Routers : Routers de servicios de agregación Cisco ASR de la serie 1000

Administración que reconoce VRF en los ejemplos de la configuración del ASR

18 Junio 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (21 Abril 2016) | Comentarios

Introducción

Este documento describe el uso del ruteo virtual y de la Administración (que reconoce VRF) Expedición-enterada en las 1000 Series del router de los servicios de la agregación de Cisco (ASR1K) con la interfaz de administración (GigabitEthernet0). La información es también aplicable a cualquier otra interfaz en un VRF, a menos que esté especificada explícitamente de otra manera. Los diversos protocolos de acceso para los escenarios de la conexión del a--cuadro y de--cuadro se describen.

Contribuido por Atri Basu, Rudresh Veerappaji, y Wen Zhang, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Protocolos de la Administración, tales como SSH, Telnet, y HTTP
  • Protocolos de la transferencia de archivos, tales como protocolo de la Copia segura (SCP), TFTP, y FTP
  • VRF

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión 3.5S del ® XE del Cisco IOS (15.2(1)S) o versiones posteriores del Cisco IOS XE

    Nota: SCP que reconoce VRF requiere por lo menos esta versión, mientras que otros protocolos descritos en este documento trabajan con las versiones anteriores también.

  • ASR1K

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si su red está viva, aseegurese le entender el impacto potencial del comando any usado.

Antecedentes

Interfaz de administración: El propósito de una interfaz de administración es permitir que los usuarios realicen las tareas de administración en el router. Es básicamente una interfaz que no debe, y no puede a menudo, tráfico delantero del dataplane. Si no, puede ser utilizado para el Acceso Remoto al router, a menudo vía Telnet y el Secure Shell (SSH), y realizar la mayoría de las tareas de administración en el router. La interfaz es la más útil antes de que un router comience a rutear, o de los escenarios de Troubleshooting cuando las interfaces compartidas del adaptador de puerto (SPA) están inactivas. En ASR1K, la interfaz de administración está en un valor por defecto VRF nombrado Mgmt-intf.

El comando de la interfaz de origen del <protocol> del IP se utiliza en este documento extensivamente (donde la palabra clave del <protocol> puede ser SSH, FTP, TFTP). Este comando se utiliza para especificar la dirección IP de una interfaz que se utilizará como la dirección de origen cuando el ASR es el dispositivo del cliente en una conexión (por ejemplo, la conexión se inicia del tráfico ASR o de--cuadro). Esto también significa que si el ASR no es el iniciador de la conexión, el comando de la interfaz de origen del <protocol> del IP es no corresponde, y el ASR no utiliza esta dirección IP para el tráfico de la contestación; en lugar, utiliza la dirección IP de la interfaz más cercana al destino. Este comando le permite al tráfico de origen (para los protocolos soportados) de una interfaz que reconoce VRF.

Protocolos de la Administración

Nota: Utilice la herramienta de búsqueda de comandos (clientes registrados solamente) para obtener más información sobre los comandos usados en este artículo.

SCP

Para utilizar al cliente de SCP mantenga en un ASR de una interfaz VRF-habilitada, utilizan esta configuración.

Configurar

El comando de la interfaz de origen del ssh del IP se utiliza para señalar la interfaz de administración al mgmt-intf VRF para ambo SSH y servicios del cliente de SCP, puesto que SCP utiliza SSH. No hay otra opción en el comando del scp de la copia de especificar el VRF. Por lo tanto, usted debe utilizar este comando de la interfaz de origen del ssh del IP. La misma lógica solicita cualquier otra la interfaz VRF-habilitada.

ASR(config)#ip ssh source-interface GigabitEthernet0

Nota: En la plataforma ASR1k, SCP que reconoce VRF no trabaja hasta la versión XE3.5S (15.2(1)S).

Verificación

Utilice estos comandos para verificar la configuración.

ASR#show vrf
Name Default RD Protocols Interfaces
Mgmt-intf <not set> ipv4,ipv6 Gi0
ASR#

Para copiar un archivo del ASR a un dispositivo remoto con el SCP, ingrese este comando:

ASR#copy running-config scp://guest@10.76.76.160/router.cfg
Address or name of remote host [10.76.76.160]?
Destination username [guest]?
Destination filename [router.cfg]?
Writing router.cfg Password:
!
Sink: C0644 2574 router.cfg
2574 bytes copied in 20.852 secs (123 bytes/sec)
ASR#

Para copiar un archivo de un dispositivo remoto al ASR con el SCP, ingrese este comando:

ASR#copy scp://guest@10.76.76.160/router.cfg bootflash:
Destination filename [router.cfg]?
Password:
Sending file modes: C0644 2574 router.cfg
!
2574 bytes copied in 17.975 secs (143 bytes/sec)

TFTP

Para utilizar al cliente TFTP mantenga en un ASR1k de una interfaz VRF-habilitada, utilizan esta configuración.

Configurar

La opción de interfaz de origen de tftp del IP se utiliza para señalar la interfaz de administración al mgmt-intf VRF. No hay otra opción en el comando copy tftp de especificar el VRF. Por lo tanto, usted debe utilizar este comando ip tftp source-interface. La misma lógica solicita cualquier otra la interfaz VRF-habilitada.

ASR(config)#ip tftp source-interface GigabitEthernet0

Verificación

Utilice estos comandos para verificar la configuración.

ASR#show vrf
Name Default RD Protocols Interfaces
Mgmt-intf <not set> ipv4,ipv6 Gi0
ASR#

Para copiar un archivo del ASR al servidor TFTP, ingrese este comando:

ASR#copy running-config tftp
Address or name of remote host [10.76.76.160]?
Destination filename [ASRconfig.cfg]?
!!
2658 bytes copied in 0.335 secs (7934 bytes/sec)
ASR#

Para copiar un archivo del servidor TFTP al bootflash ASR, ingrese este comando:

ASR#copy tftp://10.76.76.160/ASRconfig.cfg bootflash:
Destination filename [ASRconfig.cfg]?
Accessing tftp://10.76.76.160/ASRconfig.cfg...
Loading ASRconfig.cfg from 10.76.76.160 (via GigabitEthernet0): !
[OK - 2658 bytes]

2658 bytes copied in 0.064 secs (41531 bytes/sec)
ASR#

FTP

Para utilizar al FTP cliente mantenga en un ASR de una interfaz VRF-habilitada, utilizan esta configuración.

Configurar

Ip ftp la opción de interfaz de origen se utiliza para señalar la interfaz de administración al mgmt-intf VRF. No hay otra opción en el comando ftp de la copia de especificar el VRF. Por lo tanto, usted debe utilizar el comando ip ftp source-interface. La misma lógica solicita cualquier otra la interfaz VRF-habilitada.

ASR(config)#ip ftp source-interface GigabitEthernet0

Verificación

Utilice estos comandos para verificar la configuración.

ASR#show vrf
Name Default RD Protocols Interfaces
Mgmt-intf <not set> ipv4,ipv6 Gi0

Para copiar un archivo del ASR a un servidor FTP, ingrese este comando:

ASR#copy running-config ftp://username:password@10.76.76.160/ASRconfig.cfg
Address or name of remote host [10.76.76.160]?
Destination filename [ASRconfig.cfg]?
Writing ASRconfig.cfg !
2616 bytes copied in 0.576 secs (4542 bytes/sec)
ASR#

Para copiar un archivo del servidor FTP al bootflash ASR, ingrese este comando:

ASR#copy ftp://username:password@10.76.76.160/ASRconfig.cfg bootflash:
Destination filename [ASRconfig.cfg]?
Accessing ftp://*****:*****@10.76.76.160/ASRconfig.cfg...
Loading ASRconfig.cfg !
[OK - 2616/4096 bytes]

2616 bytes copied in 0.069 secs (37913 bytes/sec)
ASR#

Protocolos de Acceso de administración

Acceso regular

SSH

Precaución: Un problema común considerado con ASR1ks es que SSH falla debido a memoria baja. Para más información con respecto a este problema, refiérase a la falla debido de la autenticación SSH al artículo de Cisco de las condiciones de memoria baja

Hay dos opciones usadas para funcionar con el servicio del cliente SSH en el ASR (de--cuadro de SSH). Una opción es especificar el nombre VRF en el comando ssh sí mismo, así que usted puede tráfico de SSH de la fuente de un VRF determinado.

ASR#ssh -vrf Mgmt-intf -l cisco 10.76.76.161
Password:
Router>en
Password:
Router#

La otra opción es utilizar el tráfico de SSH de la fuente de la opción de interfaz de origen del ssh del IP para de una interfaz VRF-habilitada determinada.

ASR(config)#ip ssh source-interface GigabitEthernet0
ASR#
ASR#ssh -l cisco 10.76.76.161
Password:
Router>en
Password:
Router#

Para utilizar el servicio del servidor SSH (a--cuadro de SSH), siga el procedimiento para habilitar SSH en cualquier otro router del Cisco IOS. Refiera a Telnet y a la descripción de SSH para la sección de los 1000 Series Router de Cisco ASR de la guía de configuración de software del Routers de servicios de agregación Cisco ASR de la serie 1000 para más información.

Telnet

Hay dos opciones usadas para funcionar con el servicio del cliente Telnet en el ASR (de--cuadro de Telnet). Una opción es especificar el interace o el VRF en el comando telnet sí mismo de la fuente como se muestra aquí:

ASR#telnet 10.76.76.160 /source-interface GigabitEthernet 0 /vrf Mgmt-intf
Trying 10.76.76.160 ... Open

User Access Verification

Username: cisco
Password:

Router>en
Password:
Router#

La otra opción es utilizar el comando ip telnet source-interface. Usted todavía debe especificar el nombre VRF en el siguiente paso con el comando telnet, como se muestra aquí:

ASR(config)#ip telnet source-interface GigabitEthernet0
ASR#
ASR#telnet 10.76.76.160 /vrf Mgmt-intf
Trying 50.50.50.3 ... Open

User Access Verification

Username: cisco
Password:

Router>en
password:
Router#

Para utilizar el servicio del servidor Telnet (a--cuadro de Telnet), siga el procedimiento para habilitar Telnet en cualquier otro router. Refiera a Telnet y a la descripción de SSH para la sección de los 1000 Series Router de Cisco ASR de la guía de configuración de software del Routers de servicios de agregación Cisco ASR de la serie 1000 para más información.

HTTP

La interfaz del Web User de la herencia que está disponible para todo el Routers está también disponible para el ASR1K. Habilite el servidor HTTP o el Servicio al cliente en el ASR tal y como se muestra en de esta sección.

Para habilitar la herencia HTTP acceda el servicio del a--cuadro (servidor) y utilice el acceso a GUI basado en web, utilizan esta configuración que utilice la autenticación local (usted podría también utilizar una autenticación externa, un servidor de la autorización, y de las estadísticas (AAA)).

ASR(config)#ip http
ASR(config)#ip http authentication local
ASR(config)#username <> password <>

Aquí está la configuración para habilitar al servidor seguro HTTP (HTTPS):

ASR(config)#ip http secure-server
ASR(config)#ip http authentication local
ASR(config)#username <> password <>

Hojee a la dirección IP de una interfaz en el ASR, y inicie sesión con la cuenta de usuario que usted creó. Aquí está un tiro de pantalla:

Para utilizar el servicio del cliente HTTP, ingrese ip http el comando source de la interfaz de origen del cliente <interface name> para el tráfico del cliente HTTP de una interfaz VRF-habilitada, como se muestra:

ASR(config)#ip http client source-interface GigabitEthernet0

Aquí está un ejemplo que ilustra el uso del servicio del cliente HTTP para copiar una imagen de un servidor HTTP remoto al flash:

ASR#
ASR#copy http://username:password@10.76.76.160/image.bin flash:
Destination filename [image.bin]?

Accessing http://10.106.72.62/image.bin...
Loading http://10.106.72.62/image.bin
1778218 bytes copied in 20.038 secs (465819 bytes/sec)
ASR#

Acceso persistente

Esta sección es aplicable solamente para las conexiones del a--cuadro Telnet/SSH/HTTP.

Con SSH persistente y Telnet persistente, usted puede configurar una correspondencia del transporte que defina el tratamiento de SSH entrante o del tráfico de Telnet en la interfaz Ethernet de administración. Esto crea tan la capacidad de acceder al router vía el modo de diagnóstico incluso cuando el proceso del Cisco IOS no es activo. Para más información sobre el modo de diagnóstico, refiera a la comprensión la sección del modo de diagnóstico de la guía de configuración de software del Routers de servicios de agregación Cisco ASR de la serie 1000.

Nota: SSH persistente o Telnet persistente se puede configurar solamente en la interfaz de administración, GigabitEthernet0. 

Nota: En las versiones que no tienen el arreglo para el Id. de bug Cisco CSCuj37515, el método de autentificación para el acceso peristent es dependiente sobre el método que se utiliza bajo línea VTY. El acceso persistente requiere que la autenticación sea local, de modo que los trabajos del acceso del modo de diagnóstico aún cuando la autenticación externa falla. Esto significa que cualquier SSH y acceso normales de Telnet también requiere el uso de la autenticación local.

Precaución: En las versiones que no tienen el arreglo para el Id. de bug Cisco CSCug77654, el uso del método del valor por defecto AAA restringe la capacidad del usuario de ingresar el prompt SSH cuando se utiliza el SSH persistente. Fuerzan al usuario siempre a ingresar el prompt de diagnóstico. Para estas versiones, Cisco recomienda que usted utiliza un método de autentificación del nombre, o se asegura de que SSH normal y Telnet estén habilitados.

SSH persistente

Cree una correspondencia del transporte para permitir SSH persistente tal y como se muestra en de la siguiente sección:

Configurar

ASR(config)#crypto key generate rsa label ssh-keys modulus 1024
The name for the keys will be: ssh-keys

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

ASR#
ASR(config)#transport-map type persistent ssh
persistent-ssh-map

ASR(config-tmap)#rsa keypair-name ssh-keys
ASR(config-tmap)#transport interface GigabitEthernet0
ASR(config-tmap)#banner wait X
Enter TEXT message. End with the character 'X'.
--Waiting for vty line--
X
ASR(config-tmap)#
ASR(config-tmap)# banner diagnostic X
Enter TEXT message. End with the character 'X'.
--Welcome to Diagnostic Mode--
c
ASR(config-tmap)#connection wait allow interruptible
ASR(config-tmap)#exit
ASR(config)#transport type persistent ssh input persistent-ssh
*Jul 10 15:31:57.102: %UICFGEXP-6-SERVER_NOTIFIED_START: R0/0: psd: 
Server persistent ssh has been notified to start

Ahora usted debe habilitar la autenticación local para SSH persistente. Esto se puede hacer con el comando aaa new-model o sin él. Ambos escenarios se describen aquí. (En ambos casos, asegúrese de que usted tenga una cuenta del contraseña/nombre de usuario local en el router).

Usted puede elegir que la configuración basó encendido si usted tiene AAA habilitado en el ASR.

  1. Con el AAA habilitado:
    ASR(config)#aaa new-model
    ASR(config)#aaa authentication login default local
    ASR(config)#line vty 0 4
    ASR(config-line)#login authentication default
  2. Sin el AAA habilitado:
    ASR(config)#line vty 0 4
    ASR(config-line)#login local

Verificación

SSH al ASR con la dirección IP de la interfaz VRF-habilitada Gigabitethernet0. Una vez que se ingresa la contraseña, usted debe ingresar la secuencia de interrupción (Ctrl-c o Ctrl-Shift-6).

management-station$ ssh -l cisco 10.106.47.139
cisco@10.106.47.139's password:

--Waiting for vty line--

--Welcome to Diagnostic Mode--
ASR(diag)#

Nota: Ingrese la secuencia de interrupción (Ctrl-c o Ctrl-Shift-6) cuando --Para línea del vty que espera-- visualizaciones en el terminal para ingresar al modo de diagnóstico.

Telnet persistente

Configurar

Con la lógica similar según lo descrito en la sección anterior para SSH, cree una correspondencia del transporte para Telnet persistente como se muestra aquí:

ASR(config)#transport-map type persistent telnet persistent-telnet
ASR(config-tmap)#banner diagnostic X
Enter TEXT message. End with the character 'X'.
--Welcome to Diagnostic Mode--
X
ASR(config-tmap)#banner wait X
Enter TEXT message. End with the character 'X'.
--Waiting for IOS Process--
X
ASR(config-tmap)#connection wait allow interruptible
ASR(config-tmap)#transport interface gigabitEthernet 0
ASR(config-tmap)#exit
ASR(config)#transport type persistent telnet input persistent-telnet
*Jul 10 15:26:56.441: %UICFGEXP-6-SERVER_NOTIFIED_START: R0/0: psd:
Server persistent telnet has been notified to start

Como se debate en la sección más reciente para SSH, hay dos maneras de configurar la autenticación local como se muestra aquí:

  1. Con el AAA habilitado:
    ASR(config)#aaa new-model 
    ASR(config)#aaa authentication login default local
    ASR(config)#line vty 0 4
    ASR(config-line)#login authentication default
  2. Sin el AAA:
    ASR(config)#line vty 0 4
    ASR(config-line)#login local

Verificación

Telnet a la dirección IP de la interfaz GigabitEthernet0. Después de que usted ingrese las credenciales, ingrese la secuencia de interrupción, y la espera por algunos segundos (puede ser que tarde a veces un rato) antes de que usted registre en el modo de diagnóstico.

Management-station$ telnet 10.106.47.139
Trying 10.106.47.139...
Connected to 10.106.47.139.
Escape character is '^]'.
Username: cisco
Password:

--Waiting for IOS Process--


--Welcome to Diagnostic Mode--
ASR(diag)#

Nota: Ingrese el Ctrl+C de la secuencia de interrupción o el Ctrl+Shift+6, y espere algunos segundos. Fecha --Para proceso IOS que espera-- las visualizaciones en la terminal, usted puede ingresar al modo de diagnóstico.

HTTP persistente

Para habilitar el a--cuadro persistente del acceso HTTP (el de--cuadro o el cliente HTTP HTTP mantiene no está disponible) y utilizar el nuevo acceso a GUI basado en web, utilice esta configuración que utilice la autenticación local (usted puede también utilizar a un servidor de AAA externo).

Configurar

En estas configuraciones, el HTTP-WebUI y el https-WebUI son los nombres de las transporte-correspondencias.

ASR(config)#ip http serverASR(config)#ip http authentication local
ASR(config)#username <> password <>
ASR(config)#transport-map type persistent webui http-webui
ASR(config-tmap)#server
ASR(config-tmap)#exit
ASR(config)#transport type persistent webui input http-webui

Aquí está la configuración usada para habilitar al servidor seguro HTTP (HTTPS).

ASR(config)#ip http secure-serverASR(config)#ip http authentication local
ASR(config)#username <> password <>
ASR(config)#transport-map type persistent webui https-webui
ASR(config-tmap)#secure-server
ASR(config-tmap)#exit
ASR(config)#transport type persistent webui input https-webui

Verificación

Hojee a la dirección IP de una interfaz en el ASR. Inicie sesión con el nombre de usuario/la contraseña que usted creó para poner en marcha el Home Page. Visualizaciones de información relacionada de la salud y de la supervisión, junto con un WebUI IOS donde usted puede los comandos apply. Aquí está un tiro de pantalla del homepage:

Troubleshooting

Si el WebUI no está disponible vía el HTTPS, después verifique que el certificado y la clave del Rivest-Shamir-Adleman (RSA) sean presentes y operativos. Usted puede utilizar este comando debug para determinar la razón que el WebUI no comienza correctamente:

ASR#debug platform software configuration notify webui
ASR#config t
ASR(config)#no transport type persistent webui input https-webui
%UICFGEXP-6-SERVER_NOTIFIED_STOP: SIP0: psd: Server wui has been notified to stop
ASR(config)#transport type persistent webui input https-webui

CNOTIFY-UI: Setting transport map
CNOTIFY-UI: Transport map https-webui input being processed
CNOTIFY-UI: Processing map association
CNOTIFY-UI: Attempting to send config
CNOTIFY-UI: Preparing to send config
CNOTIFY-UI: server cache: false, tm: false
CNOTIFY-UI: secure-server cache: true, tm: true
CNOTIFY-UI: Validating server config
CNOTIFY-UI: Validating secure server config
CNOTIFY-UI: Checking if secure server config is ok
CNOTIFY-UI: Secure server is enabled in map
CNOTIFY-UI: Getting trust point
CNOTIFY-UI: Getting self-signed trust point
CNOTIFY-UI: Could not get self-signed trustpoint
CNOTIFY-UI: A certificate for does not exist
CNOTIFY-UI: Getting rsa key-pair name
CNOTIFY-UI: Failed to get rsa key pair name
CNOTIFY-UI: Key needed to generate the pem file

CNOTIFY-UI: Secure-server config invalid
CNOTIFY-UI: Config analysis indicates no change
CNOTIFY-UI: Failed to prepare config

Clave RSA

Para verificar la presencia de la clave RSA, ingrese este comando:

ASR#show crypto key mypubkey rsa
% Key pair was generated at: XX:XX:XX XXX XXX XX XXXX
Key name: ASR.ASR
Key type: RSA KEYS
Storage Device: not specified
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data&colon;
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXX
% Key pair was generated at: XX:XX:XX XXX XXX XX XXXX
Key name: ASR.ASR.server
Key type: RSA KEYS
Temporary key
Usage: Encryption Key
Key is not exportable. Redundancy enabled.
Key Data&colon;
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXX
ASR#
Tome la nota del nombre de la clave, como se requiere para crear el certificado. Si una clave no está presente, usted puede crear uno con estos comandos:
ASR(config)#ip domain-name Router
ASR(config)#crypto key generate rsa
The name for the keys will be: Router.Router
Choose the size of the key modulus in the range of 360 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

ASR(config)#
*Dec 22 10:57:11.453: %SSH-5-ENABLED: SSH 1.99 has been enabled

Certificado

Una vez que la clave está presente, usted puede ingresar este comando para verificar el certificado:

ASR#show crypto pki certificates 
ASR Self-Signed Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: General Purpose
Issuer:
serialNumber=XXXXXXXXXXX+ipaddress=XXX.XXX.XXX.XXX+hostname=ASR
cn=XXX.XXX.XXX.XXX
c=US
st=NC
l=Raleigh
Subject:
Name: Router
IP Address: XXX.XXX.XXX.XXX
Serial Number: XXXXXXXXXXX
serialNumber=XXXXXXXXXXX+ipaddress=XXX.XXX.XXX.XXX+hostname=aSR
cn=XXX.XXX.XXX.XXX
c=US
st=NC
l=Raleigh
Validity Date:
start date: XX:XX:XX XXX XXX XX XXXX
end date: XX:XX:XX XXX XXX XX XXXX
Associated Trustpoints: local

Si el certificado es inválido o no está presente, después usted puede crear el certificado con estos comandos:

ASR(config)#crypto pki trustpoint local
ASR(ca-trustpoint)#enrollment selfsigned
ASR(ca-trustpoint)#subject-name CN=XXX.XXX.XXX.XXX; C=US; ST=NC; L=Raleigh
ASR(ca-trustpoint)#rsakeypair ASR.ASR 2048
ASR(ca-trustpoint)#crypto pki enroll local
% Include the router serial number in the subject name? [yes/no]: yes
% Include an IP address in the subject name? [no]: yes
Enter Interface name or IP Address[]: XXX.XXX.XXX.XXX
Generate Self Signed Router Certificate? [yes/no]: yes

Router Self Signed Certificate successfully created

Una vez que la clave y el certificado RSA son actualizados y son válidos, el certificado se puede asociar a la configuración HTTPS:

ASR(config)#ip http secure-trustpoint local

Usted puede después inhabilitar y volver a permitir el WebUI para asegurarse de que es funcional:

ASR#conf t
Enter configuration commands, one per line. End with CNTL/Z.
ASR(config)#no transport type persistent webui input https-webui
ASR(config)#
CNOTIFY-UI: Setting transport map
CNOTIFY-UI: Transport map usage being disabled
CNOTIFY-UI: Processing map association
CNOTIFY-UI: Attempting to send config
CNOTIFY-UI: Preparing to send config
CNOTIFY-UI: Persistent webui will be shutdown if running
CNOTIFY-UI: Creating config message
CNOTIFY-UI: Secure-server state actually being set to: disabled
CNOTIFY-UI: Webui server information: changed: true, status: disabled, port: 80
CNOTIFY-UI: Webui secure server information: changed: true, status: disabled, port: 443
CNOTIFY-UI: Webui service (re)start: false. Sending all config
ASR(config)#
ASR(config)#transport type persistent webui input https-webui
ASR(config)#
CNOTIFY-UI: Setting transport map
CNOTIFY-UI: Transport map https-webui input being processed
CNOTIFY-UI: Processing map association
CNOTIFY-UI: Attempting to send config
CNOTIFY-UI: Preparing to send config
CNOTIFY-UI: server cache: false, tm: false
CNOTIFY-UI: secure-server cache: true, tm: true
CNOTIFY-UI: Validating server config
CNOTIFY-UI: Validating secure server config
CNOTIFY-UI: Checking if secure server config is ok
CNOTIFY-UI: Secure server is enabled in map
CNOTIFY-UI: Getting trust point
CNOTIFY-UI: Using issued certificate for identification
CNOTIFY-UI: Getting rsa key-pair name
CNOTIFY-UI: Getting private key
CNOTIFY-UI: Getting certificate
CNOTIFY-UI: Secure server config is ok
CNOTIFY-UI: Secure-server config is valid
CNOTIFY-UI: Creating config message
CNOTIFY-UI: Secure-server state actually being set to: enabled
CNOTIFY-UI: Adding rsa key pair
CNOTIFY-UI: Getting base64 encoded rsa key
CNOTIFY-UI: Getting rsa key-pair name
CNOTIFY-UI: Getting private key
CNOTIFY-UI: Added rsa key
CNOTIFY-UI: Adding certificate
CNOTIFY-UI: Getting base64 encoded certificate
CNOTIFY-UI: Getting certificate
CNOTIFY-UI: Getting certificate for local
CNOTIFY-UI: Certificate added
CNOTIFY-UI: Webui server information: changed: false, status: disabled, port: 80
CNOTIFY-UI: Webui secure server information: changed: true, status: enabled, port: 443
CNOTIFY-UI: Webui service (re)start: true. Sending all config

%UICFGEXP-6-SERVER_NOTIFIED_START: SIP0: psd: Server wui has been notified to start

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 116093