Roteadores : Roteadores de serviços de agregação Cisco ASR 1000 Series

Gerenciamento VRF-ciente em exemplos da configuração do ASR

18 Junho 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (21 Abril 2016) | Feedback

Introdução

Este documento descreve o uso do roteamento virtual e do Gerenciamento (VRF-ciente) Transmissão-ciente no 1000 Series do roteador dos serviços da agregação de Cisco (ASR1K) com a interface de gerenciamento (GigabitEthernet0). A informação é igualmente aplicável a toda a outra relação em um VRF, a menos que especificada explicitamente de outra maneira. Os vários protocolos de acesso para encenações da à--caixa e da conexão da -- caixa são descritos.

Contribuído por Atri Basu, por Rudresh Veerappaji, e por Wen Zhang, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Protocolos de gestão, tais como o SSH, o telnet, e o HTTP
  • Protocolos de transferência de arquivo, tais como o protocolo da cópia segura (SCP), o TFTP, e o FTP
  • VRF

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão 3.5S do ® XE do Cisco IOS (15.2(1)S) ou versões mais atrasadas do Cisco IOS XE

    Nota: O SCP VRF-ciente exige pelo menos esta versão, visto que outros protocolos descritos neste documento trabalham com versões anterior também.

  • ASR1K

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se sua rede está viva, certifique-se de você compreender o impacto potencial do comando any usado.

Informações de Apoio

Interface de gerenciamento: A finalidade de uma interface de gerenciamento é permitir que os usuários executem tarefas de gerenciamento no roteador. É basicamente uma relação que não deva, e não pode frequentemente, tráfego dianteiro do dataplane. Se não, pode ser usado para o Acesso remoto ao roteador, frequentemente através do telnet e do Shell Seguro (ssh), e executar a maioria de tarefas de gerenciamento no roteador. A relação é a mais útil antes que um roteador comece a distribuir, ou nos scenarios de Troubleshooting quando as relações compartilhadas do adaptador de porta (TERMAS) são inativas. Em ASR1K, a interface de gerenciamento está em um padrão VRF nomeado Mgmt-intf.

O comando da interface de origem do <protocol> IP é usado neste documento extensivamente (onde a palavra-chave do <protocol> pode ser SSH, FTP, TFTP). Este comando está usado a fim especificar o endereço IP de Um ou Mais Servidores Cisco ICM NT de uma relação a ser usada como o endereço de origem quando o ASR é o dispositivo do cliente em uma conexão (por exemplo, a conexão está iniciada do tráfego ASR ou de -- caixa). Isto igualmente significa que se o ASR não é o iniciador da conexão, o comando da interface de origem do <protocol> IP não é aplicável, e o ASR não usa este endereço IP de Um ou Mais Servidores Cisco ICM NT para o tráfego da resposta; em lugar de, usa o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação a mais próxima ao destino. Este comando permite-o ao tráfego de origem (para os protocolos apoiados) de uma relação VRF-ciente.

Protocolos de gestão

Nota: Use a ferramenta de consulta de comandos (clientes registrados somente) a fim obter mais informação nos comandos usados neste artigo.

SCP

A fim usar o serviço do SCP cliente em um ASR de uma relação VRF-permitida, use esta configuração.

Configurar

O comando da interface de origem do ssh IP é usado a fim apontar a interface de gerenciamento a Mgmt-intf VRF para serviços SSH e de SCP cliente, desde que o SCP usa o SSH. Não há nenhuma outra opção no comando do scp da cópia especificar o VRF. Consequentemente, você deve usar este comando da interface de origem do ssh IP. A mesma lógica aplica para qualquer outro a relação VRF-permitida.

ASR(config)#ip ssh source-interface GigabitEthernet0

Nota: Na plataforma ASR1k, o SCP VRF-ciente não trabalha até a versão XE3.5S (15.2(1)S).

Verificar

Use estes comandos a fim verificar a configuração.

ASR#show vrf
Name Default RD Protocols Interfaces
Mgmt-intf <not set> ipv4,ipv6 Gi0
ASR#

A fim copiar um arquivo do ASR a um dispositivo remoto com SCP, incorpore este comando:

ASR#copy running-config scp://guest@10.76.76.160/router.cfg
Address or name of remote host [10.76.76.160]?
Destination username [guest]?
Destination filename [router.cfg]?
Writing router.cfg Password:
!
Sink: C0644 2574 router.cfg
2574 bytes copied in 20.852 secs (123 bytes/sec)
ASR#

A fim copiar um arquivo de um dispositivo remoto ao ASR com SCP, incorpore este comando:

ASR#copy scp://guest@10.76.76.160/router.cfg bootflash:
Destination filename [router.cfg]?
Password:
Sending file modes: C0644 2574 router.cfg
!
2574 bytes copied in 17.975 secs (143 bytes/sec)

TFTP

A fim usar o serviço do cliente de TFTP em um ASR1k de uma relação VRF-permitida, use esta configuração.

Configurar

A opção de interface de origem IP tftp é usada a fim apontar a interface de gerenciamento a Mgmt-intf VRF. Não há nenhuma outra opção no comando copy tftp especificar o VRF. Consequentemente, você deve usar este comando ip tftp source-interface. A mesma lógica aplica para qualquer outro a relação VRF-permitida.

ASR(config)#ip tftp source-interface GigabitEthernet0

Verificar

Use estes comandos a fim verificar a configuração.

ASR#show vrf
Name Default RD Protocols Interfaces
Mgmt-intf <not set> ipv4,ipv6 Gi0
ASR#

A fim copiar um arquivo do ASR ao servidor TFTP, incorpore este comando:

ASR#copy running-config tftp
Address or name of remote host [10.76.76.160]?
Destination filename [ASRconfig.cfg]?
!!
2658 bytes copied in 0.335 secs (7934 bytes/sec)
ASR#

A fim copiar um arquivo do servidor TFTP ao bootflash ASR, incorpore este comando:

ASR#copy tftp://10.76.76.160/ASRconfig.cfg bootflash:
Destination filename [ASRconfig.cfg]?
Accessing tftp://10.76.76.160/ASRconfig.cfg...
Loading ASRconfig.cfg from 10.76.76.160 (via GigabitEthernet0): !
[OK - 2658 bytes]

2658 bytes copied in 0.064 secs (41531 bytes/sec)
ASR#

FTP

A fim usar o serviço do cliente de FTP em um ASR de uma relação VRF-permitida, use esta configuração.

Configurar

A opção de interface de origem do IP FTP é usada a fim apontar a interface de gerenciamento a Mgmt-intf VRF. Não há nenhuma outra opção no comando ftp da cópia especificar o VRF. Consequentemente, você deve usar o comando ip ftp source-interface. A mesma lógica aplica para qualquer outro a relação VRF-permitida.

ASR(config)#ip ftp source-interface GigabitEthernet0

Verificar

Use estes comandos a fim verificar a configuração.

ASR#show vrf
Name Default RD Protocols Interfaces
Mgmt-intf <not set> ipv4,ipv6 Gi0

A fim copiar um arquivo do ASR a um servidor FTP, incorpore este comando:

ASR#copy running-config ftp://username:password@10.76.76.160/ASRconfig.cfg
Address or name of remote host [10.76.76.160]?
Destination filename [ASRconfig.cfg]?
Writing ASRconfig.cfg !
2616 bytes copied in 0.576 secs (4542 bytes/sec)
ASR#

A fim copiar um arquivo do servidor FTP ao bootflash ASR, incorpore este comando:

ASR#copy ftp://username:password@10.76.76.160/ASRconfig.cfg bootflash:
Destination filename [ASRconfig.cfg]?
Accessing ftp://*****:*****@10.76.76.160/ASRconfig.cfg...
Loading ASRconfig.cfg !
[OK - 2616/4096 bytes]

2616 bytes copied in 0.069 secs (37913 bytes/sec)
ASR#

Protocolos do acesso de gerenciamento

Acesso regular

SSH

Cuidado: Um problema comum considerado com ASR1ks é que o SSH falha devido à memória baixa. Para mais informação com respeito a este problema, proveja a autenticação SSH falha devido ao artigo de Cisco das condições de memória baixa

Há duas opções usadas a fim executar o serviço do cliente SSH no ASR (-- caixa SSH). Uma opção é especificar o nome VRF no comando ssh próprio, assim que você pode tráfego da fonte SSH de um VRF particular.

ASR#ssh -vrf Mgmt-intf -l cisco 10.76.76.161
Password:
Router>en
Password:
Router#

A outra opção é usar o tráfego da fonte SSH da opção de interface de origem do ssh IP de uma relação VRF-permitida particular.

ASR(config)#ip ssh source-interface GigabitEthernet0
ASR#
ASR#ssh -l cisco 10.76.76.161
Password:
Router>en
Password:
Router#

A fim usar o serviço do servidor de SSH (à--caixa SSH), siga o procedimento para permitir o SSH em todo o outro roteador do Cisco IOS. Refira o telnet e a vista geral SSH para a seção dos 1000 Series Router de Cisco ASR do manual de configuração do software do Roteadores de serviços de agregação Cisco ASR série 1000 para mais informação.

Telnet

Há duas opções usadas a fim executar o serviço do cliente telnet no ASR (-- caixa do telnet). Uma opção é especificar como mostrado o interace da fonte ou o VRF no comando telnet próprio aqui:

ASR#telnet 10.76.76.160 /source-interface GigabitEthernet 0 /vrf Mgmt-intf
Trying 10.76.76.160 ... Open

User Access Verification

Username: cisco
Password:

Router>en
Password:
Router#

A outra opção é usar o comando ip telnet source-interface. Você ainda deve especificar o nome VRF na próxima etapa com o comando telnet, como mostrado aqui:

ASR(config)#ip telnet source-interface GigabitEthernet0
ASR#
ASR#telnet 10.76.76.160 /vrf Mgmt-intf
Trying 50.50.50.3 ... Open

User Access Verification

Username: cisco
Password:

Router>en
password:
Router#

A fim usar o serviço do servidor Telnet (à--caixa do telnet), siga o procedimento para permitir o telnet em todo o outro roteador. Refira o telnet e a vista geral SSH para a seção dos 1000 Series Router de Cisco ASR do manual de configuração do software do Roteadores de serviços de agregação Cisco ASR série 1000 para mais informação.

HTTP

A relação de usuário de web do legado que está disponível para todo o Roteadores está igualmente disponível para o ASR1K. Permita o Server do HTTP ou o serviço de cliente no ASR segundo as indicações desta seção.

A fim permitir o legado HTTP alcance o serviço da à--caixa (server) e use o acesso de GUI com base na Web, usam esta configuração que usa a autenticação local (você poderia igualmente usar uma autenticação externa, um server da autorização, e da contabilidade (AAA)).

ASR(config)#ip http
ASR(config)#ip http authentication local
ASR(config)#username <> password <>

Está aqui a configuração para permitir o servidor seguro HTTP (HTTPS):

ASR(config)#ip http secure-server
ASR(config)#ip http authentication local
ASR(config)#username <> password <>

Consulte ao endereço IP de Um ou Mais Servidores Cisco ICM NT de uma relação no ASR, e ao início de uma sessão com a conta de usuário que você criou. Está aqui um tiro de tela:

A fim usar o serviço do cliente HTTP, inscreva o comando source do name> do <interface da interface de origem do cliente do HTTP de IP para o tráfego do cliente HTTP de uma relação VRF-permitida, como mostrado:

ASR(config)#ip http client source-interface GigabitEthernet0

Está aqui um exemplo que ilustre o uso do serviço do cliente HTTP a fim copiar uma imagem de um Server do HTTP remoto ao flash:

ASR#
ASR#copy http://username:password@10.76.76.160/image.bin flash:
Destination filename [image.bin]?

Accessing http://10.106.72.62/image.bin...
Loading http://10.106.72.62/image.bin
1778218 bytes copied in 20.038 secs (465819 bytes/sec)
ASR#

Acesso persistente

Esta seção é aplicável somente para conexões da à--caixa Telnet/SSH/HTTP.

Com SSH persistente e o telnet persistente, você pode configurar um mapa do transporte que defina o tratamento do SSH entrante ou do tráfego do telnet na interface Ethernet de gerenciamento. Assim isto cria a capacidade para alcançar o roteador através do modo de diagnóstico mesmo quando o processo do Cisco IOS não é ativo. Para obter mais informações sobre do modo de diagnóstico, refira a compreensão à seção do modo de diagnóstico do manual de configuração do software do Roteadores de serviços de agregação Cisco ASR série 1000.

Nota: O SSH persistente ou o telnet persistente podem somente ser configurados na interface de gerenciamento, GigabitEthernet0. 

Nota: Nas versões que não têm o reparo para a identificação de bug Cisco CSCuj37515, o método de autenticação para o acesso peristent é dependente do método que é usado sob a linha VTY. O acesso persistente exige que a autenticação é local, de modo que trabalhos do acesso do modo de diagnóstico ainda quando a autenticação externa falha. Isto significa que todo o acesso normal SSH e de telnet igualmente exige o uso da autenticação local.

Cuidado: Nas versões que não têm o reparo para a identificação de bug Cisco CSCug77654, o uso do método do padrão AAA restringe a capacidade do usuário para entrar na alerta SSH quando o SSH persistente é usado. O usuário é forçado sempre a entrar na alerta diagnóstica. Para estas versões, Cisco recomenda que você usa um método de autenticação do nome, ou assegura-se de que o SSH e o telnet normais estejam permitidos.

SSH persistente

Crie um mapa do transporte a fim permitir o SSH persistente segundo as indicações da próxima seção:

Configurar

ASR(config)#crypto key generate rsa label ssh-keys modulus 1024
The name for the keys will be: ssh-keys

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

ASR#
ASR(config)#transport-map type persistent ssh
persistent-ssh-map

ASR(config-tmap)#rsa keypair-name ssh-keys
ASR(config-tmap)#transport interface GigabitEthernet0
ASR(config-tmap)#banner wait X
Enter TEXT message. End with the character 'X'.
--Waiting for vty line--
X
ASR(config-tmap)#
ASR(config-tmap)# banner diagnostic X
Enter TEXT message. End with the character 'X'.
--Welcome to Diagnostic Mode--
c
ASR(config-tmap)#connection wait allow interruptible
ASR(config-tmap)#exit
ASR(config)#transport type persistent ssh input persistent-ssh
*Jul 10 15:31:57.102: %UICFGEXP-6-SERVER_NOTIFIED_START: R0/0: psd: 
Server persistent ssh has been notified to start

Agora você deve permitir a autenticação local para o SSH persistente. Isto pode ser feito com o comando aaa new-model ou sem ele. Ambas as encenações são descritas aqui. (Em qualquer dos casos, se assegure de que você tenha uma conta do nome de usuário/senha local no roteador).

Você pode escolher que a configuração baseou sobre se você tem o AAA permitido no ASR.

  1. Com o AAA permitido:
    ASR(config)#aaa new-model
    ASR(config)#aaa authentication login default local
    ASR(config)#line vty 0 4
    ASR(config-line)#login authentication default
  2. Sem AAA permitido:
    ASR(config)#line vty 0 4
    ASR(config-line)#login local

Verificar

SSH ao ASR com o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação Gigabitethernet0 VRF-permitida. Uma vez que a senha é incorporada, você deve incorporar a sequência de break (Ctrl-c ou Ctrl-Shift-6).

management-station$ ssh -l cisco 10.106.47.139
cisco@10.106.47.139's password:

--Waiting for vty line--

--Welcome to Diagnostic Mode--
ASR(diag)#

Nota: Incorpore a sequência de break (Ctrl-c ou Ctrl-Shift-6) quando --Linha vty de espera-- indicadores no terminal a fim incorporar o modo de diagnóstico.

Telnet persistente

Configurar

Com lógica similar como descrito na seção anterior para o SSH, crie um mapa do transporte para o telnet persistente como mostrado aqui:

ASR(config)#transport-map type persistent telnet persistent-telnet
ASR(config-tmap)#banner diagnostic X
Enter TEXT message. End with the character 'X'.
--Welcome to Diagnostic Mode--
X
ASR(config-tmap)#banner wait X
Enter TEXT message. End with the character 'X'.
--Waiting for IOS Process--
X
ASR(config-tmap)#connection wait allow interruptible
ASR(config-tmap)#transport interface gigabitEthernet 0
ASR(config-tmap)#exit
ASR(config)#transport type persistent telnet input persistent-telnet
*Jul 10 15:26:56.441: %UICFGEXP-6-SERVER_NOTIFIED_START: R0/0: psd:
Server persistent telnet has been notified to start

Como discutido na última seção para o SSH, há duas maneiras de configurar como mostrado a autenticação local aqui:

  1. Com o AAA permitido:
    ASR(config)#aaa new-model 
    ASR(config)#aaa authentication login default local
    ASR(config)#line vty 0 4
    ASR(config-line)#login authentication default
  2. Sem AAA:
    ASR(config)#line vty 0 4
    ASR(config-line)#login local

Verificar

Telnet ao endereço IP de Um ou Mais Servidores Cisco ICM NT da relação GigabitEthernet0. Depois que você incorpora as credenciais, incorpore a sequência de break, e a espera por alguns segundos (às vezes pôde tomar um quando) antes que você registre no modo de diagnóstico.

Management-station$ telnet 10.106.47.139
Trying 10.106.47.139...
Connected to 10.106.47.139.
Escape character is '^]'.
Username: cisco
Password:

--Waiting for IOS Process--


--Welcome to Diagnostic Mode--
ASR(diag)#

Nota: Incorpore o Ctrl+C da sequência de break ou o Ctrl+Shift+6, e espere por alguns segundos. Quando --Processo de IOS de espera-- indicadores no terminal, você pode incorporar o modo de diagnóstico.

HTTP persistente

A fim permitir o HTTP persistente alcance a à--caixa (a -- caixa HTTP ou o serviço do cliente HTTP não estão disponível) e use o acesso de GUI com base na Web novo, usam esta configuração que utiliza a autenticação local (você pode igualmente usar um servidor AAA externo).

Configurar

Nestas configurações, o HTTP-WebUI e o https-WebUI são os nomes dos transporte-mapas.

ASR(config)#ip http serverASR(config)#ip http authentication local
ASR(config)#username <> password <>
ASR(config)#transport-map type persistent webui http-webui
ASR(config-tmap)#server
ASR(config-tmap)#exit
ASR(config)#transport type persistent webui input http-webui

Está aqui a configuração usada a fim permitir o servidor seguro HTTP (HTTPS).

ASR(config)#ip http secure-serverASR(config)#ip http authentication local
ASR(config)#username <> password <>
ASR(config)#transport-map type persistent webui https-webui
ASR(config-tmap)#secure-server
ASR(config-tmap)#exit
ASR(config)#transport type persistent webui input https-webui

Verificar

Consulte ao endereço IP de Um ou Mais Servidores Cisco ICM NT de uma relação no ASR. Entre com o username/senha que você criou a fim lançar o Home Page. Indicadores de informação relacionada da saúde e da monitoração, junto com um WebUI IO onde você possa comandos apply. Está aqui um tiro de tela do homepage:

Troubleshooting

Se o WebUI não está disponível através do HTTPS, a seguir verifique que o certificado e a chave de Rivest-Shamir-Adleman (RSA) estam presente e operacional. Você pode usar este comando debug a fim determinar a razão que o WebUI não começa corretamente:

ASR#debug platform software configuration notify webui
ASR#config t
ASR(config)#no transport type persistent webui input https-webui
%UICFGEXP-6-SERVER_NOTIFIED_STOP: SIP0: psd: Server wui has been notified to stop
ASR(config)#transport type persistent webui input https-webui

CNOTIFY-UI: Setting transport map
CNOTIFY-UI: Transport map https-webui input being processed
CNOTIFY-UI: Processing map association
CNOTIFY-UI: Attempting to send config
CNOTIFY-UI: Preparing to send config
CNOTIFY-UI: server cache: false, tm: false
CNOTIFY-UI: secure-server cache: true, tm: true
CNOTIFY-UI: Validating server config
CNOTIFY-UI: Validating secure server config
CNOTIFY-UI: Checking if secure server config is ok
CNOTIFY-UI: Secure server is enabled in map
CNOTIFY-UI: Getting trust point
CNOTIFY-UI: Getting self-signed trust point
CNOTIFY-UI: Could not get self-signed trustpoint
CNOTIFY-UI: A certificate for does not exist
CNOTIFY-UI: Getting rsa key-pair name
CNOTIFY-UI: Failed to get rsa key pair name
CNOTIFY-UI: Key needed to generate the pem file

CNOTIFY-UI: Secure-server config invalid
CNOTIFY-UI: Config analysis indicates no change
CNOTIFY-UI: Failed to prepare config

Chave RSA

A fim verificar a presença da chave RSA, incorpore este comando:

ASR#show crypto key mypubkey rsa
% Key pair was generated at: XX:XX:XX XXX XXX XX XXXX
Key name: ASR.ASR
Key type: RSA KEYS
Storage Device: not specified
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data&colon;
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXX
% Key pair was generated at: XX:XX:XX XXX XXX XX XXXX
Key name: ASR.ASR.server
Key type: RSA KEYS
Temporary key
Usage: Encryption Key
Key is not exportable. Redundancy enabled.
Key Data&colon;
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXX
ASR#
Tome a nota do nome chave, como se exige a fim criar o certificado. Se uma chave não está atual, você pode criar um com estes comandos:
ASR(config)#ip domain-name Router
ASR(config)#crypto key generate rsa
The name for the keys will be: Router.Router
Choose the size of the key modulus in the range of 360 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

ASR(config)#
*Dec 22 10:57:11.453: %SSH-5-ENABLED: SSH 1.99 has been enabled

Certificado

Uma vez que a chave esta presente, você pode incorporar este comando a fim verificar o certificado:

ASR#show crypto pki certificates 
ASR Self-Signed Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: General Purpose
Issuer:
serialNumber=XXXXXXXXXXX+ipaddress=XXX.XXX.XXX.XXX+hostname=ASR
cn=XXX.XXX.XXX.XXX
c=US
st=NC
l=Raleigh
Subject:
Name: Router
IP Address: XXX.XXX.XXX.XXX
Serial Number: XXXXXXXXXXX
serialNumber=XXXXXXXXXXX+ipaddress=XXX.XXX.XXX.XXX+hostname=aSR
cn=XXX.XXX.XXX.XXX
c=US
st=NC
l=Raleigh
Validity Date:
start date: XX:XX:XX XXX XXX XX XXXX
end date: XX:XX:XX XXX XXX XX XXXX
Associated Trustpoints: local

Se o certificado é inválido ou não está atual, a seguir você pode criar o certificado com estes comandos:

ASR(config)#crypto pki trustpoint local
ASR(ca-trustpoint)#enrollment selfsigned
ASR(ca-trustpoint)#subject-name CN=XXX.XXX.XXX.XXX; C=US; ST=NC; L=Raleigh
ASR(ca-trustpoint)#rsakeypair ASR.ASR 2048
ASR(ca-trustpoint)#crypto pki enroll local
% Include the router serial number in the subject name? [yes/no]: yes
% Include an IP address in the subject name? [no]: yes
Enter Interface name or IP Address[]: XXX.XXX.XXX.XXX
Generate Self Signed Router Certificate? [yes/no]: yes

Router Self Signed Certificate successfully created

Uma vez que a chave e o certificado RSA são atualizados e são válidos, o certificado pode ser associado com a configuração HTTPS:

ASR(config)#ip http secure-trustpoint local

Você pode então desabilitar e re-permitir o WebUI a fim assegurar-se de que seja funcional:

ASR#conf t
Enter configuration commands, one per line. End with CNTL/Z.
ASR(config)#no transport type persistent webui input https-webui
ASR(config)#
CNOTIFY-UI: Setting transport map
CNOTIFY-UI: Transport map usage being disabled
CNOTIFY-UI: Processing map association
CNOTIFY-UI: Attempting to send config
CNOTIFY-UI: Preparing to send config
CNOTIFY-UI: Persistent webui will be shutdown if running
CNOTIFY-UI: Creating config message
CNOTIFY-UI: Secure-server state actually being set to: disabled
CNOTIFY-UI: Webui server information: changed: true, status: disabled, port: 80
CNOTIFY-UI: Webui secure server information: changed: true, status: disabled, port: 443
CNOTIFY-UI: Webui service (re)start: false. Sending all config
ASR(config)#
ASR(config)#transport type persistent webui input https-webui
ASR(config)#
CNOTIFY-UI: Setting transport map
CNOTIFY-UI: Transport map https-webui input being processed
CNOTIFY-UI: Processing map association
CNOTIFY-UI: Attempting to send config
CNOTIFY-UI: Preparing to send config
CNOTIFY-UI: server cache: false, tm: false
CNOTIFY-UI: secure-server cache: true, tm: true
CNOTIFY-UI: Validating server config
CNOTIFY-UI: Validating secure server config
CNOTIFY-UI: Checking if secure server config is ok
CNOTIFY-UI: Secure server is enabled in map
CNOTIFY-UI: Getting trust point
CNOTIFY-UI: Using issued certificate for identification
CNOTIFY-UI: Getting rsa key-pair name
CNOTIFY-UI: Getting private key
CNOTIFY-UI: Getting certificate
CNOTIFY-UI: Secure server config is ok
CNOTIFY-UI: Secure-server config is valid
CNOTIFY-UI: Creating config message
CNOTIFY-UI: Secure-server state actually being set to: enabled
CNOTIFY-UI: Adding rsa key pair
CNOTIFY-UI: Getting base64 encoded rsa key
CNOTIFY-UI: Getting rsa key-pair name
CNOTIFY-UI: Getting private key
CNOTIFY-UI: Added rsa key
CNOTIFY-UI: Adding certificate
CNOTIFY-UI: Getting base64 encoded certificate
CNOTIFY-UI: Getting certificate
CNOTIFY-UI: Getting certificate for local
CNOTIFY-UI: Certificate added
CNOTIFY-UI: Webui server information: changed: false, status: disabled, port: 80
CNOTIFY-UI: Webui secure server information: changed: true, status: enabled, port: 443
CNOTIFY-UI: Webui service (re)start: true. Sending all config

%UICFGEXP-6-SERVER_NOTIFIED_START: SIP0: psd: Server wui has been notified to start

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116093