تكوين مجموعات الوصل ل ILS واستكشاف أخطائها وإصلاحها
المحتويات
المقدمة
يصف هذا المستند طرق التكوين المحتملة للانضمام إلى مجموعات خدمة بحث نظام المجموعة البينية (ILS) أيضا تحليل السجل لتصريف المشاكل لكل أساليب.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco Unified Communications Manager (CUCM)، الإصدار 11.5
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
الرسم التخطيطي للشبكة
التكوينات
الطريقة 1. إستخدام مصادقة كلمة المرور بين المجموعات
سجل الدخول إلى صفحة إدارة CUCM، انتقل إلى ميزات متقدمة > تكوين ILS.
في نافذة "تكوين ILS"، حدد خانة الاختيار إستخدام كلمة المرور.
قم بإدارة كلمات المرور بعد ذلك اضغط على حفظ. يجب أن تكون كلمة المرور متطابقة عبر جميع المجموعات في شبكة ILS.
الطريقة 2. إستخدام مصادقة TLS بين المجموعات
لاستخدام هذه الطريقة، تأكد من أن كافة المجموعات التي ستكون جزءا من شبكة ILS قد استوردت "شهادات Tomcat" الخاصة بالمجموعات البعيدة في TOMCAT Trust الخاصة بها.
في إدارة CUCM، انتقل إلى الميزات المتقدمة > تكوين ILS. في نافذة تكوين ILS، حدد خانة الاختيار إستخدام شهادات TLS تحت مصادقة ILS.
الطريقة 3. أستخدم TLS مع مصادقة كلمة المرور بين المجموعات.
ميزة هذه الطريقة هي عدم الحاجة إلى إستيراد شهادات Tomcat بين المجموعات لإنشاء اتصال TLS إذا تم التوقيع عليها من قبل مرجع مصدق خارجي (CA). هذه الطريقة متوفرة من CUCM 11.5 والإصدارات الأحدث.
لاستخدام هذه الطريقة، تأكد من أن كافة المجموعات التي تكون جزءا من شبكة ILS تحتوي على شهادات TOMCAT الموقعة من مرجع مصدق خارجي وأن الشهادة الجذر الخاصة بهذا المرجع المصدق موجودة في Tomcat-trust. كما يجب أن تكون كلمة المرور هي نفسها عبر جميع المجموعات في شبكة ILS.
في إدارة CUCM، انتقل إلى ميزات متقدمة > تكوين ILS تحت مصادقة ILS، وحدد خانة الاختيار إستخدام شهادات TLS وإستخدام كلمة المرور.
الطريقة 4. التبديل إلى مصادقة TLS بعد ضم نظام المجموعة بمصادقة كلمة المرور.
هذه طريقة أخرى لاستخدام TLS بدون إستيراد شهادات Tomcat بين المجموعات إذا تم توقيعها من قبل CA الخارجي. وهذا مفيد لإصدارات CUCM السابقة 11.5 حيث يكون الأسلوب 3 غير مدعوم.
لاستخدام هذه الطريقة، تأكد من أن كافة المجموعات التي تكون جزءا من شبكة ILS تحتوي على شهادات TOMCAT الموقعة من مرجع مصدق خارجي وأن الشهادة الجذر الخاصة بهذا المرجع المصدق موجودة في Tomcat-trust.
انضم إلى نظام المجموعة أولا باستخدام مصادقة كلمة المرور. في إدارة Cisco Unified CM، انتقل إلى ميزات متقدمة > تكوين ILS. تحت مصادقة ILS، حدد خانة الاختيار إستخدام كلمة المرور. إدارة كلمات المرور. طقطقة حفظ.
يجب أن تكون كلمة المرور متماثلة في جانب العميل والخادم في وقت الانضمام إلى نظام المجموعة.
بمجرد تأسيس الاتصال، قم بتغيير طريقة المصادقة إلى TLS. في إدارة CUCM، انتقل إلى الميزات المتقدمة > تكوين ILS. في نافذة تكوين ILS، حدد خانة الاختيار إستخدام شهادات TLS تحت مصادقة ILS.
التحقق من الصحة
يمكن ملاحظة التسجيل الناجح ضمن مجموعات ILS والكتالوجات المستوردة ل DialPlan العالمية في
ميزات متقدمة > تكوين ILS
يتم سرد تفاصيل نظام المجموعة عن بعد باستخدام الأمر تشغيل sql select * من برنامج RemoteLuster
استكشاف الأخطاء وإصلاحها
قم بتعيين مستوى تتبع الأخطاء لخدمة بحث نظام المجموعة البينية من Cisco على التفصيل.
موقع التتبع: activeOg /cm/trace/ils/sdl/
يتم شرح تحليل السجل لسيناريوهات النجاح والفشل لكل أساليب تسجيل ILS مع مثال.
تحليل السجل لتسجيل ILS للأسلوب 1
تم التحدث عن السجلات بنجاح إلى الموزع باستخدام مصادقة كلمة المرور بين المجموعات
سجل قصاصة من صرة:
00154617.001 |16:58:42.888 |AppInfo |IlsD IlsHandler: Ils::wait_SdlConnectionInd(): New connection accepted. DeviceName=, TCPPid = [1.600.13.5], IPAddr=10.106.104.201, Port=37816, Controller=[1,20,1] 00154617.002 |16:58:42.888 |AppInfo |IlsD Ils::ConnectInd TCPPid([1, 600, 13, 5]), PeerIP/Port(10.106.104.201:37816), LocalIP/Port(10.106.104.220:7502) (10.106.104.201:37816) 00154618.012 |16:58:42.889 |AppInfo |IlsD ::ConnectIndInner Server Connection to PeerId(f7f885dcaca845f18f3b7e583ff6c457), TCPPid([1, 600, 13, 5]), PeerIP/Port(10.106.104.201:37816), LocalIP/Port(10.106.104.220:7502) TLSReq(f) established
سجل القصاصة من تحدث:
00145095.017 |16:58:42.878 |AppInfo |IlsD Ils::ConnectReq(): Requesting Connection to IpAddr(10.106.104.220), IpPort(7502), TLSReq(f) 00145095.018 |16:58:42.878 |AppInfo |IlsD Ils::ConnectReq() Pub IP/Port(10.106.104.220:7502) Pri IP/Port(:7502) TLSReq(false) 00145095.024 |16:58:42.879 |AppInfo |IlsD Ils::processConnectReq Initiating non-TLS Connection 00145096.001 |16:58:42.881 |AppInfo |IlsD Ils::ConnectRes() appCorr(1029) TCPPid([1, 600, 13, 5]), PeerIP/Port(10.106.104.220:7502), LocalIP/Port(10.106.104.201:37816) TLSReq(f) found 00145096.002 |16:58:42.881 |AppInfo |IlsD DEBUG(0000FA0E): Client Connection to peerId(00000000000000000000000000000000) ipAddr(10.106.104.220) ipPort(7502) TLSReq(f) succeeded 00145097.010 |16:58:42.896 |AppInfo |IlsD ::ConnectIndInner starting to PeerId(77c59d0960cc4fdc959168a3d686a6de), TCPPid([1, 600, 13, 5]), PeerIP/Port(10.106.104.220:7502), LocalIP/Port(10.106.104.201:37816) TLSReq(f) established
تحدث إلى محاولة التسجيل إلى الصرة لكنه يفشل بسبب عدم تطابق كلمة المرور
فشل فك التشفيرData ويشير تنبيه ILSPwdAuthenticationFailed في سجلات الموزع إلى عدم تطابق كلمة المرور.
سجل قصاصة من صرة:
00155891.005 |17:25:26.197 |AppInfo |IlsD IlsHandler: wait_SdlDataInd EncrUtil::decryptData failed. DeviceName=, TCPPid = [1.600.13.7], IPAddr=10.106.104.201, Port=40592, Controller=[1,20,1] 00155891.006 |17:25:26.197 |AppInfo |IlsD wait_SdlDataInd sending ILSPwdAuthenticationFailed alarm with IPAddress= 10.106.104.201; mAlarmedConnections count= 1
تحليل السجل لتسجيل ILS للأسلوب 2
تم التحدث عن السجلات بنجاح إلى الموزع باستخدام مصادقة TLS
سجل قصاصة من صرة:
00000901.001 |15:46:27.238 |AppInfo |IlsD Ils::VerifyCertificateInfo(): peer certificates are in certificate store 00000902.008 |15:46:27.240 |AppInfo |IlsD ::ConnectIndInner Server Connection to PeerId(f7f885dcaca845f18f3b7e583ff6c457), TCPPid([1, 600, 17, 4]), PeerIP/Port(10.106.104.201:60938), LocalIP/Port(10.106.104.220:7501) TLSReq(t) established
سجل القصاصة من تحدث:
00000646.001 |15:46:27.189 |AppInfo |IlsD Ils::VerifyCertificateInfo(): peer certificates are in certificate store 00000647.006 |15:46:27.199 |AppInfo |IlsD ::ConnectIndInner starting to PeerId(77c59d0960cc4fdc959168a3d686a6de), TCPPid([1, 600, 17, 3]), PeerIP/Port(10.106.104.220:7501), LocalIP/Port(10.106.104.201:36115) TLSReq(t) established
فشل الاتصال لعدم إستيراد شهادة TOMCAT من لوحة الوصل في TALK
يشير التسجيل من "تم التحدث" إلى فشل التحقق من صحة الشهادة للموزع.
سجل القصاصة من تحدث:
00001821.000 |16:34:01.765 |AppInfo |[1, 600, 17, 5]: HandleSSLError - Certificate verification failed:(Verification error:18)- self signed certificate for 10.106.104.220:7501 00001822.000 |16:34:01.765 |AppInfo |[1, 600, 17, 5]: HandleSSLError - Certificate verification failed for 10.106.104.220:7501 00001827.002 |16:34:01.766 |AppInfo |IlsD Ils::wait_SdlConnectErrRsp sending ILSTLSAuthenticationFailed alarm with Cluster1 = 10.106.104.220; mAlarmedConnections count= 1 00001827.004 |16:34:01.770 |AppInfo |IlsD ERROR(000005C9): Connection to peerId(00000000000000000000000000000000) ipAddr(10.106.104.220) ipPort(7501) TLSReq(t) failed, ConnReason(1)
فشل الاتصال لعدم إستيراد شهادة Tomcat الخاصة ب Speaker في الموزع
تشير السجلات من الصرة إلى أنه تم إغلاق الاتصال لا كشهادة ل Talk في المتجر المحلي ولا FQDN في متجه معلومات النظير.
سجل قصاصة من صرة:
00003366.001 |17:06:30.877 |AppInfo |CertUtil Ils::isCertInLocalStore X509_STORE_get_by_subject failed. 00003366.002 |17:06:30.877 |AppInfo |IlsD Ils::VerifyCertificateInfo(): certificate is not in the local store and the FQDN (cucm11.adfs.ucce.com) is not in the peer info vector, closing the connection 00003366.003 |17:06:30.877 |AppInfo |IlsD Ils::VerifyCertificateInfo(): sending ILSTLSAuthenticationFailed alarm for Cluster1= cucm11.adfs.ucce.com; mAlarmedConnections count= 1 00003366.004 |17:06:30.882 |AppInfo |IlsD IlsHandler: Close Req. DeviceName=, TCPPid = [1.600.17.16], IPAddr=10.106.104.201, Port=39267, Controller=[1,20,1
تحليل السجل لتسجيل ILS للأسلوب 3
تحدث تسجيل بنجاح إلى الصرة باستخدام TLS بمصادقة كلمة المرور
سجل قصاصة من صرة:
00000211.001 |08:06:58.798 |AppInfo |CertUtil Ils::isCertInLocalStore X509_STORE_get_by_subject failed. 00000211.002 |08:06:58.798 |AppInfo |IlsD Ils::VerifyCertificateInfo(): peer certificates are not in certificate store but Root CA signed certs are uploaded locally 00000212.001 |08:06:58.803 |AppInfo |EncrUtil Function: decryptData at line 163 succedded 00000212.002 |08:06:58.803 |AppInfo |EncrUtil Function: decryptData at line 165 succedded 00000212.003 |08:06:58.803 |AppInfo |EncrUtil Function: decryptData at line 168 succedded 00000212.004 |08:06:58.803 |AppInfo |EncrUtil decryptData: inlen 1956, outlen 1949 succeed 00000212.012 |08:06:58.804 |AppInfo |IlsD ::ConnectIndInner Server Connection to PeerId(f7f885dcaca845f18f3b7e583ff6c457), TCPPid([1, 600, 17, 1]), PeerIP/Port(10.106.104.201:56181), LocalIP/Port(10.106.104.220:7501) TLSReq(t) established
سجل القصاصة من تحدث:
00000064.000 |08:06:58.802 |SdlSig |SdlConnectRsp |wait |Ils(1,600,20,1) |SdlSSLTCPConnection(1,600,17,1) |1,600,16,1.1^*^* |*TraceFlagOverrode 00000064.001 |08:06:58.802 |AppInfo |CertUtil Ils::isCertInLocalStore X509_STORE_get_by_subject failed. 00000064.002 |08:06:58.802 |AppInfo |IlsD Ils::VerifyCertificateInfo(): peer certificates are not in certificate store but Root CA signed certs are uploaded locally. 00000064.004 |08:06:58.802 |AppInfo |IlsD DEBUG(00000407): Client Connection to peerId(00000000000000000000000000000000) ipAddr(10.106.104.220) ipPort(7501) TLSReq(t) succeeded 00000065.010 |08:06:58.812 |AppInfo |IlsD ::ConnectIndInner starting to PeerId(77c59d0960cc4fdc959168a3d686a6de), TCPPid([1, 600, 17, 1]), PeerIP/Port(10.106.104.220:7501), LocalIP/Port(10.106.104.201:56181) TLSReq(t) established
فشل الاتصال حيث أن شهادة Tomcat الخاصة ب Talk موقعة ذاتيا
تشير السجلات من لوحة الوصل إلى فشل التحقق من صحة الشهادة لشهادة التوقيع الذاتي ل Speaker.
سجل قصاصة من صرة:
00000103.000 |09:44:16.896 |AppInfo |[1, 600, 17, 1]: HandleSSLError - Certificate verification failed:(Verification error:18)- self signed certificate for 10.106.104.201:52124 00000104.000 |09:44:16.896 |AppInfo |[1, 600, 17, 1]: HandleSSLError - Certificate verification failed for 10.106.104.201:52124 00000106.000 |09:44:16.896 |AppInfo |[1, 600, 17, 1]: HandleSSLError - TLS protocol error(ssl reason code=internal error [68]),lib=SSL routines [20],fun=SSL_clear [164], errno=0 for 10.106.104.201:52124
فشل الاتصال لأن شهادة TOMCAT من الصرة موقعة ذاتيا
تشير السجلات من "تم التحدث" إلى وجود خطأ في التحقق من الشهادة لشهادة موقعة ذاتيا من الموزع.
سجل القصاصة من تحدث:
00000064.000 |12:44:19.641 |AppInfo |[1, 600, 17, 1]: HandleSSLError - Certificate verification failed:(Verification error:18)- self signed certificate for 10.106.104.220:7501 00000065.000 |12:44:19.641 |AppInfo |[1, 600, 17, 1]: HandleSSLError - Certificate verification failed for 10.106.104.220:7501 00000067.000 |12:44:19.641 |AppInfo |[1, 600, 17, 1]: HandleSSLError - TLS protocol error(ssl reason code=bad message type [114]),lib=SSL routines [20],fun=ssl3_get_server_hello [146], errno=0 for 10.106.104.220:7501
تحليل السجل لتسجيل ILS للأسلوب 4
تم إجراء التسجيل بنجاح إلى الموزع عند التحويل إلى مصادقة TLS من الاتصال المنشأ باستخدام مصادقة كلمة المرور.
FQDN الخاص بنظام المجموعة البعيدة المقدم في PeerInfoVector حيث تم إنشاء الاتصال بالفعل باستخدام أسلوب مصادقة كلمة المرور. عند التحويل إلى TLS من أسلوب مصادقة كلمة المرور، يطبع خطأ "X509_STORE_GET_BY_SUBJECT failed في السجلات نظرا لأنه لا يتم إستيراد شهادة TOMCAT عبر الإنترنت. ولكن، لا يزال الاتصال مقبولا باستخدام TLS نظرا لأن "FQDN في PeerInfoVector".
سجل قصاصة من صرة:
00000169.001 |19:41:50.255 |AppInfo |CertUtil Ils::isCertInLocalStore X509_STORE_get_by_subject failed. 00000169.002 |19:41:50.255 |AppInfo |IlsD Ils::VerifyCertificateInfo(): FQDN is in PeerInfoVector 00000169.003 |19:41:50.255 |AppInfo |IlsD IlsHandler: Ils::wait_SdlConnectionInd(): New connection accepted. DeviceName=, TCPPid = [1.600.17.1], IPAddr=10.106.104.201, Port=51887, Controller=[1,20,1]
سجل القصاصة من تحدث:
00000072.001 |19:41:50.257 |AppInfo |CertUtil Ils::isCertInLocalStore X509_STORE_get_by_subject failed. 00000072.002 |19:41:50.257 |AppInfo |IlsD Ils::VerifyCertificateInfo(): FQDN is in PeerInfoVector
فشل الاتصال لأن الموزع لديه شهادة موقعة ذاتيا عند التحويل إلى مصادقة TLS من الاتصال المنشأ باستخدام مصادقة كلمة المرور.
تشير السجلات من "تم التحدث" إلى فشل التحقق من صحة الشهادة لشهادة التوقيع الذاتي للمحور.
سجل القصاصة من تحدث:
00000151.000 |12:29:18.600 |AppInfo |[1, 600, 17, 2]: HandleSSLError - Certificate verification failed:(Verification error:18)- self signed certificate for 10.106.104.220:7501 00000152.000 |12:29:18.600 |AppInfo |[1, 600, 17, 2]: HandleSSLError - Certificate verification failed for 10.106.104.220:7501
فشل الاتصال كما يحتوي "تم التحدث" على شهادة موقعة ذاتيا عند التحويل إلى مصادقة TLS من الاتصال المنشأ باستخدام مصادقة كلمة المرور.
تشير السجلات من لوحة الوصل إلى فشل التحقق من صحة الشهادة لشهادة التوقيع الذاتي ل Speaker
سجل قصاصة من صرة:
00000089.000 |09:32:27.365 |AppInfo |[1, 600, 17, 1]: HandleSSLError - Certificate verification failed:(Verification error:18)- self signed certificate for 10.106.104.201:41295 00000090.000 |09:32:27.365 |AppInfo |[1, 600, 17, 1]: HandleSSLError - Certificate verification failed for 10.106.104.201:41295
التعليقات