين:
license smart transport smart
license smart url smart https://smartreceiver.cisco.com/licservice/license
license smart vrf management
switch# ping smartreceiver.cisco.com vrf management
% Invalid host/interface smartreceiver.cisco.com
يشير هذا الخطأ إلى أن تحليل DNS في إدارة VRF لا يعمل. تحقق من تكوين ip name-server ضمن VRF المحدد. لاحظ أن تكوين خادم DNS هو لكل VRF، لذلك لا يؤثر تكوين ip name-server في إدارة VRF الافتراضية في إدارة VRF. كحل لفجوة الإيقاف، يمكن إستخدام مضيف IP لإضافة إدخال يدوي، ولكن افترض أنه في المستقبل، يمكن تغيير عنوان IP الخاص بالخادم، ويمكن أن يصبح هذا الإدخال غير صالح.
إذا تم حل اسم المجال، ولكن فشل إختبارات الاتصال، قد يحدث هذا بسبب جدار حماية يمنع إختبارات الاتصال الصادرة. في هذه الحالة، أنت يستطيع استعملت telnet أن يختبر إن يكون ميناء 443 مفتوح.
switch# telnet smartreceiver.cisco.com 443 vrf management
إذا لم ينجح ذلك أيضا، فعليك أستكشاف أخطاء مسار الشبكة وإصلاحها تجاه الخادم وتأكد من أنه يعمل.
"فشل إرسال رسالة HTTP للاتصال بالمنزل"
وهذه الرسالة مماثلة بشكل أساسي لرسالة "فشل الاتصالات". الفرق هو أنه يظهر بشكل عام على المحولات التي تشغل "الترخيص الذكي" القديم، وليس "الترخيص الذكي" باستخدام "السياسة" التي تم تقديمها في الإصدار 10.2 من NXOS. باستخدام "الترخيص الذكي القديم"، يتم تكوين عنوان URL الذي يجب الوصول إليه باستخدام الأمر callHome.
callhome
...
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http https://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
تأكد من صحة التكوين، واستخدم HTTPS، وهناك إمكانية الوصول إلى عنوان URL (عادة tools.cisco.com) عبر VRF المحدد.
المزيد من استكشاف الأخطاء وإصلاحها
يرجى الرجوع إلى الترخيص الذكي باستخدام أستكشاف أخطاء السياسة وإصلاحها في حل مركز البيانات للحصول على قائمة تحقق مفصلة حول أستكشاف الأخطاء وإصلاحها تشتمل على خطوات أخرى يمكن إتخاذها لحل المشكلات المتعلقة بالترخيص.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
28-Jan-2025 |
الإصدار الأولي |
التعليقات