SDWAN Cisco IOS XE TLS Syslog-Konfiguration auf einem Syslog-Server

Download-Optionen

  • PDF     (528.3 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (348.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (211.4 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:19. Dezember 2024
Dokument-ID:222665

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    Dieses Dokument beschreibt eine umfassende Anleitung für die Konfiguration eines TLS-Syslog-Servers auf Cisco IOS® XE SD-WAN-Geräten.

    Voraussetzungen

    Bevor Sie mit der Konfiguration eines TLS-Syslog-Servers auf Cisco IOS XE SD-WAN-Geräten fortfahren, stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen:

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • SD-WAN-Controller: Stellen Sie sicher, dass Ihr Netzwerk über ordnungsgemäß konfigurierte SD-WAN-Controller verfügt.

    • Cisco IOS XE SD-WAN-Router - Ein kompatibler Router, auf dem das Cisco IOS XE SD-WAN-Image ausgeführt wird.

    • Syslog Server - Ein Ubuntu-basierter Syslog-Server, z. B. syslog-ng, um Protokolldaten zu erfassen und zu verwalten.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • vManage: Version 20.9.4

    • Cisco IOS XE SD-WAN: Version 17.9.4

    • Ubuntu Version 22.04

    • syslog-ng: Version 3.27

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfiguration

    1. Installation von syslog-ng auf Ubuntu-Maschine

    Um syslog-ng auf Ihrem Ubuntu-Server einzurichten, gehen Sie wie folgt vor, um die korrekte Installation und Konfiguration sicherzustellen.

    Schritt 1: Netzwerkeinstellungen konfigurieren

    Konfigurieren Sie nach der Installation von Ubuntu Server eine statische IP-Adresse und einen DNS-Server, um sicherzustellen, dass der Computer auf das Internet zugreifen kann. Dies ist entscheidend für das Herunterladen von Paketen und Updates.

    Schritt 2: Installieren von syslog-ng

    Öffnen Sie ein Terminal auf Ihrem Ubuntu-Computer, und führen Sie Folgendes aus:

    sudo apt-get install syslog-ng sudo apt-get install syslog-ng openssl

    2. Installation der Stammzertifizierungsstelle auf dem Syslog-Server für die Serverauthentifizierung

    Verzeichnisse erstellen und Schlüssel generieren

    cd /etc/syslog-ng mkdir cert.d key.d ca.d cd cert.d openssl genrsa -out ca.key 2048 openssl req -new -x509 -key ca.key -out PROXY-SIGNING-CA.ca -days 730 # Copy key to the key.d folder cp ca.key ../key.d

    Fingerabdruck berechnen

    Führen Sie den Befehl aus, und kopieren Sie die Ausgabe:

    openssl x509 -in PROXY-SIGNING-CA.ca -fingerprint -noout | awk -F "=" "{print $2}" | sed 's/://g' | T-Fingerprint.txt
    # Beispielausgabe: 54F371C8EE2BFB06E2C2D0944245C288FBB07163

    3. Konfigurieren der Konfigurationsdatei für den Syslog-ng-Server

    Bearbeiten Sie die Konfigurationsdatei syslog-ng:

    sudo nano /etc/syslog-ng/syslog-ng.conf

    Fügen Sie die Konfiguration hinzu:

    source s_src { network( ip(0.0.0.0) port(6514) transport("tls") tls( key-file("/etc/syslog-ng/key.d/ca.key") cert-file("/etc/syslog-ng/cert.d/PROXY-SIGNING-CA.ca") peer-verify(optional-untrusted) ) ); }; destination remote { file("/var/log/syslog"); }; log { source(s_src); destination(remote); };

    4. Installation der Root Certificate Authority auf dem Cisco IOS XE SD-WAN-Gerät für die Serverauthentifizierung

    Konfiguration über CLI

    1. Wechseln Sie in den Konfigurationsmodus:

    config-t

    1. Konfigurieren Sie den Vertrauenspunkt:

    crypto pki trustpoint PROXY-SIGNING-CA enrollment url bootflash: revocation-check none rsakeypair PROXY-SIGNING-CA 2048 subject-name cn=proxy-signing-cert fqdn none fingerprint 54F371C8EE2BFB06E2C2D0944245C288FBB07163 >> The fingerprint configured was obtained from the fingerprint.txt file above commit

    1. Kopieren Sie PROXY-SIGNING-CA.ca Datei vom Syslog-Server auf den Router unter demselben Namen.

    2. Authentifizierung des Vertrauenspunkts:

    crypto pki authenticate PROXY-SIGNING-CA

    example:
    Router#crypto pki authenticate PROXY-SIGNING-CA
    Reading file from bootflash:PROXY-SIGNING-CA.ca
    Certificate has the attributes:
    Fingerprint MD5: 7A97B30B 2AE458FF D9E7D91F 66488DCF
    Fingerprint SHA1: 21E0F09B B67B2E9D 706DBE69 856E5AA3 D39A268A
    Trustpoint Fingerprint: 21E0F09B B67B2E9D 706DBE69 856E5AA3 D39A268A
    Certificate validated - fingerprints matched.
    Trustpoint CA certificate accepted.

    1. Registrieren Sie den Trustpoint:

    crypto pki enroll PROXY-SIGNING-CA

    example:
    vm32#crypto pki enroll PROXY-SIGNING-CA
    Start certificate enrollment ..
    The subject name in the certificate will include: cn=proxy-signing-cert
    The fully-qualified domain name will not be included in the certificate
    Certificate request sent to file system
    The 'show crypto pki certificate verbose PROXY-SIGNING-CA' commandwill show the fingerprint.

    1. Kopieren Sie PROXYSIGNIERUNG - CA.req Datei vom Router an den Syslog-Server.

    Signieren des Zertifikats auf dem Syslog-Server

    openssl x509 -in PROXY-SIGNING-CA.req -req -CA PROXY-SIGNING-CA.ca -CAkey ca.key -out PROXY-SIGNING-CA.crt -CAcreateserial -extensions ca_extensions

    1. Kopieren Sie die generierte Datei (PROXY-SIGNING-CA.crt) auf den Router bootflash. Kopie scp: Bootflash:

    2. Zertifikat importieren:

    crypto pki import PROXY-SIGNING-CA certificate
    example:
    Router# crypto pki import PROXY-SIGNING-CA certificate
    % The fully-qualified domain name will not be included in the certificate
    % Request to retrieve Certificate queued

    Validierung der Konfiguration

    show crypto pki trustpoint PROXY-SIGNING-CA status

    example:
    Router#show crypto pki trustpoint PROXY-SIGNING-CA status
    Trustpoint PROXY-SIGNING-CA:
    Issuing CA certificate configured:
    Subject Name:
    o=Internet Widgits Pty Ltd,st=Some-State,c=AU
    Fingerprint MD5: 7A97B30B 2AE458FF D9E7D91F 66488DCF
    Fingerprint SHA1: 21E0F09B B67B2E9D 706DBE69 856E5AA3 D39A268A
    Router General Purpose certificate configured:
    Subject Name:
    cn=proxy-signing-cert
    Fingerprint MD5: 140A1EAB FE945D56 D1A53855 FF361F3F
    Fingerprint SHA1: ECA67413 9C102869 69F582A4 73E2B98C 80EFD6D5
    Last enrollment status: Granted
    State:
    Keys generated ............. Yes (General Purpose, non-exportable)
    Issuing CA authenticated ....... Yes
    Certificate request(s) ..... Yes

    5. Konfigurieren des TLS-Syslog-Servers auf dem Cisco IOS XE SD-WAN-Router

    Konfigurieren Sie den Syslog-Server mithilfe der folgenden Befehle:

    logging trap syslog-format rfc5424 logging source-interface GigabitEthernet0/0/0 logging tls-profile tls-profile logging host X.X.X.X transport tls profile tls-profile tls-version TLSv1.2

    6. Überprüfungen

    Protokolle auf dem Router überprüfen

    show logging

    Showing last 10 lines
    Log Buffer (512000 bytes):
    Apr 9 05:59:48.025: %DMI-5-CONFIG_I: R0/0: dmiauthd: Configured from NETCONF/RESTCONF by admin, transaction-id 189410
    Apr 9 05:59:48.709: %DMI-5-AUTH_PASSED: R0/0: dmiauthd: User 'vmanage-admin' authenticated successfully from 1.1.1.1:58393 for netconf over ssh. External groups:
    Apr 9 05:59:50.015: %LINK-5-CHANGED: Interface GigabitEthernet0/0/1, changed state to administratively down
    Apr 9 05:59:51.016: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/1, changed state to down
    Apr 9 05:59:52.242: %SYS-5-CONFIG_P: Configured programmatically by process iosp_dmiauthd_conn_100001_vty_100001 from console as admin on vty4294966494

    Protokolle auf dem Syslog-Server überprüfen

    tail -f /var/log/syslog

    root@server1:/etc/syslog-ng# tail -f /var/log/syslog
    Apr 9 15:51:14 10.66.91.94 188 <189>1 2024-04-09T05:51:51.037Z - - - - - BOM%DMI-5-AUTH_PASSED: R0/0: dmiauthd: User 'vmanage-admin' authenticated successfully from 1.1.1.1:38032 for netconf over ssh. External groups:
    Apr 9 15:59:10 10.66.91.94 177 <189>1 2024-04-09T05:59:47.463Z - - - - - BOM%SYS-5-CONFIG_P: Configured programmatically by process iosp_dmiauthd_conn_100001_vty_100001 from console as admin on vty4294966494
    Apr 9 15:59:10 10.66.91.94 177 <189>1 2024-04-09T05:59:47.463Z - - - - - BOM%SYS-5-CONFIG_P: Configured programmatically by process iosp_dmiauthd_conn_100001_vty_100001 from console as admin on vty4294966494
    Apr 9 15:59:10 10.66.91.94 143 <189>1 2024-04-09T05:59:47.463Z - - - - - BOM%DMI-5-CONFIG_I: R0/0: dmiauthd: Configured from NETCONF/RESTCONF by admin, transaction-id 189410
    Apr 9 15:59:11 10.66.91.94 188 <189>1 2024-04-09T05:59:48.711Z - - - - - BOM%DMI-5-AUTH_PASSED: R0/0: dmiauthd: User 'vmanage-admin' authenticated successfully from 1.1.1.1:58393 for netconf over ssh. External groups:
    Apr 9 15:59:13 10.66.91.94 133 <189>1 2024-04-09T05:59:50.016Z - - - - - BOM%LINK-5-CHANGED: Interface GigabitEthernet0/0/1, changed state to administratively down
    Apr 9 15:59:13 10.66.91.94 137 <189>1 2024-04-09T05:59:50.016Z - - - - - BOM%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/1, changed state to down
    Apr 9 15:59:15 10.66.91.94 177 <189>1 2024-04-09T05:59:52.242Z - - - - - BOM%SYS-5-CONFIG_P: Configured programmatically by process iosp_dmiauthd_conn_100001_vty_100001 from console as admin on vty4294966494
    Apr 9 15:59:15 10.66.91.94 177 <189>1 2024-04-09T05:59:52.242Z - - - - - BOM%SYS-5-CONFIG_P: Configured programmatically by process iosp_dmiauthd_conn_100001_vty_100001 from console as admin on vty4294966494
    Apr 9 15:59:18 10.66.91.94 188 <189>1 2024-04-09T05:59:55.286Z - - - - - BOM%DMI-5-AUTH_PASSED: R0/0: dmiauthd: User 'vmanage-admin' authenticated successfully from 1.1.1.1:34575 for netconf over ssh. External groups:
    Apr 9 15:59:21 10.66.91.94 113 <187>1 2024-04-09T05:59:58.882Z - - - - - BOM%LINK-3-UPDOWN: Interface GigabitEthernet0/0/1, changed state to up
    Apr 9 15:59:21 10.66.91.94 135 <189>1 2024-04-09T05:59:59.882Z - - - - - BOM%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/1, changed state to up
    Apr 9 15:59:28 10.66.91.94 177 <189>1 2024-04-09T06:00:05.536Z - - - - - BOM%SYS-5-CONFIG_P: Configured programmatically by process iosp_dmiauthd_conn_100001_vty_100001 from console as admin on vty4294966494
    Apr 9 15:59:43 10.66.91.94 188 <189>1 2024-04-09T06:00:20.537Z - - - - - BOM%DMI-5-AUTH_PASSED: R0/0: dmiauthd: User 'vmanage-admin' authenticated successfully from 1.1.1.1:43530 for netconf over ssh. External groups:

    Screenshot der Paketerfassung. Sie können sehen, wie verschlüsselte Kommunikation stattfindet:

    Packet Capture Screenshot

    ISR4331-branch-NEW_Branch#show logging

    Trap logging: level informational, 6284 message lines logged
    Logging to 10.66.91.170  (tls port 6514, audit disabled,
          link up),
          131 message lines logged, 
          0 message lines rate-limited, 
          0 message lines dropped-by-MD, 
          xml disabled, sequence number disabled
          filtering disabled
          tls-profile: tls-proile
    Logging Source-Interface:       VRF Name:
    GigabitEthernet0/0/0            
TLS Profiles: 
    Profile Name: tls-proile
          Ciphersuites: Default
          Trustpoint: Default
          TLS version: TLSv1.2

    Überprüfung

    Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

    Fehlerbehebung

    Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    18-Dec-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Md Aamir Sadique
      Technischer Leiter des Cisco TAC

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.