Connected Grid路由器解决方案零接触部署中的配置文件组织
简介
本文档介绍如何在零接触部署(ZTD)流程的不同部分创建配置文件,以及回滚到Connected Grid路由器(CGR)上任何特定配置文件的步骤。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于CGR的ZTD部署。
它包括CGR(CGR1120/CGR1240)、现场网络导向器(FND)、隧道调配服务器(TPS)和注册机构(RA)作为组件。
FND和思科互联电网网络管理系统(CG-NMS)可互换,因为CG-NMS是FND的早期版本。
本文档中的信息是从特定实验环境中的设备创建的。用于本文的所有设备从已清除的配置开始。如果您的网络处于活动状态,请了解命令的潜在影响。
概述
在物联网(IoT)世界中,ZTD功能是支持数百万设备配置部署的关键。FND支持ZTD,适用于互联电网终端(CGE)点和CGR。
ZTD服务
适用于CGR的ZTD提供多种服务,包括:
- CGR的初始部署,具有最低且一致的配置(称为制造配置或快速配置文件)。 部署到最终位置后,此配置将允许CGR使用FND启动ZTD进程并检索其最终配置。
- CGR配置管理。完全部署后,FND集成了更改CGR配置任何部分的功能。
- CGR恢复机制,如果ZTD进程在任何阶段失败。
- CGR映像升级。
ZTD阶段
步骤1.使用实用程序公钥基础设施进行CGR注册
步骤2. CGR隧道配置调配
步骤3. CGR最终注册(设备配置调配)
FND不执行轮询或发现机制。每个阶段都由CGR触发。在第1和第2阶段之后,FND会创建回滚点,以便在再次通过隧道调配或设备配置阶段之前,FND可以将CGR恢复到受信任配置。
摘要
下表总结了ZTD的哪个阶段将用于实施不同的服务:
| 功能或事件 | SCEP(简单证书注册协议)注册 | 隧道调配 | 设备注册 | 备注 |
|---|---|---|---|---|
| 设备配置更新 | 无 | 无 | Yes | CGR将回滚到第2阶段配置 |
| CGR初始部署 | Yes | Yes | Yes | |
| CGR意外重新加载 | 无 | 无 | Yes | CGR在重新加载之前已注册 |
| 固件升级 | 无 | Yes | Yes | CGR将回滚到第1阶段配置 |
| 制造配置或工厂重新调配 | 无 | Yes | Yes | CGR将回滚到第1阶段配置 |
| 隧道配置重新调配 | 无 | Yes | Yes | CGR将回滚到第1阶段配置 |
配置文件组织
在流程的不同部分创建不同的配置文件。其思想是创建信任点,FND可使用这些信任点回滚CGR配置,以防它不信任CGR的状态或想更新CGR配置的特定部分。这些配置文件存储在CGR闪存中。
| 名称 | 定义 | 创建者 | 创建时 |
|---|---|---|---|
| Cisco默认配置 | 从思科制造部门配置。 | 思科 | 思科工厂 |
| 制造配置 (express-config) |
启动SCEP和ZTD所需的预配置。 应用制造配置后,即会创建express-setup-config文件。 |
第三方或公用事业 | 在最终部署之前 |
| before-tunnel-config (ps-start-config) |
=使用实用程序PKI注册后的制造配置。 唯一的区别是,CGR https服务器已重新配置为使用名为LDevID的FAR实用程序证书。此文件由FND在应用隧道配置之前创建。这是第一个受信任的配置文件,在CGR将来必须再次通过隧道调配时使用。 |
FND | 应用隧道配置之前 |
| before-registration-config (黄金配置) |
= FND推送的前隧道配置+隧道配置。 此文件由FND创建,作为推送设备配置之前的第二个信任点。如果必须更改设备配置,将使用此文件。 |
FND | CGR,现场后隧道调配 |
| 最终配置 | = before-tunnel-config + Tunnel config + Device Config。 = before-registration-config +设备配置。 此配置以通常方式保存,即,保存到启动配置 |
FND | CGR,现场后隧道调配 |
重新调配CGR
在CGR上重新调配对回滚配置执行到某些配置文件。
在IoT FND中,在Tunnel Provisioning页面(Config > Tunnel Provisioning)的Reprovisioning Actions窗格中执行这些重新调配操作。
工厂重新调配
这也称为制造配置重新调配。
使用IoT FND中的“工厂重新调配”功能更改CGR(快速设置 — 配置)的出厂配置。
隧道重新调配
此功能允许实用程序NOC更改隧道配置中在隧道调配阶段推送的任何部分。
IoT FND将CGR的配置回滚到ps-start-config模板文件中定义的配置。
摘要
总之,CGR最终配置基于三个不同的块构建,每个块都有特定的目标。
| 配置块 | 目标 | 主要功能 | 用于生成配置块的CG-NMS模板 |
|---|---|---|---|
| 制造配置文件 | ZTD的起点 | — 回传网络连接 — 触发SCEP注册 — 必须能够到达RA |
制造或公用设施规格 |
| before-tunnel-config文件 | 提供回滚点以调配新的隧道配置 | — 回传网络连接 — 必须能够访问TPS服务器 |
从RA添加SCEP |
| before-registration-config文件 | 提供回滚点以调配新设备配置 | — 使用FND建立安全路径 — 避免流量泄漏到回传网络 — 在隧道内提供预期路由路径 |
FAR隧道添加 |
| 设备配置模板 (应用此配置后未创建特定文件) |
完成FAR配置 | — 网状接口配置 — 配置强化 — 隧道调配阶段不需要的任何剩余功能。其中一些硬编码为FND并添加到模板顶部。 |
FAR设备配置模板 |
使用FND回滚配置的后面的步骤
FND或CG-NMS能够回滚到路由器上的特定配置文件。此功能基于 config replace 命令。
FND每次将CGR回滚到其before-tunnel-config或before-registration-config配置文件时都会利用此功能,但是,由于它有时可能会失败,因此需要一些逻辑才能从这种情形中恢复。这种逻辑实际上是通过名为no-config-replace.tcl(也嵌入在Cisco IOS®映像中)的专用TCL脚本实现的。FND将在每次需要将CGR回滚到特定配置文件时使用该脚本。脚本需要这些输入。
| 输入 | 定义 | 价值 |
|---|---|---|
| configFile | 要回滚到的配置文件 | flash:/before-tunnel-config或flash:/before-registration-config |
| profileName | 配置替换后要激活的CGNA配置文件 | cg-nms-tunnel或cg-nms-register |
| replaceFlag | True表示尝试替换配置 | 1(正确) |
| renameFlag | True表示只重命名文件,而不替换配置 | 0(错误) |
FND仅在CGR上发送这些命令以执行此脚本一次。在本例中,FND希望在设备注册之前将CGR回滚到其配置:
- cgna exec-profile
- add-command事件管理器运行no_config_replace.tcl flash:/before-registration-config cg-nms-register 1 0
- 间隔1
- 主用
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
03-Oct-2016 |
初始版本 |
反馈