In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument werden die erforderlichen Konfigurationsschritte beschrieben, um den Cisco Connected Grid Router 1000 (CGR 1000) beim Connected Grid Operating System (CGOS) beim Field Network Director (FND) als Feldgerät zu registrieren. Bevor ein Router beim FND registriert wird, muss er mehrere Voraussetzungen erfüllen, darunter die Registrierung bei der Public Key Infrastructure (PKI) und die benutzerdefinierte Konfiguration. Darüber hinaus wird eine desinfizierte Probenkonfiguration enthalten sein.
Unterstützt von Ryan Bowman, Cisco TAC Engineer.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Bei der Erstellung dieses Dokuments wurde eine kontrollierte FND-Laborumgebung verwendet. Auch wenn sich andere Bereitstellungen unterscheiden, sollten Sie alle Mindestanforderungen aus den Installationsanleitungen einhalten.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
1. Konfigurieren Sie den Hostnamen des Geräts.
2. Konfigurieren Sie den Domänennamen.
3. Konfigurieren Sie den/die DNS-Server.
4. Zeit/NTP konfigurieren und überprüfen.
5. Aufrufen der Mobilfunkkarten und/oder Ethernet-Schnittstellen Stellen Sie sicher, dass alle erforderlichen Schnittstellen über ihre IPs verfügen und dass der Router über ein Gateway der letzten Instanz verfügt.
Damit der FND die Loopback-0-Schnittstelle erfolgreich bereitstellen kann, muss er bereits mit Adressen erstellt werden. Erstellen Sie die Loopback 0-Schnittstelle, und vergewissern Sie sich, dass sie über IPv4- und IPv6-Adressen verfügt. Sie können "Wegwerf"-IPs verwenden, da diese nach der Tunnelbereitstellung ersetzt werden.
6. Aktivieren Sie diese Funktionen: ntp, crypto ike, dhcp, tunnel, crypto ipsec virtual-tunnel
7. Erstellen Sie Ihr Profil für die Trustpoint-Registrierung (dies ist die direkte URL für die SCEP-Registrierungsseite (Simple Certificate Enrollment Protocol) auf Ihrer RSA Certificate Authority (CA). Wenn Sie eine Registrierungsstelle verwenden, verwenden Sie eine andere URL):
Router(config)#crypto ca profile enrollment LDevID_Profile Router(config-enroll-profile)#enrollment url http://networkdeviceenrollmentserver.your.domain.com/CertSrv/mscep/mscep.dll
8. Erstellen Sie Ihren Vertrauenspunkt und binden Sie das Registrierungsprofil daran.
Router(config)#crypto ca trustpoint LDevID Router(config-trustpoint)#enrollment profile LDevID_Profile Router(config-trustpoint)#rsakeypair LDevID_Keypair 2048 Router(config-trustpoint)#revocation-check none Router(config-trustpoint)#serial-number Router(config-trustpoint)#fingerprint xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
9. Authentifizieren Sie Ihren Vertrauenspunkt mit dem SCEP-Server.
Router(config)#crypto ca authenticate LDevID Trustpoint CA authentication in progress. Please wait for a response... 2017 Mar 8 19:02:00 %$ VDC-1 %$ %CERT_ENROLL-2-CERT_EN_SCEP_CA_AUTHENTICATE_OK: Trustpoint LDevID: CA certificates(s) authenticated.
10. Registrieren Sie Ihren Vertrauenspunkt in der Public Key Infrastructure (PKI).
Router(config)#crypto ca enroll LDevID Create the certificate request .. Create a challenge password. You will need to verbally provide this password to the CA Administrator in order to revoke your certificate. For security reasons your password will not be saved in the configuration. Please make a note of it. Challenge password: Re-enter challenge password: The serial number in the certificate will be: PID:CGR1120/K9 SN:JAF############ Certificate enrollment in progress. Please wait for a response... 2017 Mar 8 19:02:24 %$ VDC-1 %$ %CERT_ENROLL-2-CERT_EN_SCEP_ENROLL_OK: Trustpoint LDevID: Device identity certificate successfully enrolled to CA.
11. Überprüfen Sie Ihre Zertifikatskette.
Router#show crypto ca certificates
12. Konfigurieren Sie die SNMP-Parameter, die erforderlich sind, damit Callhome ordnungsgemäß funktioniert.
Router(config)#snmp-server contact NAME Router(config)#snmp-server user admin network-admin Router(config)#snmp-server community PUBLIC group network-operator
13. Konfigurieren Sie diese grundlegenden WPAN-Moduleinstellungen (Wireless Personal Area Network).
Router(config)#interface wpan 4/1 Router(config-if)#no shutdown Router(config-if)#panid 5 Router(config-if)#ssid meshssid Router(config-if)#ipv6 add 2001:db8::1/32
14. Da der FND für die Verwaltung von FARs auf Netconf über HTTPS setzt, muss der HTTPS-Server so konfiguriert werden, dass er Port 8443 abhört und Verbindungen mit PKI authentifiziert.
Router(config)#ip http secure-server Router(config)#ip http secure-server trustpoint LDevID Router(config)#ip http secure-port 8443
15. Konfigurieren Sie Ihr Call Home-Profil.
Router(config)#callhome Router(config-callhome)#email-contact email@domain.com Router(config-callhome)#phone-contact +1-555-555-5555 Router(config-callhome)#streedaddress TEXT Router(config-callhome)#destination-profile nms Router(config-callhome)#destination-profile nms format netconf Router(config-callhome)#destination-profile nms transport-method http Router(config-callhome)#destination-profile nms http https://tpsproxy.your.domain.com:9120 Router(config-callhome)#enable
16. Speichern Sie die Konfiguration.
17. An diesem Punkt müssen Sie nur den Router neu laden, aber wenn Sie die Registrierung manuell starten möchten, ohne ihn neu zu laden, können Sie cgdm konfigurieren:
Router(config)#cgdm Router(config-cgdm)#registration start trustpoint LDevID
Die folgende Konfiguration stammt aus einem CGR1120 kurz vor dem erfolgreichen ZTD (in dieser Laborumgebung wurde die Ethernet2/2-Schnittstelle als primäre IPSec-Tunnelquelle verwendet):
version 5.2(1)CG4(3) logging level feature-mgr 0 hostname YOUR-HOSTNAME vdc YOUR-HOSTNAME id 1 limit-resource vlan minimum 16 maximum 4094 limit-resource vrf minimum 2 maximum 4096 limit-resource u4route-mem minimum 9 maximum 9 limit-resource u6route-mem minimum 24 maximum 24 limit-resource m4route-mem minimum 58 maximum 58 limit-resource m6route-mem minimum 8 maximum 8 feature ntp feature crypto ike feature dhcp feature tunnel feature crypto ipsec virtual-tunnel username admin password YOURPASSWORD role network-admin username Administrator password YOURPASSWORD role network-admin ip domain-lookup ip domain-name your.domain.com ip name-server x.x.x.x crypto key param rsa label LDevID_keypair modulus 2048 crypto key param rsa label YOUR-HOSTNAME.your.domain.com modulus 2048 crypto ca trustpoint LDevID enrollment profile LDevID_Profile rsakeypair LDevID_keypair 2048 revocation-check none serial-number fingerprint xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx crypto ca profile enrollment LDevID_Profile enrollment url http://x.x.x.x/CertSrv/mscep/mscep.dll snmp-server contact NAME snmp-server user Administrator network-admin snmp-server community public group network-operator callhome email-contact ciscotac@cisco.tac.com phone-contact +1-555-555-5555 streetaddress Here destination-profile nms destination-profile nms format netconf destination-profile nms transport-method http destination-profile nms http https://tpsproxy.your.domain.com:9120 trustpoint LDevID destination-profile nms alert-group all enable ntp server x.x.x.x ntp server x.x.x.x crypto ike domain ipsec vrf context management vlan 1 service dhcp ip dhcp relay line tty 1 line tty 2 interface Dialer1 interface Ethernet2/1 interface Ethernet2/2 ip address x.x.x.x/30 no shutdown interface Ethernet2/3 interface Ethernet2/4 interface Ethernet2/5 interface Ethernet2/6 interface Ethernet2/7 interface Ethernet2/8 interface loopback0 ip address 1.1.1.1/32 ipv6 address 2001:x:x::80/128 interface Serial1/1 interface Serial1/2 interface Wpan4/1 no shutdown panid 20 ssid austiniot ipv6 address 2001:db8::1/32 interface Wifi2/1 clock timezone CST -6 0 clock summer-time CST 2 Sun Mar 02:00 1 Sun Nov 02:00 60 line console line vty boot kickstart bootflash:/cgr1000-uk9-kickstart.5.2.1.CG4.3.SPA.bin boot system bootflash:/cgr1000-uk9.5.2.1.CG4.3.SPA.bin ip route 0.0.0.0/0 x.x.x.x feature scada-gw scada-gw protocol t101 scada-gw protocol t104 ip http secure-port 8443 ip http secure-server trustpoint LDevID ip http secure-server cgdm registration start trustpoint LDevID
Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.