Introducción

Este documento describe cómo resolver problemas el problema común mientras que es cero toca el despliegue (ZTD) en la solución de la red de área del campo (FAN) que consiste en el router conectado de la rejilla (CGR) y el director de la red del campo (FND).

 

Prerrequisitos 

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en el despliegue ZTD con CGR.
Incluye CGR (CGR1120/CGR1240), FND, el servidor de aprovisionamiento del túnel (TP), registration authority (RA), Certificate Authority (CA), el Domain Name Server (DNS) como componentes.  FND y el sistema de administración de red conectado Cisco de la rejilla (CG-NMS) son tan permutable que CG-NMS es una versión anterior de FND.
 
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. 

Pasos de Troubleshooting según el proceso ZTD en las soluciones de la FAN

Configuración (LEJANA) de la fabricación del router de área del campo

Todo empieza con esta configuración de la fabricación así que este paso es dominante para un despliegue satisfactorio.
 
Esta configuración accionará las primeras dos fases: Aprovisionamiento del protocolo simple certificate enrollment (SCEP) y del túnel.
 
Una prueba satisfactoria es desplegada LEJOS con su configuración de la fabricación y capaz de pasar con el proceso ZTD finalmente registrarse con CG-NMS sin ninguna intervención.

Sospechosos usuales:

• Las credenciales en medio LEJOS y CG-NMS no hacen juego.
• El agente conectado de la rejilla NMS (CGNA) URL para el aprovisionamiento del túnel es incorrecto (aseegurese lo es https y no HTTP).
• Domain Name Serer (DNS) configurado mal para resolver el nombre de dominio completo (FQDN) TP.

Si a la hora del Troubleshooting de esas dos fases, la configuración de la fabricación debe ser actualizada, este proceso debe ser seguido:  

• Conectividad LEJANA del bloque con ÉL (físicamente o lógicamente)
• Restauración no actualizada LEJOS a sus expreso-configuración-config
• Aplique los cambios
• Cree un nuevo archivo de los expreso-configuración-config
• Salve los config en el nvram
• La Conectividad del Restore así que puede accionar LEJOS el proceso ZTD otra vez

Inscripción SCEP

Las metas de esta fase son autorizar LEJOS para recibir su certificado de la identidad del dispositivo local (LDevID) del Public Key Infrastructure (PKI) RSA y para conseguir el certificado después de la autorización. Está un requisito previó este paso para el siguiente donde LEJANO necesita su certificado comunicar con los TP y establecer su túnel IPsec con ELLA.

Los componentes implicados son: LEJOS, servidor RA, SCEP, servidor de RADIUS y su DB.

Un script del Tool Command Language (TCL) llamado tm_ztd_scep.tcl iniciará automáticamente el proceso SCEP y guarda el intentar hasta que la inscripción sea acertada.

Pasos	Componentes implicados	Pautas para la resolución de problemas	Comandos útiles
el administrador del evento comienza el script tm_ztd_scep.tcl	LEJOS	Verifique la configuración del administrador del evento Verifique la configuración de las variables de entorno usada por el script	los comandos tcl del administrador del evento DEB resaltarán todos los comandos CLI aplicados por el script
Resolución RA FQDN	LEJOS, DNS	Conectividad del control en medio LEJOS y DNS Marque el expediente DNS para resolver este nombre Marque la configuración del perfil LEJANA de la inscripción	haga ping el RA FQDN del LEJOS
Envía LEJOS la petición SCEP al RA	LEJOS, RA	Conectividad del control entre el RA y LEJOS Configuración del control RA. El servidor pki debe estar PARA ARRIBA	debug crypto pki transactions disposición del debug crypto
Autorización PKI	RA, RADIUS	Conectividad del control entre el RA y el servidor de RADIUS Configuración de la autorización del control RA PKI Configuración de servidor de RADIUS del control	scep del pki del debug crypto debug crypto pki transactions servidor pki del debug crypto disposición del debug crypto
Publicación LEJANA del certificado	RA, emisor CA	Conectividad del control entre RA y el emisor CA	RA: pki del debug crypto Si el emisor CA es un IOS-CA entonces el mismo comando debug puede ser utilizado también

Aprovisionamiento del túnel

A la hora de esta fase, comunicará LEJOS con los TP (actúa como proxy en nombre de CG-NMS) para conseguir su configuración del túnel de CG-NMS. Esta fase es iniciada por el script SCEP tcl una vez que la inscripción es hecha activando el perfil CGNA.

Los componentes implicados son: LEJOS, DNS, TP, CG-NMS.

Pasos	Componenets implicó	Pautas para la resolución de problemas	Comandos útiles
Script TCL para activar el perfil CGNA	LEJOS	Verifique el perfil correcto se configura para la variable de entorno de ZTD_SCEP_CGNA_Profile	el “cgna de la demostración perfil-todo” verificar el perfil es activo
Resolución TP FQDN del perfil CGNA	LEJOS, DNS	Verifique la Conectividad entre el DNS y LEJOS Marque el expediente DNS para resolver este nombre Marque la configuración TP FQDN en el CGNA URL	LEJOS: ping TP FQDN
El perfil CGNA establece a las sesiones HTTP con los TP	LEJOS, TP	El servicio del control TP se está ejecutando Archivo del keystore del control TP El control TP recibe los paquetes TP del CGR Configuración del perfil del control CGNA	El archivo del registro TP se localiza en: /opt/cgms-tpsproxy/log/tpsproxy.log
Los TP transmiten a la petición del túnel CG-NMS	TP, CG-NMS	Verifique las propiedades TP y CG-NMS Verifique la Conectividad entre los TP y CG-NMS Marque los registros TP y CG-NMS	El archivo del registro FND se localiza en: /opt/cgms/server/cgms/log cd

Entra en contacto LEJOS LOS TP con una petición del Túnel-aprovisionamiento con el HTTPS en el puerto 9120

4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
Inbound proxy request from [192.168.1.1] with client certificate subject 
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
Completed inbound proxy request from [192.168.1.1] with client certificate subject 
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

  

Los registros después de que el túnel sea éste establecido entre ELLA y LEJOS y en lo sucesivo, pueden comunicarla LEJOS directamente con

4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
Inbound proxy request from [192.168.1.1] with client certificate subject [SERIALNUMBER=PID:

IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: 
%[ch=1c3d5104][eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
Completed inbound proxy request from [192.168.1.1] with client certificate subject [SERIALN

UMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

4353: iok-tps: Jul 13 2016 14:46:12.425 +0000: %CGMS-6-UNSPECIFIED: 
%[ch=TpsProxyOutboundHandler][ip=192.168.1.1][sev=INFO][tid=qtp687776794-16]: 
Outbound proxy request from [192.168.1.2] to [192.168.1.1]

4354: iok-tps: Jul 13 2016 14:46:14.176 +0000: %CGMS-6-UNSPECIFIED: 
%[ch=TpsProxyOutboundHandler][ip=10.10.10.61][sev=INFO][tid=qtp687776794-16]: 
Outbound proxy request from [192.168.1.2] to [192.168.1.1

Registro del dispositivo

Paso 1. Consiga listo para el registro del dispositivo

CG-NMS avanzará la configuración del CG-nanómetro-registro del perfil CGNA. Se agregan los comandos adicionales así que el perfil se ejecuta inmediatamente en vez de esperar el temporizador por intervalos para expirar.

CG-NMS desactivará el aprovisionamiento del túnel del CG-nanómetro-túnel del perfil CGNA se considera completo en este momento.

Paso 2. CG-NMS recibe una petición del registro del dispositivo

• Verifique es LEJOS aprovisionado en su DB
• Verifique si los archivos cg-nms.odm y cg-nms-scripts.tcl están faltando del flash LEJANO o se deben poner al día a una nueva versión. CG-NMS los cargará automáticamente si procede.
• Configuración actual LEJANA de la captura
• Procese todas las salidas de los comandos show incluidas en la petición. Pida los que falta si procede. La lista puede variar basado en la configuración del hardware LEJANA. 

Para que los detalles implementen el despliegue cero del tacto dentro de su red, entre en contacto a su ingeniero en sistemas del Cisco Partner o de Cisco.

Para los expreso-configuración-config en el router, entre en contacto su partner o ingeniero en sistemas de Cisco.

Información Relacionada

• http://www.cisco.com/c/en/us/td/docs/routers/connectedgrid/cgr1000/1_0/software/configuration/guide/security/security_Book/sec_ztdv4_cgr1000.html
• Soporte Técnico y Documentación - Cisco Systems