المقدمة
يوضح هذا المستند كيفية أستكشاف المشكلة الشائعة وإصلاحها أثناء النشر من دون لمس (ZTD) في حل شبكة المنطقة (FAN) الذي يتكون من موجه الشبكة المتصلة (CGR) ومدير الشبكة الميدانية (FND).
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى نشر ZTD باستخدام CGR.
ويتضمن CGR (CGR1120/CGR1240)، FND، خادم تزويد النفق (TPS)، سلطة التسجيل (RA)، مرجع الشهادة (CA)، خادم اسم المجال (DNS) كمكونات. يمكن تبادل نظام إدارة الشبكات المتصلة بنظام FND و Cisco Connected Grid Management System (CG-NMS) حيث إن CG-NMS هو إصدار أقدم من FND.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
خطوات أستكشاف الأخطاء وإصلاحها وفقا لعملية ZTD في حلول المروحة
تكوين التصنيع لموجه المنطقة الميدانية (FAR)
يبدأ كل شيء من تكوين التصنيع هذا حتى تكون هذه الخطوة هي المفتاح لنشر ناجح.
سيقوم هذا التكوين بتشغيل المرحلتين الأولى: بروتوكول تسجيل الشهادة البسيط (SCEP) وإمداد النفق.
والاختبار الناجح هو إختبار يستخدم إلى حد بعيد مع تشكيله الصناعي وقادر على المرور بعملية ZTD للتسجيل في النهاية مع CG-NMS دون أي تدخل.
المشتبه بهم المعتادين:
- بيانات الاعتماد بين FAR و CG-NMS غير متطابقة.
- عنوان URL لعامل NMS المتصل بالشبكة (CGNA) لتوفير النفق غير صحيح (تأكد من أنه https وليس http).
- تم تكوين خادم اسم المجال (DNS) بشكل غير صحيح لحل اسم المجال المؤهل بالكامل ل TPS (FQDN).
إذا كان يجب تحديث تكوين التصنيع في وقت أستكشاف أخطاء هاتين المرحلتين وإصلاحها، فيجب اتباع هذه العملية:
- منع الاتصال البعيد بموصل HE (ماديا أو منطقيا)
- إرجاع FAR إلى وضعها express-setup-config
- تطبيق التغييرات
- إنشاء ملف express-setup-config جديد
- حفظ التكوين في ذاكرة NVRAM
- إستعادة الاتصال حتى يمكن ل FAR تشغيل عملية ZTD مرة أخرى
تسجيل SCEP
تتمثل أهداف هذه المرحلة في تخويل FAR لاستلام شهادة هوية الجهاز المحلي (LDevID) من "البنية الأساسية للمفتاح العام ل RSA" (PKI) والحصول على الشهادة بعد التخويل. وهذه الخطوة هي شرط مسبق للخطوة التالية حيث تحتاج FAR إلى شهادتها للاتصال مع TPS وإنشاء نفق IPSec الخاص بها مع HER.
والمكونات المعنية هي: FAR و RA وخادم SCEP وخادم Radius ومنفذ البيانات الخاص به.
سيقوم البرنامج النصي للغة أوامر الأداة (TCL) المسمى tm_ztd_scep.tcl تلقائيا ببدء عملية SCEP ويواصل المحاولة حتى ينجح التسجيل.
| خطوات |
المكونات المعنية |
إرشادات أستكشاف الأخطاء وإصلاحها |
أوامر مفيدة |
| يقوم مدير الحدث بتشغيل البرنامج النصي tm_ztd_scep.tcl |
قاصي |
- التحقق من تكوين مدير الأحداث
- التحقق من تكوين متغيرات البيئة المستخدم من قبل البرنامج النصي
|
يقوم أمر TCL لإدارة أحداث deb بإبراز كل أوامر CLI المطبقة من قبل النص التنفيذي |
| دقة RA FQDN |
فار، DNS |
- التحقق من الاتصال بين FAR و DNS
- تحقق من سجل DNS لحل هذا الاسم
- التحقق من تكوين ملف تعريف التسجيل البعيد
|
إختبار اتصال RA FQDN من بعيد |
| يرسل البعيد طلب SCEP إلى RA |
فار، رع |
- تحقق من الاتصال بين RA و FAR
- تحقق من تكوين RA. يجب أن يكون خادم PKI قيد التشغيل
|
debug crypto pki transactions debug crypto provisioning |
| تفويض PKI |
RA، RADIUS |
- تحقق من الاتصال بين خادم RA و RADIUS
- التحقق من تكوين تخويل RA PKI
- تحقق من تكوين خادم RADIUS
|
debug crypto pki scep debug crypto pki transactions خادم debug crypto pki debug crypto provisioning |
| إصدار الشهادة البعيدة |
رع، المصدر ك أ |
- التحقق من الاتصال بين RA و CA المصدر
|
RA: debug crypto pki إذا كان المرجع المصدري هو IOS-CA، فيمكن إستخدام أمر تصحيح الأخطاء نفسه كذلك |
إمداد النفق
وفي وقت هذه المرحلة، ستتصل القوات المسلحة الملكية ب TPS (تعمل كوكيل بالنيابة عن CG-NMS) للحصول على تكوين النفق الخاص بها من CG-NMS. يتم بدء هذه المرحلة بواسطة البرنامج النصي ل SCEP tcl بمجرد إتمام التسجيل من خلال تنشيط ملف تعريف CGNA.
المكونات المعنية هي: البعيد و DNS و TPS و CG-NMS.
| خطوات |
المكونات المعنية |
أدلة أستكشاف المشكلات وإصلاحها |
أوامر مفيدة |
| برنامج TCL النصي لتنشيط ملف تخصيص CGNA |
قاصي |
تحقق من تكوين ملف التعريف الصحيح لمتغير بيئة ZTD_SCEP_CGNA_PROFILE |
"show cgna profile-all" للتحقق من أن التوصيف نشط |
| حل ملف تعريف CGNA ل TPS FQDN |
فار، DNS |
- التحقق من الاتصال بين DNS و FAR
- تحقق من سجل DNS لحل هذا الاسم
- التحقق من تكوين TPS FQDN في عنوان URL ل CGNA
|
البعيد: ping TPS FQDN |
| إنشاء ملف تعريف CGNA لجلسة عمل HTTPS باستخدام TPS |
البعيد، TPS |
- التحقق من تشغيل خدمة TPS
- التحقق من ملف مخزن مفاتيح TPS
- التحقق من TPS يستلم حزم TPS من CGR
- التحقق من تكوين ملف تعريف CGNA
|
يوجد ملف سجل TPS على العنوان : /opt/cgms-tpsproxy/log/tpsproxy.log |
| طلب نفق TPS للأمام إلى CG-NMS |
TPS و CG-NMS |
- التحقق من خصائص TPS و CG-NMS
- التحقق من الاتصال بين TPS و CG-NMS
- التحقق من سجلات TPS و CG-NMS
|
يوجد ملف سجل FND في: cd /opt/cgms/server/cgms/log |
يتصل FAR ب TPS مع Tunnel-Provisioning طلب مع HTTPS على ميناء 9120
4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Inbound proxy request from [192.168.1.1] with client certificate subject
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Completed inbound proxy request from [192.168.1.1] with client certificate subject
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
جذوع بعد النفق هذا موجود بينها وبين البعيد والآخرة تستطيع البعيد التواصل معها مباشرة
4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Inbound proxy request from [192.168.1.1] with client certificate subject [SERIALNUMBER=PID:
IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED:
%[ch=1c3d5104][eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Completed inbound proxy request from [192.168.1.1] with client certificate subject [SERIALN
UMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4353: iok-tps: Jul 13 2016 14:46:12.425 +0000: %CGMS-6-UNSPECIFIED:
%[ch=TpsProxyOutboundHandler][ip=192.168.1.1][sev=INFO][tid=qtp687776794-16]:
Outbound proxy request from [192.168.1.2] to [192.168.1.1]
4354: iok-tps: Jul 13 2016 14:46:14.176 +0000: %CGMS-6-UNSPECIFIED:
%[ch=TpsProxyOutboundHandler][ip=10.10.10.61][sev=INFO][tid=qtp687776794-16]:
Outbound proxy request from [192.168.1.2] to [192.168.1.1
تسجيل الأجهزة
الخطوة 1. استعد لتسجيل الأجهزة
سيقوم CG-NMS بدفع تكوين ملف تعريف CGNA CG-NMS-register. تمت إضافة أوامر إضافية حتى يتم تنفيذ ملف التعريف مباشرة بدلا من انتظار انتهاء صلاحية مؤقت الفاصل الزمني.
سيقوم CG-NMS بإلغاء تنشيط ملف تعريف CGNA CG-NMS-Tunnel يعتبر التوفير مكتملا عند هذه النقطة.
الخطوة 2. CG-NMS يستلم طلب تسجيل جهاز
- التحقق من توفر FAR في قاعدة البيانات الخاصة به
- تحقق مما إذا كانت ملفات cg-nms.odm و cg-nms-scripts.tcl إما مفقودة من ذاكرة FAR flash أو يجب تحديثها إلى إصدار جديد. سيقوم CG-NMS بتحميلها تلقائيا إذا لزم الأمر.
- التقاط التكوين الحالي البعيد
- قم بمعالجة جميع مخرجات أوامر العرض المضمنة في الطلب. اطلبوا المفقودين إذا لزم الامر. قد تختلف القائمة باختلاف تكوين الأجهزة FAR.
للحصول على تفاصيل لتنفيذ النشر من دون لمس داخل شبكتك، اتصل بشريك Cisco أو مهندس نظام Cisco.
للحصول على برنامج Express-setup-config على الموجه، اتصل بشريكك أو مهندس نظام Cisco.
معلومات ذات صلة
التعليقات