Gestion Vrf-avertie sur des exemples de configuration ASR

Introduction

Ce document décrit l'utilisation du routage virtuel et la Gestion (Vrf-avertie) Expédition-avertie sur la gamme 1000 de routeur de services d'agrégation de Cisco (ASR1K) avec l'interface de gestion (GigabitEthernet0). Les informations s'appliquent également à n'importe quelle autre interface dans un VRF, à moins qu'explicitement spécifiées autrement. De divers protocoles d'accès pour des scénarios de connexion d'à-le-case et de-le-case sont décrits.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Protocoles de gestion, tels que le SSH, le telnet, et le HTTP
• Protocoles de transfert de fichiers, tels que le Secure Copy Protocol (SCP), le TFTP, et le FTP
• Vrf

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Version 3.5S du Cisco IOS® XE (15.2(1)S) ou plus défuntes versions de Cisco IOS XE
  

  Remarque: Le SCP Vrf-averti exige au moins cette version, tandis que d'autres protocoles décrits dans ce document fonctionnent avec des versions préalables aussi bien.

• ASR1K

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est vivant, veillez-vous pour comprendre l'impact potentiel de n'importe quelle commande utilisée.

Informations générales

Interface de gestion : Le but d'une interface de gestion est de permettre à des utilisateurs pour effectuer des tâches de gestion sur le routeur. C'est fondamentalement une interface qui ne devrait pas, et ne peut pas souvent, le trafic en avant de dataplane. Autrement, il peut être utilisé pour l'Accès à distance au routeur, souvent par l'intermédiaire du telnet et du Protocole Secure Shell (SSH), et effectuer la plupart des tâches de gestion sur le routeur. L'interface est la plus utile avant qu'un routeur commence le routage, ou dans des scénarios de dépannage quand les interfaces partagées d'adaptateur de port (STATION THERMALE) sont inactives. Sur ASR1K, l'interface de gestion est dans un VRF par défaut nommé Mgmt-intf.

La commande de source-interface de <protocol> d'IP est utilisée dans ce document intensivement (où le mot clé de <protocol> peut être SSH, FTP, TFTP). Cette commande est utilisée afin de spécifier l'adresse IP d'une interface à utiliser comme adresse source quand l'ASR est le périphérique de client dans une connexion (par exemple, la connexion est initiée du trafic ASR ou de-le-case). Ceci signifie également que si l'ASR n'est pas le demandeur de la connexion, la commande de source-interface de <protocol> d'IP s'applique pas applicable, et l'ASR n'utilise pas cette adresse IP pour le trafic de réponse ; au lieu de cela, il utilise l'adresse IP de l'interface la plus étroite à la destination. Cette commande vous permet au trafic source (pour les protocoles pris en charge) d'une interface Vrf-avertie.

Protocoles de gestion

Remarque: Utilisez le Command Lookup Tool (clients enregistrés seulement) afin d'obtenir plus d'informations sur les commandes utilisées en cet article.

SCP

Afin d'utiliser le service clientèle SCP sur un ASR d'une interface Vrf-activée, utilisez cette configuration.

Configurez

La commande d'ip ssh source-interface est utilisée afin d'indiquer l'interface de gestion le VRF de Mgmt-intf pour des services clientèle de SSH et SCP, puisque le SCP utilise le SSH. Il n'y a aucune autre option dans la commande de scp de copie de spécifier le VRF. Par conséquent, vous devez utiliser cette commande d'ip ssh source-interface. La même logique applique pour tout autre l'interface Vrf-activée.

ASR(config)#ip ssh source-interface GigabitEthernet0

Remarque: Sur la plate-forme ASR1k, le SCP Vrf-averti ne fonctionne pas jusqu'à la version XE3.5S (15.2(1)S).

Vérifiez

Employez ces commandes afin de vérifier la configuration.

ASR#show vrf
  Name                             Default RD          Protocols   Interfaces
  Mgmt-intf                        <not set>           ipv4,ipv6   Gi0
ASR#

Afin de copier un fichier d'ASR sur un périphérique distant avec le SCP, sélectionnez cette commande :

ASR#copy running-config scp://guest@10.76.76.160/router.cfg
Address or name of remote host [10.76.76.160]?
Destination username [guest]?
Destination filename [router.cfg]?
Writing router.cfg Password:
!
Sink: C0644 2574 router.cfg
2574 bytes copied in 20.852 secs (123 bytes/sec)
ASR#

Afin de copier un fichier d'un périphérique distant sur l'ASR avec le SCP, sélectionnez cette commande :

ASR#copy scp://guest@10.76.76.160/router.cfg bootflash:
Destination filename [router.cfg]?
Password:
Sending file modes: C0644 2574 router.cfg
!
2574 bytes copied in 17.975 secs (143 bytes/sec)

TFTP

Afin d'utiliser le service clientèle TFTP sur un ASR1k d'une interface Vrf-activée, utilisez cette configuration.

Configurez

L'option d'ip tftp source-interface est utilisée afin d'indiquer l'interface de gestion le VRF de Mgmt-intf. Il n'y a aucune autre option dans la commande de copy tftp de spécifier le VRF. Par conséquent, vous devez utiliser cette commande d'ip tftp source-interface. La même logique applique pour tout autre l'interface Vrf-activée.

ASR(config)#ip tftp source-interface GigabitEthernet0

Vérifiez

Employez ces commandes afin de vérifier la configuration.

ASR#show vrf
  Name                             Default RD            Protocols   Interfaces
  Mgmt-intf                        <not set>             ipv4,ipv6   Gi0
ASR#

Afin de copier un fichier d'ASR sur le serveur TFTP, sélectionnez cette commande :

ASR#copy running-config tftp
Address or name of remote host [10.76.76.160]?
Destination filename [ASRconfig.cfg]?
!!
2658 bytes copied in 0.335 secs (7934 bytes/sec)
ASR#

Afin de copier un fichier du serveur TFTP sur le bootflash ASR, sélectionnez cette commande :

ASR#copy tftp://10.76.76.160/ASRconfig.cfg bootflash:
Destination filename [ASRconfig.cfg]?
Accessing tftp://10.76.76.160/ASRconfig.cfg...
Loading ASRconfig.cfg from 10.76.76.160 (via GigabitEthernet0): !
[OK - 2658 bytes]

2658 bytes copied in 0.064 secs (41531 bytes/sec)
ASR#

FTP

Afin d'utiliser le client FTP entretenez sur un ASR à partir d'une interface Vrf-activée, utilisent cette configuration.

Configurez

L'option d'ip ftp source-interface est utilisée afin d'indiquer l'interface de gestion le VRF de Mgmt-intf. Il n'y a aucune autre option dans la commande de copy ftp de spécifier le VRF. Par conséquent, vous devez utiliser la commande d'ip ftp source-interface. La même logique applique pour tout autre l'interface Vrf-activée.

ASR(config)#ip ftp source-interface GigabitEthernet0

Vérifiez

Employez ces commandes afin de vérifier la configuration.

ASR#show vrf
  Name                             Default RD            Protocols   Interfaces
  Mgmt-intf                        <not set>             ipv4,ipv6   Gi0 

Afin de copier un fichier d'ASR sur un ftp server, sélectionnez cette commande :

ASR#copy running-config ftp://username:password@10.76.76.160/ASRconfig.cfg
Address or name of remote host [10.76.76.160]?
Destination filename [ASRconfig.cfg]?
Writing ASRconfig.cfg !
2616 bytes copied in 0.576 secs (4542 bytes/sec)
ASR#

Afin de copier un fichier du ftp server sur le bootflash ASR, sélectionnez cette commande :

ASR#copy ftp://username:password@10.76.76.160/ASRconfig.cfg bootflash:
Destination filename [ASRconfig.cfg]?
Accessing ftp://*****:*****@10.76.76.160/ASRconfig.cfg...
Loading ASRconfig.cfg !
[OK - 2616/4096 bytes]

2616 bytes copied in 0.069 secs (37913 bytes/sec)
ASR#

Protocoles d'accès de Gestion

Access régulier

SSH

Attention : Un problème courant vu avec ASR1ks est que le SSH échoue en raison de la mémoire basse. Le pour en savoir plus en vue de ce problème, mettent en référence l'échec d'authentification de SSH dû à l'article de Cisco d'états de taille mémoire basse. 

Il y a deux options utilisées afin de diriger le service de client SSH sur l'ASR (de-le-case de SSH). Une option est de spécifier le nom de VRF dans la commande de ssh lui-même, ainsi vous pouvez le trafic de SSH de source d'un VRF particulier.

ASR#ssh -vrf Mgmt-intf -l cisco 10.76.76.161
Password:
Router>en
Password:
Router#

L'autre option est d'utiliser le trafic de SSH de source d'option d'ip ssh source-interface d'une interface Vrf-activée particulière.

ASR(config)#ip ssh source-interface GigabitEthernet0
ASR#
ASR#ssh -l cisco 10.76.76.161
Password:
Router>en
Password:
Router#

Afin d'utiliser le service de serveur de SSH (à-le-case de SSH), suivez la procédure pour activer le SSH sur n'importe quel autre routeur Cisco IOS. Référez-vous au telnet et à l'aperçu de SSH pour la section de Routeurs de gamme 1000 de Cisco ASR du pour en savoir plus de guide de configuration du logiciel de Routeurs à services d'agrégation de la gamme Cisco ASR 1000.

Telnet

Il y a deux options utilisées afin de diriger le service de client Telnet sur l'ASR (de-le-case de telnet). Une option est de spécifier l'interace de source ou le VRF dans la commande telnet lui-même comme affiché ici :

ASR#telnet 10.76.76.160 /source-interface GigabitEthernet 0 /vrf Mgmt-intf
Trying 10.76.76.160 ... Open

User Access Verification

Username: cisco
Password:

Router>en
Password:
Router#

L'autre option est d'utiliser la commande d'ip telnet source-interface. Vous devez encore spécifier le nom de VRF dans l'étape suivante avec la commande telnet, comme affiché ici :

ASR(config)#ip telnet source-interface GigabitEthernet0
ASR#
ASR#telnet 10.76.76.160 /vrf Mgmt-intf
Trying 50.50.50.3 ... Open

User Access Verification

Username: cisco
Password:

Router>en
password:
Router#

Afin d'utiliser le service de serveur telnet (à-le-case de telnet), suivez la procédure pour activer le telnet sur n'importe quel autre routeur. Référez-vous au telnet et à l'aperçu de SSH pour la section de Routeurs de gamme 1000 de Cisco ASR du pour en savoir plus de guide de configuration du logiciel de Routeurs à services d'agrégation de la gamme Cisco ASR 1000.

HTTP

L'interface utilisateur d'utilisateur web existante qui est disponible pour tous les Routeurs est également disponible pour l'ASR1K. Activez le serveur HTTP ou le service clientèle sur l'ASR suivant les indications de cette section.

Afin d'activer l'à-le-case existante d'accès HTTP entretenez (serveur) et utilisez l'accès GUI basé sur le WEB, utilisent cette configuration qui utilise l'authentification locale (vous pourriez également utiliser une authentification externe, un serveur d'autorisation, et de comptabilité (AAA)).

ASR(config)#ip http
ASR(config)#ip http authentication local
ASR(config)#username <> password <>

Voici la configuration pour activer le serveur sécurisé de HTTP (HTTPS) :

ASR(config)#ip http secure-server
ASR(config)#ip http authentication local
ASR(config)#username <> password <>

Parcourez à l'adresse IP d'une interface sur l'ASR, et à la procédure de connexion avec le compte utilisateur que vous avez créé. Voici un tir d'écran :

Afin d'utiliser le service clientèle de HTTP, écrivez la source de commande de name> de <interface d'ip http client source-interface pour le trafic de client de HTTP d'une interface Vrf-activée, comme affiché :

ASR(config)#ip http client source-interface GigabitEthernet0

Voici un exemple qui montre l'utilisation du service clientèle de HTTP afin de copier une image d'un serveur HTTP distant sur l'éclair :

ASR#
ASR#copy http://username:password@10.76.76.160/image.bin flash:
Destination filename [image.bin]?
Accessing http://10.106.72.62/image.bin...
Loading http://10.106.72.62/image.bin
1778218 bytes copied in 20.038 secs (465819 bytes/sec)
ASR#

Access persistant

Cette section s'applique seulement pour des connexions de l'à-le-case Telnet/SSH/HTTP.

Avec le SSH persistant et le telnet persistant, vous pouvez configurer une carte de transport qui définit le traitement du trafic entrant de SSH ou de telnet sur l'interface Ethernet de Gestion. Ainsi ceci crée la capacité d'accéder au routeur par l'intermédiaire du mode diagnostique même lorsque le processus de Cisco IOS n'est pas en activité. Pour plus d'informations sur le mode diagnostique, référez-vous à la compréhension la section Mode diagnostique du guide de configuration du logiciel de Routeurs à services d'agrégation de la gamme Cisco ASR 1000.

Remarque: Le SSH persistant ou le telnet persistant peut seulement être configuré sur l'interface de gestion, GigabitEthernet0. 

Remarque: Dans les versions qui n'ont pas la difficulté pour l'ID de bogue Cisco CSCuj37515, la méthode d'authentification pour l'accès peristent dépend de la méthode qui est utilisée sous le line vty. L'accès persistant exige que l'authentification est locale, de sorte que de mode diagnostique d'accès toujours des travaux quand l'authentification externe échoue. Ceci signifie que n'importe quel accès normal de SSH et de telnet exige également l'utilisation de l'authentification locale.

Attention : Dans les versions qui n'ont pas la difficulté pour l'ID de bogue Cisco CSCug77654, l'utilisation de la méthode par défaut d'AAA limite la capacité d'utilisateur d'écrire la demande de SSH quand le SSH persistant est utilisé. L'utilisateur est toujours forcé pour écrire la demande diagnostique. Pour ces versions, Cisco recommande que vous utilisiez une méthode d'authentification de nom, ou s'assure que le SSH et le telnet normaux sont activés.

SSH persistant

Créez une carte de transport afin de permettre le SSH persistant suivant les indications de la section suivante :

Configurez

ASR(config)#crypto key generate rsa label ssh-keys modulus 1024
The name for the keys will be: ssh-keys

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

ASR#
ASR(config)#transport-map type persistent ssh 
persistent-ssh-map  
ASR(config-tmap)#rsa keypair-name ssh-keys
ASR(config-tmap)#transport interface GigabitEthernet0
ASR(config-tmap)#banner wait X
Enter TEXT message.  End with the character 'X'.
--Waiting for vty line--
X
ASR(config-tmap)#
ASR(config-tmap)# banner diagnostic X
Enter TEXT message.  End with the character 'X'.
--Welcome to Diagnostic Mode--
c
ASR(config-tmap)#connection wait allow interruptible
ASR(config-tmap)#exit
ASR(config)#transport type persistent ssh input persistent-ssh
*Jul 10 15:31:57.102: %UICFGEXP-6-SERVER_NOTIFIED_START: R0/0: psd:  
Server persistent ssh has been notified to start

Maintenant vous devez activer l'authentification locale pour le SSH persistant. Ceci peut être fait avec la commande d'aaa new-model ou sans lui. Chacun des deux scénarios sont décrits ici. (Dans l'un ou l'autre de cas, assurez-vous que vous avez un compte local de nom d'utilisateur/mot de passe sur le routeur).

Vous pouvez choisir qui configuration fondée en fonction si vous avez l'AAA activé sur l'ASR.

1. L'AAA étant activé :
   

   ASR(config)#aaa new-model
   ASR(config)#aaa authentication login default local
   ASR(config)#line vty 0 4
   ASR(config-line)#login authentication default

2. Sans AAA activé :
   

   ASR(config)#line vty 0 4
   ASR(config-line)#login local

Vérifiez

SSH à l'ASR avec l'adresse IP de l'interface Gigabitethernet0 Vrf-activée. Une fois que le mot de passe est entré, vous devez écrire la séquence d'interruption (CTRL-C ou Ctrl-Shift-6).

management-station$ ssh -l cisco 10.106.47.139
cisco@10.106.47.139's password:

--Waiting for vty line--

--Welcome to Diagnostic Mode--
ASR(diag)#

Remarque: Écrivez la séquence d'interruption (CTRL-C ou Ctrl-Shift-6) quand --Attendre la ligne vty-- affichages sur le terminal afin d'entrer le mode diagnostique.

Telnet persistant

Configurez

Avec la logique semblable comme décrit dans la section précédente pour le SSH, créez une carte de transport pour le telnet persistant comme affiché ici :

ASR(config)#transport-map type persistent telnet persistent-telnet
ASR(config-tmap)#banner diagnostic X
Enter TEXT message.  End with the character 'X'.
--Welcome to Diagnostic Mode--
X
ASR(config-tmap)#banner wait X
Enter TEXT message.  End with the character 'X'.
--Waiting for IOS Process--
X
ASR(config-tmap)#connection wait allow interruptible
ASR(config-tmap)#transport interface gigabitEthernet 0
ASR(config-tmap)#exit
ASR(config)#transport type persistent telnet input persistent-telnet
*Jul 10 15:26:56.441: %UICFGEXP-6-SERVER_NOTIFIED_START: R0/0: psd:  
Server persistent telnet has been notified to start

Comme évoqué dans la dernière section pour le SSH, il y a deux manières de configurer l'authentification locale comme affiché ici :

1. L'AAA étant activé :
   

   ASR(config)#aaa new-model 
   ASR(config)#aaa authentication login default local
   ASR(config)#line vty 0 4
   ASR(config-line)#login authentication default

2. Sans AAA :
   

   ASR(config)#line vty 0 4
   ASR(config-line)#login local

Vérifiez

Telnet à l'adresse IP de l'interface GigabitEthernet0. Après que vous entriez dans les qualifications, écrivez la séquence d'interruption, et l'attente quelques secondes (parfois cela pourrait prendre un moment) avant que vous vous connectiez dans le mode diagnostique.

Management-station$ telnet 10.106.47.139
Trying 10.106.47.139...
Connected to 10.106.47.139.
Escape character is '^]'.
Username: cisco
Password:

--Waiting for IOS Process--


--Welcome to Diagnostic Mode--
ASR(diag)#

Remarque: Écrivez la séquence d'interruption Ctrl+C ou Ctrl+Shift+6, et attendez quelques secondes. Quand --Attendre le processus IOS-- des affichages sur le terminal, vous pouvez entrer le mode diagnostique.

HTTP persistant

Afin d'activer l'à-le-case persistante d'accès HTTP (la de-le-case de HTTP ou le service clientèle de HTTP n'est pas disponible) et utiliser le nouvel accès GUI basé sur le WEB, utilisez cette configuration qui utilise l'authentification locale (vous pouvez également utiliser un serveur externe d'AAA).

Configurez

Dans ces configurations, le HTTP-webui et le https-webui sont les noms des transport-MAPS.

ASR(config)#ip http serverASR(config)#ip http authentication local
ASR(config)#username <> password <>
ASR(config)#transport-map type persistent webui http-webui     
ASR(config-tmap)#server     
ASR(config-tmap)#exit
ASR(config)#transport type persistent webui input http-webui

Voici la configuration utilisée afin d'activer le serveur sécurisé de HTTP (HTTPS).

ASR(config)#ip http secure-serverASR(config)#ip http authentication local
ASR(config)#username <> password <>
ASR(config)#transport-map type persistent webui https-webui     
ASR(config-tmap)#secure-server     
ASR(config-tmap)#exit
ASR(config)#transport type persistent webui input https-webui

Vérifiez

Parcourez à l'adresse IP d'une interface sur l'ASR. Ouvrez une session avec le nom d'utilisateur/mot de passe que vous avez créé afin de lancer la page d'accueil. Santés et surveillance des affichages de l'information relative, avec un IOS WebUI où vous pouvez appliquer des commandes. Voici un tir d'écran de la page d'accueil :

Dépannez

Si le WebUI n'est pas disponible par l'intermédiaire de HTTPS, alors vérifiez que le certificat et la clé de Rivest-Shamir-Adleman (RSA) sont présents et opérationnels. Vous pouvez employer cette commande de débogage afin de déterminer la raison pour laquelle le WebUI ne commence pas correctement :

ASR#debug platform software configuration notify webui
ASR#config t
ASR(config)#no transport type persistent webui input https-webui
%UICFGEXP-6-SERVER_NOTIFIED_STOP: SIP0: psd: Server wui has been notified to stop
ASR(config)#transport type persistent webui input https-webui

 CNOTIFY-UI: Setting transport map
 CNOTIFY-UI: Transport map https-webui input being processed
 CNOTIFY-UI: Processing map association
 CNOTIFY-UI: Attempting to send config
 CNOTIFY-UI: Preparing to send config
 CNOTIFY-UI: server cache: false, tm: false
 CNOTIFY-UI: secure-server cache: true, tm: true
 CNOTIFY-UI: Validating server config
 CNOTIFY-UI: Validating secure server config
 CNOTIFY-UI: Checking if secure server config is ok
 CNOTIFY-UI: Secure server is enabled in map
 CNOTIFY-UI: Getting trust point
 CNOTIFY-UI: Getting self-signed trust point
 CNOTIFY-UI: Could not get self-signed trustpoint
 CNOTIFY-UI: A certificate for does not exist
 CNOTIFY-UI: Getting rsa key-pair name
 CNOTIFY-UI: Failed to get rsa key pair name
 CNOTIFY-UI: Key needed to generate the pem file
 CNOTIFY-UI: Secure-server config invalid
 CNOTIFY-UI: Config analysis indicates no change
 CNOTIFY-UI: Failed to prepare config

Clé RSA

Afin de vérifier la présence de la clé RSA, sélectionnez cette commande :

ASR#show crypto key mypubkey rsa
% Key pair was generated at: XX:XX:XX XXX XXX XX XXXX
Key name: ASR.ASR
Key type: RSA KEYS
 Storage Device: not specified
 Usage: General Purpose Key
 Key is not exportable. Redundancy enabled.
 Key Data:
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX 
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX 
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX 
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX 
  XXXXXXXX XXXX
% Key pair was generated at: XX:XX:XX XXX XXX XX XXXX
Key name: ASR.ASR.server
Key type: RSA KEYS
Temporary key
 Usage: Encryption Key
 Key is not exportable. Redundancy enabled.
 Key Data:
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX 
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX 
  XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXX
ASR#

Notez le nom de clé, comme on l'exige afin de créer le certificat. Si une clé n'est pas présente, vous pouvez créer un avec ces commandes :

ASR(config)#ip domain-name Router
ASR(config)#crypto key generate rsa
The name for the keys will be: Router.Router
Choose the size of the key modulus in the range of 360 to 4096 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

ASR(config)#
*Dec 22 10:57:11.453: %SSH-5-ENABLED: SSH 1.99 has been enabled

Certificat

Une fois que la clé est présente, vous pouvez sélectionner cette commande afin de vérifier le certificat :

ASR#show crypto pki certificates 
 ASR Self-Signed Certificate
  Status: Available
  Certificate Serial Number (hex): 01
  Certificate Usage: General Purpose
  Issuer: 
   serialNumber=XXXXXXXXXXX+ipaddress=XXX.XXX.XXX.XXX+hostname=ASR
   cn=XXX.XXX.XXX.XXX
   c=US
   st=NC
   l=Raleigh
  Subject:
   Name: Router
   IP Address: XXX.XXX.XXX.XXX
   Serial Number: XXXXXXXXXXX
   serialNumber=XXXXXXXXXXX+ipaddress=XXX.XXX.XXX.XXX+hostname=aSR
   cn=XXX.XXX.XXX.XXX
   c=US
   st=NC
   l=Raleigh
  Validity Date: 
   start date: XX:XX:XX XXX XXX XX XXXX
   end   date: XX:XX:XX XXX XXX XX XXXX
  Associated Trustpoints: local

Si le certificat est non valide ou n'est pas présent, alors vous pouvez créer le certificat avec ces commandes :

ASR(config)#crypto pki trustpoint local
ASR(ca-trustpoint)#enrollment selfsigned
ASR(ca-trustpoint)#subject-name CN=XXX.XXX.XXX.XXX; C=US; ST=NC; L=Raleigh
ASR(ca-trustpoint)#rsakeypair ASR.ASR 2048
ASR(ca-trustpoint)#crypto pki enroll local
% Include the router serial number in the subject name? [yes/no]: yes
% Include an IP address in the subject name? [no]: yes
Enter Interface name or IP Address[]: XXX.XXX.XXX.XXX
Generate Self Signed Router Certificate? [yes/no]: yes

Router Self Signed Certificate successfully created

Une fois que la clé RSA et le certificat sont mis à jour et sont valides, le certificat peut être associé avec la configuration HTTPS :

ASR(config)#ip http secure-trustpoint local

Vous pouvez alors désactiver et réactiver le WebUI afin de s'assurer qu'il est fonctionnel :

ASR#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
ASR(config)#no transport type persistent webui input https-webui
ASR(config)#
 CNOTIFY-UI: Setting transport map
 CNOTIFY-UI: Transport map usage being disabled
 CNOTIFY-UI: Processing map association
 CNOTIFY-UI: Attempting to send config
 CNOTIFY-UI: Preparing to send config
 CNOTIFY-UI: Persistent webui will be shutdown if running
 CNOTIFY-UI: Creating config message
 CNOTIFY-UI: Secure-server state actually being set to: disabled
 CNOTIFY-UI: Webui server information: changed: true, status: disabled, port: 80
 CNOTIFY-UI: Webui secure server information: changed: true, status: disabled, port: 443
 CNOTIFY-UI: Webui service (re)start: false. Sending all config
ASR(config)#
ASR(config)#transport type persistent webui input https-webui
ASR(config)#
 CNOTIFY-UI: Setting transport map
 CNOTIFY-UI: Transport map https-webui input being processed
 CNOTIFY-UI: Processing map association
 CNOTIFY-UI: Attempting to send config
 CNOTIFY-UI: Preparing to send config
 CNOTIFY-UI: server cache: false, tm: false
 CNOTIFY-UI: secure-server cache: true, tm: true
 CNOTIFY-UI: Validating server config
 CNOTIFY-UI: Validating secure server config
 CNOTIFY-UI: Checking if secure server config is ok
 CNOTIFY-UI: Secure server is enabled in map
 CNOTIFY-UI: Getting trust point
 CNOTIFY-UI: Using issued certificate for identification
 CNOTIFY-UI: Getting rsa key-pair name
 CNOTIFY-UI: Getting private key
 CNOTIFY-UI: Getting certificate
 CNOTIFY-UI: Secure server config is ok
 CNOTIFY-UI: Secure-server config is valid
 CNOTIFY-UI: Creating config message
 CNOTIFY-UI: Secure-server state actually being set to: enabled
 CNOTIFY-UI: Adding rsa key pair
 CNOTIFY-UI: Getting base64 encoded rsa key
 CNOTIFY-UI: Getting rsa key-pair name
 CNOTIFY-UI: Getting private key
 CNOTIFY-UI: Added rsa key
 CNOTIFY-UI: Adding certificate
 CNOTIFY-UI: Getting base64 encoded certificate
 CNOTIFY-UI: Getting certificate
 CNOTIFY-UI: Getting certificate for local
 CNOTIFY-UI: Certificate added
 CNOTIFY-UI: Webui server information: changed: false, status: disabled, port: 80
 CNOTIFY-UI: Webui secure server information: changed: true, status: enabled, port: 443
 CNOTIFY-UI: Webui service (re)start: true. Sending all config
 
%UICFGEXP-6-SERVER_NOTIFIED_START: SIP0: psd:  Server wui has been notified to start

Informations connexes

• Port de console, telnet, et manipulation de SSH
• Compréhension du mode diagnostique
• Support et documentation techniques - Cisco Systems