In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument beschreibt das Verfahren zur Bereitstellung und Konfiguration eines Cisco Cloud Services Router 1000v (CSR1000v) und Catalyst 8000v (C800v) Edge Router auf der Google Cloud-Plattform (GCP).
Unterstützt von Eric Garcia, Ricardo Neri, Cisco TAC Engineers.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
GCP-Konsole
GCP-Marktplatz
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Ab dem 17.4.1 wird der CSR1000v zum C8000v mit derselben Funktionalität, aber neuen Funktionen wie SDWAN und DNA-Lizenzierung hinzugefügt. Weitere Informationen finden Sie im offiziellen Produktdatenblatt:
Cisco Cloud Services Router 1000v - Datenblatt
Datenblatt zur Cisco Catalyst 8000V Edge-Software
Daher ist dieses Handbuch für die Installation von CSR1000v- und C8000v-Routern geeignet.
Anmerkung: Derzeit ist dieses Dokument geschrieben, neue Benutzer haben 300 USD an kostenlosen Credits, um GCP als Freier Tier für ein Jahr vollständig zu erkunden. Dies wird von Google definiert und unterliegt nicht der Kontrolle von Cisco.
Hinweis: In diesem Dokument müssen öffentliche und private SSH-Schlüssel erstellt werden. Weitere Informationen finden Sie unter Generate an Instance SSH Key to Deploy a CSR1000v in Google Cloud Platform
Stellen Sie sicher, dass Ihr Konto über ein gültiges und aktives Projekt verfügt. Diese müssen einer Gruppe mit Berechtigungen für Compute Engine zugeordnet sein.
Für diese Beispielbereitstellung wird ein im GCP erstelltes Projekt verwendet.
Anmerkung: Informationen zum Erstellen eines neuen Projekts finden Sie unter Erstellen und Verwalten von Projekten.
Erstellen Sie eine neue Virtual Private Cloud (VPC) und ein Subnetz, das der CSR1000v-Instanz zugeordnet werden muss.
Es ist möglich, den Standard-VPC oder ein zuvor erstelltes VPC und Subnetz zu verwenden.
Wählen Sie im Konsolen-Dashboard VPC-Netzwerk > VPC-Netzwerke aus, wie im Bild gezeigt.
Wählen Sie VPC-Netzwerk erstellen, wie im Bild gezeigt.
Anmerkung: Derzeit wird CSR1000v nur in der us-zentralen Region auf GCP bereitgestellt.
Konfigurieren Sie den VPC-Namen wie im Bild gezeigt.
Konfigurieren Sie den dem VPC zugeordneten Subnetznamen, und wählen Sie Region us-central1 aus.
Weisen Sie innerhalb des us-central1 CIDR von 10.128.0.0/20 einen gültigen IP-Adressbereich zu. wie im Bild gezeigt.
Lassen Sie andere Standardeinstellungen unverändert, und wählen Sie die Schaltfläche Erstellen aus:
Anmerkung: Wenn "Automatic" (Automatisch) ausgewählt ist, weist GCP einen automatisch gültigen Bereich innerhalb des CIDR der Region zu.
Nach Abschluss des Erstellungsprozesses wird das neue VPC im Abschnitt VPC-Netzwerke angezeigt, wie im Bild gezeigt.
Wählen Sie im Abschnitt Compute Engine die Option Compute Engine > VM-Instanzen aus, wie im Image gezeigt.
Wählen Sie im VM-Dashboard die Registerkarte Create Instance (Instanz erstellen) aus, wie im Bild gezeigt.
Verwenden Sie GCP Marketplace wie im Bild gezeigt, um Cisco Produkte anzuzeigen.
Geben Sie in der Suchleiste Cisco CSR oder Catalyst C8000v ein, wählen Sie das Modell und die Version aus, die Ihre Anforderungen erfüllt, und wählen Sie Starten aus.
Für diese Beispielbereitstellung wurde die erste Option wie im Bild gezeigt ausgewählt.
Hinweis: BYOL steht für "Bring Your Own License".
Hinweis: Derzeit unterstützt GCP kein Pay As You Go (PAYG)-Modell.
GCP muss die Konfigurationswerte eingeben, die dem virtuellen System zugeordnet werden müssen, wie im Bild gezeigt:
Ein Benutzername und ein öffentlicher SSH-Schlüssel sind erforderlich, um ein CSR1000v/C8000v in GCP bereitzustellen, wie im Bild gezeigt. Weitere Informationen finden Sie unter Generate a Instance SSH Key to Deploy a CSR1000v in Google Cloud Platform, wenn die SSH-Schlüssel nicht erstellt wurden.
Wählen Sie VPC und Subnetz aus, die vor dem Angriff erstellt wurden, und wählen Sie Ephemal in externer IP aus, um eine öffentliche IP, wie im Bild gezeigt, mit der Instanz zu verknüpfen.
Nach der Konfiguration Wählen Sie die Schaltfläche Starten aus.
Anmerkung: Port 22 ist erforderlich, um über SSH eine Verbindung zur CSR-Instanz herzustellen. Der HTTP-Port ist optional.
Wählen Sie nach Abschluss der Bereitstellung Compute Engine > VM-Instanzen aus, um zu überprüfen, ob der neue CSR1000v erfolgreich bereitgestellt wurde, wie im Image gezeigt.
Die gebräuchlichsten Methoden zur Anmeldung bei einem CSR1000v/C8000V in GCP sind die Befehlszeile in einem Bash-Terminal, Putty und SecureCRT. In diesem Abschnitt wird die Konfiguration beschrieben, die für die Verbindung mit den vorherigen Methoden erforderlich ist.
Die Syntax für die Remote-Verbindung mit dem neuen CSR lautet wie folgt:
ssh -i private-key-path username@publicIPaddress
Beispiel:
$ ssh -i CSR-sshkey <snip>@X.X.X.X
The authenticity of host 'X.X.X.X (X.X.X.X)' can't be established.
RSA key fingerprint is SHA256:c3JsVDEt68CeUFGhp9lrYz7tU07htbsPhAwanh3feC4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'X.X.X.X' (RSA) to the list of known hosts.
Wenn die Verbindung erfolgreich hergestellt wurde, wird die Eingabeaufforderung CSR1000v angezeigt
$ ssh -i CSR-sshkey <snip>@X.X.X.X
csr-cisco# show version
Cisco IOS XE Software, Version 16.09.01
Cisco IOS Software [Fuji], Virtual XE Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.9.1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2018 by Cisco Systems, Inc.
Compiled Tue 17-Jul-18 16:57 by mcpre
Um eine Verbindung mit Putty herzustellen, verwenden Sie die Anwendung PuTTYgen, um den privaten Schlüssel vom PEM in das PPK-Format zu konvertieren.
Weitere Informationen finden Sie unter Pem in Ppk-Datei mithilfe von PuTTYgen umwandeln.
Nachdem der private Schlüssel im richtigen Format generiert wurde, müssen Sie den Pfad in Putty angeben.
Wählen Sie im Menü SSH-Verbindung die private Schlüsseldatei für die Authentifizierung aus.
Navigieren Sie zu dem Ordner, in dem der Schlüssel gespeichert ist, und wählen Sie den erstellten Schlüssel aus. In diesem Beispiel zeigen die Bilder die grafische Ansicht des Putty-Menüs und den gewünschten Zustand:
Wenn Sie den richtigen Schlüssel ausgewählt haben, kehren Sie zum Hauptmenü zurück, und verwenden Sie die externe IP-Adresse der CSR1000v-Instanz, um eine Verbindung über SSH herzustellen, wie im Bild gezeigt.
Anmerkung: Der in den generierten SSH-Schlüsseln definierte Benutzername/Kennwort wird zur Anmeldung angefordert.
log in as: cisco
Authenticating with public key "imported-openssh-key"
Passphrase for key "imported-openssh-key":
csr-cisco#
SecureCRT benötigt den privaten Schlüssel im PEM-Format, das das Standardformat für die privaten Schlüssel ist.
Geben Sie in SecureCRT den Pfad zum privaten Schlüssel im Menü an:
Datei > Schnellverbindung > Authentifizierung > Kennwort deaktivieren > Öffentlicher Schlüssel > Eigenschaften.
Das Bild zeigt das erwartete Fenster:
Wählen Sie Session Public Key String > Wählen Sie Identitäts- oder Zertifikatsdatei verwenden > Wählen Sie ... > Navigieren Sie zum Verzeichnis, und wählen Sie die gewünschte Taste > OK wählen, wie im Bild gezeigt.
Stellen Sie schließlich die Verbindung mit der externen IP-Adresse der Instanz über SSH her, wie im Bild gezeigt.
Anmerkung: Der in den generierten SSH-Schlüsseln definierte Benutzername/Kennwort wird zur Anmeldung angefordert.
csr-cisco# show logging
Syslog logging: enabled (0 messages dropped, 3 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filtering disabled)
No Active Message Discriminator.
<snip>
*Jan 7 23:16:13.315: %SEC_log in-5-log in_SUCCESS: log in Success [user: cisco] [Source: X.X.X.X] [localport: 22] at 23:16:13 UTC Thu Jan 7 2021
csr-cisco#
Anmerkung: Weitere Informationen finden Sie in der Dokumentation zu "Connect to Linux VMs using Advanced Method".
Nach erfolgreicher Anmeldung bei der CSR1000v-Instanz können weitere Benutzer mit den folgenden Methoden konfiguriert werden:
Verwenden Sie die folgenden Befehle, um einen neuen Benutzer und ein neues Kennwort zu konfigurieren:
enable
configure terminal
username <username> privilege <privilege level> secret <password>
end
Beispiel:
csr-cisco# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
csr-cisco(config)#
csr-cisco(config)# username cisco privilege 15 secret cisco
csr-cisco(config)# end
csr-cisco#
Ein neuer Benutzer kann sich jetzt bei der CSR1000v/C8000v-Instanz anmelden.
Um Zugriff auf die CSR1000v-Instanz zu erhalten, konfigurieren Sie den öffentlichen Schlüssel. SSH-Schlüssel in den Instanzmetadaten bieten keinen Zugriff auf CSR1000v.
Verwenden Sie die folgenden Befehle, um einen neuen Benutzer mit einem SSH-Schlüssel zu konfigurieren:
configure terminal
ip ssh pubkey-chain
username <username>
key-string
<public ssh key>
exit
end
Anmerkung: Die maximale Leitungslänge in der Cisco CLI beträgt 254 Zeichen. Die Schlüsselzeichenfolge passt also möglicherweise nicht zu dieser Einschränkung. Es empfiehlt sich, die Schlüsselzeichenfolge in eine Terminalleitung einzubinden. Details zum Überwinden dieser Einschränkung finden Sie unter Generate an Instance SSH Key to Deploy a CSR1000v in Google Cloud Platform
$ fold -b -w 72 /mnt/c/Users/ricneri/.ssh/key2.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDldzZ/iJi3VeHs4qDoxOP67jebaGwC6vkC
n29bwSQ4CPJGVRLcVSNPcPPqVydiXVEOG8e9gFszkpk6c2meO+TRsSLiwHigv28lyw5xhn1U
ck/AYpy9E6TyEEu9w6Fz0xTG2Qhe1n9b5Les6K9PFP/mR6WUMbfmaFredV/sADnODPO+OfTK
/OZPg34DNfcFhglja5GzudRb3S4nBBhDzuVrVC9RbA4PHVMXrLbIfqlks3PCVGOtW1HxxTU4
FCkmEAg4NEqMVLSm26nLvrNK6z7lRMcIKZZcST+SL6lQv33gkUKIoGB9qx/+DlRvurVXfCdq
3Cmxm2swHmb6MlrEtqIv cisco
$
csr-cisco# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
csr-cisco(config)#
csr-cisco(config)# ip ssh pubkey-chain
csr-cisco(conf-ssh-pubkey)# username cisco
csr-cisco(conf-ssh-pubkey-user)# key-string
csr-cisco(conf-ssh-pubkey-data)#ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDldzZ/iJi3VeHs4qDoxOP67jebaGwC
csr-cisco(conf-ssh-pubkey-data)#6vkCn29bwSQ4CPJGVRLcVSNPcPPqVydiXVEOG8e9gFszkpk6c2meO+TRsSLiwHigv28l
csr-cisco(conf-ssh-pubkey-data)#yw5xhn1Uck/AYpy9E6TyEEu9w6Fz0xTG2Qhe1n9b5Les6K9PFP/mR6WUMbfmaFredV/s
csr-cisco(conf-ssh-pubkey-data)#ADnODPO+OfTK/OZPg34DNfcFhglja5GzudRb3S4nBBhDzuVrVC9RbA4PHVMXrLbIfqlk
csr-cisco(conf-ssh-pubkey-data)#s3PCVGOtW1HxxTU4FCkmEAg4NEqMVLSm26nLvrNK6z7lRMcIKZZcST+SL6lQv33gkUKI
csr-cisco(conf-ssh-pubkey-data)#oGB9qx/+DlRvurVXfCdq3Cmxm2swHmb6MlrEtqIv cisco
csr-cisco(conf-ssh-pubkey-data)# exit
csr-cisco(conf-ssh-pubkey-user)# end
csr-cisco#
Um zu bestätigen, dass die Konfiguration korrekt konfiguriert wurde, melden Sie sich mit den erstellten Anmeldeinformationen oder mit dem privaten Schlüsselpaar für den öffentlichen Schlüssel mit den zusätzlichen Anmeldeinformationen an.
Von der Routerseite aus sehen Sie das Erfolgsprotokoll mit der Terminal-IP-Adresse.
csr-cisco# show clock
*00:21:56.975 UTC Fri Jan 8 2021
csr-cisco#
csr-cisco# show logging
Syslog logging: enabled (0 messages dropped, 3 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filtering disabled)
<snip>
*Jan 8 00:22:24.907: %SEC_log in-5-log in_SUCCESS: log in Success [user: <snip>] [Source: <snip>] [localport: 22] at 00:22:24 UTC Fri Jan 8 2021
csr-cisco#
$ ssh -i CSR-sshkey <snip>@X.X.X.X
ssh: connect to host <snip> port 22: Operation timed out
Mögliche Ursachen:
Lösung:
Warten Sie, bis die VM-Bereitstellung abgeschlossen ist. In der Regel dauert die CSR1000v-Bereitstellung bis zu 5 Minuten.
Falls ein Kennwort erforderlich ist:
$ ssh -i CSR-sshkey <snip>@X.X.X.X
Password:
Password:
Mögliche Ursache:
Lösung:
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
29-Dec-2021 |
Erstveröffentlichung |