风扇解决方案中ZTD的故障排除步骤

下载选项

  • PDF     (202.1 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (79.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (67.4 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2021 年 7 月 15 日
文档 ID:201005

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何排除现场局域网(FAN)中零接触部署(ZTD)解决方案(由Connected Grid路由器(CGR)和现场网络导向器(FND)组成)中的常见问题。


    先决条件 


    要求

    本文档没有任何特定的要求。

    使用的组件

    本文档中的信息基于CGR的ZTD部署。
    它包括CGR(CGR1120/CGR1240)、FND、隧道调配服务器(TPS)、注册机构(RA)、证书颁发机构(CA)、域名服务器(DNS)等组件。  FND和思科互联电网网络管理系统(CG-NMS)可互换,因为CG-NMS是FND的早期版本。
     
    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。 



    风扇解决方案中按ZTD流程排除故障的步骤

    现场区域路由器(FAR)制造配置

    一切从此制造配置开始,因此此步骤是成功部署的关键。
     
    此配置将触发前两个阶段:简单证书注册协议(SCEP)和隧道调配。
     
    成功的测试是使用其制造配置部署的FAR,它能够通过ZTD流程最终注册到CG-NMS,而无需任何干预。

    通常的疑点是:

    • FAR和CG-NMS之间的凭证不匹配。
    • 用于隧道调配的Connected Grid NMS代理(CGNA)URL不正确(请确保其是https而非http)。
    • 域名服务器(DNS)配置错误,无法解析TPS完全限定域名(FQDN)。

    如果在对这两个阶段进行故障排除时,必须更新制造配置,则应遵循以下流程:  

    • 阻止FAR与HE的连接(物理或逻辑)
    • 将FAR回滚到其express-setup-config
    • 应用更改
    • 创建新的快速设置配置文件
    • 将配置保存到nvram
    • 恢复连接,使FAR可以再次触发ZTD进程

    SCEP 注册

    此阶段的目标是授权FAR从RSA公钥基础设施(PKI)接收其本地设备身份(LDevID)证书,并在授权后获取证书。此步骤是FAR需要其证书与TPS通信并与HER建立IPSec隧道的下一个步骤的前提条件。

    所涉及的组件包括:FAR、RA、SCEP服务器、Radius服务器及其数据库。

    名为tm_ztd_scep.tcl的工具命令语言(TCL)脚本将自动启动SCEP进程并一直尝试直到注册成功。

             步骤                           

    涉及的组件

    故障排除指南            

    有用的命令                                     

    事件管理器启动tm_ztd_scep_tcl脚本

    • 验证事件管理器配置
    • 验证脚本使用的环境变量配置

    deb event manager tcl命令将突出显示脚本应用的所有CLI命令

    RA FQDN解析

    FAR、DNS
    • 检查FAR和DNS之间的连接
    • 检查DNS记录以解析此名称
    • 检查FAR注册配置文件配置

    从FAR ping RA FQDN

    FAR向RA发送SCEP请求

    FAR、RA
    • 检查RA和FAR之间的连接
    • 检查RA配置。PKI服务器必须为UP

    debug crypto pki transactions

    debug crypto provisioning

    PKI授权

    RA、RADIUS
    • 检查RA和RADIUS服务器之间的连接
    • 检查RA PKI授权配置
    • 检查Radius服务器配置

    debug crypto pki scep

    debug crypto pki transactions

    debug crypto pki server

    debug crypto provisioning

    FAR证书颁发

    RA、颁发者CA
    • 检查RA和颁发者CA之间的连接 

    RA:debug crypto pki

    如果颁发者CA是IOS-CA,则也可使用相同的debug命令

    隧道调配

    在此阶段时,FAR将与TPS通信(代表CG-NMS充当代理),从CG-NMS获取其隧道配置。一旦通过激活CGNA配置文件完成注册,此阶段由SCEP tcl脚本启动。

    涉及的组件包括:FAR、DNS、TPS、CG-NMS

    步骤 

    涉及的组件 

    故障排除指南 

    		 有用的命令 

    激活CGNA配置文件的TCL脚本

    验证为ZTD_SCEP_CGNA_Profile环境变量配置了正确的配置文件

    “show cgna profile-all”(显示cgna profile-all),以验证配置文件是否处于活动状态

    CGNA配置文件解析TPS FQDN

    FAR、DNS
    • 检验DNS和FAR之间的连接
    • 检查DNS记录以解析此名称
    • 在CGNA URL中检查TPS FQDN配置

    远:ping TPS FQDN

    CGNA配置文件与TPS建立HTTPS会话

    FAR、TPS
    • 检查TPS服务是否正在运行
    • 检查TPS密钥库文件
    • 检查TPS从CGR接收TPS数据包
    • 检查CGNA配置文件配置
    		 TPS日志文件位于:/opt/cgms-tpsproxy/log/tpsproxy.log

    TPS向CG-NMS转发隧道请求

    TPS、CG-NMS
    • 验证TPS和CG-NMS属性
    • 检验TPS和CG-NMS之间的连接。
    • 检查TPS和CG-NMS日志
    		 FND日志文件位于:cd /opt/cgms/server/cgms/log

    FAR通过端口9120上的HTTPS的隧道调配请求与TPS联系

    4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
    [eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
    Inbound proxy request from [192.168.1.1] with client certificate subject 
    [SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

    4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
    [eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
    Completed inbound proxy request from [192.168.1.1] with client certificate subject 
    [SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

      

    隧道建立后的日志在HER和FAR之间以及之后,FAR可以直接与HER通信

    4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
    [eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
    Inbound proxy request from [192.168.1.1] with client certificate subject [SERIALNUMBER=PID:

    IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

    4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: 
    %[ch=1c3d5104][eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
    Completed inbound proxy request from [192.168.1.1] with client certificate subject [SERIALN

    UMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

    4353: iok-tps: Jul 13 2016 14:46:12.425 +0000: %CGMS-6-UNSPECIFIED: 
    %[ch=TpsProxyOutboundHandler][ip=192.168.1.1][sev=INFO][tid=qtp687776794-16]: 
    Outbound proxy request from [192.168.1.2] to [192.168.1.1]

    4354: iok-tps: Jul 13 2016 14:46:14.176 +0000: %CGMS-6-UNSPECIFIED: 
    %[ch=TpsProxyOutboundHandler][ip=10.10.10.61][sev=INFO][tid=qtp687776794-16]: 
    Outbound proxy request from [192.168.1.2] to [192.168.1.1

    设备注册

    步骤1.准备设备注册

    CG-NMS将推送CGNA配置文件cg-nms-register的配置。添加额外命令,以便立即执行配置文件,而不是等待间隔计时器过期。

    CG-NMS将停用CGNA配置文件cg-nms-tunnel隧道调配在此时被视为已完成。

    步骤2. CG-NMS接收设备注册请求

    • 验证FAR是否已在其数据库中调配
    • 验证cg-nms.odm和cg-nms-scripts.tcl文件是否在FAR闪存中丢失或必须更新为新版本。CG-NMS将在需要时自动上传它们。
    • 捕获FAR当前配置
    • 处理请求中包含的所有show命令输出。如果需要,请找缺失的。列表可能因FAR硬件配置而异。 

    有关在您的网络中实施零接触部署的详细信息,请联系您的思科合作伙伴或思科系统工程师。

    有关路由器的快速设置配置,请联系您的合作伙伴或思科系统工程师。


    相关信息

    修订历史记录

    版本 发布日期 备注
    1.0
    02-Mar-2017
    初始版本
    TAC Authored

    由思科工程师提供

    • Abhishek Kumar
      Cisco TAC Engineer

    此文档是否有帮助?

    Feedback反馈

    联系我们