Tiempos de recuperación prolongados y fallos de acceso SSH debido a la acumulación del paquete Trustpool CEPKI en el nodo NCS 1010

Opciones de descarga

  • PDF     (253.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (92.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (79.2 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:16 de diciembre de 2025
ID del documento:225398

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe los tiempos de recuperación extendidos y las fallas de acceso SSH debido a la Acumulación de paquetes Trustpool CEPKI en el nodo NCS 1010 (con Cisco IOS® XR 24.3.1, 25.1.1).

    Problema

    Se observan tiempos de recuperación prolongados intermitentes después de volver a cargar el procesador de routing (RP) en los nodos ópticos de NCS 1010. Durante el período de recuperación, el acceso SSH al dispositivo falla debido a los retrasos en la inicialización de Cisco Embedded Public Key Infrastructure (CEPKI). Esto evita la administración remota y las tareas operativas en los nodos afectados. Los mensajes de Syslog y los errores de SSH indican que el proceso SSHD no puede recuperar claves de host de CEPKI hasta que se completa la inicialización, lo que resulta en fallas de inicio de sesión de SSH. La recuperación del acceso SSH solo se observa después de que CEPKI completa la inicialización, a menudo después de 30-60 minutos. El problema está correlacionado con una gran acumulación de paquetes de trustpool en el dispositivo, especialmente en las versiones de software 24.3.1 y 25.1.1.

    Entorno

    • Tecnología: Redes ópticas
    • Familia de productos: Serie NCS 1000 (nodos ópticos NCS 1010)
    • Versiones de software: IOS XR 24.3.1, 25.1.1 (problema reproducido en ambos)
    • Componentes: Procesador de ruta (RP), CEPKI, proceso SSHD
    • Funciones operativas: Aplicaciones Call-Home y Smart Licensing
    • Observaciones recientes: Tiempos de recuperación más prolongados, fallos de acceso SSH tras la recarga del RP, gran acumulación de paquetes de conjunto de confianza

    Resolución

    Para mitigar y resolver el retraso de inicialización de CEPKI y la falla de acceso SSH debido a la acumulación del conjunto de trustpool, observe los pasos mencionados. Estos pasos se derivan directamente de los análisis de ingeniería validados y las resoluciones documentadas.

    1. Comprobar acumulación de paquetes Trustpool:

      Ejecute estos comandos para revisar el estado actual del agrupamiento de trustpool y la información de certificado relacionada. Los resultados de ejemplo no están disponibles en los datos proporcionados.

      Paso 1. Revisar la información técnica detallada de NCS1010.

      show tech ncs1010 detailed


      Paso 2. Revise los detalles de la sesión criptográfica.

      show tech crypto session


      Paso 3. Revisar los datos de soporte técnico de CEPKI.

      show tech-support cepki


      Paso 4. Revise el estado de la base de datos del sistema.

      show tech sysdb


      Paso 5. Enumera todos los certificados de CA criptográfica instalados.

      show crypto ca certificates


      Paso 6. Mostrar detalles del conjunto de trustpool.

      show crypto ca trustpool detail


      Paso 7. Mostrar el estado del grupo de confianza.

      show crypto ca trustpool


      Paso 8. Mostrar la política de trustpool.

      show crypto ca trustpool policy

    2. Solución para las versiones afectadas (24.3.1 y 25.1.1):

      Para limpiar los agrupamientos de trustpool acumulados y forzar la reimportación, ejecute los comandos mencionados secuencialmente. Este proceso elimina los certificados de conjunto de confianza descargados anteriormente y descarga el paquete actual, lo que ayuda a mitigar los retrasos de inicialización.

      Paso 1. Limpie los certificados de grupo de confianza antes de importarlos.

      crypto ca trustpool import url clean


      Paso 2. Importe el conjunto de conjunto de confianza.

      crypto ca trustpool import url

    3. Corrección permanente (actualización recomendada):

      El problema subyacente se resuelve en Cisco IOS XR release 26.1.1 bajo Cisco Bug ID CSCwq39205.
      Actualice a esta versión para asegurarse de que el sistema borre automáticamente los certificados de conjunto de confianza descargados anteriormente antes de descargar el paquete actual. Esto mantiene un estado de conjunto de confianza limpio y coherente para operaciones futuras.

    4. Aviso sobre el método de transporte de Call-Home:

      Tenga en cuenta que Cisco ha anunciado el fin del ciclo de vida (EoL) para el método de transporte Call-Home a partir de la versión 25.3.1 de Cisco IOS XR. Se recomienda encarecidamente la transición al método de transporte Smart Licensing para mantener la compatibilidad. Consulte los consejos de Cisco proporcionados para obtener más información.

    Indicadores técnicos y registros:

    • Syslog:

      sshd[21897]: main: failed to get keys from cepki
    • Syslog:

      cepki[274]: certificate database updated
    • Error de SSH:

      ssh: connect to host <node> port 22: Connection refused
    • Observación: El proceso CEPKI actualiza repetidamente los certificados sin la señal de fin de inicialización (EOI).
    • Recuentos de Trustpool observados: 20 apariciones de 'Trustpool: Integrado', 768 de 'Trustpool: Descargado'.

    Causa

    La causa principal es la acumulación de varios paquetes de grupos de confianza en el dispositivo, provocada por descargas repetidas a través de las aplicaciones Call-Home y Smart Licensing. En las versiones 24.3.1 y 25.1.1 de Cisco IOS XR, estas aplicaciones descargan paquetes de trustpool sin borrar los certificados previamente almacenados, lo que resulta en retrasos para la inicialización de CEPKI y la recuperación de claves SSH. Este comportamiento se aborda y corrige bajo el ID de bug de Cisco CSCwq39205.
    en la versión 26.1.1, donde el sistema ahora borra los certificados de trustpool anteriores antes de descargar los nuevos paquetes.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    17-Dec-2025
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Vikramadithya Avula
      Ingeniero de consultoría técnica
    • Nagendra Mettupalayam Ramaiya Subbaian
      Consultoría técnica Ingeniería Líder técnico

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco