Einleitung

In diesem Dokument wird beschrieben, wie Sie Verbindungsprobleme bei der Kontrolle beheben, wenn Controller- und WAN-Edge-Geräte die Verbindung zu vManage verlieren.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Cisco Software-Defined Wide Area Network (SD-WAN)
• Zertifikate

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• vManage Version 20.6.3
• vBond-Version 20.6.3
• vSmart Version 20.6.3
• vEdge-Cloud 20.6.3

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle verstehen.

Problem

Alle WAN-Edge-Router, vBond und vSmart können keine Kontrollverbindungen mit vManage herstellen. Alle Geräte werden im vManage-Dashboard als nicht erreichbar angezeigt, wie im Bild gezeigt.

Lösung

Szenario: vBond lehnt vManage ab, um aufgrund von CRTREJSER und SERNTPRES Kontrollverbindungen zu bilden.

1. Verwenden Sie in der vBond-CLI den aufgeführten Befehl, um Probleme mit Steuerungsverbindungen zu beheben.

 vbond# show orchestrator connections-history

PEER PEER PEER
PEER PEER PEER CONFIGURED SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT
INSTANCE TYPE PROTOCOL SYSTEM IP SYSTEM IP ID ID PRIVATE IP PORT PUBLIC  
   IP PORT REMOTE COLOR STATE ERROR ERROR COUNT ORGANIZATION DOWNTIME
---------------------------------------------------------------------------------------------------------------------------------------------
0 vbond dtls 0.0.0.0 - 0 0 X.X.X.X 12346 X.X.X.X 12346 default tear_down 
   CRTREJSER NOERR 850 X.X.X.X 2022-08-17T10:26:30+0500
0 unknown dtls - 0 0 :: 0 X.X.X.X  12646 default       tear_down         
   SERNTPRES/NOERR 759 X.X.X.X 2022-08-27T11:51:26+0800

Diese Fehler CRTREJSER - Challenge response rejected by peer und SERNTPRES - Seriennummer nicht vorhanden erscheinen, wenn die Seriennummer nicht im controllers eine gültige Geräteliste.

2. Sie können die gültigen Controller mit den folgenden Befehlen überprüfen:

vManage und vSmart

show control {valid-vsmarts | valid-vedges | valid-vmanage-id}

vBond

show orchestrator {valid-vsmarts | valid-vedges | valid-vmanage-id} 

3. Um die Gehäusenummer und die Seriennummer des Zertifikats auf den Geräten zu überprüfen, überprüfen Sie mit diesem Befehl:

show control local-properties | include "chassis-num|serial-num"

4. Um das Problem zu beheben, navigieren Sie zu Configuration > Certificates > WAN Edge List, und wählen Sie Send to Controllers (An Controller senden), um zu prüfen, ob das Problem damit gelöst ist. Überprüfen Sie dies mit den im vorherigen Schritt aufgeführten Befehlen.

Hinweis: Wenn Schritt 4 das Problem nicht löst, ist es möglich, eine Controller-Seriennummer manuell hinzuzufügen. Beachten Sie, dass vManage die Quelle der Wahrheit in dieser Liste ist. Wenn wir also manuell einen Controller hinzufügen, der von vManage nicht vorhanden ist, kann das Gerät, sobald die Kontrollverbindungen verfügbar sind, wieder aus der Liste "valid-vsmart" entfernt werden.

5. Verwenden Sie den aufgelisteten Befehl, um die Seriennummer auf den Controllern hinzuzufügen, falls nach der Synchronisierung mit An Controller senden die Seriennummer auf den Controllern nicht angezeigt wird.

request controller add org-name <org-name> serial-num <serial number>

Andere mögliche Szenarien

Informationen zu Szenarien, in denen das Zertifikat widerrufen, ungültig gemacht oder abgelaufen ist, finden Sie unter Problembehandlung bei SD-WAN-Steuerverbindungen.

Zugehörige Informationen

• Zertifikatsverwaltung - Cisco Systems
• Fehlerbehebung bei SD-WAN-Steuerungsverbindungen - Cisco Systems
• Technischer Support und Dokumentation für Cisco Systeme