Introducción
Este documento describe cómo resolver problemas el problema común mientras que es cero toca el despliegue (ZTD) en la solución de la red de área del campo (FAN) que consiste en el router conectado de la rejilla (CGR) y el director de la red del campo (FND).
Prerrequisitos
Requisitos
No hay requisitos específicos para este documento.
Componentes Utilizados
La información en este documento se basa en el despliegue ZTD con CGR.
Incluye CGR (CGR1120/CGR1240), FND, el servidor de aprovisionamiento del túnel (TP), registration authority (RA), Certificate Authority (CA), el Domain Name Server (DNS) como componentes. FND y el sistema de administración de red conectado Cisco de la rejilla (CG-NMS) son tan permutable que CG-NMS es una versión anterior de FND.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Pasos de Troubleshooting según el proceso ZTD en las soluciones de la FAN
Configuración (LEJANA) de la fabricación del router de área del campo
Todo empieza con esta configuración de la fabricación así que este paso es dominante para un despliegue satisfactorio.
Esta configuración accionará las primeras dos fases: Aprovisionamiento del protocolo simple certificate enrollment (SCEP) y del túnel.
Una prueba satisfactoria es desplegada LEJOS con su configuración de la fabricación y capaz de pasar con el proceso ZTD finalmente registrarse con CG-NMS sin ninguna intervención.
Sospechosos usuales:
- Las credenciales en medio LEJOS y CG-NMS no hacen juego.
- El agente conectado de la rejilla NMS (CGNA) URL para el aprovisionamiento del túnel es incorrecto (aseegurese lo es https y no HTTP).
- Domain Name Serer (DNS) configurado mal para resolver el nombre de dominio completo (FQDN) TP.
Si a la hora del Troubleshooting de esas dos fases, la configuración de la fabricación debe ser actualizada, este proceso debe ser seguido:
- Conectividad LEJANA del bloque con ÉL (físicamente o lógicamente)
- Restauración no actualizada LEJOS a sus expreso-configuración-config
- Aplique los cambios
- Cree un nuevo archivo de los expreso-configuración-config
- Salve los config en el nvram
- La Conectividad del Restore así que puede accionar LEJOS el proceso ZTD otra vez
Inscripción SCEP
Las metas de esta fase son autorizar LEJOS para recibir su certificado de la identidad del dispositivo local (LDevID) del Public Key Infrastructure (PKI) RSA y para conseguir el certificado después de la autorización. Está un requisito previó este paso para el siguiente donde LEJANO necesita su certificado comunicar con los TP y establecer su túnel IPsec con ELLA.
Los componentes implicados son: LEJOS, servidor RA, SCEP, servidor de RADIUS y su DB.
Un script del Tool Command Language (TCL) llamado tm_ztd_scep.tcl iniciará automáticamente el proceso SCEP y guarda el intentar hasta que la inscripción sea acertada.
Pasos |
Componentes implicados |
Pautas para la resolución de problemas |
Comandos útiles |
el administrador del evento comienza el script tm_ztd_scep.tcl |
LEJOS |
- Verifique la configuración del administrador del evento
- Verifique la configuración de las variables de entorno usada por el script
|
los comandos tcl del administrador del evento DEB resaltarán todos los comandos CLI aplicados por el script |
Resolución RA FQDN |
LEJOS, DNS |
- Conectividad del control en medio LEJOS y DNS
- Marque el expediente DNS para resolver este nombre
- Marque la configuración del perfil LEJANA de la inscripción
|
haga ping el RA FQDN del LEJOS |
Envía LEJOS la petición SCEP al RA |
LEJOS, RA |
- Conectividad del control entre el RA y LEJOS
- Configuración del control RA. El servidor pki debe estar PARA ARRIBA
|
debug crypto pki transactions disposición del debug crypto |
Autorización PKI |
RA, RADIUS |
- Conectividad del control entre el RA y el servidor de RADIUS
- Configuración de la autorización del control RA PKI
- Configuración de servidor de RADIUS del control
|
scep del pki del debug crypto debug crypto pki transactions servidor pki del debug crypto disposición del debug crypto |
Publicación LEJANA del certificado |
RA, emisor CA |
- Conectividad del control entre RA y el emisor CA
|
RA: pki del debug crypto Si el emisor CA es un IOS-CA entonces el mismo comando debug puede ser utilizado también |
Aprovisionamiento del túnel
A la hora de esta fase, comunicará LEJOS con los TP (actúa como proxy en nombre de CG-NMS) para conseguir su configuración del túnel de CG-NMS. Esta fase es iniciada por el script SCEP tcl una vez que la inscripción es hecha activando el perfil CGNA.
Los componentes implicados son: LEJOS, DNS, TP, CG-NMS.
Pasos |
Componenets implicó |
Pautas para la resolución de problemas |
Comandos útiles |
Script TCL para activar el perfil CGNA |
LEJOS |
Verifique el perfil correcto se configura para la variable de entorno de ZTD_SCEP_CGNA_Profile |
el “cgna de la demostración perfil-todo” verificar el perfil es activo |
Resolución TP FQDN del perfil CGNA |
LEJOS, DNS |
- Verifique la Conectividad entre el DNS y LEJOS
- Marque el expediente DNS para resolver este nombre
- Marque la configuración TP FQDN en el CGNA URL
|
LEJOS: ping TP FQDN |
El perfil CGNA establece a las sesiones HTTP con los TP |
LEJOS, TP |
- El servicio del control TP se está ejecutando
- Archivo del keystore del control TP
- El control TP recibe los paquetes TP del CGR
- Configuración del perfil del control CGNA
|
El archivo del registro TP se localiza en: /opt/cgms-tpsproxy/log/tpsproxy.log |
Los TP transmiten a la petición del túnel CG-NMS |
TP, CG-NMS |
- Verifique las propiedades TP y CG-NMS
- Verifique la Conectividad entre los TP y CG-NMS
- Marque los registros TP y CG-NMS
|
El archivo del registro FND se localiza en: /opt/cgms/server/cgms/log cd |
Entra en contacto LEJOS LOS TP con una petición del Túnel-aprovisionamiento con el HTTPS en el puerto 9120
4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Inbound proxy request from [192.168.1.1] with client certificate subject
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Completed inbound proxy request from [192.168.1.1] with client certificate subject
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
Los registros después de que el túnel sea éste establecido entre ELLA y LEJOS y en lo sucesivo, pueden comunicarla LEJOS directamente con
4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Inbound proxy request from [192.168.1.1] with client certificate subject [SERIALNUMBER=PID:
IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED:
%[ch=1c3d5104][eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Completed inbound proxy request from [192.168.1.1] with client certificate subject [SERIALN
UMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4353: iok-tps: Jul 13 2016 14:46:12.425 +0000: %CGMS-6-UNSPECIFIED:
%[ch=TpsProxyOutboundHandler][ip=192.168.1.1][sev=INFO][tid=qtp687776794-16]:
Outbound proxy request from [192.168.1.2] to [192.168.1.1]
4354: iok-tps: Jul 13 2016 14:46:14.176 +0000: %CGMS-6-UNSPECIFIED:
%[ch=TpsProxyOutboundHandler][ip=10.10.10.61][sev=INFO][tid=qtp687776794-16]:
Outbound proxy request from [192.168.1.2] to [192.168.1.1
Registro del dispositivo
Paso 1. Consiga listo para el registro del dispositivo
CG-NMS avanzará la configuración del CG-nanómetro-registro del perfil CGNA. Se agregan los comandos adicionales así que el perfil se ejecuta inmediatamente en vez de esperar el temporizador por intervalos para expirar.
CG-NMS desactivará el aprovisionamiento del túnel del CG-nanómetro-túnel del perfil CGNA se considera completo en este momento.
Paso 2. CG-NMS recibe una petición del registro del dispositivo
- Verifique es LEJOS aprovisionado en su DB
- Verifique si los archivos cg-nms.odm y cg-nms-scripts.tcl están faltando del flash LEJANO o se deben poner al día a una nueva versión. CG-NMS los cargará automáticamente si procede.
- Configuración actual LEJANA de la captura
- Procese todas las salidas de los comandos show incluidas en la petición. Pida los que falta si procede. La lista puede variar basado en la configuración del hardware LEJANA.
Para que los detalles implementen el despliegue cero del tacto dentro de su red, entre en contacto a su ingeniero en sistemas del Cisco Partner o de Cisco.
Para los expreso-configuración-config en el router, entre en contacto su partner o ingeniero en sistemas de Cisco.
Información Relacionada