Erweiterte Wiederherstellungszeiten und SSH-Zugriffsfehler aufgrund von CEPKI Trustpool-Paketakkumulation auf NCS 1010-Knoten

Download-Optionen

  • PDF     (255.0 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (92.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (79.3 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:16. Dezember 2025
Dokument-ID:225398

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    Dieses Dokument beschreibt die verlängerten Wiederherstellungszeiten und SSH-Zugriffsfehler aufgrund von CEPKI Trustpool Bundle Accumulation auf NCS 1010 Node (mit Cisco IOS® XR 24.3.1, 25.1.1).

    Problem

    Nach dem Neuladen des Routing-Prozessors (RP) auf optischen NCS 1010-Knoten treten intermittierend verlängerte Wiederherstellungszeiten auf. Während des Wiederherstellungszeitraums schlägt der SSH-Zugriff auf das Gerät aufgrund von Verzögerungen bei der CEPKI-Initialisierung (Cisco Embedded Public Key Infrastructure) fehl. Dies verhindert Remote-Management- und Betriebsaufgaben auf betroffenen Knoten. Syslog-Meldungen und SSH-Fehler weisen darauf hin, dass der SSHD-Prozess die Hostschlüssel erst nach Abschluss der Initialisierung von CEPKI abrufen kann, was zu SSH-Anmeldefehlern führt. Die Wiederherstellung des SSH-Zugriffs wird erst nach Abschluss der Initialisierung durch CEPKI beobachtet, häufig nach 30-60 Minuten. Das Problem steht in Zusammenhang mit einer großen Anhäufung von TrustPool-Paketen auf dem Gerät, insbesondere bei den Softwareversionen 24.3.1 und 25.1.1.

    Umwelt

    • Technologie: Optische Netzwerke
    • Produktfamilie: NCS 1000-Serie (optische NCS 1010-Knoten)
    • Softwareversionen: IOS XR 24.3.1, 25.1.1 (Problem auf beiden wiedergegeben)
    • Komponenten: Routingprozessor (RP), CEPKI, SSHD-Prozess
    • Betriebliche Funktionen: Call-Home, Smart Licensing-Anwendungen
    • Jüngste Bemerkungen: Längere Wiederherstellungszeiten, SSH-Zugriffsfehler nach RP-Neuladen, Anhäufung von Paketen mit hohem Vertrauenspool

    Auflösung

    Um die CEPKI-Initialisierungsverzögerung und den SSH-Zugriffsfehler aufgrund der Anhäufung von TrustPool-Bündeln zu mindern und zu beheben, beachten Sie die genannten Schritte. Diese Schritte werden direkt aus validierten technischen Analysen und dokumentierten Lösungen abgeleitet.

    1. Überprüfen Sie die Ansammlung von Trustpool-Paketen:

      Führen Sie diese Befehle aus, um den aktuellen Status des Trustpool-Pakets und die zugehörigen Zertifikatinformationen zu überprüfen. Beispielausgaben sind in den angegebenen Daten nicht verfügbar.

      Schritt 1: Überprüfen detaillierter technischer Informationen zum NCS1010

      show tech ncs1010 detailed


      Schritt 2: Überprüfen Sie die Details der Krypto-Sitzung.

      show tech crypto session


      Schritt 3: Überprüfen der Daten des technischen Supports von CEPKI

      show tech-support cepki


      Schritt 4: Überprüfen des Systemdatenbankstatus

      show tech sysdb


      Schritt 5: Listen Sie alle installierten Zertifikate der Krypto-Zertifizierungsstelle auf.

      show crypto ca certificates


      Schritt 6: Details zum TrustPool-Paket anzeigen

      show crypto ca trustpool detail


      Schritt 7: Anzeigen des Vertrauenspoolstatus

      show crypto ca trustpool


      Schritt 8: Vertrauenspoolrichtlinie anzeigen

      show crypto ca trustpool policy

    2. Problemumgehung für betroffene Versionen (24.3.1 und 25.1.1):

      Um angesammelte Trustpool-Pakete zu bereinigen und einen Re-Import zu erzwingen, führen Sie die genannten Befehle nacheinander aus. Bei diesem Prozess werden die zuvor heruntergeladenen Trustpool-Zertifikate entfernt und das aktuelle Paket heruntergeladen. Dadurch werden Initialisierungsverzögerungen gemindert.

      Schritt 1: Löschen Sie vor dem Import Trustpool-Zertifikate.

      crypto ca trustpool import url clean


      Schritt 2: Importieren Sie das TrustPool-Paket.

      crypto ca trustpool import url

    3. Permanent Fix (Upgrade empfohlen):

      Das zugrunde liegende Problem wurde in Cisco IOS XR Version 26.1.1 unter der Cisco Bug-ID CSCwq39205 behoben.
      Aktualisieren Sie auf diese Version, um sicherzustellen, dass das System zuvor heruntergeladene Trustpool-Zertifikate vor dem Herunterladen des aktuellen Pakets automatisch löscht. Auf diese Weise wird ein klarer und konsistenter Vertrauenspoolstatus für zukünftige Vorgänge aufrechterhalten.

    4. Call-Home-Verkehrsmethodenempfehlung:

      Beachten Sie, dass Cisco ab Cisco IOS XR Version 25.3.1 das End-of-Life (EoL) für die Call-Home-Transportmethode angekündigt hat. Der Übergang zur Smart Licensing-Transportmethode wird dringend empfohlen, um die Unterstützung aufrechtzuerhalten. Weitere Informationen finden Sie in den bereitgestellten Cisco Ratgebern.

    Technische Indikatoren und Protokolle:

    • Syslog:

      sshd[21897]: main: failed to get keys from cepki
    • Syslog:

      cepki[274]: certificate database updated
    • SSH-Fehler:

      ssh: connect to host <node> port 22: Connection refused
    • Beobachtung: Der CEPKI-Prozess aktualisiert Zertifikate wiederholt ohne EOI-Signal (End-of-Initialization).
    • Anzahl der Treuhandpools beobachtet: 20 Vorkommen von 'Trustpool: Integriert, 768 von Trustpool: Heruntergeladen'.

    Ursache

    Die Ursache ist die Anhäufung mehrerer TrustPool-Pakete auf dem Gerät, die durch wiederholte Downloads über Call-Home- und Smart Licensing-Anwendungen ausgelöst wird. In den Cisco IOS XR-Versionen 24.3.1 und 25.1.1 laden diese Anwendungen TrustPool-Pakete herunter, ohne zuvor gespeicherte Zertifikate zu löschen. Dies führt zu Verzögerungen bei der CEPKI-Initialisierung und dem Abruf von SSH-Schlüsseln. Dieses Verhalten wird unter der Cisco Bug-ID CSCwq39205 behoben.
    in Version 26.1.1, in der das System jetzt vor dem Herunterladen neuer Pakete ältere Trustpool-Zertifikate löscht.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    17-Dec-2025
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Vikramadithya Avula
      Technischer Berater
    • Nagendra Mettupalayam Ramaiya Subbaian
      Technische Beratung Engineering Technischer Leiter

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren