El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo resolver problemas comunes mientras se implementa sin intervención (ZTD) en una solución de red de área de campo (FAN) que consta de Connected Grid Router (CGR) y Field Network Director (FND).
No hay requisitos específicos para este documento.
La información de este documento se basa en la implementación de ZTD con CGR.
Incluye CGR (CGR1120/CGR1240), FND, Servidor de aprovisionamiento de túnel (TPS), Autoridad de registro (RA), Autoridad de certificación (CA), Servidor de nombres de dominio (DNS) como componentes. FND y Cisco Connected Grid Network Management System (CG-NMS) son intercambiables, ya que CG-NMS es una versión anterior de FND.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Todo comienza con esta configuración de fabricación, por lo que este paso es clave para una implementación correcta.
Esta configuración activará las dos primeras fases: Protocolo simple de inscripción de certificados (SCEP) y aprovisionamiento de túnel.
Una prueba exitosa es una FAR implementada con su configuración de fabricación y capaz de atravesar el proceso ZTD para finalmente registrarse en CG-NMS sin ninguna intervención.
Sospechosos habituales:
Si en el momento de resolver el problema de esas dos fases, se debe actualizar la configuración de fabricación, se debe seguir este proceso:
Los objetivos de esta fase son autorizar a FAR a recibir su certificado de identidad de dispositivo local (LDevID) de la Infraestructura de Clave Pública (PKI) de RSA y obtener el certificado después de la autorización. Este paso es un requisito previo para el siguiente, donde FAR necesita su certificado para comunicarse con el TPS y establecer su túnel IPSec con el HER.
Los componentes implicados son: FAR, RA, servidor SCEP, servidor Radius y su base de datos.
Una secuencia de comandos del lenguaje de comandos de herramientas (TCL) llamada tm_ztd_scep.tcl iniciará automáticamente el proceso SCEP y lo seguirá intentando hasta que la inscripción se realice correctamente.
Pasos | Componentes involucrados |
Pautas para la resolución de problemas |
Comandos útiles |
event manager inicia el script tm_ztd_scep.tcl |
LEJOS |
|
los comandos tcl del administrador de eventos deb resaltarán todos los comandos CLI aplicados por el script |
Resolución de FQDN de RA |
FAR, DNS |
|
ping del FQDN de RA desde el FAR |
FAR envía la solicitud SCEP al RA |
LEJOS, RA |
|
debug crypto pki Transactions debug crypto provisioning |
Autorización PKI |
RA, RADIUS |
|
debug crypto pki scep debug crypto pki Transactions debug crypto pki server debug crypto provisioning |
emisión de certificado FAR |
RA, CA del emisor |
|
RA: debug crypto pki Si la CA del emisor es un IOS-CA, también se puede utilizar el mismo comando debug |
En el momento de esta fase, el FAR se comunicará con el TPS (actúa como proxy en nombre de CG-NMS) para obtener su configuración de túnel de CG-NMS. Esta fase es iniciada por la secuencia de comandos tcl SCEP una vez que se realiza la inscripción activando el perfil CGNA.
Los componentes involucrados son: FAR, DNS, TPS, CG-NMS.
Pasos |
Componentes involucrados |
Guías de resolución de problemas |
Comandos útiles |
script TCL para activar el perfil CGNA |
LEJOS |
Verifique que el perfil correcto esté configurado para la variable de entorno ZTD_SCEP_CGNA_Profile |
"show cgna profile-all" para verificar que el perfil esté activo |
CGNA profile resolver el FQDN de TPS |
FAR, DNS |
|
LEJOS: ping TPS FQDN |
El perfil CGNA establece la sesión HTTPS con TPS |
FAR, TPS |
|
El archivo de registro de TPS se encuentra en: /opt/cgms-tpsproxy/log/tpsproxy.log |
Solicitud de túnel de reenvío de TPS a CG-NMS |
TPS, CG-NMS |
|
El archivo de registro FND se encuentra en :cd /opt/cgms/server/cgms/log |
4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Inbound proxy request from [192.168.1.1] with client certificate subject
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Completed inbound proxy request from [192.168.1.1] with client certificate subject
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Inbound proxy request from [192.168.1.1] with client certificate subject [SERIALNUMBER=PID:
IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED:
%[ch=1c3d5104][eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Completed inbound proxy request from [192.168.1.1] with client certificate subject [SERIALN
UMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4353: iok-tps: Jul 13 2016 14:46:12.425 +0000: %CGMS-6-UNSPECIFIED:
%[ch=TpsProxyOutboundHandler][ip=192.168.1.1][sev=INFO][tid=qtp687776794-16]:
Outbound proxy request from [192.168.1.2] to [192.168.1.1]
4354: iok-tps: Jul 13 2016 14:46:14.176 +0000: %CGMS-6-UNSPECIFIED:
%[ch=TpsProxyOutboundHandler][ip=10.10.10.61][sev=INFO][tid=qtp687776794-16]:
Outbound proxy request from [192.168.1.2] to [192.168.1.1
CG-NMS impulsará la configuración del perfil CGNA cg-nms-register. Se agregan comandos adicionales para que el perfil se ejecute inmediatamente en lugar de esperar a que caduque el temporizador de intervalo.
CG-NMS desactivará el aprovisionamiento de túnel de túnel cg-nms-tunnel del perfil CGNA que se considera completo en este punto.
Para obtener más información sobre cómo implementar la implementación sin intervención en su red, póngase en contacto con su partner de Cisco o con el ingeniero de sistemas de Cisco.
Para express-setup-config en el router, póngase en contacto con su partner o el ingeniero de sistemas de Cisco.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
02-Mar-2017 |
Versión inicial |