Stappen voor probleemoplossing voor ZTD in FAN-oplossing

Downloadopties

  • PDF     (146.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (84.7 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (73.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:15 juli 2021
Document-id:201005

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u een probleem kunt oplossen bij Zero Touch Deployment (ZTD) in de FAN-oplossing (VVeldgebied Network), die bestaat uit Connected Grid-router (CGR) en Veldnetwerkdirecteur (FND).


    Voorwaarden 


    Vereisten

    Er zijn geen specifieke vereisten van toepassing op dit document.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op ZTD-implementatie met CGR.
    Het omvat CGR (CGR1120/CGR1240), FND, Tunnel Provisioning Server (TPS), Registratie-instantie (RA), certificaatautoriteit (CA) en Domain Name Server (DNS) als componenten.  FND en Cisco Connected Grid Network Management System (CG-NMS) zijn uitwisselbaar aangezien CG-NMS een eerdere versie van FND is.
     
    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen. 



    Stappen voor probleemoplossing zoals per ZTD-proces in FAN-oplossingen

    Configuratie van veldoppervlak (FAR) voor productieomgevingen

    Alles begint bij deze fabricageconfiguratie zodat deze stap de sleutel is voor een succesvolle implementatie.
     
    Deze configuratie zal de eerste twee fasen starten: Eenvoudig certificaatprotocol (SCEP) en tunnellevering.
     
    Een geslaagde test is een FAR die wordt ingezet met zijn productieconfiguratie en in staat is om het ZTD-proces door te voeren om zich uiteindelijk zonder tussenkomst bij CG-NMS te registreren.

    Meestal verdachten:

    • Credentials tussen FAR en CG-NMS komen niet overeen.
    • Connected Grid NMS Agent (CGNA) URL voor tunnellevering is onjuist (zorg ervoor dat het https is en niet http).
    • Domain Name Server (DNS) is niet zodanig geconfigureerd dat deze TPS volledig gekwalificeerde domeinnaam (FQDN) oplost.

    Als op het moment van de probleemoplossing van deze twee fasen de configuratie van de productie moet worden bijgewerkt, moet dit proces worden gevolgd:  

    • Ver verbinding met de HIJ blokkeren (fysiek of logisch)
    • Terugdraaiing van de FAR naar zijn express-instelling-configuratie
    • De wijzigingen toepassen
    • Een nieuw express-setup-configuratiebestand maken
    • Sla de configuratie in nvram op
    • Herstel de connectiviteit zodat de FAR het ZTD-proces opnieuw kan activeren

    SCEP-inschrijving

    Het doel van deze fase is FAR toestemming te geven voor het ontvangen van het certificaat van lokale identiteit (LDevID) van de overheidssleutelinfrastructuur (RSA Public Key Infrastructure (PKI) en om een certificaat te verkrijgen na goedkeuring. Deze stap is een vereiste voor de volgende, waar FAR zijn certificaat nodig heeft om met de TPS te communiceren en zijn IPSec-tunnel met de HER op te zetten.

    Het gaat om de volgende onderdelen: FAR, RA, SCEP server, Radius server en de DB.

    Een TCL-script (Tool Opdracht Language) genaamd tm_ztd_scep.tcl zal automatisch SCEP-proces starten en blijft proberen totdat de inschrijving geslaagd is.

             Stappen                           

    Betrokken componenten

    Richtsnoeren voor probleemoplossing            

    Handige opdrachten                                     

    eventmanager start tm_ztd_scep.tcl script

    VER
    • Controleer de configuratie van de beheerder
    • Controleer de configuratie van de omgevingsvariabelen die door het script wordt gebruikt

    de opdrachten van de deb Event Manager tcl zullen alle CLI-opdrachten markeren die door het script worden toegepast

    RA FQDN-resolutie

    FAR, DNS
    • Controleer de connectiviteit tussen FAR en DNS
    • Controleer de DNS-record om deze naam op te lossen
    • Configuratie van profiel voor FAR-inschrijving controleren

    De RA FQDN uit de FAR ping

    FAR stuurt SCEP-verzoek naar de RA

    VER, RA
    • Controleer de connectiviteit tussen RA en FAR
    • Controleer RA configuratie. PKI-server moet UP zijn

    debug van crypto pki - transacties

    debug van crypto-provisioning

    Toestemming voor PKI

    RA, RADIUS
    • Controleer de connectiviteit tussen RA en RADIUS-server
    • Controleer de RA PKI-configuratie
    • Configuratie Radius-server controleren

    debug van crypto pki scep

    debug van crypto pki - transacties

    debug van crypto pki - server

    debug van crypto-provisioning

    Uitgifte van een certificaat

    RA, uitgevende instelling CA
    • Controleer de connectiviteit tussen RI en Eenheid CA 

    RA: debug van crypto pki

    Als emittent CA een IOS-CA is, kan hetzelfde debug-opdracht ook worden gebruikt

    Tunnel provisioning

    Op het moment van deze fase zal de FAR met de TPS communiceren (fungeert als een volmacht namens CG-NMS) om zijn tunnelconfiguratie te krijgen van CG-NMS. Deze fase wordt gestart door het SCEP tcl-script nadat de inschrijving is voltooid door het CGNA-profiel te activeren.

    De betrokken onderdelen zijn: VER, DNS, TPS, CG-NMS.

    Stappen 

    Betrokken componenten 

    Handleidingen voor probleemoplossing 

    		 Handige opdrachten 

    TCL-script om CGNA-profiel te activeren

    VER

    Controleer of het juiste profiel is ingesteld voor de variabele ZTD_SCEP_CGNA_Profile

    "tonen cgna profile-all" om te controleren of het profiel actief is

    CGNA-profiel, TPS FQDN

    FAR, DNS
    • Controleer de connectiviteit tussen DNS en FAR
    • Controleer de DNS-record om deze naam op te lossen
    • Controleer TPS FQDN-configuratie in CGNA URL

    VERRE: TPS FQDN-ping

    CGNA-profiel voor HTTPS-sessie met TPS

    VER, TPS
    • Controleer of de TPS-service actief is
    • Controleer TPS-sleutelbestand
    • Controleer of TPS TPS-pakketten van CGR ontvangt
    • Controleer CGNA-profielconfiguratie
    		 TPS-logbestand is te vinden op: /opt/cgms-tpsproxy/log/tpsproxy.log

    TPS-tunnelverzoek naar CG-NMS

    TPS, CG-NMS
    • Controleer de TPS- en CG-NMS-eigenschappen
    • Controleer de connectiviteit tussen TPS en CG-NMS
    • TPS- en CG-NMS-logbestanden controleren
    		 Het FND-logbestand is te vinden op :cd/opt/cgms/server/cgms/log

    De vergevorderde contactgegevens van TPS met een aanvraag voor tunnelprovisioning met HTTPS op poort 9120

    4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
    [eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
    Inbound proxy request from [192.168.1.1] with client certificate subject 
    [SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

    4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
    [eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
    Completed inbound proxy request from [192.168.1.1] with client certificate subject 
    [SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

      

    Logs nadat Tunnel dit tussen haar en ver en daarna is, kan VAR direct met HER communiceren

    4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
    [eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
    Inbound proxy request from [192.168.1.1] with client certificate subject [SERIALNUMBER=PID:

    IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

    4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: 
    %[ch=1c3d5104][eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
    Completed inbound proxy request from [192.168.1.1] with client certificate subject [SERIALN

    UMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

    4353: iok-tps: Jul 13 2016 14:46:12.425 +0000: %CGMS-6-UNSPECIFIED: 
    %[ch=TpsProxyOutboundHandler][ip=192.168.1.1][sev=INFO][tid=qtp687776794-16]: 
    Outbound proxy request from [192.168.1.2] to [192.168.1.1]

    4354: iok-tps: Jul 13 2016 14:46:14.176 +0000: %CGMS-6-UNSPECIFIED: 
    %[ch=TpsProxyOutboundHandler][ip=10.10.10.61][sev=INFO][tid=qtp687776794-16]: 
    Outbound proxy request from [192.168.1.2] to [192.168.1.1

    Apparaatregistratie

    Stap 1. Maak u klaar voor apparaatregistratie

    CG-NMS zal de configuratie van het CGNA-profiel cg-nms-register indrukken. Extra opdrachten worden toegevoegd zodat het profiel direct wordt uitgevoerd in plaats van te wachten op het verlopen van de tussentimer.

    CG-NMS zal CGNA profiel Cg-nms-tunnelvoorziening deactiveren wordt op dit punt als volledig beschouwd.

    Stap 2. CG-NMS ontvangt een aanvraag voor apparaatregistratie

    • Controleer of de VAR in de OB is opgenomen
    • Controleer of de bestanden cg-nms.odm en cg-nms-scripts.tcl ontbreken in de FAR-flitser of moeten worden bijgewerkt naar een nieuwe versie. CG-NMS wordt indien nodig automatisch geüpload.
    • Capture FAR-huidige configuratie
    • Verwerk alle uitvoer van showopdrachten die in het verzoek zijn opgenomen. Vraag desgewenst om de ontbrekende. De lijst kan variëren op basis van de FAR-hardwareconfiguratie. 

    Voor details om implementering van Zero Touch binnen uw netwerk uit te voeren, neem contact op met uw Cisco-partner of Cisco-systeemingenieur.

    Voor express-Setup-Config op router, neemt u contact op met uw partner of Cisco-systeemingenieur.


    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    02-Mar-2017
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Abhishek Kumar
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco