简介
本文档介绍如何排除现场局域网(FAN)中零接触部署(ZTD)解决方案(由Connected Grid路由器(CGR)和现场网络导向器(FND)组成)中的常见问题。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于CGR的ZTD部署。
它包括CGR(CGR1120/CGR1240)、FND、隧道调配服务器(TPS)、注册机构(RA)、证书颁发机构(CA)、域名服务器(DNS)等组件。 FND和思科互联电网网络管理系统(CG-NMS)可互换,因为CG-NMS是FND的早期版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
风扇解决方案中按ZTD流程排除故障的步骤
现场区域路由器(FAR)制造配置
一切从此制造配置开始,因此此步骤是成功部署的关键。
此配置将触发前两个阶段:简单证书注册协议(SCEP)和隧道调配。
成功的测试是使用其制造配置部署的FAR,它能够通过ZTD流程最终注册到CG-NMS,而无需任何干预。
通常的疑点是:
- FAR和CG-NMS之间的凭证不匹配。
- 用于隧道调配的Connected Grid NMS代理(CGNA)URL不正确(请确保其是https而非http)。
- 域名服务器(DNS)配置错误,无法解析TPS完全限定域名(FQDN)。
如果在对这两个阶段进行故障排除时,必须更新制造配置,则应遵循以下流程:
- 阻止FAR与HE的连接(物理或逻辑)
- 将FAR回滚到其express-setup-config
- 应用更改
- 创建新的快速设置配置文件
- 将配置保存到nvram
- 恢复连接,使FAR可以再次触发ZTD进程
SCEP 注册
此阶段的目标是授权FAR从RSA公钥基础设施(PKI)接收其本地设备身份(LDevID)证书,并在授权后获取证书。此步骤是FAR需要其证书与TPS通信并与HER建立IPSec隧道的下一个步骤的前提条件。
所涉及的组件包括:FAR、RA、SCEP服务器、Radius服务器及其数据库。
名为tm_ztd_scep.tcl的工具命令语言(TCL)脚本将自动启动SCEP进程并一直尝试直到注册成功。
步骤 |
涉及的组件 |
故障排除指南 |
有用的命令 |
事件管理器启动tm_ztd_scep_tcl脚本 |
远 |
|
deb event manager tcl命令将突出显示脚本应用的所有CLI命令 |
RA FQDN解析 |
FAR、DNS |
- 检查FAR和DNS之间的连接
- 检查DNS记录以解析此名称
- 检查FAR注册配置文件配置
|
从FAR ping RA FQDN |
FAR向RA发送SCEP请求 |
FAR、RA |
- 检查RA和FAR之间的连接
- 检查RA配置。PKI服务器必须为UP
|
debug crypto pki transactions debug crypto provisioning |
PKI授权 |
RA、RADIUS |
- 检查RA和RADIUS服务器之间的连接
- 检查RA PKI授权配置
- 检查Radius服务器配置
|
debug crypto pki scep debug crypto pki transactions debug crypto pki server debug crypto provisioning |
FAR证书颁发 |
RA、颁发者CA |
|
RA:debug crypto pki 如果颁发者CA是IOS-CA,则也可使用相同的debug命令 |
隧道调配
在此阶段时,FAR将与TPS通信(代表CG-NMS充当代理),从CG-NMS获取其隧道配置。一旦通过激活CGNA配置文件完成注册,此阶段由SCEP tcl脚本启动。
涉及的组件包括:FAR、DNS、TPS、CG-NMS
步骤 |
涉及的组件 |
故障排除指南 |
有用的命令 |
激活CGNA配置文件的TCL脚本 |
远 |
验证为ZTD_SCEP_CGNA_Profile环境变量配置了正确的配置文件 |
“show cgna profile-all”(显示cgna profile-all),以验证配置文件是否处于活动状态 |
CGNA配置文件解析TPS FQDN |
FAR、DNS |
- 检验DNS和FAR之间的连接
- 检查DNS记录以解析此名称
- 在CGNA URL中检查TPS FQDN配置
|
远:ping TPS FQDN |
CGNA配置文件与TPS建立HTTPS会话 |
FAR、TPS |
- 检查TPS服务是否正在运行
- 检查TPS密钥库文件
- 检查TPS从CGR接收TPS数据包
- 检查CGNA配置文件配置
|
TPS日志文件位于:/opt/cgms-tpsproxy/log/tpsproxy.log |
TPS向CG-NMS转发隧道请求 |
TPS、CG-NMS |
- 验证TPS和CG-NMS属性
- 检验TPS和CG-NMS之间的连接。
- 检查TPS和CG-NMS日志
|
FND日志文件位于:cd /opt/cgms/server/cgms/log |
FAR通过端口9120上的HTTPS的隧道调配请求与TPS联系
4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Inbound proxy request from [192.168.1.1] with client certificate subject
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Completed inbound proxy request from [192.168.1.1] with client certificate subject
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
隧道建立后的日志在HER和FAR之间以及之后,FAR可以直接与HER通信
4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Inbound proxy request from [192.168.1.1] with client certificate subject [SERIALNUMBER=PID:
IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED:
%[ch=1c3d5104][eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Completed inbound proxy request from [192.168.1.1] with client certificate subject [SERIALN
UMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4353: iok-tps: Jul 13 2016 14:46:12.425 +0000: %CGMS-6-UNSPECIFIED:
%[ch=TpsProxyOutboundHandler][ip=192.168.1.1][sev=INFO][tid=qtp687776794-16]:
Outbound proxy request from [192.168.1.2] to [192.168.1.1]
4354: iok-tps: Jul 13 2016 14:46:14.176 +0000: %CGMS-6-UNSPECIFIED:
%[ch=TpsProxyOutboundHandler][ip=10.10.10.61][sev=INFO][tid=qtp687776794-16]:
Outbound proxy request from [192.168.1.2] to [192.168.1.1
设备注册
步骤1.准备设备注册
CG-NMS将推送CGNA配置文件cg-nms-register的配置。添加额外命令,以便立即执行配置文件,而不是等待间隔计时器过期。
CG-NMS将停用CGNA配置文件cg-nms-tunnel隧道调配在此时被视为已完成。
步骤2. CG-NMS接收设备注册请求
- 验证FAR是否已在其数据库中调配
- 验证cg-nms.odm和cg-nms-scripts.tcl文件是否在FAR闪存中丢失或必须更新为新版本。CG-NMS将在需要时自动上传它们。
- 捕获FAR当前配置
- 处理请求中包含的所有show命令输出。如果需要,请找缺失的。列表可能因FAR硬件配置而异。
有关在您的网络中实施零接触部署的详细信息,请联系您的思科合作伙伴或思科系统工程师。
有关路由器的快速设置配置,请联系您的合作伙伴或思科系统工程师。
相关信息