用零的联系配置的CGOS配置CGR 1000
下载选项
非歧视性语言
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
关于此翻译
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
Introduction
本文描述要求的配置步骤成功注册Cisco被连接的网格路由器1000 (CGR 1000)用被连接的网格操作系统(CGOS)对字段网络导控器(FND)作为字段设备。在路由器注册对FND前,必须满足在公共密钥基础设施(PKI)和客户化配置包括登记的几个前提。除此之外,一被清洁的配置示例将是包括的。
贡献由赖安前浆手, Cisco TAC工程师。
Prerequisites
Requirements
Cisco 建议您了解以下主题:
- CG-NMS/FND应用服务器1.0或以上安装和运行以Web可用UI的访问。
- 隧道提供服务器(TPS)代理服务器安装的和运行。
- 安装和正确地被配置的oracle数据库服务器。
- setupCgms.sh以一成功的首次db_migrate至少一次顺利地运行。
- DHCPv4和DHCPv6服务器已经被配置和可用与在Admin保存的代理设置>设置Settings页FND网页用户界面(UI)。
- 应该已经导入了设备.csv文件FND,并且设备应该在‘未被听到的’状态。
Components Used
本文档中的信息基于以下软件和硬件版本:
- FND 3.0.1-36
- 基于软件的SSM (也3.0.1-36)
- cgms工具包在应用服务器(3.0.1-36)上安装
- 运行RHEL 6.5的所有Linux服务器
- 运行Windows服务器2008 R2企业的所有Windows服务器
- 运行在VM的CSR 1000v作为数据转发路由器
- 作为Fied区域路由器使用的CGR-1120/K9 (更)与CG-OS 4(3)
受控的FND实验室环境在本文的创建时使用了。当其他配置将有所不同时,您应该遵守从安装指南的所有最低要求。
The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command.
逐步配置和登记
1.请配置设备主机名-。
2. 配置domain-name。
3. 配置DNS服务器。
4. 配置并且验证time/NTP。
5.带动蜂窝电话卡和以太网接口。保证所有必要的接口有他们的IP,并且路由器有最后一招网关。
为了顺利地设置的FND能Loopback0接口,必须用地址已经创建它。创建Loopback0接口并且验证有IPv4和IPv6地址。因为他们在隧道设置以后,将被替换您能使用用过即弃的” IP。
6. Enable (event)这些功能:ntp, crypto ike, dhcp,隧道, crypto ipsec虚拟隧道。
7.创建您的信任点登记配置文件(这是简单认证登记协议(SCEP)登记网页的直接URL在您的RSA Certificate Authority (CA)。如果使用一个注册审批机构, URL将是不同的) :
Router(config)#crypto ca profile enrollment LDevID_Profile Router(config-enroll-profile)#enrollment url http://networkdeviceenrollmentserver.your.domain.com/CertSrv/mscep/mscep.dll
8. 创建您的信任点并且捆绑登记配置文件对它。
Router(config)#crypto ca trustpoint LDevID Router(config-trustpoint)#enrollment profile LDevID_Profile Router(config-trustpoint)#rsakeypair LDevID_Keypair 2048 Router(config-trustpoint)#revocation-check none Router(config-trustpoint)#serial-number Router(config-trustpoint)#fingerprint xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
9. 验证您的信任点用SCEP服务器。
Router(config)#crypto ca authenticate LDevID Trustpoint CA authentication in progress. Please wait for a response... 2017 Mar 8 19:02:00 %$ VDC-1 %$ %CERT_ENROLL-2-CERT_EN_SCEP_CA_AUTHENTICATE_OK: Trustpoint LDevID: CA certificates(s) authenticated.
10. 登记您的信任点在公共密钥基础设施(PKI)。
Router(config)#crypto ca enroll LDevID Create the certificate request .. Create a challenge password. You will need to verbally provide this password to the CA Administrator in order to revoke your certificate. For security reasons your password will not be saved in the configuration. Please make a note of it. Challenge password: Re-enter challenge password: The serial number in the certificate will be: PID:CGR1120/K9 SN:JAF############ Certificate enrollment in progress. Please wait for a response... 2017 Mar 8 19:02:24 %$ VDC-1 %$ %CERT_ENROLL-2-CERT_EN_SCEP_ENROLL_OK: Trustpoint LDevID: Device identity certificate successfully enrolled to CA.
11. 验证您的ceritifcate一系列。
Router#show crypto ca certificates
12. 配置对于Callhome是必需的SNMP参数正确地工作。
Router(config)#snmp-server contact NAME Router(config)#snmp-server user admin network-admin Router(config)#snmp-server community PUBLIC group network-operator
13. 配置这些基本的无线私有区域网络(WPAN)模块设置。
Router(config)#interface wpan 4/1 Router(config-if)#no shutdown Router(config-if)#panid 5 Router(config-if)#ssid meshssid Router(config-if)#ipv6 add 2001:db8::1/32
14. FND在端口8443依靠在HTTPS的Netconf管理FARs, enable (event)和适当地配置HTTPS服务器监听和验证与PKI的连接。
Router(config)#ip http secure-server Router(config)#ip http secure-server trustpoint LDevID Router(config)#ip http secure-port 8443
15. 配置您的callhome配置文件。
Router(config)#callhome Router(config-callhome)#email-contact email@domain.com Router(config-callhome)#phone-contact +1-555-555-5555 Router(config-callhome)#streedaddress TEXT Router(config-callhome)#destination-profile nms Router(config-callhome)#destination-profile nms format netconf Router(config-callhome)#destination-profile nms transport-method http Router(config-callhome)#destination-profile nms http https://tpsproxy.your.domain.com:9120 Router(config-callhome)#enable
16. 保存配置。
17. 这时,您必须执行的所有是重新载入路由器,但是,如果要手工开始注册,不用重新加载您能配置cgdm :
Router(config)#cgdm Router(config-cgdm)#registration start trustpoint LDevID
配置示例
这是从在成功的ZTD之前的CGR1120采取的一种被清洁的配置(在此实验室环境里Ethernet2/2接口使用了作为主要的IPSec隧道源) :
version 5.2(1)CG4(3) logging level feature-mgr 0 hostname YOUR-HOSTNAME vdc YOUR-HOSTNAME id 1 limit-resource vlan minimum 16 maximum 4094 limit-resource vrf minimum 2 maximum 4096 limit-resource u4route-mem minimum 9 maximum 9 limit-resource u6route-mem minimum 24 maximum 24 limit-resource m4route-mem minimum 58 maximum 58 limit-resource m6route-mem minimum 8 maximum 8 feature ntp feature crypto ike feature dhcp feature tunnel feature crypto ipsec virtual-tunnel username admin password YOURPASSWORD role network-admin username Administrator password YOURPASSWORD role network-admin ip domain-lookup ip domain-name your.domain.com ip name-server x.x.x.x crypto key param rsa label LDevID_keypair modulus 2048 crypto key param rsa label YOUR-HOSTNAME.your.domain.com modulus 2048 crypto ca trustpoint LDevID enrollment profile LDevID_Profile rsakeypair LDevID_keypair 2048 revocation-check none serial-number fingerprint xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx crypto ca profile enrollment LDevID_Profile enrollment url http://x.x.x.x/CertSrv/mscep/mscep.dll snmp-server contact NAME snmp-server user Administrator network-admin snmp-server community public group network-operator callhome email-contact ciscotac@cisco.tac.com phone-contact +1-555-555-5555 streetaddress Here destination-profile nms destination-profile nms format netconf destination-profile nms transport-method http destination-profile nms http https://tpsproxy.your.domain.com:9120 trustpoint LDevID destination-profile nms alert-group all enable ntp server x.x.x.x ntp server x.x.x.x crypto ike domain ipsec vrf context management vlan 1 service dhcp ip dhcp relay line tty 1 line tty 2 interface Dialer1 interface Ethernet2/1 interface Ethernet2/2 ip address x.x.x.x/30 no shutdown interface Ethernet2/3 interface Ethernet2/4 interface Ethernet2/5 interface Ethernet2/6 interface Ethernet2/7 interface Ethernet2/8 interface loopback0 ip address 1.1.1.1/32 ipv6 address 2001:x:x::80/128 interface Serial1/1 interface Serial1/2 interface Wpan4/1 no shutdown panid 20 ssid austiniot ipv6 address 2001:db8::1/32 interface Wifi2/1 clock timezone CST -6 0 clock summer-time CST 2 Sun Mar 02:00 1 Sun Nov 02:00 60 line console line vty boot kickstart bootflash:/cgr1000-uk9-kickstart.5.2.1.CG4.3.SPA.bin boot system bootflash:/cgr1000-uk9.5.2.1.CG4.3.SPA.bin ip route 0.0.0.0/0 x.x.x.x feature scada-gw scada-gw protocol t101 scada-gw protocol t104 ip http secure-port 8443 ip http secure-server trustpoint LDevID ip http secure-server cgdm registration start trustpoint LDevID
Verify
当前没有可用于此配置的验证过程。
Troubleshoot
目前没有针对此配置的故障排除信息。
反馈