Inleiding
Dit document beschrijft hoe u een probleem kunt oplossen bij Zero Touch Deployment (ZTD) in de FAN-oplossing (VVeldgebied Network), die bestaat uit Connected Grid-router (CGR) en Veldnetwerkdirecteur (FND).
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op ZTD-implementatie met CGR.
Het omvat CGR (CGR1120/CGR1240), FND, Tunnel Provisioning Server (TPS), Registratie-instantie (RA), certificaatautoriteit (CA) en Domain Name Server (DNS) als componenten. FND en Cisco Connected Grid Network Management System (CG-NMS) zijn uitwisselbaar aangezien CG-NMS een eerdere versie van FND is.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Stappen voor probleemoplossing zoals per ZTD-proces in FAN-oplossingen
Configuratie van veldoppervlak (FAR) voor productieomgevingen
Alles begint bij deze fabricageconfiguratie zodat deze stap de sleutel is voor een succesvolle implementatie.
Deze configuratie zal de eerste twee fasen starten: Eenvoudig certificaatprotocol (SCEP) en tunnellevering.
Een geslaagde test is een FAR die wordt ingezet met zijn productieconfiguratie en in staat is om het ZTD-proces door te voeren om zich uiteindelijk zonder tussenkomst bij CG-NMS te registreren.
Meestal verdachten:
- Credentials tussen FAR en CG-NMS komen niet overeen.
- Connected Grid NMS Agent (CGNA) URL voor tunnellevering is onjuist (zorg ervoor dat het https is en niet http).
- Domain Name Server (DNS) is niet zodanig geconfigureerd dat deze TPS volledig gekwalificeerde domeinnaam (FQDN) oplost.
Als op het moment van de probleemoplossing van deze twee fasen de configuratie van de productie moet worden bijgewerkt, moet dit proces worden gevolgd:
- Ver verbinding met de HIJ blokkeren (fysiek of logisch)
- Terugdraaiing van de FAR naar zijn express-instelling-configuratie
- De wijzigingen toepassen
- Een nieuw express-setup-configuratiebestand maken
- Sla de configuratie in nvram op
- Herstel de connectiviteit zodat de FAR het ZTD-proces opnieuw kan activeren
SCEP-inschrijving
Het doel van deze fase is FAR toestemming te geven voor het ontvangen van het certificaat van lokale identiteit (LDevID) van de overheidssleutelinfrastructuur (RSA Public Key Infrastructure (PKI) en om een certificaat te verkrijgen na goedkeuring. Deze stap is een vereiste voor de volgende, waar FAR zijn certificaat nodig heeft om met de TPS te communiceren en zijn IPSec-tunnel met de HER op te zetten.
Het gaat om de volgende onderdelen: FAR, RA, SCEP server, Radius server en de DB.
Een TCL-script (Tool Opdracht Language) genaamd tm_ztd_scep.tcl zal automatisch SCEP-proces starten en blijft proberen totdat de inschrijving geslaagd is.
Stappen |
Betrokken componenten |
Richtsnoeren voor probleemoplossing |
Handige opdrachten |
eventmanager start tm_ztd_scep.tcl script |
VER |
- Controleer de configuratie van de beheerder
- Controleer de configuratie van de omgevingsvariabelen die door het script wordt gebruikt
|
de opdrachten van de deb Event Manager tcl zullen alle CLI-opdrachten markeren die door het script worden toegepast |
RA FQDN-resolutie |
FAR, DNS |
- Controleer de connectiviteit tussen FAR en DNS
- Controleer de DNS-record om deze naam op te lossen
- Configuratie van profiel voor FAR-inschrijving controleren
|
De RA FQDN uit de FAR ping |
FAR stuurt SCEP-verzoek naar de RA |
VER, RA |
- Controleer de connectiviteit tussen RA en FAR
- Controleer RA configuratie. PKI-server moet UP zijn
|
debug van crypto pki - transacties debug van crypto-provisioning |
Toestemming voor PKI |
RA, RADIUS |
- Controleer de connectiviteit tussen RA en RADIUS-server
- Controleer de RA PKI-configuratie
- Configuratie Radius-server controleren
|
debug van crypto pki scep debug van crypto pki - transacties debug van crypto pki - server debug van crypto-provisioning |
Uitgifte van een certificaat |
RA, uitgevende instelling CA |
- Controleer de connectiviteit tussen RI en Eenheid CA
|
RA: debug van crypto pki Als emittent CA een IOS-CA is, kan hetzelfde debug-opdracht ook worden gebruikt |
Tunnel provisioning
Op het moment van deze fase zal de FAR met de TPS communiceren (fungeert als een volmacht namens CG-NMS) om zijn tunnelconfiguratie te krijgen van CG-NMS. Deze fase wordt gestart door het SCEP tcl-script nadat de inschrijving is voltooid door het CGNA-profiel te activeren.
De betrokken onderdelen zijn: VER, DNS, TPS, CG-NMS.
Stappen |
Betrokken componenten |
Handleidingen voor probleemoplossing |
Handige opdrachten |
TCL-script om CGNA-profiel te activeren |
VER |
Controleer of het juiste profiel is ingesteld voor de variabele ZTD_SCEP_CGNA_Profile |
"tonen cgna profile-all" om te controleren of het profiel actief is |
CGNA-profiel, TPS FQDN |
FAR, DNS |
- Controleer de connectiviteit tussen DNS en FAR
- Controleer de DNS-record om deze naam op te lossen
- Controleer TPS FQDN-configuratie in CGNA URL
|
VERRE: TPS FQDN-ping |
CGNA-profiel voor HTTPS-sessie met TPS |
VER, TPS |
- Controleer of de TPS-service actief is
- Controleer TPS-sleutelbestand
- Controleer of TPS TPS-pakketten van CGR ontvangt
- Controleer CGNA-profielconfiguratie
|
TPS-logbestand is te vinden op: /opt/cgms-tpsproxy/log/tpsproxy.log |
TPS-tunnelverzoek naar CG-NMS |
TPS, CG-NMS |
- Controleer de TPS- en CG-NMS-eigenschappen
- Controleer de connectiviteit tussen TPS en CG-NMS
- TPS- en CG-NMS-logbestanden controleren
|
Het FND-logbestand is te vinden op :cd/opt/cgms/server/cgms/log |
De vergevorderde contactgegevens van TPS met een aanvraag voor tunnelprovisioning met HTTPS op poort 9120
4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Inbound proxy request from [192.168.1.1] with client certificate subject
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Completed inbound proxy request from [192.168.1.1] with client certificate subject
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
Logs nadat Tunnel dit tussen haar en ver en daarna is, kan VAR direct met HER communiceren
4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Inbound proxy request from [192.168.1.1] with client certificate subject [SERIALNUMBER=PID:
IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED:
%[ch=1c3d5104][eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Completed inbound proxy request from [192.168.1.1] with client certificate subject [SERIALN
UMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4353: iok-tps: Jul 13 2016 14:46:12.425 +0000: %CGMS-6-UNSPECIFIED:
%[ch=TpsProxyOutboundHandler][ip=192.168.1.1][sev=INFO][tid=qtp687776794-16]:
Outbound proxy request from [192.168.1.2] to [192.168.1.1]
4354: iok-tps: Jul 13 2016 14:46:14.176 +0000: %CGMS-6-UNSPECIFIED:
%[ch=TpsProxyOutboundHandler][ip=10.10.10.61][sev=INFO][tid=qtp687776794-16]:
Outbound proxy request from [192.168.1.2] to [192.168.1.1
Apparaatregistratie
Stap 1. Maak u klaar voor apparaatregistratie
CG-NMS zal de configuratie van het CGNA-profiel cg-nms-register indrukken. Extra opdrachten worden toegevoegd zodat het profiel direct wordt uitgevoerd in plaats van te wachten op het verlopen van de tussentimer.
CG-NMS zal CGNA profiel Cg-nms-tunnelvoorziening deactiveren wordt op dit punt als volledig beschouwd.
Stap 2. CG-NMS ontvangt een aanvraag voor apparaatregistratie
- Controleer of de VAR in de OB is opgenomen
- Controleer of de bestanden cg-nms.odm en cg-nms-scripts.tcl ontbreken in de FAR-flitser of moeten worden bijgewerkt naar een nieuwe versie. CG-NMS wordt indien nodig automatisch geüpload.
- Capture FAR-huidige configuratie
- Verwerk alle uitvoer van showopdrachten die in het verzoek zijn opgenomen. Vraag desgewenst om de ontbrekende. De lijst kan variëren op basis van de FAR-hardwareconfiguratie.
Voor details om implementering van Zero Touch binnen uw netwerk uit te voeren, neem contact op met uw Cisco-partner of Cisco-systeemingenieur.
Voor express-Setup-Config op router, neemt u contact op met uw partner of Cisco-systeemingenieur.
Gerelateerde informatie