Configuratie van de Directeur van het Veldnetwerk om Steek te gebruiken en op IR800 af te spelen
Inhoud
Inleiding
In dit document wordt beschreven hoe u met Veldnetwerkdirecteur (FND) en plug-and-Play (PNP) kunt starten met behulp van een minimum aan onderdelen.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Ervaring met Linux en kennis om run-configuratiebestanden in een Linux-machine te bewerken
- Minstens één van de ondersteunde routers die door FND moeten worden beheerd. Bijvoorbeeld IR809 of IR829.
- Toegang tot console
- Minimale IOS® versie 15.7(3)M1
- OVA-bestand dat wordt ingezet op een hypervisser (bijvoorbeeld: VMWare ESXi). Het OVA-bestand kan, indien het recht heeft, worden gedownload van: https://software.cisco.com/download/home/286287993/type/286320249
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- OVA-bestand voor FND versie 4.5.0-12.2 (CISCO-IOTFND-V-K9-4.5.0-12.zip)
- VMWare ESX
- IR809 met IOS versie 15.8(3)M2
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Achtergrondinformatie
Aangezien FND veel verschillende implementatieopties heeft, is het doel in staat om een minimale maar werkende installatie voor FND op te zetten. Deze instelling kan dan dienen als startpunt voor verdere aanpassing en om meer functies toe te voegen. Hier wordt uitgelegd hoe u de OVA-installatie (Open Virtual Appliance) als startpunt gebruikt en hoe u de eenvoudige modus gebruikt om te voorkomen dat PKI-infrastructuur (Public Key Infrastructure) en tunnelvoorzieningen nodig zijn. Gebruik PNP om apparaten te vereenvoudigen en aan de installatie toe te voegen.
Het resultaat van deze gids is niet bedoeld om bij de productie te worden gebruikt, aangezien er wellicht een aantal veiligheidsrisico's zijn door het wachtwoord voor het plannen van de tekst en de afwezigheid van tunnels en PKI.
Configureren
De FND OVA implementeren en configureren
Stap 1. download het FND OVA-bestand en zet het op de hypervisors. Voor VMWare is dit bijvoorbeeld het geval bij File > OVF-sjabloon implementeren zoals in de afbeelding.
Stap 2. Zodra deze wordt ingezet, kunt u de VM starten en krijgt u een inlogscherm dat in de afbeelding wordt weergegeven.
De standaardwachtwoorden voor het OVA-bestand zijn:
- username: hoofdwachtwoord: Cisco 123
- username: cisco-wachtwoord: C_sco123
Stap 3. Meld u aan bij de Cisco-gebruiker en het wachtwoord en navigeer naar Toepassingen > Systeemtools > Instellingen > Netwerk. Voeg een bekabeld profiel toe en stel in het tabblad IPv4 het gewenste IP-adres of DHCP in zoals in de afbeelding.
Stap 4. Klik op Toepassen en draai de verbinding uit/aan om er zeker van te zijn dat de nieuwe instellingen worden toegepast.
Op dit punt moet u naar de FND GUI kunnen navigeren met uw browser en het IP-adres dat is ingesteld zoals in de afbeelding wordt weergegeven.
Stap 5. Meld u aan bij de GUI met behulp van de standaardgebruikersnaam en -wachtwoord: wortel/wortel123
U wordt gevraagd uw wachtwoord direct te wijzigen en vervolgens opnieuw te loggen.
Als alles goed gaat, kunt u met uw nieuwe wachtwoord inloggen en door de FND GUI bladeren.
Verder worden PNP- en demomodus beschreven gevolgd door de configuratie van FND.
Over PNP
PNP is de meest huidige Cisco-methode om Zero Touch Deployment (ZTD) te doen. Met het gebruik van PNP kan een apparaat volledig worden geconfigureerd en hoeft u de configuratie niet handmatig aan te raken.
Voor FND, met het gebruik van PNP, wordt de noodzaak om eerst de router te starten vermeden. In feite leidt al dat PNP het naar de FND, op een veilige manier, en haalt de configuratie van de lantaarn op.
Zodra de bootstrap-configuratie in het apparaat aanwezig is, wordt de rest van het proces voortgezet zoals met een klassiek bootstrap-apparaat.
Er zijn verschillende manieren om PNP te gebruiken:
- Via de Cisco PNP-service (apparaat Helper.cisco.com), met het gebruik van een slimme account. Standaard uit de fabriek op bepaalde apparaten ingeschakeld
- Met het gebruik van DHCP-optie 43 om de IP of hostname voor een IP-toepassing of een IP-aansluiting te gebruiken voor vastlegging
- Door de PNP-server in de configuratie handmatig in te stellen
Voor deze configuratie wordt IP-server van PNP handmatig ingesteld, wat de IP-server van de FND-server is en poort op het apparaat. Mocht u dit met DHCP willen doen, dan dient u de informatie als volgt te leveren:
Voor Cisco IOS® dient de DHCP-server als volgt te worden geconfigureerd:
ip dhcp pool pnp_pool network 192.168.10.0 255.255.255.248 default-router 192.168.10.1 dns-server 8.8.8.8 option 43 ascii "5A;K4;B2;I10.48.43.231;J9125" !
Voor DHCPd op Linux:
[jedepuyd@KJK-SRVIOT-10 ~]$ cat /etc/dhcp/dhcpd.conf
subnet 192.168.100.0 netmask 255.255.255.0 {
option routers 192.168.100.1;
range 192.168.100.100 192.168.100.199;
option domain-name-servers 192.168.100.1;
option domain-name "test.dom";
option vendor-encapsulated-options "5A;K4;B2;I10.48.43.231;J9125";
}
In deze configuratie voor optie 43 of leverancieringekapselde opties, moet u deze ASCII-koorden specificeren:
"5A;K4;B2;I10.50.215.252;J9125"
Het kan als volgt worden aangepast:
- 5 - DHCP-type code 5
- A - Besturingscode actieve functie
- K4 - HTTP-transportprotocol
- B2 - VPNP server/TPS/FND IP-adrestype server is IPv4
- I10.48.43.231 - FND server-IP-adres
- J9125 - poorts nummer 9125 (poort voor PNP op FND-server)
Klik hier voor meer informatie over PNP met DHCP: https://www.cisco.com/c/en/us/td/docs/routers/connectedgrid/iot_fnd/guide/4_3/iot_fnd_ug4_3/sys_mgmt.html#31568 in de sectie: DHCP-optie 43 configureren op Cisco IOS® DHCP-server
Over de EasyMode
De makkelijke modus is sinds FND 4.1 geïntroduceerd, maar toen werd deze demo-modus genoemd en nu kunt u FND op een minder beveiligde manier gebruiken. Hoewel dit niet wordt aanbevolen voor de productie, is het een goede manier om hiermee te beginnen.
Met het gebruik van de makkelijke modus kunt u zich richten op het PNP-proces, het stapelen en configureren van de router. Mocht iets niet werken, dan hoef je de tunnelopbouw niet te verdenken of de certificaten.
Veranderingen die voorkomen wanneer u FND vormt om in eenvoudige modus te werken:
- Geen behoefte aan een Head-end router (HER) of een tunnel naar de FND-server.
- Geen behoefte aan een PKI-instelling (Public Key Infrastructuur) en een Eenvoudig certificeringsprotocol (SCEP).
- Geen behoefte aan routercertificaten, trustpoint en SSL-certificaten.
- Alle communicatie vindt plaats via HTTP in plaats van HTTPS.
Zie hier voor meer informatie over de eenvoudige modus:
FND instellen voor PNP en Easy Mode
U weet nu welke demo-modus/PNP is en waarom het in deze context gebruikt wordt. Laten we de FND-configuratie wijzigen zodat deze beschikbaar is:
Op de FND VM, die afkomstig is van het OVA-bestand, sluit u de SSH's aan en bewerkt u de cgms.eigenschappen als volgt:
[root@iot-fnd ~]# cat /opt/fnd/data/cgms.properties cgms-keystore-password-hidden=dD5KmzJHa64Oyvpqdu8SCg== use-router-ip-from-db=true rabbit-broker-ip= rabbit-broker-port= rabbit-broker-username= rabbit-broker-password= fogd-ip=192.68.5.3 enable-reverse-dns-lookup=false enableApiAuth=false fnd-router-mgmt-mode=1 enable-bootstrap-service=true proxy-bootstrap-ip=10.48.43.231
De laatste drie lijnen veranderden in het configuratiebestand.
- Lijn 10: eenvoudige modus
- Lijn 11: maakt PNP mogelijk
- Lijn 12: Hiermee wordt de IP van de FND-server ingesteld op contact
Nadat u het bestand hebt gewijzigd, start u de FND-container opnieuw om de aangebrachte wijzigingen aan te passen:
[root@iot-fnd ~]# /opt/fnd/scripts/fnd-container.sh restart Stopping FND container... fnd-container [root@iot-fnd ~]# Starting FND container... fnd-container
Na het opstarten kan de rest van de configuratie worden uitgevoerd met behulp van de GUI.
Voorbereiden van CSV en toevoegen van de router aan FND
Het kan een beetje onlogisch klinken om het apparaat toe te voegen op dit punt van het configuratieproces maar helaas, zijn de delen van de configuratie niet beschikbaar tot bepaalde apparatstypes zijn toegevoegd.
Dit gebeurt om te voorkomen dat de GUI te overweldigend is omdat verschillende apparaten verschillende opties introduceren.
Laten we proberen een IR809 aan FND toe te voegen.
CSV ziet er als volgt uit:
deviceType,eid,adminUsername,adminPassword,ip ir800,IR809G-LTE-GA-K9+JMX2022X04S,fndadmin,C1sc0123!,10.48.43.250
De velden in het CSV zijn:
- Type voorziening: ir800
- Dien: PID en serienummer samen met +
- admin Gebruikersnaam: deze gebruikersnaam zal aan de router worden toegevoegd en zal later worden gebruikt om het registratieproces te voltooien
- Wachtwoord voor beheerder: Wachtwoord voor beheernaam
- ip : het IP-adres dat moet worden vervangen in de configuratie van het apparaat na plaatsing
Om dit apparaat toe te voegen, sluit u zich aan op de GUI en navigeer naar Apparaten > Veldapparaten > Uitbeelding > Apparaten toevoegen zoals in de afbeelding weergegeven.
Specificeer in het dialoogvenster de locatie van uw CSV-bestand en klik op Toevoegen om dit aan FND toe te voegen, zoals in de afbeelding.
Als alles goed gaat, ziet u het geschiedenisitem om op "COMPLETED" een lijst te maken. Nadat u het dialoogvenster hebt gesloten, moet het apparaat in de inventaris verschijnen zoals in de afbeelding.
Aangezien het apparaattype ir800 is toegevoegd, worden de toepasselijke sjablonen en groepen op dit punt in de GUI beschikbaar.
Voorbereiden van de Provisioning-instellingen, bootstrap-sjabloon en de configuratiesjabloon
Aangezien FND voor demo-modus is ingesteld, moet u de provisioningURL juist wijzigen om HTTP te gebruiken. Navigatie in naar Admin > Provisioning Settings om dit te doen:
Verander de IoT-FND URL in http://<FND IP>:9121
Stel vervolgens twee minimale sjablonen in voor bootstrapping en configuratie.
Het eerste, genaamd Router Bootstrap Configuration sjabloon, is de configuratie die naar de router wordt geduwd zodra deze met succes contact kan opnemen met FND met het gebruik van PNP.
Als PNP niet gebruikt wordt, zou het de configuratie zijn die handmatig op de router of in de fabriek wordt gezet op het tijdstip van het bootstrap-proces. Deze configuratie bevat net genoeg informatie voor de router om het registratieproces in een FND te starten.
Het tweede, genaamd de Configuration-sjabloon, is de configuratie die wordt toegevoegd aan de huidige configuratie van het apparaat. In feite kan het gezien worden als een toename in de bestaande configuratie.
In de meeste gevallen leidt dit tot een vreemde situatie, dus wordt aangeraden om alle configuraties op de router eerst te wissen voordat u deze aan FND toevoegt.
Om de sjabloon voor aanpassing van de routerfabriek in te stellen, volgt u het configureren > Tunnel provisioning > routerconfiguratie en het vervangen door de volgende sjabloon:
<#if isBootstrapping = true>
<#assign mgmtintf = "GigabitEthernet0">
<#assign fndserver = "10.48.43.231">
<#assign sublist=far.eid?split("+")[0..1]>
<#assign pid=sublist[0]>
<#assign sn=sublist[1]>
<#-- General parameters -->
hostname ${sn}BS
ip domain-name ${sn}
ip host fndserver.fnd.iot ${fndserver}
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
!
<#-- Users -->
username backup privilege 15 password C1sc0123!
username ${far.adminUsername} privilege 15 password ${far.adminPassword}
!
<#-- Interfaces -->
interface ${mgmtintf}
ip address ${far.ip} 255.255.255.192
exit
!
<#-- Clock -->
clock timezone UTC +2
!
<#-- Archive -->
file prompt quiet
do mkdir flash:archive
archive
path flash:/archive
maximum 8
exit
!
<#-- HTTP -->
ip http server
ip http client connection retry 5
ip http client connection timeout 5
ip http client source-interface ${mgmtintf}
ip http authentication local
ip http timeout-policy idle 600 life 86400 requests 3
ip http max-connections 2
!
<#-- WSMA -->
wsma profile listener exec
transport http path /wsma/exec
exit
!
wsma profile listener config
transport http path /wsma/config
exit
!
wsma agent exec
profile exec
exit
!
wsma agent config
profile config
exit
!
<#-- CGNA -->
cgna gzip
!
cgna profile cg-nms-register
add-command show hosts | format flash:/managed/odm/cg-nms.odm
add-command show interfaces | format flash:/managed/odm/cg-nms.odm
add-command show ipv6 dhcp | format flash:/managed/odm/cg-nms.odm
add-command show ipv6 interface | format flash:/managed/odm/cg-nms.odm
add-command show platform hypervisor | format flash:/managed/odm/cg-nms.odm
add-command show snmp mib ifmib ifindex | format flash:/managed/odm/cg-nms.odm
add-command show iox host list detail | format flash:/managed/odm/cg-nms.odm
add-command show version | format flash:/managed/odm/cg-nms.odm
interval 10
url http://fndserver.fnd.iot:9121/cgna/ios/registration
gzip
active
exit
!
<#-- Script to generate RSA for SSH -->
event manager applet genkeys
event timer watchdog name genkeys time 30 maxrun 60
action 10 cli command "enable"
action 20 cli command "configure terminal"
action 30 cli command "crypto key generate rsa modulus 2048"
action 80 cli command "no event manager applet genkeys"
action 90 cli command "exit"
action 99 cli command "end"
exit
end
</#if>
Als u de configuratiesjabloon wilt instellen. Navigeren in Config > Apparaatconfiguratie > Configuratiesjabloon bewerken en deze sjabloon toevoegen:
<#-- Enable periodic inventory notification every 1 hour to report metrics. -->
cgna profile cg-nms-periodic
interval 60
exit
<#-- Enable periodic configuration (heartbeat) notification every 15 min. -->
cgna heart-beat interval 15
<#-- Enable SSH access -->
line vty 0 4
transport input ssh
login local
exit
Deze sjabloon is de actieve configuratie van de resulterende router. Elke specifieke configuratie voor deze configuratie groep moet hier worden toegevoegd.
Het makkelijkst is met deze minimale sjabloon te beginnen. Indien geslaagd, update en stel de sjabloon dan op uw behoeften.
Op dit punt wordt de configuratie/voorbereiding van FND uitgevoerd en u kunt beginnen met het voorbereiden van de router.
Bereid de IR800 voor op provisioning/PNP
Als het apparaat dat u wilt provisioneren al een configuratie bevat of eerder gebruikt is, is het beter om de configuratie van de router volledig te wissen voordat u het aan FND met PNP toevoegt.
Als dit een nieuw apparaat is, kan deze stap worden overgeslagen.
De makkelijkste manier om dit te doen is met het gebruik van de opdracht om de router te wissen en opnieuw te laden met het gebruik van de console.
ir809kjk#write erase Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [OK] Erase of nvram: complete *Oct 18 11:42:54.367 UTC: %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram ir809kjk#reload System configuration has been modified. Save? [yes/no]: no Proceed with reload? [confirm] Starting File System integrity check NOTE: File System will be deinited and later rebuilt
Na enige tijd zou de IR800 met de herinnering moeten terugkomen om het eerste configuratiedialoogvenster te gebruiken:
--- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: no Press RETURN to get started!
Zorg ervoor dat er geen meer overblijfselen zijn van een vorige PNP/ZTD-poging, is het best om het archief en de directory te herkennen en om de pre-registration-fig van de router te verwijderen:
IR800#delete /f before-* IR800#delete /f /r archive* IR800#mkdir archive Create directory filename [archive]? Created dir flash:/archive IR800#conf t Enter configuration commands, one per line. End with CNTL/Z. IR800(config)#archive IR800(config-archive)#path flash:/archive IR800(config-archive)#maximum 8 IR800(config-archive)#end
Op dit moment heb je een nieuw apparaat of een apparaat met een lege configuratie, dus, indien nodig, is dit het moment waarop een minimale configuratie zodat de router FND kan bereiken, kan worden toegepast.
Heeft u een DHCP-server, dan zal dit meestal automatisch gebeuren.
De volgende handmatige configuratie is geselecteerd op het apparaat:
IR800>enable IR800#conf t Enter configuration commands, one per line. End with CNTL/Z. IR800(config)#int gi0 IR800(config-if)#ip addr dhcp IR800(config-if)#no shut IR800(config-if)#end *Aug 1 12:02:02.887: %SYS-5-CONFIG_I: Configured from console by console IR800#ping 10.48.43.231 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.48.43.231, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms IR800#
Zoals u ziet, werd een snel pingelen uitgevoerd om te testen of de router FND met de van toepassing zijnde IP configuratie kon bereiken.
voorzien van de IR800 router
Op dit punt zijn alle vereisten voltooid en u kunt het PNP-proces starten. In dit geval gebeurt dit handmatig.
In een productieomgeving, zeer waarschijnlijk, zal PNP met DHCP optie 43 worden gebruikt. Het betekent dat wanneer de router wordt gestart, het een IP en de PNP configuratie ontvangt en u deze stap en de volgende kunt overslaan.
Om PNP op de IR800 zonder DHCP handmatig te configureren moet u de bestemming voor de verzoeken specificeren, die de FND-server zal zijn.
Dit kan als volgt worden gedaan:
IR800(config)#pnp profile pnp-zero-touch IR800(config-pnp-init)#transport http ipv4 10.48.43.231 port 9125 IR800(config-pnp-init)#end
Zodra u de lijn ingaat die met "transport" begint, start de router het PNP proces en zal u proberen om FND op de gegeven IP en poort te contacteren.
Als alles goed gaat, passeert het apparaat deze:
- [UPDATING_ODM]: update de ODM-bestanden (Operationeel Data Model) op het apparaat dat overeenkomt met de bestanden die geldig zijn voor de huidige FND-versie
- [UPDATING_ODM_VERIFY_HASH]: controleer of de bijgewerkte bestanden juist zijn
- [UPDATED_ODM]
- [COLLECTING_INVENTORY]: verzamel informatie over de huidige configuratie en het apparaat
- [VERZAMELD_INVENTORY]
- [VALIDEREN_CONFIGURATIE]: probeer de configuratie vanaf de laarstrap-configuratie (gesubstitueerd routersjabloon met factorreprovision) toe te passen
- [VALIDATED_CONFIGURATION]
- [PUSHING_BOOTSTRAP_CONFIG_FILE]: de gevalideerde configuratie toepassen
- [PUSHING_BOOTSTRAP_CONFIG_VERIFY_HASH]: controleer of de toegepaste configuratie juist is
- [PUSHED_BOOTSTRAP_CONFIG_FILE]
- [CONFIGURING_STARTUP_CONFIG]:schrijf de configuratie als opstartconfiguratie
- [CONFIGURED_STARTUP_CONFIG]
- [APPLYING_CONFIG] passen het opstartbeeld toe
- [APPLICATION_CONFIG]
- [AFBEELDING_BS_PROFILE]: Stop met vastpakken.
U kunt het proces volgen op de FND server.log.
In de GUI, zult u de apparaatverplaatsing zien wanneer u naar Ongehoord > Boostrapping > Bootstrappped nadert
Nadat het rappen is voltooid, heeft de router de gesubstitueerde sjabloon van de Verhouding van de routerfabriek en gedraagt zich als een regelmatig gestapeld apparaat zonder PNP.
Met andere woorden, een CGNA-profiel op de IR800 probeert te registreren bij de FND-server.
Controleer de status van het CGNA-profiel:
JMX2022X04SBS#sh cgna profile-state all
Profile 1:
Profile Name: cg-nms-register
Activated at: Thu Aug 1 15:31:14 2019
URL: http://fndserver.fnd.iot:9121/cgna/ios/registration
Payload content type: xml
Interval: 10 minutes
gzip: activated
Profile command:
show hosts | format flash:/managed/odm/cg-nms.odm
show interfaces | format flash:/managed/odm/cg-nms.odm
show ipv6 dhcp | format flash:/managed/odm/cg-nms.odm
show ipv6 interface | format flash:/managed/odm/cg-nms.odm
show platform hypervisor | format flash:/managed/odm/cg-nms.odm
show snmp mib ifmib ifindex | format flash:/managed/odm/cg-nms.odm
show iox host list detail | format flash:/managed/odm/cg-nms.odm
show version | format flash:/managed/odm/cg-nms.odm
State: Wait for timer for next action
Timer started at Thu Aug 1 15:31:14 2019
Next update will be sent in 9 minutes 30 seconds
Last successful response not found
Last failed response not found
Het apparaat zal met de meegeleverde configuratie proberen zich na tien minuten bij FND te registreren. U kunt zien dat in deze uitvoer, negen minuten en dertig seconden resteren voordat de router het registratieproces start.
U kunt wachten tot de timer heeft voltooid of het profiel cg-nms-register handmatig uitvoeren:
IR800-Bootstrap#cgna exec profile cg-nms-register
Verifiëren
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
Het apparaat moet naar de UP-status in FND verplaatsen zoals in de afbeelding.
Problemen oplossen
Deze sectie verschaft informatie die u kunt gebruiken om problemen met uw configuratie op te lossen.
Controleer de volgende stappen om een oplossing voor het rappproces te vinden:
- Login FND-server: /opt/fnd/logs/server.log
- Vergroot de breedtegraad van het logbestand: Admin > Vastlegging > Instellingen inlogniveau > Routervastlegging > Debug
- vanuit de IR800-console: toon pnp ? of debug pnp ?
- In de FND GUI: Apparaten > inventaris > Selectiegereedschap > Evenementen
- De meeste kwesties in dit stadium zijn gerelateerd aan (syntaxis) fouten in het routersjabloon met herstructurering
Controleer de volgende stappen om een oplossing voor het registratieproces te vinden:
- Login FND-server: /opt/fnd/logs/server.log
- vanuit de IR800-console:
- alle cgna-profieltoestand tonen
- Debug cgna houtkap?
- debug van wsma-agens
- In de FND GUI: Apparaten > inventaris > Selectiegereedschap > Evenementen
- Controleer WSMA-connectiviteit via HTTP op de IR800 van de FND VM
- URI gebruikt door FND: http://10.48.43.231:80/wsma/exec
- Methode: POST
- Security: basisijs
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)