Configureer Field Network Director om Plug and Play op de IR800 te gebruiken
Inhoud
Inleiding
In dit document wordt beschreven hoe u aan de slag kunt gaan met Field Network Director (FND) en Plug and Play (PNP) met het gebruik van een minimale set componenten.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Ervaring met Linux en kennis om configuratiebestanden op een Linux-machine te bewerken en uit te voeren
- Ten minste één van de ondersteunde routers die door FND moet worden beheerd. Bijvoorbeeld IR809 of IR829.
- Consoletoegang
- Minimaal IOS® versie 15.7(3)M1
- OVA-bestand geïmplementeerd in een hypervisor (bijvoorbeeld: VMWare ESXi). Het OVA-bestand, indien gerechtigd, kan worden gedownload van: https://software.cisco.com/download/home/286287993/type/286320249
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- OVA-bestand voor FND versie 4.5.0-122 (CISCO-IOTFND-V-K9-4.5.0-122.zip)
- VMware ESX
- IR809 met IOS® versie 15.8(3)M2
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Aangezien FND veel verschillende implementatieopties heeft, is het doel om een minimale maar werkende installatie voor FND te kunnen opzetten. Deze setup kan dan dienen als het startpunt voor verdere aanpassing en om meer functies toe te voegen. De installatie wordt hier uitgelegd met het gebruik van de Open Virtual Appliance (OVA)-verpakte FND-installatie als startpunt en het maakt gebruik van de eenvoudige modus om de noodzaak van Public Key Infrastructure (PKI) en tunnelprovisioning te voorkomen. Gebruik PNP om de installatie te vereenvoudigen en apparaten toe te voegen.
Het resultaat van deze handleiding is niet bedoeld voor gebruik in de productie, omdat er mogelijk beveiligingsrisico's zijn vanwege het wachtwoord voor de plantekst en de afwezigheid van tunnels en PKI.
Configureren
De FND OVA implementeren en configureren
Stap 1. download en implementeer het FND OVA-bestand naar uw hypervisor. Voor VMWare wordt dit bijvoorbeeld gedaan via Bestand > OVF-sjabloon implementeren zoals weergegeven in de afbeelding.
Stap 2. Zodra het is geïmplementeerd, kunt u de VM starten en krijgt u een aanmeldingsscherm te zien, dat in de afbeelding wordt weergegeven.
De standaardwachtwoorden voor het OVA-bestand zijn:
- Gebruikersnaam: root wachtwoord: Cisco123
- gebruikersnaam: cisco wachtwoord: C_sco123
Stap 3. Meld u aan met de gebruiker en het wachtwoord van cisco en navigeer naar Toepassingen > Systeemgereedschappen > Instellingen > Netwerk. Voeg een bekabeld profiel toe en stel op het tabblad IPv4 het gewenste IP-adres of DHCP in zoals in de afbeelding wordt weergegeven.
Stap 4. Klik op Toepassen en schakel de verbinding uit/aan om ervoor te zorgen dat de nieuwe instellingen worden toegepast.
Op dit punt moet u in staat zijn om te navigeren naar de FND GUI met uw browser en het IP-adres geconfigureerd zoals weergegeven in de afbeelding.
Stap 5. Meld u aan bij de GUI met behulp van de standaard gebruikersnaam en wachtwoord: root / root123
U wordt gevraagd om uw wachtwoord onmiddellijk te wijzigen en vervolgens opnieuw naar de login te gaan.
Als alles goed gaat, moet u in staat zijn om in te loggen met uw nieuwe wachtwoord en in staat zijn om te navigeren door de FND GUI.
Verder worden PNP en demomodus beschreven, gevolgd door de configuratie van FND.
Over PNP
PNP is de meest recente Cisco-methode om Zero Touch Deployment (ZTD) uit te voeren. Met het gebruik van PNP kan een apparaat volledig worden geconfigureerd en hoeft u de configuratie niet handmatig aan te raken.
Voor FND wordt met het gebruik van PNP de noodzaak om de router eerst op te starten vermeden. In feite, alles wat PNP doet, omleiden naar de FND, op een veilige manier, en haalt de bootstrap configuratie.
Zodra de bootstrap-configuratie in het apparaat aanwezig is, wordt de rest van het proces voortgezet zoals bij een klassiek bootstrapped-apparaat.
Er zijn verschillende manieren om PNP te gebruiken:
- Via de Cisco PNP-service (devicehelper.cisco.com), met behulp van een Smart Account. Standaard ingeschakeld buiten de fabriek op bepaalde apparaten
- Met het gebruik van DHCP optie 43 om de IP of hostnaam te leveren waarmee verbinding moet worden gemaakt voor bootstrapping
- Door de PNP-server handmatig in te stellen in de configuratie
Voor deze configuratie wordt PNP-server IP handmatig ingesteld, dat is het IP van de FND-server en de poort op het apparaat. Als u dit met DHCP wilt doen, moet u de informatie als volgt verstrekken:
Voor Cisco IOS® moet de DHCP-server als volgt worden geconfigureerd:
ip dhcp pool pnp_pool network 192.168.10.0 255.255.255.248 default-router 192.168.10.1 dns-server 8.8.8.8 option 43 ascii "5A;K4;B2;I10.48.43.231;J9125" !
Voor DHCPd op Linux:
[jedepuyd@KJK-SRVIOT-10 ~]$ cat /etc/dhcp/dhcpd.conf
subnet 192.168.100.0 netmask 255.255.255.0 {
option routers 192.168.100.1;
range 192.168.100.100 192.168.100.199;
option domain-name-servers 192.168.100.1;
option domain-name "test.dom";
option vendor-encapsulated-options "5A;K4;B2;I10.48.43.231;J9125";
}
In deze configuratie voor optie 43 of door de leverancier ingekapselde opties moet u de volgende ASCII-tekenreeksen opgeven:
"5A;K4;B2;I10.50.215.252;J9125"
Het kan als volgt worden aangepast:
- 5 – DHCP-typecode 5
- A – Actieve bedieningscode voor functies
- K4 – HTTP-transportprotocol
- B2 – IP-adrestype PnP-server/TPS/FND-server is IPv4
- I10.48.43.231 – IP-adres FND-server
- J9125 – Poortnummer 9125 (poort voor PNP op FND-server)
Meer informatie over PNP met DHCP vindt u hier: https://www.cisco.com/c/en/us/td/docs/routers/connectedgrid/iot_fnd/guide/4_3/iot_fnd_ug4_3/sys_mgmt.html#31568 in de sectie: DHCP Option 43 configureren op Cisco IOS® DHCP Server
Over EasyMode
De Easy-modus is geïntroduceerd sinds FND 4.1, hoewel het destijds demomodus werd genoemd en u FND op een minder veilige manier kunt uitvoeren. Hoewel dit niet wordt aanbevolen voor productie, is het een goede manier om te beginnen.
Met het gebruik van de eenvoudige modus kunt u zich concentreren op het PNP-proces, bootstrapping en configuratie van de router. Als iets niet werkt, hoeft u de tunnelopbouw of certificaten niet te vermoeden.
Wijzigingen die optreden wanneer u FND configureert om in de eenvoudige modus te worden uitgevoerd:
- Geen behoefte aan een Head End Router (HER) of een tunnel naar de FND-server.
- U hebt geen Public Key Infrastructure (PKI)-installatie en Simple Certificate Enrollment Protocol (SCEP) nodig.
- Geen routercertificaten, trustpoint en SSL-certificaten nodig.
- Alle communicatie vindt plaats via HTTP in plaats van HTTPS.
Meer informatie over de eenvoudige modus vindt u hier:
FND configureren voor PNP en Easy Mode
Nu weet je wat demomodus / PNP is en waarom het in deze context wordt gebruikt. Laten we de FND-configuratie wijzigen om deze in te schakelen:
Op de FND VM, die afkomstig is uit het OVA-bestand, maakt u verbinding met SSH en bewerkt u de eigenschappen cgms. als volgt:
[root@iot-fnd ~]# cat /opt/fnd/data/cgms.properties cgms-keystore-password-hidden=dD5KmzJHa64Oyvpqdu8SCg== use-router-ip-from-db=true rabbit-broker-ip= rabbit-broker-port= rabbit-broker-username= rabbit-broker-password= fogd-ip=192.68.5.3 enable-reverse-dns-lookup=false enableApiAuth=false fnd-router-mgmt-mode=1 enable-bootstrap-service=true proxy-bootstrap-ip=10.48.43.231
De laatste drie regels zijn gewijzigd in het configuratiebestand.
- Lijn 10: maakt eenvoudige modus mogelijk
- Lijn 11: maakt PNP mogelijk
- Lijn 12: stelt het IP van de FND-server in om contact op te nemen met
Nadat u het bestand hebt gewijzigd, start u de FND-container opnieuw op om de aangebrachte wijzigingen aan te passen:
[root@iot-fnd ~]# /opt/fnd/scripts/fnd-container.sh restart Stopping FND container... fnd-container [root@iot-fnd ~]# Starting FND container... fnd-container
Eenmaal opnieuw opgestart, kan de rest van de configuratie worden gedaan met behulp van de GUI.
Maak de CSV klaar en voeg de router toe aan FND
Het klinkt misschien een beetje onlogisch om het apparaat op dit punt van het configuratieproces toe te voegen, maar helaas zijn delen van de configuratie niet beschikbaar totdat bepaalde apparaattypen zijn toegevoegd.
Dit wordt gedaan om te voorkomen dat de GUI te overweldigend is omdat verschillende apparaten verschillende opties introduceren.
Hier, laten we proberen om een IR809 toe te voegen aan FND.
De CSV ziet er als volgt uit:
deviceType,eid,adminUsername,adminPassword,ip ir800,IR809G-LTE-GA-K9+JMX2022X04S,fndadmin,C1sc0123!,10.48.43.250
De velden in de CSV zijn:
- Type apparaat: ir800
- eid: PID en serieel samen met +
- adminUsername: deze gebruikersnaam wordt toegevoegd aan de routerconfiguratie en wordt later gebruikt om het registratieproces te voltooien
- adminPassword: wachtwoord voor adminUsername
- ip: het IP-adres dat moet worden vervangen in de configuratie van het apparaat na implementatie
Als u dit apparaat wilt toevoegen, maakt u verbinding met de GUI en navigeert u naar Apparaten > Veldapparaten > Inventarisatie > Apparaten toevoegen zoals weergegeven in de afbeelding.
Geef in het dialoogvenster de locatie van uw CSV-bestand op en klik op Toevoegen om het aan FND toe te voegen, zoals in de afbeelding wordt weergegeven.
Als alles goed gaat, moet u het geschiedenisitem zien om "VOLTOOID" aan te bieden. Nadat u het dialoogvenster hebt gesloten, moet het apparaat worden weergegeven in de inventaris zoals weergegeven in de afbeelding.
Aangezien het apparaat van deviceType ir800 is toegevoegd, worden de toepasselijke sjablonen en groepen op dit moment beschikbaar in de GUI.
De Provisioning-instellingen, de Bootstrap-sjabloon en de configuratiesjabloon voorbereiden
Aangezien FND is geconfigureerd voor de demomodus, moet de provisioning-URL worden gewijzigd om in plaats daarvan HTTP te gebruiken. Navigeer naar Beheer > Instellingen voor provisioning om dit te doen:
Wijzig de IoT-FND-URL in http://<FND IP>:9121
Configureer vervolgens twee minimale sjablonen voor bootstrapping en configuratie.
De eerste, genaamd Router Bootstrap Configuration template, is de configuratie die naar de router wordt geduwd zodra deze in staat is om met succes contact op te nemen met FND met het gebruik van PNP.
Als PNP niet in gebruik is, is het de configuratie die handmatig of in de fabriek op de router wordt geplaatst op het moment van het opstartproces. Deze configuratie bevat net genoeg informatie voor de router om het registratieproces in FND te starten.
De tweede, genaamd de Configuratiesjabloon, is de configuratie die wordt toegevoegd aan de momenteel actieve configuratie van het apparaat. Het kan zelfs worden gezien als een toename van de bestaande configuratie.
In de meeste gevallen leidt dit tot een vreemde situatie, dus het wordt aanbevolen om eerst alle configuraties op de router te wissen voordat u deze toevoegt aan FND.
Om de Router Factory Reprovision-sjabloon in te stellen, gaat u naar Configureren > Tunnel Provisioning > Router Bootstrap Configuration en vervangt u deze door de volgende sjabloon:
<#if isBootstrapping = true>
<#assign mgmtintf = "GigabitEthernet0">
<#assign fndserver = "10.48.43.231">
<#assign sublist=far.eid?split("+")[0..1]>
<#assign pid=sublist[0]>
<#assign sn=sublist[1]>
<#-- General parameters -->
hostname ${sn}BS
ip domain-name ${sn}
ip host fndserver.fnd.iot ${fndserver}
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
!
<#-- Users -->
username backup privilege 15 password C1sc0123!
username ${far.adminUsername} privilege 15 password ${far.adminPassword}
!
<#-- Interfaces -->
interface ${mgmtintf}
ip address ${far.ip} 255.255.255.192
exit
!
<#-- Clock -->
clock timezone UTC +2
!
<#-- Archive -->
file prompt quiet
do mkdir flash:archive
archive
path flash:/archive
maximum 8
exit
!
<#-- HTTP -->
ip http server
ip http client connection retry 5
ip http client connection timeout 5
ip http client source-interface ${mgmtintf}
ip http authentication local
ip http timeout-policy idle 600 life 86400 requests 3
ip http max-connections 2
!
<#-- WSMA -->
wsma profile listener exec
transport http path /wsma/exec
exit
!
wsma profile listener config
transport http path /wsma/config
exit
!
wsma agent exec
profile exec
exit
!
wsma agent config
profile config
exit
!
<#-- CGNA -->
cgna gzip
!
cgna profile cg-nms-register
add-command show hosts | format flash:/managed/odm/cg-nms.odm
add-command show interfaces | format flash:/managed/odm/cg-nms.odm
add-command show ipv6 dhcp | format flash:/managed/odm/cg-nms.odm
add-command show ipv6 interface | format flash:/managed/odm/cg-nms.odm
add-command show platform hypervisor | format flash:/managed/odm/cg-nms.odm
add-command show snmp mib ifmib ifindex | format flash:/managed/odm/cg-nms.odm
add-command show iox host list detail | format flash:/managed/odm/cg-nms.odm
add-command show version | format flash:/managed/odm/cg-nms.odm
interval 10
url http://fndserver.fnd.iot:9121/cgna/ios/registration
gzip
active
exit
!
<#-- Script to generate RSA for SSH -->
event manager applet genkeys
event timer watchdog name genkeys time 30 maxrun 60
action 10 cli command "enable"
action 20 cli command "configure terminal"
action 30 cli command "crypto key generate rsa modulus 2048"
action 80 cli command "no event manager applet genkeys"
action 90 cli command "exit"
action 99 cli command "end"
exit
end
</#if>
Zo stelt u het configuratiesjabloon in. Navigeer naar Config > Apparaatconfiguratie > Configuratiesjabloon bewerken en voeg deze sjabloon toe:
<#-- Enable periodic inventory notification every 1 hour to report metrics. -->
cgna profile cg-nms-periodic
interval 60
exit
<#-- Enable periodic configuration (heartbeat) notification every 15 min. -->
cgna heart-beat interval 15
<#-- Enable SSH access -->
line vty 0 4
transport input ssh
login local
exit
Deze sjabloon wordt de actieve configuratie van de resulterende router. Dus elke specifieke configuratie voor deze configuratiegroep moet hier worden toegevoegd.
Het makkelijkst is om te beginnen met deze minimale sjabloon. Zodra dit gelukt is, werkt u de sjabloon bij en past u deze aan uw behoeften aan.
Op dit punt is de configuratie / voorbereiding van FND voltooid en kunt u beginnen met het voorbereiden van de router.
De IR800 voorbereiden op provisioning/PNP
Als het apparaat dat u wilt inrichten al een configuratie bevat of eerder is gebruikt, is het beter om de configuratie van de router volledig te wissen voordat u deze toevoegt aan FND met PNP.
Als dit een nieuw apparaat is, kan deze stap worden overgeslagen.
De eenvoudigste manier om dit te doen is met het gebruik van de opdracht schrijven wissen en opnieuw laden van de router met het gebruik van de console.
ir809kjk#write erase Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [OK] Erase of nvram: complete *Oct 18 11:42:54.367 UTC: %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram ir809kjk#reload System configuration has been modified. Save? [yes/no]: no Proceed with reload? [confirm] Starting File System integrity check NOTE: File System will be deinited and later rebuilt
Na enige tijd moet de IR800 terugkomen met de prompt om het eerste configuratiedialoogvenster uit te voeren:
--- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: no Press RETURN to get started!
Zorg ervoor dat er geen overblijfselen meer zijn van een eerdere PNP / ZTD-poging, het is het beste om het archief en de directory opnieuw te maken en de voor-registratie-configuratie op de router ook te verwijderen:
IR800#delete /f before-* IR800#delete /f /r archive* IR800#mkdir archive Create directory filename [archive]? Created dir flash:/archive IR800#conf t Enter configuration commands, one per line. End with CNTL/Z. IR800(config)#archive IR800(config-archive)#path flash:/archive IR800(config-archive)#maximum 8 IR800(config-archive)#end
Op dit moment hebt u een nieuw apparaat of een apparaat met een lege configuratie, dus, indien nodig, is dit het moment waarop een minimale configuratie kan worden toegepast zodat de router FND kan bereiken.
Als u een DHCP-server hebt, moet het meeste automatisch worden uitgevoerd.
De volgende handmatige configuratie wordt geselecteerd op het apparaat:
IR800>enable IR800#conf t Enter configuration commands, one per line. End with CNTL/Z. IR800(config)#int gi0 IR800(config-if)#ip addr dhcp IR800(config-if)#no shut IR800(config-if)#end *Aug 1 12:02:02.887: %SYS-5-CONFIG_I: Configured from console by console IR800#ping 10.48.43.231 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.48.43.231, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms IR800#
Zoals u ziet, werd een snelle ping uitgevoerd om te testen of de router FND kon bereiken met de toegepaste IP-configuratie.
De IR800-router beschikbaar stellen
Op dit punt zijn alle vereisten voltooid en kunt u het PNP-proces starten. Dit gebeurt in dit geval handmatig.
In een productieomgeving zal PNP hoogstwaarschijnlijk worden gebruikt met DHCP-optie 43. Het betekent dat zodra de router is gestart, deze een IP- en de PNP-configuratie ontvangt en u deze stap en de volgende kunt overslaan.
Om PNP handmatig te configureren op de IR800 zonder DHCP, moet u de bestemming voor de verzoeken opgeven, namelijk de FND-server.
Dit kan als volgt worden gedaan:
IR800(config)#pnp profile pnp-zero-touch IR800(config-pnp-init)#transport http ipv4 10.48.43.231 port 9125 IR800(config-pnp-init)#end
Zodra u de regel begint met "transport", start de router het PNP-proces en probeert contact op te nemen met FND op de opgegeven IP en poort.
Als alles goed gaat, passeert het apparaat deze:
- [UPDATING_ODM]: werk de ODM-bestanden (Operational Data Model) op het apparaat bij zodat deze overeenkomen met de bestanden die geldig zijn voor de huidige FND-versie
- [UPDATING_ODM_VERIFY_HASH]: controleren of de bijgewerkte bestanden correct zijn
- [UPDATE_ODM]
- [COLLECTING_INVENTORY]: de huidige configuratie en apparaatgegevens verzamelen
- [COLLECTED_INVENTORY]
- [VALIDATING_CONFIGURATION]: probeer de configuratie toe te passen vanaf de bootstrap-configuratie (vervangende Router Factory Reprovision-sjabloon)
- [VALIDATED_CONFIGURATION]
- [PUSHING_BOOTSTRAP_CONFIG_FILE]: de gevalideerde configuratie toepassen
- [PUSHING_BOOTSTRAP_CONFIG_VERIFY_HASH]: controleren of de toegepaste configuratie correct is
- [PUSHED_BOOTSTRAP_CONFIG_FILE]
- [CONFIGURING_STARTUP_CONFIG]: schrijf de configuratie als opstartconfiguratie
- [CONFIGURED_STARTUP_CONFIG]
- [APPLICATION_CONFIG]: de opstartconfiguratie toepassen
- [APPLIED_CONFIG]
- [TERMINATING_BS_PROFILE]: stop met bootstrapping.
U kunt het proces volgen in het FND server.log.
In de GUI ziet u het apparaat bewegen wanneer u navigeert naar Ongehoord > Boostrapping > Bootstrapped
Nadat de bootstrapping is voltooid, heeft de router de vervangende Router Factory Reprovision-sjabloon en gedraagt deze zich als een normaal bootstrapped-apparaat zonder PNP.
Met andere woorden, een CGNA-profiel op de IR800 probeert zich te registreren bij de FND-server.
Controleer de status van het CGNA-profiel:
JMX2022X04SBS#sh cgna profile-state all
Profile 1:
Profile Name: cg-nms-register
Activated at: Thu Aug 1 15:31:14 2019
URL: http://fndserver.fnd.iot:9121/cgna/ios/registration
Payload content type: xml
Interval: 10 minutes
gzip: activated
Profile command:
show hosts | format flash:/managed/odm/cg-nms.odm
show interfaces | format flash:/managed/odm/cg-nms.odm
show ipv6 dhcp | format flash:/managed/odm/cg-nms.odm
show ipv6 interface | format flash:/managed/odm/cg-nms.odm
show platform hypervisor | format flash:/managed/odm/cg-nms.odm
show snmp mib ifmib ifindex | format flash:/managed/odm/cg-nms.odm
show iox host list detail | format flash:/managed/odm/cg-nms.odm
show version | format flash:/managed/odm/cg-nms.odm
State: Wait for timer for next action
Timer started at Thu Aug 1 15:31:14 2019
Next update will be sent in 9 minutes 30 seconds
Last successful response not found
Last failed response not found
Met de meegeleverde configuratie probeert het apparaat zich na tien minuten te registreren bij FND. U kunt zien dat in deze uitvoer negen minuten en dertig seconden overblijven voordat de router het registratieproces start.
U kunt wachten tot de timer klaar is of het cg-nms-register-profiel onmiddellijk handmatig uitvoeren:
IR800-Bootstrap#cgna exec profile cg-nms-register
Verifiëren
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
Het apparaat moet naar de UP-status in FND gaan, zoals in de afbeelding wordt weergegeven.
Problemen oplossen
Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.
Om problemen met het bootstrapping-proces op te lossen, controleert u deze:
- Aanmelden bij FND-server: /opt/fnd/logs/server.log
- Verhoog de breedsprakigheid van de aanmelding: Beheer > Logboekregistratie > Instellingen logniveau > Router Bootstrapping > Foutopsporing
- Vanaf de IR800 console: toon pnp ? of debug pnp ?
- In de FND GUI: Apparaten > Inventarisatie > Apparaat selecteren > Gebeurtenissen
- De meeste problemen in deze fase hebben te maken met (syntaxis)fouten in de sjabloon Router Factory Reprovision
Om problemen met het registratieproces op te lossen, controleert u deze:
- Aanmelden bij FND-server: /opt/fnd/logs/server.log
- Vanaf de IR800-console:
- CGNA-profielstatus weergeven All
- debug CGNA Logging?
- Foutopsporingsagent voor WSMA
- In de FND GUI: Apparaten > Inventarisatie > Apparaat selecteren > Gebeurtenissen
- Controleer WSMA-connectiviteit via HTTP naar de IR800 vanaf de FND VM
- URI gebruikt door FND: http://10.48.43.231:80/wsma/exec
- Methode: POST
- Beveiliging: basisauthenticiteit
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)