릴리스 17.12.1~17.12.4를 실행하는 Catalyst Center 관리 IOS-XE 디바이스의 PKI 인증서 갱신 실패로 인해 원격 분석 연결이 다운된 상태로 복원합니다.

소개

이 문서에서는 텔레메트리 연결이 실패하는 이유와 이를 복원하는 방법에 대해 설명합니다. 

• Cisco 버그로 인해 Cisco IOS XE 디바이스에서 sdn-network-infra-withencertificate(Cisco Catalyst Center - Cisco IOS® XE 디바이스)의 자동 갱신이 실패할 수 있습니다 ID CSCwk39268  Cisco IOS XE 디바이스의 운영 체제에서, 영향을 받는 디바이스에서 Catalyst Center로 보내는 텔레메트리를 중단시킵니다.
• 인증서는 1년간 유효하며, 일반적으로 Catalyst Center에서 만료 60일 전에 자동으로 갱신합니다.
• 이 문제의 영향을 받거나 영향을 받을 가능성이 있는 고객은 Catalyst Center에서 팝업 메시지를 볼 수 있습니다.

영향을 받는 릴리스:

• 버전 17.12.1-17.12.4를 실행하는 Cisco IOS XE 네트워크 디바이스를 관리하는 Catalyst Center 2.3.7.11 이전 릴리스

해결 방법:

고객은 이 세 가지 옵션 중 하나를 사용하여 문제를 해결해야 합니다.

crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512

5.  템플릿 커밋

템플릿을 저장한 후 작업(Actions)을 클릭하고 커밋(Commit)을 선택합니다.

커밋 메시지(예: Update trustpoint hash to sha512)를 입력합니다.

커밋을 확인합니다.

6.  디바이스에 템플릿 프로비저닝

Design > CLI Templates 페이지에서 템플릿을 선택합니다.

템플릿 프로비전을 클릭합니다.

작업 이름을 입력합니다(예: Trustpoint_Update_Device1).

디바이스 선택 단계에서 Cisco IOS XE 디바이스만 선택합니다.

다음을 클릭합니다.

해당 템플릿 할당을 검토합니다.

템플릿 변수가 사용되지 않으므로 다음 단계를 계속 진행합니다.

Preview(미리 보기) 화면에서 명령이 올바른지 확인합니다.

지금 구축을 클릭합니다.

7 .  Catalyst Center에서 구축 상태 확인:

활동 > 태스크로 이동합니다.

구축이 성공적으로 완료되었는지 확인합니다.

배포에 실패한 경우 다시 시도하기 전에 작업 세부 정보 및 오류 출력을 검토하십시오.

8.  추가 장치에 대해 반복합니다.

각 Cisco IOS XE 장치에 대해 개별적으로 이 구축 프로세스를 반복합니다.

추적 및 문제 해결을 간소화하려면 각 장치에 별도의 작업 이름을 사용합니다.

9 .  디바이스의 컨피그레이션 확인
구축이 완료되면 디바이스의 CLI에 연결하고 다음을 실행합니다.

show run | sec crypto pki trustpoint sdn-network-infra-iwan

실행 중인 컨피그레이션에 다음 행이 포함되어 있는지 확인합니다.

crypto pki trustpoint sdn-network-infra-iwan
hash sha512

옵션 2: Catalyst Center를 2.3.7.11, 2.3.7.9 PSMU80 또는 2.3.7.10 PSMU140으로 업그레이드합니다.

SMU(Software Maintenance Update)는 Catalyst Center GUI의 System(시스템) > Software Management(소프트웨어 관리)에서 사용할 수 있습니다. SMU를 볼 수 없는 경우 TAC 서비스 요청을 열고 멤버 ID를 제공하십시오.

옵션 3: 영향받는 Cisco IOS XEdevice를 Cisco 권장 릴리스의 17.12.5 이상으로 업그레이드합니다.

영향을 받는 Cisco IOS XE 장치 식별:

1단계:  영향을 받는 Cisco IOS XE 디바이스에서 디바이스 인증서 및 신뢰 지점 상태를 확인합니다.

device# show crypto pki certificates verbose sdn-network-infra-iwan

샘플 출력:

Certificate
  Status: Available
  Version: 3
  Certificate Serial Number (hex): 18831279321B12FA
  Certificate Usage: General Purpose
  Issuer: 
    cn=sdn-network-infra-ca
  Subject:
    Name: device.example.net
    cn=C9300-48U_SN12345678_sdn-network-infra-iwan
    hostname=device.example.net
  Validity Date: 
    start date: 11:39:55 cdt Jul 10 2025
    end   date: 11:39:55 cdt Jul 16 2025
    renew date: 06:51:54 cdt Jul 15 2025
  ...

참고: 종료 날짜 및 갱신 날짜가 디바이스의 현재 날짜 이전이면 인증서가 만료됩니다.

2단계: 디바이스의 오류 로그를 확인합니다.

샘플 출력:

Device# show logging
%PKI-2-CERT_RENEW_FAIL: Certificate renewal failed for trustpoint sdn-network-infra-iwan
Reason : Failed to get ID certificate from CA server sdn-network-infra-iwan:Certificate renewal failed.

3단계: Catalyst Center에서 디바이스의 텔레메트리 상태 확인

샘플 출력:

Device#show tel con all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
-----------------------------------------------------------------------------------------
36284 x.x.x.x 25103 0 x.x.x.x Connecting Connection request made to transport handler

참고: 이 예에서는 텔레메트리 연결이 Connecting(연결) 상태에서만 작동 중이 아닙니다.

추가 정보:

디바이스 인증서가 이미 만료되었고 디바이스가 성능 저하 상태인 경우 다음 두 단계를 수행합니다.

1단계:  Catalyst Center GUI에서 텔레메트리 강제 푸시

1. 메뉴 > 프로비저닝 > 인벤토리로 이동합니다.
2. 호스트 이름으로 디바이스 선택
3. Actions(작업) > Telemetry(텔레메트리) > Update Telemetry Settings(텔레메트리 설정 업데이트)를 선택합니다
4. 강제 구성 밀어넣기 사용
5. 마법사를 진행하고 작업을 제출합니다.

2단계:  디바이스에서 신뢰 지점 tosha512에 대한 해시 알고리즘을 업데이트합니다.

crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512

FAQ:

SMU를 설치하면 이미 영향을 받은 시스템이 수정됩니까, 아니면 예방적 시스템입니까?
SMU는 예방 수칙이며 문제가 발생하기 전에 설치해야 합니다. 문제가 이미 발생한 경우 SMU를 설치해도 문제가 자동으로 해결되지 않습니다. 장애가 발생한 기존 시스템을 복구하려면 추가 정보 섹션을 검토하십시오.