簡介
本檔案介紹準備Field Network Director(FND)的.csv檔案的步驟。 為了提供安全的網路管理,FND不提供自動或動態資產發現和註冊。在將新裝置新增到FND部署之前,必須通過通過Web使用者介面(UI)匯入自定義.csv檔案為其建立唯一資料庫條目。
本文提供.csv模板,這些模板可用於和自定義,以便將新的終端、現場區域路由器或前端路由器新增到現有解決方案中。此外,還將定義和解釋每個資料庫(DB)欄位,以便幫助設計和實施新裝置。
附註:您必須擁有完全配置和安裝的Connected Grid Network Management System(CG-NMS)/FND解決方案,才能使用此指南。
必要條件
需求
思科建議您瞭解以下主題:
- 安裝並運行CG-NMS/FND應用伺服器1.0或更高版本,並且可以使用Web UI訪問。
- 已安裝並運行隧道調配伺服器(TPS)代理伺服器。
- 已安裝並正確配置Oracle資料庫伺服器。
- setupCgms.sh成功運行至少一次,並首次成功運行db_migrate。
- 如果您尚未安裝和配置DHCP伺服器,則仍可以使用此指南,但強烈建議您在使用此文檔之前,您的組織已經完全規劃了用於部署的IPv4和IPv6編址方案。其中包括IPv4 IPSec通道、IPv6通用路由封裝(GRE)通道和連線電網路由器(CGR)環回上的雙堆疊定址的字首長度和範圍。
- 此外,強烈建議您已經購買或計畫購買至少1台前端路由器、至少1台現場區域路由器和至少1台終端/米。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- FND 3.0.1-36
- 基於軟體的SSM(也是3.0.1-36)
- 應用伺服器中安裝的cgms-tools包(3.0.1-36)
- 所有運行RHEL 6.5的Linux伺服器
- 所有運行Windows Server 2008 R2 Enterprise的Windows伺服器
- 在虛擬機器上作為頭端路由器運行的思科雲服務路由器(CSR)1000v
- CGR-1120/K9用於CG-OS 4(3)的現場區域路由器(FAR)
建立本文檔期間使用受控的FND實驗室環境。雖然其他部署會有所不同,但您應該遵守安裝指南中的所有最低要求。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
要在FND中新增裝置的.csv檔案
遠端
該模板可用於首次引入到解決方案中的FAR。此頁面位於Devices > Field Devices頁面。在Field Devices頁面上,按一下Bulk Import下拉選單,然後選擇Add Devices。
eid,deviceType,tunnelHerEid,certIssuerCommonName,meshPrefixConfig,tunnelSrcInterface1,ipsecTunnelDestAddr1,adminUsername,adminPassword,cgrusername1,cgrpassword1,ip,meshPanidConfig,wifiSsid,dhcpV4TunnelLink,dhcpV6TunnelLink,dhcpV4LoopbackLink,dhcpV6LoopbackLink
元素識別符號(EID) — 這是用於在日誌消息和GUI中標識裝置的唯一識別符號。為防止混亂,建議您的組織制定EID方案。推薦的方案是使用CGR的IDevID序列號作為EID。在這些路由器上,序列號將使用以下公式:PID+SN。例如:CGR1120/K9+JAFXXXXXXX。
deviceType — 用於標識硬體平台或系列。對於1120和1240型號,deviceType值都應為cgr1000。
tunnelHerEid — 由於FND允許使用以HA對或獨立模式運行的2個HER,因此tunnelHerEid欄位用於標識此CGR上的VPN隧道將終止的HER。此值將只是適當的HER的EID。
certIssuerCommonName — 此欄位是零接觸部署(ZTD)的要求,通常與根RSA證書頒發機構的DNS名稱相同。如果您不知道公用名,可以找到它並運行命令show crypto ca certificates。在LDevID信任點的鏈中,您可在「CA certificate 0」主題行中看到根頒發者公用名稱。 或者,您只需訪問FND的Certificates頁面並檢視根證書。
meshPrefixConfig — 此值將分配給WPAN模組介面。與本路由器一起構成路由策略語言(RPL)樹的所有CGE都通過DHCP(假設已正確配置DHCP中繼)接收一個IP地址,並將此值作為網路字首。
tunnelSrcInterface1 — 對於使用主要和輔助IPSec隧道的部署,此值是主要隧道(例如cellular4/1)的隧道源的介面名稱。 如果存在備用隧道,則將通過為tunnelSrcInterface2新增值來分配源介面。如果只有1個WAN連線,則將僅使用tunnelSrcInterface1欄位。
ipsecTunnelDestAddr1 — 此值是來源介面指派給tunnelSrcInterface1的主IPSec通道的IPv4通道目的地位址。
adminUsername — 這是當您開啟FAR的HTTPS和Netconf會話時FND將使用的使用者名稱。要求此使用者由AAA授予完全許可權或在本地配置網路管理員角色。
adminPassword - adminUsername帳戶的密碼。您可以在GUI中檢視此使用者名稱,導航到裝置頁面的Config Properties頁籤,並檢視「Router Credentials」部分中的「Administrator Username」。為了避免出現錯誤,必須先使用cgms-tools RPM包中的Signature_Tool對此密碼進行加密。此工具使用cgms_keystore中的憑證鏈結以純文字加密任何內容。要使用簽名工具,請在FND應用程式伺服器上將目錄更改為/opt/cgms-tools/bin/。接下來,建立一個包含adminPassword的新純文字檔案.txt檔案。收到文本檔案後,請運行以下命令:
./signature-tool encrypt /opt/cgms/server/cgms/conf/cgms_keystore password-file.txt
將加密的輸出複製/貼上到.csv檔案的adminPassword欄位中。當您完成使用「簽名工具」時,最好安全地刪除純文字檔案密碼檔案。
cgrusername1 -此使用者帳戶不是必需的,但是如果在CGR上配置了多個具有不同角色的使用者,則可以在此處新增另一個使用者帳戶。必須知道只有adminUsername和adminPassword將用於裝置管理。在本實驗設定中,使用與adminUsername相同的憑據。
cgrpassword1 - cgrusername1使用者的密碼。
ip — 這是主要管理IP。從FND執行ping或跟蹤時,它們會使用此IP。連線網格裝置管理器(CGDM)的HTTPS會話也將傳送到此IP。在典型的部署中,這是分配給您的tunnelSrcInterface1介面的IP地址。
meshPanidConfig — 分配給此CGR的WPAN介面的PAN ID。
wifiSsid - WPAN介面上配置的SSID。
dhcpV4TunnelLink - FND將在其對DHCP伺服器的代理請求中使用的IPv4地址。在此實驗環境中,DHCP伺服器是Cisco Network Registrar(CNR),DHCPv4 IPsec池配置為租用/31子網。如果使用可用/31子網中的第一個IP作為dhcpv4TunnelLink值,則FND將自動調配從點對點子網到CGR的隧道0和HER的相應隧道的兩個IP。
dhcpV6TunnelLink - FND在對IPv6通用路由封裝(GRE)隧道的DHCP伺服器的代理請求中使用的IPv6地址。在此實驗環境中,CNR配置為使用/127字首租用地址。與dhcpV4TunnelLink一樣,當您配置其GRE隧道時,FND會自動將點對點子網的第2個IP調配給HER。
dhcpV4LoopbackLink — 配置CGR的Loopback 0介面時,FND在向DHCP伺服器發出代理請求時將使用的IPv4地址。在此實驗環境中,CNR上對應的DHCP池配置為租用/32子網。
dhcpV6LoopbackLink — 當您配置CGR的Loopback 0介面時,FND將在其對DHCP伺服器的代理請求中使用IPv6地址。在此實驗環境中,相應的池配置為租用/128子網。
頭端路由器(HER)
首次新增頭端路由器時,可使用此模板:
eid,deviceType,name,status,lastHeard,runningFirmwareVersion,ip,netconfUsername,netconfPassword
deviceType — 引入ASR或CSR時,應在此欄位中使用「asr1000」值。
status — 接受的狀態值為未聽見、關閉和開啟。如果是新匯入,則使用unheard。
lastheard — 如果是新裝置,此欄位可以留空。
runningFirmwareVersion — 此值也可留空,但如果要匯入版本,請使用show version輸出最頂端的版本號碼。例如,在此輸出中,應使用「03.16.04b.S」字串:
Router#show version
Cisco IOS XE Software, Version 03.16.04b.S - Extended Support Release
netconfUsername — 配置為對HER具有完全Netconf/SSH訪問許可權的使用者的使用者名稱。
netconfPassword - netconfUsername欄位中指定使用者的密碼。
連線電網端點(CGE)
向DB新增新的網格端點非常簡單。可以使用此模板:
EID,deviceType,lat,lng
deviceType — 在本實驗環境中,使用「cgmesh」新增智慧儀表作為CGE。
lat — 安裝CGE的GPS緯度座標。
lng - GPS經度。
範例
FAR附加:
eid,deviceType,tunnelHerEid,certIssuerCommonName,meshPrefixConfig,tunnelSrcInterface1,ipsecTunnelDestAddr1,
adminUsername,adminPassword,cgrusername1,cgrpassword1,ip,meshPanidConfig,wifiSsid,dhcpV4TunnelLink,
dhcpV6TunnelLink,dhcpV4LoopbackLink,dhcpV6LoopbackLink
CGR1120/K9+JAF########,cgr1000,ASR1006-X+JAB#########,root-ca-common-name,2001:db8::/32,cellular3/1,
192.0.2.1,Administrator,ajfiea30agbzhjelleabbjk3900=aazbzhje8903saadaio0eahgl,Administrator,
ajfiea30agbzhjelleabbjk3900=aazbzhje8903saadaio0eahgl,198.51.100.1,5,meshssid,203.0.113.1,2001:db8::1,
209.165.200.225,2001:db8::90FE
她補充說:
eid,deviceType,name,status,lastHeard,runningFirmwareVersion,ip,netconfUsername,netconfPassword
ASR1006-X+JAB#########,CSR1000V+JAB########,asr1000,CSR1000V+JAB########,unheard,,,192.0.2.1,
Administrator,ofhel35s804502gagh=
專家諮詢小組補充:
EID,deviceType,lat,lng
##############,cgmesh,64.434562,-102.750984
網路圖表
附註:根據FAR運行的是CG-OS還是IOS,隧道調配的工作方式不同。CG-OS:FAR和HER上都將配置新的IPSEC隧道介面。FND將向DHCP伺服器傳送一個代理請求,請求每個隧道有2個IP,並在相應的隧道介面上自動配置第2個IP。IOS:HER將使用使用點對多點IPSEC隧道的Flex-VPN模板。透過此設定,只有FAR會接收新通道介面。
在此拓撲圖中,「Tunnel x」是指HER上的相對IPSEC通道介面,而「Tunnel Y」則對應於HER上回送介面所建立的GRE通道。此外,圖中的IP和介面直接對應於.csv模板中的配置示例。