CGR 1000 met CGOS configureren voor implementatie met Nul Touch
Downloadopties
Inclusief taalgebruik
De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Over deze vertaling
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Inhoud
Inleiding
Dit document beschrijft de configuratiestappen die nodig zijn om Cisco Connected Grid Router 1000 (CGR 1000) met succes te registreren met Connected Grid Operating System (CGOS) to Field Network Director (FND) als een veldinrichting. Alvorens een router aan het FND wordt geregistreerd, moet het aan verscheidene pre-vereisten voldoen die inschrijving in Openbare Zeer belangrijke Infrastructuur (PKI) en douaneconfiguratie omvatten. Daarnaast wordt een gesaneerde voorbeeldconfiguratie opgenomen.
Bijgedragen door Ryan Bowman, Cisco TAC Engineer.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- CG-NMS/FND-toepassingsserver 1.0 of hoger geïnstalleerd en actief met web UI-toegang beschikbaar.
- Tunnel Provisioning Server (TPS) proxyserver geïnstalleerd en actief.
- Oracle-databaseserver geïnstalleerd en correct geconfigureerd.
- SetupCgms.sh wordt ten minste één keer met succes uitgevoerd met een succesvolle eerste-keer db_migrate.
- DHCPv4- en DHCPv6-server(s) zijn al geconfigureerd en beschikbaar met proxy-instellingen die zijn opgeslagen op de pagina Admin > Provisioning Settings van de FND web User Interface (UI).
- Het apparaat .csv-bestand moet al in het FND zijn geïmporteerd en het apparaat moet 'ongehoord' zijn.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- FND 3.0.1-36
- Softwaregebaseerde SSM (ook 3.0.1-36)
- cgms-tools pakket geïnstalleerd in applicatieserver (3.0.1-36)
- Alle Linux-servers met RHEL 6.5
- Alle Windows-servers met Windows Server 2008 R2 Enterprise
- CSR 1000v die op een VM draait als head-end router
- CGR-1120/K9 gebruikt als Area Router (FAR) op basis van CG-OS 4(3)
Tijdens het maken van dit document is een gecontroleerde FND-laboratoriumomgeving gebruikt. Hoewel andere implementaties zullen verschillen, dient u zich te houden aan alle minimumeisen uit de installatiehandleidingen.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Stapsgewijze configuratie en inschrijving
1. Configureer de hostnaam van het apparaat.
2. De domeinnaam configureren.
3. Configureer de DNS-server(s).
4. Tijd/NTP configureren en verifiëren.
5. Breng de cellulaire kaarten en/of Ethernet-interfaces ter sprake. Zorg ervoor dat alle noodzakelijke interfaces hun IP's hebben en dat de router een gateway van laatste redmiddel heeft.
Opdat het FND de Loopback 0 interface met succes kan provisioneren, moet het al met adressen gecreëerd worden. Maak de Loopback 0-interface en controleer of deze IPv4- en IPv6-adressen heeft. U kunt "wegwerp" IPs gebruiken omdat zij na tunnellevering zullen worden vervangen.
6. Schakel deze functies in: ntp, crypto ike, dhcp, tunnel, crypto ipsec virtuele tunnel.
7. Maak uw trustpoint inschrijvingsprofiel (dit is de directe URL voor de Simple Certificate Enrollment Protocol (SCEP) inschrijvingswebpagina op uw RSA Certificate Authority (CA). Als u een Registratieautoriteit gebruikt, is de URL anders):
Router(config)#crypto ca profile enrollment LDevID_Profile Router(config-enroll-profile)#enrollment url http://networkdeviceenrollmentserver.your.domain.com/CertSrv/mscep/mscep.dll
8. Maak uw trustpoint en bind het inschrijvingsprofiel aan het.
Router(config)#crypto ca trustpoint LDevID Router(config-trustpoint)#enrollment profile LDevID_Profile Router(config-trustpoint)#rsakeypair LDevID_Keypair 2048 Router(config-trustpoint)#revocation-check none Router(config-trustpoint)#serial-number Router(config-trustpoint)#fingerprint xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
9. Verifieer uw trustpoint met de SCEP-server.
Router(config)#crypto ca authenticate LDevID Trustpoint CA authentication in progress. Please wait for a response... 2017 Mar 8 19:02:00 %$ VDC-1 %$ %CERT_ENROLL-2-CERT_EN_SCEP_CA_AUTHENTICATE_OK: Trustpoint LDevID: CA certificates(s) authenticated.
10. Neem uw trustpoint op in Public Key Infrastructure (PKI).
Router(config)#crypto ca enroll LDevID Create the certificate request .. Create a challenge password. You will need to verbally provide this password to the CA Administrator in order to revoke your certificate. For security reasons your password will not be saved in the configuration. Please make a note of it. Challenge password: Re-enter challenge password: The serial number in the certificate will be: PID:CGR1120/K9 SN:JAF############ Certificate enrollment in progress. Please wait for a response... 2017 Mar 8 19:02:24 %$ VDC-1 %$ %CERT_ENROLL-2-CERT_EN_SCEP_ENROLL_OK: Trustpoint LDevID: Device identity certificate successfully enrolled to CA.
11. Controleer uw certificeringsketen.
Router#show crypto ca certificates
12. Configureer de SNMP-parameters die vereist zijn voor CallHome om correct te werken.
Router(config)#snmp-server contact NAME Router(config)#snmp-server user admin network-admin Router(config)#snmp-server community PUBLIC group network-operator
13. Configureer deze basisinstellingen van de WPAN-module (Wireless Personal Area Network).
Router(config)#interface wpan 4/1 Router(config-if)#no shutdown Router(config-if)#panid 5 Router(config-if)#ssid meshssid Router(config-if)#ipv6 add 2001:db8::1/32
14. Aangezien het FND op Netconf via HTTPS vertrouwt om FAR’s te beheren, moet het FND de HTTPS-server in staat stellen en naar behoren configureren om te luisteren op poort 8443 en om verbindingen met PKI te verifiëren.
Router(config)#ip http secure-server Router(config)#ip http secure-server trustpoint LDevID Router(config)#ip http secure-port 8443
15. Configureer uw callhome-profiel.
Router(config)#callhome Router(config-callhome)#email-contact email@domain.com Router(config-callhome)#phone-contact +1-555-555-5555 Router(config-callhome)#streedaddress TEXT Router(config-callhome)#destination-profile nms Router(config-callhome)#destination-profile nms format netconf Router(config-callhome)#destination-profile nms transport-method http Router(config-callhome)#destination-profile nms http https://tpsproxy.your.domain.com:9120 Router(config-callhome)#enable
16. Sla de configuratie op.
17. Op dit punt, alles wat u hoeft te doen is herladen van de router, maar als u handmatig start registratie zonder herladen kunt u cgdm configureren:
Router(config)#cgdm Router(config-cgdm)#registration start trustpoint LDevID
Voorbeeldconfiguratie
Hier is een gesaneerde configuratie die uit een CGR1120 vlak vóór succesvolle ZTD wordt genomen (in dit laboratoriummilieu werd Ethernet2/2 interface gebruikt als primaire IPSec-tunnelbron):
version 5.2(1)CG4(3) logging level feature-mgr 0 hostname YOUR-HOSTNAME vdc YOUR-HOSTNAME id 1 limit-resource vlan minimum 16 maximum 4094 limit-resource vrf minimum 2 maximum 4096 limit-resource u4route-mem minimum 9 maximum 9 limit-resource u6route-mem minimum 24 maximum 24 limit-resource m4route-mem minimum 58 maximum 58 limit-resource m6route-mem minimum 8 maximum 8 feature ntp feature crypto ike feature dhcp feature tunnel feature crypto ipsec virtual-tunnel username admin password YOURPASSWORD role network-admin username Administrator password YOURPASSWORD role network-admin ip domain-lookup ip domain-name your.domain.com ip name-server x.x.x.x crypto key param rsa label LDevID_keypair modulus 2048 crypto key param rsa label YOUR-HOSTNAME.your.domain.com modulus 2048 crypto ca trustpoint LDevID enrollment profile LDevID_Profile rsakeypair LDevID_keypair 2048 revocation-check none serial-number fingerprint xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx crypto ca profile enrollment LDevID_Profile enrollment url http://x.x.x.x/CertSrv/mscep/mscep.dll snmp-server contact NAME snmp-server user Administrator network-admin snmp-server community public group network-operator callhome email-contact ciscotac@cisco.tac.com phone-contact +1-555-555-5555 streetaddress Here destination-profile nms destination-profile nms format netconf destination-profile nms transport-method http destination-profile nms http https://tpsproxy.your.domain.com:9120 trustpoint LDevID destination-profile nms alert-group all enable ntp server x.x.x.x ntp server x.x.x.x crypto ike domain ipsec vrf context management vlan 1 service dhcp ip dhcp relay line tty 1 line tty 2 interface Dialer1 interface Ethernet2/1 interface Ethernet2/2 ip address x.x.x.x/30 no shutdown interface Ethernet2/3 interface Ethernet2/4 interface Ethernet2/5 interface Ethernet2/6 interface Ethernet2/7 interface Ethernet2/8 interface loopback0 ip address 1.1.1.1/32 ipv6 address 2001:x:x::80/128 interface Serial1/1 interface Serial1/2 interface Wpan4/1 no shutdown panid 20 ssid austiniot ipv6 address 2001:db8::1/32 interface Wifi2/1 clock timezone CST -6 0 clock summer-time CST 2 Sun Mar 02:00 1 Sun Nov 02:00 60 line console line vty boot kickstart bootflash:/cgr1000-uk9-kickstart.5.2.1.CG4.3.SPA.bin boot system bootflash:/cgr1000-uk9.5.2.1.CG4.3.SPA.bin ip route 0.0.0.0/0 x.x.x.x feature scada-gw scada-gw protocol t101 scada-gw protocol t104 ip http secure-port 8443 ip http secure-server trustpoint LDevID ip http secure-server cgdm registration start trustpoint LDevID
Verifiëren
Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.
Problemen oplossen
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.
Bijgedragen door Cisco-engineers
- Ryan BowmanCisco TAC Engineer
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)