المقدمة
يصف هذا المستند أوقات الاسترداد الموسعة وحالات فشل وصول SSH بسبب تجميع حزمة TrustPool من CEPKI على عقدة NCS 1010 (مع Cisco IOS® XR 24.3.1، 25.1.1).
مسألة
تتم ملاحظة فترات الاسترداد الممتدة المتقطعة بعد إعادة تحميل معالج التوجيه (RP) على العقد الضوئية NCS 1010. أثناء فترة الاسترداد، يفشل وصول SSH إلى الجهاز بسبب التأخير في تهيئة البنية الأساسية للمفتاح العام المضمنة (CEPKI) من Cisco. وهذا يؤدي إلى منع الإدارة عن بعد ومهام التشغيل على العقد المتأثرة. تشير رسائل syslog وأخطاء SSH إلى أن عملية SSH لا يمكن أن تسترد مفاتيح المضيف من CEPKI حتى اكتمال التهيئة، مما يؤدي إلى فشل تسجيل دخول SSH. تتم ملاحظة إسترداد وصول SSH فقط بعد اكتمال تهيئة CEPKI، غالبا بعد 30-60 دقيقة. وترتبط هذه المسألة بتراكم كبير لحزم الثقة على الجهاز، ولا سيما فيما يتعلق بإصداري البرامجين 24.3.1 و 25.1.1.
البيئة
- التقنية: الشبكات الضوئية
- مجموعة المنتج: سلسلة NCS 1000 (العقد الضوئية NCS 1010)
- إصدارات البرامج: IOS XR 24.3.1 و 25.1.1 (تم نسخ الإصدار على كليهما)
- المكونات: معالج التوجيه (RP) و CEPKI وعملية SSHD
- الميزات التشغيلية: تطبيقات الترخيص الذكي وتطبيقات الاتصال بالمنزل
- ملاحظات حديثة: أوقات الاسترداد الممتدة، وحالات فشل وصول SSH بعد إعادة تحميل RP، والتراكم الفائق لمجموعة مصادر الثقة
قرار
من أجل تخفيف وحل تأخر تهيئة CEPKI وفشل وصول SSH بسبب تجميع حزمة الثقة، لاحظ الخطوات المذكورة. وهذه الخطوات مستمدة مباشرة من التحليل الهندسي الموثق والقرارات الموثقة.
-
التحقق من تراكم حزمة TrustPool:
ركضت هذا أمر in order to راجعت ال trustPool حزمة دولة و متصل شهادة معلومة. لا تتوفر أمثلة النواتج في البيانات المقدمة.
الخطوة 1. مراجعة المعلومات التقنية التفصيلية NCS1010.
show tech ncs1010 detailed
الخطوة 2. مراجعة تفاصيل جلسة عمل التشفير.
show tech crypto session
الخطوة 3. مراجعة بيانات الدعم الفني ل CEPKI.
show tech-support cepki
الخطوة 4. مراجعة حالة قاعدة بيانات النظام.
show tech sysdb
الخطوة 5. سرد جميع شهادات CA للتشفير المثبتة.
show crypto ca certificates
الخطوة 6. عرض تفاصيل حزمة موثوق بها.
show crypto ca trustpool detail
الخطوة 7. عرض حالة تجمع الثقة.
show crypto ca trustpool
الخطوة 8. عرض سياسة تجمع الثقة.
show crypto ca trustpool policy
-
الحل البديل للإصدارات المتأثرة (24.3.1 و 25.1.1):
من أجل تنظيف حزم الثقة المتراكمة وفرض إعادة الاستيراد، قم بتنفيذ الأوامر المذكورة بشكل تسلسلي. تؤدي هذه العملية إلى إزالة شهادات TrustPool التي تم تنزيلها في وقت سابق وتنزيل الحزمة الحالية، مما يساعد على تقليل حالات التأخير في التهيئة.
الخطوة 1. مسح شهادات تجمع الثقة قبل الاستيراد.
crypto ca trustpool import url clean
الخطوة 2. إستيراد حزمة الثقة.
crypto ca trustpool import url
-
الإصلاح الدائم (مستحسن الترقية):
تم حل المشكلة الأساسية في الإصدار 26.1.1 من Cisco IOS XR بموجب معرف تصحيح الأخطاء من Cisco CSCwq39205.
قم بالترقية إلى هذا الإصدار لضمان قيام النظام تلقائيا بمسح شهادات TrustPool التي تم تنزيلها مسبقا قبل تنزيل الحزمة الحالية. يحافظ هذا على حالة تجمع ثقة نظيفة ومتسقة للعمليات المستقبلية.
-
خدمة Call-Home Transport الاستشارية لطريقة النقل في المنزل:
لاحظ أن Cisco قد أعلنت عن نهاية العمر الافتراضي (EoL) لطريقة نقل الاتصال بالمنزل التي تبدأ من الإصدار 25.3.1 من Cisco IOS XR. يوصى بشدة بالانتقال إلى طريقة نقل الترخيص الذكي للحصول على دعم مستمر. راجع إرشادات Cisco المقدمة للحصول على مزيد من المعلومات.
المؤشرات الفنية والسجلات:
- Syslog:
sshd[21897]: main: failed to get keys from cepki
- Syslog:
cepki[274]: certificate database updated
- خطأ SSH:
ssh: connect to host <node> port 22: Connection refused
- الملاحظة: معالجة CEPKI لتحديث الشهادات بشكل متكرر بدون إشارة نهاية التهيئة (EOI).
- تمت ملاحظة عمليات عد TrustPool: 20 مرة من 'TrustPool: مدمج، 768 من 'TrustPool: تم التنزيل'.
السبب
يتمثل السبب الرئيسي في تجميع حزم TrustPool المتعددة على الجهاز، والتي يتم تشغيلها بواسطة التنزيلات المتكررة عبر تطبيقات الترخيص الذكي و Call-Home. في الإصدارين 24.3.1 و 25.1.1 من Cisco IOS XR، تقوم هذه التطبيقات بتنزيل حزم الثقة دون مسح الشهادات التي تم تخزينها مسبقا، مما يؤدي إلى تأخيرات لتهيئة CEPKI واسترداد مفتاح SSH. هذا تصرف عولجت وصلحت تحت cisco بق id CSCwq39205.
في الإصدار 26-1-1، حيث يقوم النظام الآن بمسح شهادات تجمع الثقة السابقة قبل تنزيل مجموعات جديدة.
معلومات ذات صلة
التعليقات