قم باستعادة اتصال بيانات تتبع الاستخدام بشكل معطل بسبب فشل تجديد شهادة PKI على أجهزة Catalyst Center IOS-XE التي تشغل الإصدارات 17.12.1 حتى 17.12.4.
المحتويات
المقدمة
يوضح هذا المستند أسباب فشل إتصالات القياس عن بعد وكيفية استعادتها.
- يمكن أن يفشل التجديد التلقائي لجهاز Cisco IOS® XE (Cisco Catalyst Center) على جهاز Cisco IOS XE بسبب خطأ Cisco IOS XE ID CSCwk39268
على نظام تشغيل جهاز Cisco IOS XE، مما تسبب في فشل بيانات تتبع إستخدام البيانات المرسلة من الأجهزة المتأثرة إلى مركز Catalyst Center. - تكون الشهادة صالحة لسنة واحدة ويتم تجديدها عادة تلقائيا بواسطة Catalyst Center قبل 60 يوما من انتهاء صلاحيتها.
- يمكن للعملاء المتضررين من هذه المشكلة، أو الذين من المحتمل أن يتأثروا، رؤية رسالة منبثقة في مركز Catalyst.
الإصدارات المتأثرة:
- إصدارات مركز Catalyst قبل 2.3.7.11 التي تدير أجهزة شبكة Cisco IOS XE التي تشغل الإصدارات 17.12.1-17.12.4
الدقة:
يلزم على العملاء إستخدام أي من هذه الخيارات الثلاثة لحل المشكلة.
الخيار 1: عندما تكون شهادة الجهاز على وشك الانتهاء ولم تنته صلاحيتها بعد:
1. مركز Access Catalyst
سجل الدخول إلى مركز Catalyst.
من القائمة الرئيسية، انتقل إلى التصميم > قوالب واجهة سطر الأوامر.
2. إنشاء مشروع قالب
انقر فوق إضافة > مشروع جديد.
أدخل اسم المشروع، على سبيل المثال: PKI_TRUSTpoint_Changes.
انقر فوق متابعة.
3. إنشاء قالب CLI جديد
حدد المشروع الذي تم إنشاؤه حديثا.
انقر فوق إضافة > قالب جديد.
أدخل اسم قالب، على سبيل المثال: configure_sdn_network_infra_iwan_trusted point.
تعيين نوع القالب إلى القالب العادي.
قم بتعيين نوع البرنامج على Cisco IOS XE.
حدد فئة أو سلسلة الجهاز المناسبة لأجهزة Cisco IOS XE المقصودة.
انقر فوق متابعة.
4. إضافة تكوين CLI
في محرر القوالب، أدخل الأوامر التالية:
crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512
5. تنفيذ القالب
بعد حفظ القالب، انقر فوق ActiveAnd SelectCommit.
أدخل رسالة التزام، على سبيل المثال:تحديث TrustPoint إلى sha512.
تأكيد الالتزام.
6. توفير القالب لجهاز
في صفحة Design > CLI Templates، حدد القالب.
قوالب ClickProvision.
أدخل اسم مهمة، على سبيل المثال:TrustPoint_Update_Device1.
في خطوة تحديد الجهاز، حدد جهاز Cisco IOS XE فقط.
طقطقت بعد ذلك.
راجع تعيين القالب القابل للتطبيق.
نظرا لعدم إستخدام أي متغيرات قوالب، استمر في الخطوة التالية.
على شاشة المعاينة، تحقق من صحة الأوامر.
انقر فوق "نشر الآن".
7. تأكيد حالة النشر في مركز Catalyst:
انتقل إلى الأنشطة > المهام.
تحقق من اكتمال النشر بنجاح.
في حالة فشل النشر، قم بمراجعة تفاصيل المهمة وإخراج الخطأ قبل إعادة المحاولة.
8. تكرار لأجهزة إضافية
كرر عملية النشر هذه لكل جهاز Cisco IOS XE بشكل فردي.
أستخدم اسم مهمة منفصل لكل جهاز لتبسيط التعقب واستكشاف الأخطاء وإصلاحها.
9. التحقق من التكوين على الجهاز
بعد اكتمال النشر، قم بالاتصال ب CLI الخاص بالجهاز وقم بالتشغيل:
show run | sec crypto pki trustpoint sdn-network-infra-iwan
تأكد من أن التكوين الجاري تشغيله يتضمن البنود التالية:
crypto pki trustpoint sdn-network-infra-iwan
hash sha512
الخيار 2: ترقية مركز Catalyst إلى 2.3.7.11،2.3.7.9 PSMU80، أو2.3.7.10 PSMU140.
تتوفر SMU (تحديث صيانة البرامج) ضمن النظام > إدارة البرامج في واجهة المستخدم الرسومية Catalyst Center، إذا لم تكن قادرا على رؤية SMU، فيرجى فتح طلب خدمة TAC وتوفير معرف العضو الخاص بك.
الخيار 3: ترقية الجهاز المؤثر Cisco IOS XEdevice إلى 17.12.5 أو إصدار أحدث من الإصدار الذي توصي به Cisco.
تحديد جهاز Cisco IOS XE المتأثر:
الخطوة 1: تحقق من صحة شهادة الجهاز وحالة TrustPoint على جهاز Cisco IOS XE المتأثر.
device# show crypto pki certificates verbose sdn-network-infra-iwan
نموذج الإخراج:
Certificate
Status: Available
Version: 3
Certificate Serial Number (hex): 18831279321B12FA
Certificate Usage: General Purpose
Issuer:
cn=sdn-network-infra-ca
Subject:
Name: device.example.net
cn=C9300-48U_SN12345678_sdn-network-infra-iwan
hostname=device.example.net
Validity Date:
start date: 11:39:55 cdt Jul 10 2025
end date: 11:39:55 cdt Jul 16 2025
renew date: 06:51:54 cdt Jul 15 2025
...
ملاحظة: إذا كان تاريخ الانتهاء وتاريخ التجديد قبل التاريخ الحالي على الجهاز، تكون الشهادة قد انتهت صلاحيتها.
الخطوة 2: تحقق من سجل الأخطاء على الجهاز.
نموذج الإخراج:
Device# show logging %PKI-2-CERT_RENEW_FAIL: Certificate renewal failed for trustpoint sdn-network-infra-iwan
Reason : Failed to get ID certificate from CA server sdn-network-infra-iwan:Certificate renewal failed.
الخطوة 3: تحقق من حالة بيانات تتبع إستخدام الجهاز في مركز Catalyst
نموذج الإخراج:
Device#show tel con all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
-----------------------------------------------------------------------------------------
36284 x.x.x.x 25103 0 x.x.x.x Connecting Connection request made to transport handler
ملاحظة: في هذا المثال، لم يتم تشغيل اتصال بيانات تتبع الاستخدام، فقط في حالة الاتصال.
معلومات إضافية:
عندما تكون شهادة الجهاز منتهية الصلاحية بالفعل ويكون الجهاز في حالة متدهورة، نفذ هاتين الخطوتين:
الخطوة 1: فرض القياس عن بعد من واجهة المستخدم الرسومية (GUI) بمركز Catalyst
- انتقل إلى القائمة > التزويد > المخزون
- تحديد الجهاز (الأجهزة) حسب اسم المضيف
- تحديد الإجراءات > تتبع الاستخدام > تحديث إعدادات تتبع الاستخدام
- تمكين الدفع نحو تكوين القوة
- المتابعة عبر المعالج وإرسال المهمة
الخطوة 2: تحديث خوارزمية التجزئة ل the trustPoint tosha512 على الجهاز:
crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512
أسئلة شائعة:
هل يؤدي تثبيت وحدة SMU إلى إصلاح نظام متأثر بالفعل، أم أنه إجراء وقائي؟
إن وحدة SMU هي حل وقائي ويجب تثبيتها قبل حدوث المشكلة. إذا كانت المشكلة قد حدثت بالفعل، فإن تثبيت SMU لا يعمل على مسح المشكلة تلقائيا. لاسترداد الأنظمة الفاشلة الموجودة راجع قسم المعلومات الإضافية.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
2.0 |
28-Apr-2026
|
الإصدار الأولي |
1.0 |
08-Apr-2026
|
الإصدار الأولي |
التعليقات