在Google雲平台上部署CSR1000v/C8000v

簡介

本檔案介紹在Google Cloud Platform (GCP)上部署和設定Cisco CSR1000v和Catalyst 8000v (C800v)的程式。

必要條件

需求

思科建議您瞭解以下主題：

• 虛擬化技術/虛擬機器器(VM)
• 雲端平台

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 對Google Cloud Platform的活動訂閱，已建立專案

• GCP主控台

• GCP市場

• Bash終端、Putty或SecureCRT
• 公用和專用安全殼層(SSH)金鑰

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

從17.4.1開始，CSR1000v變為C8000v，具有相同的功能，但增加了新功能，如SD-WAN和Cisco DNA許可。 如需進一步參考，請驗證官方產品資料表：

Cisco Cloud Services Router 1000v資料表

Cisco Catalyst 8000V Edge軟體資料表

因此，本指南適用於CSR1000v和C8000v路由器的安裝。

專案設定

注意：在撰寫本文檔時，新使用者有300美元的免費積分，可將GCP作為免費套餐全面探索一年。這由Google定義，不受思科控制。

注意：本文檔要求建立公用SSH金鑰和專用SSH金鑰。有關其他資訊，請參閱生成例項SSH金鑰以便在Google雲平台中部署CSR1000v 

步驟 1.確定帳戶的有效專案。

確保您的帳戶具有有效且活動的專案，這些專案必須與具有Compute Engine許可權的組關聯。

對於此示例部署，使用GCP中建立的專案。

附註：若要建立新專案，請參閱建立和管理專案。

步驟 2.建立新的VPC和子網。

建立新的虛擬私有雲(VPC)和必須與CSR1000v例項關聯的子網。

可以使用預設VPC或以前建立的VPC和子網。 

在控制檯控制台中，選擇VPC網路> VPC網路（如圖所示）。

選擇Create VPC Network（如圖所示）。

註：目前，CSR1000v僅部署在GCP上的美國中部地區。 

如圖所示配置VPC名稱。

配置與VPC關聯的子網名稱並選擇區域us-central1。

在us-central1 CIDR 10.128.0.0/20內分配有效的IP地址範圍，如圖所示。

保留其他設定作為預設值並選擇建立按鈕：

備註：如果選取「自動」，GCP會指定區域CIDR內的自動有效範圍。

建立過程完成後，新VPC將顯示在VPC網路部分，如圖所示。

步驟 3.虛擬例項部署。

在計算引擎部分，選擇計算引擎> VM例項，如下圖所示。

在VM控制台中，選擇建立例項頁籤，如圖所示。

 

請使用圖中所示的GCP marketplace顯示思科產品。

 

在搜尋欄中，鍵入Cisco CSR 或Catalyst C8000v，選擇符合您要求的型號和版本，然後選擇Launch。 

對於此示例部署，選擇了第一個選項，如圖所示。

 

 

注意：BYOL代表「自帶許可證」。 

備註：目前，GCP不支援「現收現付」(PAYG)模式。

GCP需要輸入必須與VM關聯的配置值，如圖所示：

在GCP中部署CSR1000v/C8000v需要使用者名稱和SSH公鑰，如圖所示。如果尚未建立SSH金鑰，請參閱生成例項SSH金鑰以便在Google雲平台中部署CSR1000v。

選擇之前建立的VPC和子網，並在外部IP中選擇Evermeral，以便讓公共IP與例項關聯，如圖所示。

配置此配置後。選取啟動按鈕。

注意：透過SSH連線到CSR例項需要埠22。HTTP埠是可選的。

部署完成後，選擇Compute Engine > VM instances 以驗證已成功部署新的CSR1000v，如圖所示。

 

驗證部署

從遠端連線至新執行處理

在GCP中登入到CSR1000v/C8000V的最常用方法是Bash終端中的命令列Putty和SecureCRT。在本節中，是連線上述方法所需的配置。

使用Bash終端登入到CSR1000v/C8000v

遠端連線到新CSR所需的語法為：

ssh -i private-key-path username@publicIPaddress

範例：

$ ssh -i CSR-sshkey <snip>@X.X.X.X
The authenticity of host 'X.X.X.X (X.X.X.X)' can't be established.
RSA key fingerprint is SHA256:c3JsVDEt68CeUFGhp9lrYz7tU07htbsPhAwanh3feC4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'X.X.X.X' (RSA) to the list of known hosts.

如果連線成功，則顯示CSR1000v提示

$ ssh -i CSR-sshkey <snip>@X.X.X.X

csr-cisco# show version
Cisco IOS XE Software, Version 16.09.01
Cisco IOS Software [Fuji], Virtual XE Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.9.1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2018 by Cisco Systems, Inc.
Compiled Tue 17-Jul-18 16:57 by mcpre

使用PuTTY登入到CSR1000v/C8000v

要連線Putty，請使用PuTTYgen應用程式將私鑰從PEM轉換為PPK格式。

有關其他資訊，請參閱使用PuTTYgen將Pem轉換為Ppk檔案。

以正確格式生成私鑰後，您必須在Putty中指定路徑。

在SSH連線選單的auth選項中選擇用於身份驗證的私鑰檔案部分。

瀏覽至儲存金鑰的資料夾，然後選取建立的金鑰。在本示例中，影象顯示Putty選單的圖形檢視和所需的狀態：

 

 

 

選擇正確的金鑰後，返回主選單並使用CSR1000v例項的外部IP地址透過SSH進行連線，如圖所示。

 

注意：系統將請求在生成的SSH金鑰中定義的使用者名稱/口令登入。

log in as: cisco
Authenticating with public key "imported-openssh-key"
Passphrase for key "imported-openssh-key":

csr-cisco#

使用SecureCRT登入到CSR1000v/C8000V

安全CRT需要PEM格式的私鑰，這是私鑰的預設格式。

在Secure CRT中，指定功能表中私密金鑰的路徑：

「檔案」>「快速連線」>「身份驗證」>「取消選中密碼」>「公鑰」>「屬性」。

此影像會顯示預期的視窗。

 

選擇Use session public key string > Select Use identity or certificate file > Select ...按鈕>導航到目錄並選擇所需的金鑰>選擇OK（如圖所示）。

 

最後，透過SSH連線到例項地址的外部IP，如圖所示。

 

注意：系統將請求在生成的SSH金鑰中定義的使用者名稱/口令登入。

csr-cisco# show logging 
Syslog logging: enabled (0 messages dropped, 3 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filtering disabled)

No Active Message Discriminator.
<snip>
*Jan 7 23:16:13.315: %SEC_log in-5-log in_SUCCESS: log in Success [user: cisco] [Source: X.X.X.X] [localport: 22] at 23:16:13 UTC Thu Jan 7 2021
csr-cisco#

其他VM登入方法

註：請參閱使用高級方法連線到Linux VM文檔。

授權其他使用者登入GCP中的CSR1000v/C8000v

成功登入到CSR1000v例項後，即可使用這些方法配置其他使用者。

設定新的使用者名稱/密碼 

使用這些命令配置新使用者和口令。

enable
configure terminal
username <username> privilege <privilege level> secret <password>
end

範例：

csr-cisco# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
csr-cisco(config)#

csr-cisco(config)# username cisco privilege 15 secret cisco
csr-cisco(config)# end
csr-cisco#

新使用者現在能夠登入到CSR1000v/C8000v例項。

使用SSH金鑰配置新使用者

要訪問CSR1000v例項，請配置公鑰。例項後設資料中的SSH金鑰不提供對CSR1000v的訪問。

使用以下命令使用SSH金鑰配置新使用者。

configure terminal
ip ssh pubkey-chain
username <username>
key-string
<public ssh key>
exit
end

注意：Cisco CLI的最大行長度為254個字元，因此金鑰字串無法滿足此限制，因此可以方便地將金鑰字串換行以適合終端行。有關如何克服此限制的詳細資訊，請參閱生成例項SSH金鑰以便在Google雲平台中部署CSR1000v 

$ fold -b -w 72 /mnt/c/Users/ricneri/.ssh/key2.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDldzZ/iJi3VeHs4qDoxOP67jebaGwC6vkC
n29bwSQ4CPJGVRLcVSNPcPPqVydiXVEOG8e9gFszkpk6c2meO+TRsSLiwHigv28lyw5xhn1U
ck/AYpy9E6TyEEu9w6Fz0xTG2Qhe1n9b5Les6K9PFP/mR6WUMbfmaFredV/sADnODPO+OfTK
/OZPg34DNfcFhglja5GzudRb3S4nBBhDzuVrVC9RbA4PHVMXrLbIfqlks3PCVGOtW1HxxTU4
FCkmEAg4NEqMVLSm26nLvrNK6z7lRMcIKZZcST+SL6lQv33gkUKIoGB9qx/+DlRvurVXfCdq
3Cmxm2swHmb6MlrEtqIv cisco
$

csr-cisco# configure terminal 
Enter configuration commands, one per line. End with CNTL/Z.
csr-cisco(config)#

csr-cisco(config)# ip ssh pubkey-chain
csr-cisco(conf-ssh-pubkey)# username cisco 
csr-cisco(conf-ssh-pubkey-user)# key-string 
csr-cisco(conf-ssh-pubkey-data)#ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDldzZ/iJi3VeHs4qDoxOP67jebaGwC
csr-cisco(conf-ssh-pubkey-data)#6vkCn29bwSQ4CPJGVRLcVSNPcPPqVydiXVEOG8e9gFszkpk6c2meO+TRsSLiwHigv28l
csr-cisco(conf-ssh-pubkey-data)#yw5xhn1Uck/AYpy9E6TyEEu9w6Fz0xTG2Qhe1n9b5Les6K9PFP/mR6WUMbfmaFredV/s
csr-cisco(conf-ssh-pubkey-data)#ADnODPO+OfTK/OZPg34DNfcFhglja5GzudRb3S4nBBhDzuVrVC9RbA4PHVMXrLbIfqlk
csr-cisco(conf-ssh-pubkey-data)#s3PCVGOtW1HxxTU4FCkmEAg4NEqMVLSm26nLvrNK6z7lRMcIKZZcST+SL6lQv33gkUKI
csr-cisco(conf-ssh-pubkey-data)#oGB9qx/+DlRvurVXfCdq3Cmxm2swHmb6MlrEtqIv cisco
csr-cisco(conf-ssh-pubkey-data)# exit
csr-cisco(conf-ssh-pubkey-user)# end
csr-cisco#

驗證登入至CSR1000v/C8000v的已配置使用者

為了確認配置設定正確，請使用建立的憑據或具有其他憑據的公鑰的私鑰對登入。

從路由器端，檢視包含終端IP地址的成功登入日誌。

csr-cisco# show clock
*00:21:56.975 UTC Fri Jan 8 2021
csr-cisco#

csr-cisco# show logging 
Syslog logging: enabled (0 messages dropped, 3 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filtering disabled)

<snip>
*Jan 8 00:22:24.907: %SEC_log in-5-log in_SUCCESS: log in Success [user: <snip>] [Source: <snip>] [localport: 22] at 00:22:24 UTC Fri Jan 8 2021
csr-cisco#

疑難排解

如果顯示「作業逾時」錯誤訊息。

$ ssh -i CSR-sshkey <snip>@X.X.X.X
ssh: connect to host <snip> port 22: Operation timed out

 

可能原因

• 執行處理尚未完成部署。
• 公有地址不是分配給VM中nic0的地址。

解決方案

等待虛擬機器部署完成。通常，CSR1000v部署最多需要5分鐘才能完成。

如果需要密碼

如果需要密碼：

$ ssh -i CSR-sshkey <snip>@X.X.X.X
Password:
Password:

 

可能起因

• 使用者名稱或私密金鑰不正確。
• 在MacOS或Linux等較新版本的Operating System上，OpenSSH實用程式預設情況下不啟用RSA。

解決方案

• 確保使用者名稱與部署CSR1000v/C8000v時指定的使用者名稱相同。
• 確保私鑰與部署時包含金鑰相同。
• 在ssh命令中指定接受的金鑰型別。

ssh -o PubkeyAcceptedKeyTypes=ssh-rsa -i <private_key> <user>@<host_ip>

相關資訊

• Cisco Cloud Services Router 1000v資料表
• 技術支援與文件 - Cisco Systems