简介
本文档介绍如何用另一台发生故障的Edge设备来更换该设备。其中包括将配置从故障路由器复制到替换路由器、删除此cEdge以及将新路由器添加到网络中。此过程与vEdge替换类似,但是在vManage for cEdge中缺少复制选项。
先决条件
要求
Cisco 建议您了解以下主题:
使用的组件
本文档中的信息基于以下软件和硬件版本:
- cEdge版本17.3.3
- vManage版本20.4.2
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
通常情况下,当收到由于旧的cEdge路由器完全故障或路由器中的某个组件而导致RMA路由器出现故障或思科TAC继续RMA时,会用新设备替换发生故障的cEdge设备。
在更换cEdge之前,验证某些点以使新的cEdge路由器成功建立控制连接。
步骤1:将备件或RMA设备升级到与控制器兼容的SDWAN映像。
注:确保当前的cEdge版本与控制器版本兼容。请参阅兼容性表。
注:有关通过CLI进行cEdge升级过程的详细信息,请参阅Cisco IOS XE路由器的软件安装和升级。
第二步:进行基本配置,使cEdge达到vBond、vManage和vSmart。
确认有问题的cEdge已正确配置,它包括:
System-IP
Site-ID
Organization-Name
vBond address
- 配置了Tunnel选项和IP地址的VPN 0传输接口。
- 在cEdge上正确配置的系统时钟以及与其他设备/控制器匹配的系统时钟。
命令show clock确认当前时间设置,并使用clock set设置设备上的正确时间。
show clock
clock set
- 确保cEdge到达vBond。如果将FQDN用于vBond,请确保在VPN 0下配置DNS并解析vBond。
注意:对于新的cEdge,使用不同于原始/故障路由器中存在的系统IP的System IP。在最后的步骤中,系统IP将更改为与原始cEdge相同。
第三步: 将根CA证书复制并安装到备件或RMA cEdge中。
根CA通过任何控制器(如vBond、vSmart或vManage)的CLI获取。在vshell中查找证书。
vBond示例:
vshell
cd /usr/share/viptela
显示证书的内容并复制所有内容
ls -l root*
cat root-ca.crt
要将证书复制到cEdge的引导闪存中,请使用FTP、SFTP或USB驱动器。如果不能,请手动复制证书作为最后一个资源。
在RMA cEdge中为新的根CA创建文件。
注意:命令行的注释以“!”开头。删除所有注释。
tclsh !Hit enter
puts [open "bootflash:root-ca-new.cert" w+] { !Hit enter
!Paste-all-the-previous-content-from-vBond-or-vManage-certificaet-WITHOUT-spaces
}!Hit enter
exit
在较新版本的Cisco IOS® XE SD-WAN下,默认情况下禁用tclsh命令。为了临时启用该命令,需要service internal命令。
config-t
(config)# service internal
(config)# commit
(config)# end
debug platform software sdwan unlock-ios-cl
卸载旧的根CA并安装刚刚添加的根CA。
request platform software sdwan root-cert-chain uninstall
request platform software sdwan root-cert-chain install bootflash:<RootCAFile>
选中show control connections以验证设备已再次与控制器建立连接。
第四步:同步/上传vManage下的设备列表。
RMA路由器必须显示在“vManage > Devices”下。如果设备不在vManage下,请确保该设备已添加到PnP门户。
此时,cEdge具有至控制器的控制连接。
如果cEdge使用模板,则更换流程
步骤1:备份设备模板下使用的当前值。
备份模板下用于设备的当前值。导航到vManage > Device Template > Template > ... > Export CSV。
第二步:从附加的设备模板中删除故障设备。
首先备份变量值。
注:删除设备模板后,模板中的所有变量值都将丢失。恢复它们的唯一方法是检查故障或原始设备的配置。此外,如果WAN Edge路由器处于不可达状态,则无法分离设备模板。vManage GUI中显示“Please fix DTLS, NETCONF connectivity between device and vManage before template attempt workflow”(在模板尝试工作流程之前修复设备与vManage之间的DTLS、NETCONF连接)消息。在这种情况下,请先使设备无效(Configuration -> Certificate),然后继续分离模板。
从附加的任何设备模板中删除设备。
第三步:使旧/故障路由器失效。
在vManage > Certificates > Devices下使故障路由器失效。
注意:在这些步骤中,所有控制连接都将丢失。
第四步:发送到控制器。
选择Send to controllers以将更改推送到控制器。
注意:如果不再需要无效路由器的信息,并且需要在RMA路由器上重复使用相同的system-ip,请从vManage中删除无效路由器。
第五步:将模板推入备用路由器或RMA路由器。
将模板推入备用路由器或RMA路由器。
注:使用步骤1中的CSV文件填写附加设备模板时请求的所有值。
更换过程(如果通过CLI配置Edge)
步骤1:备份当前配置。
备份当前配置。导航到vManage > Device > ..... > Running Config。
如果设备脱机,请尝试选择Local Configuration,以便检查是否有设备配置的备份。
如果有任何配置保存在vManage中,请从设备本身提取此配置。
在CLI下使用以下命令在Bootflash中创建包含所有当前配置的文件:
show running-config | redirect bootflash:sdwan/ios.cli
show sdwan running-config | redirect bootflash:sdwan/sdwan.cli
第二步:使旧/故障路由器失效。
在vManage > Certificates > Devices中使旧/故障路由器失效。
注:设备失效后,配置将丢失。无法从vManage恢复配置。配置在出现故障的设备或原始设备上仍然可用。
注意:在这些步骤中,所有控制连接都将丢失。
注意:如果不再需要无效路由器的信息,并且需要在RMA路由器上重复使用相同的system-ip,请从vManage中删除无效路由器。
第三步:发送到控制器。
选择Send to controllers以将更改推送到控制器。
第四步:将配置放入路由器。
将所有配置放入路由器中。此时,将系统IP从发生故障的路由器或原始路由器更改为使用系统IP是安全的。
相关信息
反馈