Маршрутизаторы : Сервисные маршрутизаторы агрегации Cisco ASR серии 1000

Осведомленный о VRF менеджмент на примерах конфигурации ASR

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (21 апреля 2016) | Отзыв

Введение

Этот документ описывает использование Виртуальной маршрутизации и Осведомленного о передаче (Осведомленного о VRF) управления на Маршрутизаторе агрегации Cisco, серии 1000 (ASR1K) с интерфейсом управления (GigabitEthernet0). Информация также применима к любому другому интерфейсу в VRF, пока явно не задано иначе. Описаны различные протоколы доступа и для сценариев соединения от коробки и для к коробке.

Внесенный Атри Basu, Rudresh Veerappaji, и Вэнь Чжан, специалисты службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Протоколы управления, такие как SSH, Telnet и HTTP
  • Протоколы передачи файлов, такие как протокол SCP, TFTP и FTP
  • VRF

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cisco IOS® XE Version 3.5S (15.2 (1) S) или более поздние Версии Cisco IOS XE

    Примечание: Осведомленный о VRF SCP требует, по крайней мере, этой версии, тогда как другие протоколы, описанные в этом документе, работают с предыдущими версиями также.

  • ASR1K

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. Если ваша сеть является оперативной, удостоверьтесь, что вы понимаете потенциальное воздействие любой используемой команды.

Общие сведения

Управляющий интерфейс: Цель интерфейса управления состоит в том, чтобы позволить пользователям выполнять задачи управления на маршрутизаторе. Это - в основном интерфейс, что не должен, и часто не может, передать dataplane трафик. В противном случае это может использоваться для удаленного доступа к маршрутизатору, часто через Telnet и Secure Shell (SSH), и выполнять большинство задач управления на маршрутизаторе. Интерфейс является самым полезным, прежде чем маршрутизатор начнет направлять, или в сценариях устранения проблем, когда интерфейсы Адаптера общего порта (SPA) неактивны. На ASR1K интерфейс управления находится в VRF по умолчанию под названием Mgmt-intf.

IP команда source-interface <protocol> используется в этом документе экстенсивно (где ключевое слово <protocol> может быть SSH, FTP, TFTP). Эта команда используется для определения IP-адреса интерфейса, который будет использоваться в качестве адреса источника, когда ASR является устройством клиента в соединении (например, соединение инициируется от ASR или трафика от коробки). Это также означает, что, если ASR не является инициатором соединения, IP команда source-interface <protocol> не применима, и ASR не использует этот IP-адрес для трафика ответа; вместо этого, это использует IP-адрес самого близкого интерфейса назначению. Эта команда позволяет вам исходному трафику (для поддерживаемых протоколов) от Осведомленного о VRF интерфейса.

Протоколы управления

Примечание: Используйте Средство поиска команд Command Lookup Tool (только зарегистрированные клиенты) для получения дополнительных сведений о командах, используемых в этой статье.

SCP

Для использования сервиса клиента SCP на ASR от поддерживающего VRF интерфейса используйте эту конфигурацию.

Настройка

Команда ip ssh source-interface используется для обращения Интерфейса управления к VRF Mgmt-intf и для SSH и для сервисов клиента SCP, так как SCP использует SSH. Нет никакой другой опции в команде scp копии для определения VRF. Поэтому необходимо использовать эту команду ip ssh source-interface. Та же логика просит любой другой поддерживающий VRF интерфейс.

ASR(config)#ip ssh source-interface GigabitEthernet0

Примечание: На платформе ASR1k Осведомленный о VRF SCP не работает до Версии XE3.5S (15.2 (1) S).

Проверка

Используйте эти команды для проверки конфигурации.

ASR#show vrf
Name Default RD Protocols Interfaces
Mgmt-intf <not set> ipv4,ipv6 Gi0
ASR#

Для копирования файла с ASR на удаленное устройство с SCP введите эту команду:

ASR#copy running-config scp://guest@10.76.76.160/router.cfg
Address or name of remote host [10.76.76.160]?
Destination username [guest]?
Destination filename [router.cfg]?
Writing router.cfg Password:
!
Sink: C0644 2574 router.cfg
2574 bytes copied in 20.852 secs (123 bytes/sec)
ASR#

Для копирования файла от удаленного устройства до ASR с SCP введите эту команду:

ASR#copy scp://guest@10.76.76.160/router.cfg bootflash:
Destination filename [router.cfg]?
Password:
Sending file modes: C0644 2574 router.cfg
!
2574 bytes copied in 17.975 secs (143 bytes/sec)

TFTP

Для использования сервиса клиента TFTP на ASR1k от поддерживающего VRF интерфейса используйте эту конфигурацию.

Настройка

Опция ip tftp source-interface используется для обращения Интерфейса управления к VRF Mgmt-intf. Нет никакой другой опции в команде copy tftp для определения VRF. Поэтому необходимо использовать эту команду ip tftp source-interface. Та же логика просит любой другой поддерживающий VRF интерфейс.

ASR(config)#ip tftp source-interface GigabitEthernet0

Проверка

Используйте эти команды для проверки конфигурации.

ASR#show vrf
Name Default RD Protocols Interfaces
Mgmt-intf <not set> ipv4,ipv6 Gi0
ASR#

Для копирования файла от ASR до сервера TFTP введите эту команду:

ASR#copy running-config tftp
Address or name of remote host [10.76.76.160]?
Destination filename [ASRconfig.cfg]?
!!
2658 bytes copied in 0.335 secs (7934 bytes/sec)
ASR#

Для копирования файла от сервера TFTP до загрузочной флэш-памяти ASR введите эту команду:

ASR#copy tftp://10.76.76.160/ASRconfig.cfg bootflash:
Destination filename [ASRconfig.cfg]?
Accessing tftp://10.76.76.160/ASRconfig.cfg...
Loading ASRconfig.cfg from 10.76.76.160 (via GigabitEthernet0): !
[OK - 2658 bytes]

2658 bytes copied in 0.064 secs (41531 bytes/sec)
ASR#

FTP

Для использования сервиса клиента FTP на ASR от поддерживающего VRF интерфейса используйте эту конфигурацию.

Настройка

Опция ip ftp source-interface используется для обращения Интерфейса управления к VRF Mgmt-intf. Нет никакой другой опции в команде copy ftp для определения VRF. Поэтому необходимо использовать команду ip ftp source-interface. Та же логика просит любой другой поддерживающий VRF интерфейс.

ASR(config)#ip ftp source-interface GigabitEthernet0

Проверка

Используйте эти команды для проверки конфигурации.

ASR#show vrf
Name Default RD Protocols Interfaces
Mgmt-intf <not set> ipv4,ipv6 Gi0

Для копирования файла от ASR до сервера FTP введите эту команду:

ASR#copy running-config ftp://username:password@10.76.76.160/ASRconfig.cfg
Address or name of remote host [10.76.76.160]?
Destination filename [ASRconfig.cfg]?
Writing ASRconfig.cfg !
2616 bytes copied in 0.576 secs (4542 bytes/sec)
ASR#

Для копирования файла от сервера FTP до загрузочной флэш-памяти ASR введите эту команду:

ASR#copy ftp://username:password@10.76.76.160/ASRconfig.cfg bootflash:
Destination filename [ASRconfig.cfg]?
Accessing ftp://*****:*****@10.76.76.160/ASRconfig.cfg...
Loading ASRconfig.cfg !
[OK - 2616/4096 bytes]

2616 bytes copied in 0.069 secs (37913 bytes/sec)
ASR#

Протоколы управляющего доступ

Обычный доступ

SSH

Внимание: Одна типичная проблема, замеченная с ASR1ks, - то, что SSH отказывает из-за нижней области памяти. Для получения дополнительной информации в отношении этой проблемы, сошлитесь  на статью SSH Authentication Failure Due to Low Memory Conditions Cisco

Существует две опции, используемые для выполнения сервиса Клиента SSH на ASR (SSH от коробки). Одна опция должна задать Имя VRF в самой команде ssh, таким образом, можно получить трафик SSH от определенного VRF.

ASR#ssh -vrf Mgmt-intf -l cisco 10.76.76.161
Password:
Router>en
Password:
Router#

Другая опция должна использовать опцию ip ssh source-interface для определения источника трафика SSH от определенного поддерживающего VRF интерфейса.

ASR(config)#ip ssh source-interface GigabitEthernet0
ASR#
ASR#ssh -l cisco 10.76.76.161
Password:
Router>en
Password:
Router#

Для использования сервиса сервера SSH (SSH к коробке), выполните процедуру для включения SSH на любом другом маршрутизаторе Cisco IOS. См. Telnet и Обзор SSH для раздела маршрутизаторов серии 1000 ASR Cisco Руководства по конфигурации программного обеспечения сервисных маршрутизаторов агрегации Cisco ASR серии 1000 для получения дополнительной информации.

Telnet

Существует две опции, используемые для выполнения сервиса Клиента Telnet на ASR (Telnet от коробки). Одна опция должна задать исходный межace или VRF в самой команде telnet как показано здесь:

ASR#telnet 10.76.76.160 /source-interface GigabitEthernet 0 /vrf Mgmt-intf
Trying 10.76.76.160 ... Open

User Access Verification

Username: cisco
Password:

Router>en
Password:
Router#

Другая опция должна использовать команду ip telnet source-interface. Все еще необходимо задать Имя VRF в следующем шаге с командой telnet, как показано здесь:

ASR(config)#ip telnet source-interface GigabitEthernet0
ASR#
ASR#telnet 10.76.76.160 /vrf Mgmt-intf
Trying 50.50.50.3 ... Open

User Access Verification

Username: cisco
Password:

Router>en
password:
Router#

Для использования сервиса сервера Telnet (Telnet к коробке), выполните процедуру для включения Telnet на любом другом маршрутизаторе. См. Telnet и Обзор SSH для раздела маршрутизаторов серии 1000 ASR Cisco Руководства по конфигурации программного обеспечения сервисных маршрутизаторов агрегации Cisco ASR серии 1000 для получения дополнительной информации.

HTTP

Устаревший интерфейс веба - пользователя, который доступен для всех маршрутизаторов, также доступен для ASR1K. Включите сервер HTTP или сервис клиента на ASR как показано в этом разделе.

Для включения устаревшего HTTP, обращаются к сервису к коробке (сервер) и используют находящийся на web доступ к ГИП, используют эту конфигурацию, которая использует локальную проверку подлинности (вы могли также использовать внешнюю проверку подлинности, Авторизацию, и Бухгалтерский (AAA) сервер).

ASR(config)#ip http
ASR(config)#ip http authentication local
ASR(config)#username <> password <>

Вот конфигурация для включения защищенного сервера HTTP (HTTPS):

ASR(config)#ip http secure-server
ASR(config)#ip http authentication local
ASR(config)#username <> password <>

Перейдите к IP-адресу интерфейса на ASR и войдите с учетной записью пользователя, которую вы создали. Вот снимок экрана:

Для использования сервиса клиента HTTP введите ip http client source-interface <имя интерфейса> источник команды для трафика клиента HTTP от поддерживающего VRF интерфейса, как показано:

ASR(config)#ip http client source-interface GigabitEthernet0

Вот пример, который иллюстрирует использование сервиса клиента HTTP для копирования образа от удаленного сервера HTTP до флэш-памяти:

ASR#
ASR#copy http://username:password@10.76.76.160/image.bin flash:
Destination filename [image.bin]?

Accessing http://10.106.72.62/image.bin...
Loading http://10.106.72.62/image.bin
1778218 bytes copied in 20.038 secs (465819 bytes/sec)
ASR#

Персистентный доступ

Этот раздел применим только для TELNET/SSH/СОЕДИНЕНИЙ HTTP к коробке.

С персистентным SSH и персистентной Telnet, можно настроить транспортную карту, которая определяет обработку входящего SSH или трафика Telnet на Интерфейсе управления Ethernet. Таким образом, это создает способность обратиться к маршрутизатору через режим диагностики, даже когда процесс Cisco IOS не активен. Для получения дополнительной информации о режиме диагностики обратитесь к Пониманию раздела Режима диагностики Руководства по конфигурации программного обеспечения сервисных маршрутизаторов агрегации Cisco ASR серии 1000.

Примечание: Персистентный SSH или персистентная Telnet могут только быть настроены на Интерфейсе управления, GigabitEthernet0. 

Примечание: В версиях, которые не имеют исправления для идентификатора ошибки Cisco CSCuj37515, метод аутентификации для доступа peristent зависит от метода, который используется под line VTY. Персистентный доступ требует, чтобы аутентификация была локальна, так, чтобы доступ режима диагностики все еще работал, когда отказывает внешняя проверка подлинности. Это означает, что любой обычный доступ SSH и Telnet также требует использования локальной проверки подлинности.

Внимание: В версиях, которые не имеют исправления для идентификатора ошибки Cisco CSCug77654, использование метода AAA по умолчанию ограничивает пользовательскую способность ввести приглашение SSH, когда используется персистентный SSH. Пользователь всегда вынуждается ввести диагностическое приглашение. Для этих версий Cisco рекомендует, чтобы вы использовали метод аутентификации названия или гарантировали, что включены обычный SSH и Telnet.

Персистентный SSH

Создайте транспортную карту для разрешения персистентного SSH как показано в следующем разделе:

Настройка

ASR(config)#crypto key generate rsa label ssh-keys modulus 1024
The name for the keys will be: ssh-keys

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

ASR#
ASR(config)#transport-map type persistent ssh
persistent-ssh-map

ASR(config-tmap)#rsa keypair-name ssh-keys
ASR(config-tmap)#transport interface GigabitEthernet0
ASR(config-tmap)#banner wait X
Enter TEXT message. End with the character 'X'.
--Waiting for vty line--
X
ASR(config-tmap)#
ASR(config-tmap)# banner diagnostic X
Enter TEXT message. End with the character 'X'.
--Welcome to Diagnostic Mode--
c
ASR(config-tmap)#connection wait allow interruptible
ASR(config-tmap)#exit
ASR(config)#transport type persistent ssh input persistent-ssh
*Jul 10 15:31:57.102: %UICFGEXP-6-SERVER_NOTIFIED_START: R0/0: psd: 
Server persistent ssh has been notified to start

Теперь необходимо включить локальную проверку подлинности для персистентного SSH. Это может быть сделано или с командой aaa new-model или без него. Оба из сценариев описаны здесь. (В любом случае гарантируйте, что у вас есть учетная запись локальной базы данных имя пользователя/пароль на маршрутизаторе).

Можно выбрать, какая конфигурация на основе того, включили ли вам AAA на ASR.

  1. С включенным AAA:
    ASR(config)#aaa new-model
    ASR(config)#aaa authentication login default local
    ASR(config)#line vty 0 4
    ASR(config-line)#login authentication default
  2. Без включенного AAA:
    ASR(config)#line vty 0 4
    ASR(config-line)#login local

Проверка

SSH к ASR с IP-адресом поддерживающего VRF интерфейса Gigabitethernet0. Как только пароль введен, необходимо ввести последовательность прерывания (Ctrl-C или Ctrl-Shift-6).

management-station$ ssh -l cisco 10.106.47.139
cisco@10.106.47.139's password:

--Waiting for vty line--

--Welcome to Diagnostic Mode--
ASR(diag)#

Примечание: Введите последовательность прерывания (Ctrl-C или Ctrl-Shift-6), когда - Ждущий линии VTY - отображается на терминале для ввода режима диагностики.

Персистентная Telnet

Настройка

С подобной логикой, как описано в предыдущем разделе для SSH, создайте транспортную карту для персистентной Telnet как показано здесь:

ASR(config)#transport-map type persistent telnet persistent-telnet
ASR(config-tmap)#banner diagnostic X
Enter TEXT message. End with the character 'X'.
--Welcome to Diagnostic Mode--
X
ASR(config-tmap)#banner wait X
Enter TEXT message. End with the character 'X'.
--Waiting for IOS Process--
X
ASR(config-tmap)#connection wait allow interruptible
ASR(config-tmap)#transport interface gigabitEthernet 0
ASR(config-tmap)#exit
ASR(config)#transport type persistent telnet input persistent-telnet
*Jul 10 15:26:56.441: %UICFGEXP-6-SERVER_NOTIFIED_START: R0/0: psd:
Server persistent telnet has been notified to start

Как обсуждено в последнем разделе для SSH, существует два способа настроить локальную проверку подлинности как показано здесь:

  1. С включенным AAA:
    ASR(config)#aaa new-model 
    ASR(config)#aaa authentication login default local
    ASR(config)#line vty 0 4
    ASR(config-line)#login authentication default
  2. Без AAA:
    ASR(config)#line vty 0 4
    ASR(config-line)#login local

Проверка

Telnet к IP-адресу интерфейса GigabitEthernet0. После ввода учетных данных введите последовательность прерывания и ждите в течение нескольких секунд (иногда, она могла бы требовать времени), прежде чем вы войдете в режим диагностики.

Management-station$ telnet 10.106.47.139
Trying 10.106.47.139...
Connected to 10.106.47.139.
Escape character is '^]'.
Username: cisco
Password:

--Waiting for IOS Process--


--Welcome to Diagnostic Mode--
ASR(diag)#

Примечание: Введите последовательность прерывания Ctrl+C или Ctrl+Shift+6, и ждите в течение нескольких секунд. Когда - Ждущий Процесса IOS - отображается на терминале, вы в состоянии ввести режим диагностики.

Персистентный HTTP

Для включения персистентного доступа HTTP к коробке (HTTP от коробки, или сервис клиента HTTP не доступен), и используйте новый находящийся на web доступ к ГИП, используйте эту конфигурацию, которая использует локальную проверку подлинности (можно также использовать внешний AAA-сервер).

Настройка

В этих конфигурациях http-webui и https-webui являются названиями транспортных карт.

ASR(config)#ip http serverASR(config)#ip http authentication local
ASR(config)#username <> password <>
ASR(config)#transport-map type persistent webui http-webui
ASR(config-tmap)#server
ASR(config-tmap)#exit
ASR(config)#transport type persistent webui input http-webui

Вот конфигурация, используемая для включения защищенного сервера HTTP (HTTPS).

ASR(config)#ip http secure-serverASR(config)#ip http authentication local
ASR(config)#username <> password <>
ASR(config)#transport-map type persistent webui https-webui
ASR(config-tmap)#secure-server
ASR(config-tmap)#exit
ASR(config)#transport type persistent webui input https-webui

Проверка

Перейдите к IP-адресу интерфейса на ASR. Войдите с именем пользователя/паролем, которое вы создали для запуска домашней страницы. Состояние и контролирующий показы дополнительных сведений, наряду с WebUI IOS, где можно применить команды. Вот снимок экрана домашней страницы:

Устранение неполадок

Если WebUI не доступен через HTTPS, то проверьте, что сертификат и ключ Ривест-Шамир-Адлемена (RSA) присутствуют и в рабочем состоянии. Можно использовать эту команду отладки для определения причины, которую WebUI не запускает должным образом:

ASR#debug platform software configuration notify webui
ASR#config t
ASR(config)#no transport type persistent webui input https-webui
%UICFGEXP-6-SERVER_NOTIFIED_STOP: SIP0: psd: Server wui has been notified to stop
ASR(config)#transport type persistent webui input https-webui

CNOTIFY-UI: Setting transport map
CNOTIFY-UI: Transport map https-webui input being processed
CNOTIFY-UI: Processing map association
CNOTIFY-UI: Attempting to send config
CNOTIFY-UI: Preparing to send config
CNOTIFY-UI: server cache: false, tm: false
CNOTIFY-UI: secure-server cache: true, tm: true
CNOTIFY-UI: Validating server config
CNOTIFY-UI: Validating secure server config
CNOTIFY-UI: Checking if secure server config is ok
CNOTIFY-UI: Secure server is enabled in map
CNOTIFY-UI: Getting trust point
CNOTIFY-UI: Getting self-signed trust point
CNOTIFY-UI: Could not get self-signed trustpoint
CNOTIFY-UI: A certificate for does not exist
CNOTIFY-UI: Getting rsa key-pair name
CNOTIFY-UI: Failed to get rsa key pair name
CNOTIFY-UI: Key needed to generate the pem file

CNOTIFY-UI: Secure-server config invalid
CNOTIFY-UI: Config analysis indicates no change
CNOTIFY-UI: Failed to prepare config

Ключ RSA

Для проверки присутствия ключа RSA введите эту команду:

ASR#show crypto key mypubkey rsa
% Key pair was generated at: XX:XX:XX XXX XXX XX XXXX
Key name: ASR.ASR
Key type: RSA KEYS
Storage Device: not specified
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data&colon;
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
XXXXXXXX XXXX
% Key pair was generated at: XX:XX:XX XXX XXX XX XXXX
Key name: ASR.ASR.server
Key type: RSA KEYS
Temporary key
Usage: Encryption Key
Key is not exportable. Redundancy enabled.
Key Data&colon;
 XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
 XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
 XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
 XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXX
ASR#
Примите во внимание ключевое название, поскольку оно требуется для создания сертификата. Если ключ не присутствует, можно создать один с этими командами:
ASR(config)#ip domain-name Router
ASR(config)#crypto key generate rsa
The name for the keys will be: Router.Router
Choose the size of the key modulus in the range of 360 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

ASR(config)#
*Dec 22 10:57:11.453: %SSH-5-ENABLED: SSH 1.99 has been enabled

Сертификат

Как только ключ присутствует, можно ввести эту команду для проверки сертификата:

ASR#show crypto pki certificates 
ASR Self-Signed Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: General Purpose
Issuer:
serialNumber=XXXXXXXXXXX+ipaddress=XXX.XXX.XXX.XXX+hostname=ASR
cn=XXX.XXX.XXX.XXX
c=US
st=NC
l=Raleigh
Subject:
Name: Router
IP Address: XXX.XXX.XXX.XXX
Serial Number: XXXXXXXXXXX
serialNumber=XXXXXXXXXXX+ipaddress=XXX.XXX.XXX.XXX+hostname=aSR
cn=XXX.XXX.XXX.XXX
c=US
st=NC
l=Raleigh
Validity Date:
start date: XX:XX:XX XXX XXX XX XXXX
end date: XX:XX:XX XXX XXX XX XXXX
Associated Trustpoints: local

Если сертификат недопустим или не присутствует, то можно создать сертификат с этими командами:

ASR(config)#crypto pki trustpoint local
ASR(ca-trustpoint)#enrollment selfsigned
ASR(ca-trustpoint)#subject-name CN=XXX.XXX.XXX.XXX; C=US; ST=NC; L=Raleigh
ASR(ca-trustpoint)#rsakeypair ASR.ASR 2048
ASR(ca-trustpoint)#crypto pki enroll local
% Include the router serial number in the subject name? [yes/no]: yes
% Include an IP address in the subject name? [no]: yes
Enter Interface name or IP Address[]: XXX.XXX.XXX.XXX
Generate Self Signed Router Certificate? [yes/no]: yes

Router Self Signed Certificate successfully created

Как только ключ RSA и сертификат обновлены и допустимы, сертификат может быть привязан к конфигурации HTTPS:

ASR(config)#ip http secure-trustpoint local

Можно тогда отключить и реактивировать WebUI, чтобы гарантировать, что это функционально:

ASR#conf t
Enter configuration commands, one per line. End with CNTL/Z.
ASR(config)#no transport type persistent webui input https-webui
ASR(config)#
CNOTIFY-UI: Setting transport map
CNOTIFY-UI: Transport map usage being disabled
CNOTIFY-UI: Processing map association
CNOTIFY-UI: Attempting to send config
CNOTIFY-UI: Preparing to send config
CNOTIFY-UI: Persistent webui will be shutdown if running
CNOTIFY-UI: Creating config message
CNOTIFY-UI: Secure-server state actually being set to: disabled
CNOTIFY-UI: Webui server information: changed: true, status: disabled, port: 80
CNOTIFY-UI: Webui secure server information: changed: true, status: disabled, port: 443
CNOTIFY-UI: Webui service (re)start: false. Sending all config
ASR(config)#
ASR(config)#transport type persistent webui input https-webui
ASR(config)#
CNOTIFY-UI: Setting transport map
CNOTIFY-UI: Transport map https-webui input being processed
CNOTIFY-UI: Processing map association
CNOTIFY-UI: Attempting to send config
CNOTIFY-UI: Preparing to send config
CNOTIFY-UI: server cache: false, tm: false
CNOTIFY-UI: secure-server cache: true, tm: true
CNOTIFY-UI: Validating server config
CNOTIFY-UI: Validating secure server config
CNOTIFY-UI: Checking if secure server config is ok
CNOTIFY-UI: Secure server is enabled in map
CNOTIFY-UI: Getting trust point
CNOTIFY-UI: Using issued certificate for identification
CNOTIFY-UI: Getting rsa key-pair name
CNOTIFY-UI: Getting private key
CNOTIFY-UI: Getting certificate
CNOTIFY-UI: Secure server config is ok
CNOTIFY-UI: Secure-server config is valid
CNOTIFY-UI: Creating config message
CNOTIFY-UI: Secure-server state actually being set to: enabled
CNOTIFY-UI: Adding rsa key pair
CNOTIFY-UI: Getting base64 encoded rsa key
CNOTIFY-UI: Getting rsa key-pair name
CNOTIFY-UI: Getting private key
CNOTIFY-UI: Added rsa key
CNOTIFY-UI: Adding certificate
CNOTIFY-UI: Getting base64 encoded certificate
CNOTIFY-UI: Getting certificate
CNOTIFY-UI: Getting certificate for local
CNOTIFY-UI: Certificate added
CNOTIFY-UI: Webui server information: changed: false, status: disabled, port: 80
CNOTIFY-UI: Webui secure server information: changed: true, status: enabled, port: 443
CNOTIFY-UI: Webui service (re)start: true. Sending all config

%UICFGEXP-6-SERVER_NOTIFIED_START: SIP0: psd: Server wui has been notified to start

Дополнительные сведения



Document ID: 116093