المقدمة
يصف هذا المستند إجراء لاستكشاف أخطاء بروتوكول HTTPS وإصلاحها في عملية السباحة لمركز بنية الشبكة الرقمية من Cisco في الأنظمة الأساسية Cisco IOS® XE.
المتطلبات الأساسية
المتطلبات
أنت ينبغي يتلقى منفذ cisco dna مركز من خلال gui مع إدارة امتياز دور مدير ومفتاح CLI.
المكونات المستخدمة
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المشكلة
هناك خطأ شائع أن مركز بنية الشبكة الرقمية من Cisco / برنامج إدارة الصور (SWIM) يعرض بعد التحقق من الاستعداد لتحديث الصورة:
"يتعذر الوصول إلى HTTPS / SCP"
يصف هذا الخطأ أن بروتوكول HTTPS غير قابل للوصول؛ ومع ذلك، سيستخدم مركز بنية الشبكة الرقمية من Cisco بروتوكول SCP لنقل صورة Cisco IOS® XE إلى جهاز الشبكة.
أحد عيوب إستخدام SCP هو مقدار الوقت اللازم لتوزيع الصورة. HTTPS أسرع من SCP.
التحقق
حالة جهاز الشبكة في مخزون مركز بنية الشبكة الرقمية من Cisco
انتقل إلى التوفير > المخزون > تغيير التركيز إلى المخزون
تحقق من قابلية الوصول والإدارة لجهاز الشبكة للترقية. يجب أن تكون حالة الجهاز قابلة للوصول والمدارة.
إذا كان لجهاز الشبكة أية حالة أخرى في قابلية الوصول والإدارة، فقم بإصلاح المشكلة قبل الانتقال إلى الخطوات التالية.
شهادة DNAC-CA المثبتة في جهاز الشبكة
انتقل إلى جهاز الشبكة وشغل الأمر:
show running-config | sec crypto pki
يجب أن ترى DNAC-CA TrustPoint وسلسلة DNAC-CA. إذا لم تتمكن من رؤية TrustPoint أو السلسلة أو كليهما ل DNAC-CA، فأنت بحاجة إلى تحديث إعدادات القياس عن بعد من أجل دفع شهادة DNAC-CA.
إذا كانت إمكانية تحكم الجهاز معطلة، قم بتثبيت شهادة DNAC-CA يدويا مع الخطوات التالية:
- في نوع مستعرض الويب https://<dnac_ipaddress>/ca/pemand قم بتنزيل ملف .pem
- حفظ ملف .pem في الكمبيوتر المحلي
- فتح ملف .pem باستخدام تطبيق محرر نصي
- فتح CLI لجهاز الشبكة
- تحقق من أي شهادة DNA-CA قديمة باستخدام الأمر
show run | in crypto pki trustpoint DNAC-CA
- إذا كانت هناك شهادة DNA-CA قديمة، فقم بإزالة شهادة DNAC-CA باستخدام الأمر
no crypto pki trustpoint DNAC-CA
في وضع التكوين
- ركضت الأمر في تشكيل أسلوب in order to ركبت DNAC-CA شهادة:
crypto pki trustpoint DNAC-CA
enrollment mode ra
enrollment terminal
usage ssl-client
revocation-check none
exit
crypto pki authenticate DNAC-CA
- لصق ملف .pem نصي
- أدخل نعم عند طلبها
- حفظ التكوين
استكشاف الأخطاء وإصلاحها
الاتصال من جهاز الشبكة إلى مركز DNA من Cisco في جهاز الشبكة من خلال المنفذ 443
قم بتشغيل إختبار نقل ملفات HTTPS في جهاز الشبكة
copy https://<DNAC_IP>/core/img/cisco-bridge.png flash:
ينقل هذا إختبار ملف PNG من مركز بنية الشبكة الرقمية من Cisco إلى المحول.
يصف هذا الإخراج نقل الملفات بنجاح
MXC.TAC.M.03-1001X-01#copy https://10.x.x.x/core/img/cisco-bridge.png flash:
Destination filename [cisco-bridge.png]?
Accessing https://10.x.x.x/core/img/cisco-bridge.png...
Loading https://10.x.x.x/core/img/cisco-bridge.png
4058 bytes copied in 0.119 secs (34101 bytes/sec)
MXC.TAC.M.03-1001X-01#
إذا حصلت على الإخراج التالي، فسيفشل نقل الملف:
MXC.TAC.M.03-1001X-01#$//10.x.x.x/core/img/cisco-bridge.png flash:
Destination filename [cisco-bridge.png]?
Accessing https://10.x.x.x/core/img/cisco-bridge.png...
%Error opening https://10.x.x.x/core/img/cisco-bridge.png (I/O error)
MXC.TAC.M.03-1001X-01#
إتخاذ الإجراءات التالية:
- التحقق من حظر جدار الحماية للمنفذ 443 و 80 و 22.
- تحقق من وجود قائمة وصول في جهاز الشبكة الذي يمنع المنفذ 443 أو بروتوكول HTTPS.
- قم بالتقاط حزمة في جهاز الشبكة أثناء نقل الملفات.
ملاحظة: بعد أن تنتهي من إختبار نقل ملفات HTTPS، قم بإزالة ملف Cisco-bridge.png باستخدام الأمر delete flash:cisco-bridge.png
واجهة مصدر عميل HTTPS في جهاز الشبكة
تحقق من تكوين واجهة مصدر عميل الشبكة بشكل صحيح.
أنت يستطيع ركضت الأمر show run | in http client source-interface
in order to دققت التشكيل:
MXC.TAC.M.03-1001X-01#show run | in http client source-interface
ip http client source-interface GigabitEthernet0
MXC.TAC.M.03-1001X-01#
سيفشل إختبار ملف نقل HTTPS إذا كان لدى الجهاز واجهة مصدر غير صحيحة أو كانت واجهة المصدر مفقودة.
ألق نظرة على المثال:
يحتوي جهاز المختبر على عنوان IP 10.88.174.43 في مركز بنية الشبكة الرقمية (DNA) من Cisco للمخزون:
لقطة شاشة المخزون:
فشل إختبار نقل ملفات HTTPS:
MXC.TAC.M.03-1001X-01#copy https://10.x.x.x/core/img/cisco-bridge.png flash:
Destination filename [cisco-bridge.png]?
%Warning:There is a file already existing with this name
Do you want to over write? [confirm]
Accessing https://10.x.x.x/core/img/cisco-bridge.png...
%Error opening https://10.x.x.x/core/img/cisco-bridge.png (I/O error)
MXC.TAC.M.03-1001X-01#
التحقق من واجهة المصدر:
MXC.TAC.M.03-1001X-01#show run | in source-interface
ip ftp source-interface GigabitEthernet0
ip http client source-interface GigabitEthernet0/0/0
ip tftp source-interface GigabitEthernet0
ip ssh source-interface GigabitEthernet0
logging source-interface GigabitEthernet0 vrf Mgmt-intf
التحقق من الواجهات:
MXC.TAC.M.03-1001X-01#show ip int br | ex unassigned
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0/0 1.x.x.x YES manual up up
GigabitEthernet0 10.88.174.43 YES TFTP up up
MXC.TAC.M.03-1001X-01#
وفقا لقطة شاشة المخزون، اكتشف مركز بنية الشبكة الرقمية (DNA) من Cisco الجهاز باستخدام الواجهة GigabitEthernet0 بدلا من GigabitEthernet0/0/0
أنت تحتاج أن يعدل مع المصدر قارن صحيح in order to صححت المشكلة.
MXC.TAC.M.03-1001X-01#conf t
Enter configuration commands, one per line. End with CNTL/Z.
MXC.TAC.M.03-1001X-0(config)#ip http client source-interface GigabitEthernet0
MXC.TAC.M.03-1001X-0(config)#
MXC.TAC.M.03-1001X-01#show run | in source-interface
ip ftp source-interface GigabitEthernet0
ip http client source-interface GigabitEthernet0
ip tftp source-interface GigabitEthernet0
ip ssh source-interface GigabitEthernet0
logging source-interface GigabitEthernet0 vrf Mgmt-intf
MXC.TAC.M.03-1001X-01#
MXC.TAC.M.03-1001X-01#copy https://10.x.x.x/core/img/cisco-bridge.png flash:
Destination filename [cisco-bridge.png]?
Accessing https://10.x.x.x/core/img/cisco-bridge.png...
Loading https://10.x.x.x/core/img/cisco-bridge.png
4058 bytes copied in 0.126 secs (32206 bytes/sec)
MXC.TAC.M.03-1001X-01#
ملاحظة: بعد أن تنتهي من إختبار نقل ملفات HTTPS، قم بإزالة ملف Cisco-bridge.png باستخدام الأمر delete flash:cisco-bridge.png
مزامنة التاريخ
تحقق من أن جهاز الشبكة لديه تاريخ وساعة صحيحين باستخدام الأمر show clock
ألق نظرة على سيناريو المعمل الذي تكون فيه شهادة DNAC-CA مفقودة في جهاز Lab. تم دفع تحديث بيانات تتبع الاستخدام، ومع ذلك، فشل تثبيت شهادة DNAC-CA بسبب:
Jan 1 10:18:05.147: CRYPTO_PKI: trustpoint DNAC-CA authentication status = 0
%CRYPTO_PKI: Cert not yet valid or is expired -
start date: 01:42:22 UTC May 26 2023
end date: 01:42:22 UTC May 25 2025
كما ترى، فإن النتيجة صحيحة، ومع ذلك، فقد قال الخطأ أن النتيجة غير صالحة أو منتهية الصلاحية.
التحقق من وقت جهاز الشبكة:
MXC.TAC.M.03-1001X-01#show clock
10:24:20.125 UTC Sat Jan 1 1994
MXC.TAC.M.03-1001X-01#
يوجد خطأ في التاريخ والوقت. لحل هذه المشكلة، يمكنك تكوين خادم NTP أو تكوين الساعة يدويا باستخدام الأمر clock set
في وضع الامتيازات.
مثال تكوين الساعة اليدوية:
MXC.TAC.M.03-1001X-01#clock set 16:20:00 25 september 2023
مثال تكوين NTP:
MXC.TAC.M.03-1001X-0(config)#ntp server vrf Mgmt-intf 10.81.254.131
تصحيح الأخطاء
يمكنك تشغيل تصحيح الأخطاء لاستكشاف أخطاء HTTPS وإصلاحها:
debug ip http all
debug crypto pki transactions
debug crypto pki validation
debug ssl openssl errors
ملاحظة: بعد الانتهاء من أستكشاف أخطاء جهاز الشبكة وإصلاحها، قم بإيقاف تصحيح الأخطاء باستخدام الأمر undebug all