Problemen oplossen met de overkoepelende ISR4k-integratie

Downloadopties

  • PDF     (561.0 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:5 september 2025
Document-id:224820

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe problemen met de Umbrella ISR4k-integratie kunnen worden opgelost

    Voorwaarden

    Vereisten

    Er zijn geen specifieke vereisten van toepassing op dit document.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op Cisco Umbrella.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Overzicht

    Dit artikel is een voortzetting van de Cisco Umbrella Integration for ISR4k deployment guide en wordt geleverd als een handleiding voor het oplossen van problemen met registratie en problemen met interne en externe DNS-oplossingen.

    note-icon

    Opmerking: De hernieuwde cert voor api.opendns.com van 29 mei 2024 is nu ondertekend door een nieuwe keten / tussenproduct / root. De nieuwe root is DigiCert Global Root G2 (serieel: 033af1e6a711a9a0bb2864b11d09fae5).

    Registratie en invoercertificaat


    1. Verkrijg uw API-token van Umbrella Dashboard: Admin > API-sleutels > (maken) Legacy Network Devices.

    2. Het CA-certificaat via CLI importeren in de ISR4k met behulp van een van de volgende methoden:


    Importeren vanuit URL:
    Geef de opdracht en laat ISR4k de cert ophalen: 

    crypto pki trustpool import url http://www.cisco.com/security/pki/trs/ios.p7b


    Direct importeren in terminal:
    Kopieer en plak het CA-certificaat (zie bijlage) met de opdracht: 

    (Dit certificaat is voor DigiCert Global Root G2.)

    crypto pki trustpool import terminal
    -----BEGIN CERTIFICATE-----
    MIIDjjCCAnagAwIBAgIQAzrx5qcRqaC7KGSxHQn65TANBgkqhkiG9w0BAQsFADBh
    MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3
    d3cuZGlnaWNlcnQuY29tMSAwHgYDVQQDExdEaWdpQ2VydCBHbG9iYWwgUm9vdCBH
    MjAeFw0xMzA4MDExMjAwMDBaFw0zODAxMTUxMjAwMDBaMGExCzAJBgNVBAYTAlVT
    MRUwEwYDVQQKEwxEaWdpQ2VydCBJbmMxGTAXBgNVBAsTEHd3dy5kaWdpY2VydC5j
    b20xIDAeBgNVBAMTF0RpZ2lDZXJ0IEdsb2JhbCBSb290IEcyMIIBIjANBgkqhkiG
    9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuzfNNNx7a8myaJCtSnX/RrohCgiN9RlUyfuI
    2/Ou8jqJkTx65qsGGmvPrC3oXgkkRLpimn7Wo6h+4FR1IAWsULecYxpsMNzaHxmx
    1x7e/dfgy5SDN67sH0NO3Xss0r0upS/kqbitOtSZpLYl6ZtrAGCSYP9PIUkY92eQ
    q2EGnI/yuum06ZIya7XzV+hdG82MHauVBJVJ8zUtluNJbd134/tJS7SsVQepj5Wz
    tCO7TG1F8PapspUwtP1MVYwnSlcUfIKdzXOS0xZKBgyMUNGPHgm+F6HmIcr9g+UQ
    vIOlCsRnKPZzFBQ9RnbDhxSJITRNrw9FDKZJobq7nMWxM4MphQIDAQABo0IwQDAP
    BgNVHRMBAf8EBTADAQH/MA4GA1UdDwEB/wQEAwIBhjAdBgNVHQ4EFgQUTiJUIBiV
    5uNu5g/6+rkS7QYXjzkwDQYJKoZIhvcNAQELBQADggEBAGBnKJRvDkhj6zHd6mcY
    1Yl9PMWLSn/pvtsrF9+wX3N3KjITOYFnQoQj8kVnNeyIv/iPsGEMNKSuIEyExtv4
    NeF22d+mQrvHRAiGfzZ0JFrabA0UWTW98kndth/Jsw1HKj2ZL7tcu7XUIOGZX1NG
    Fdtom/DzMNU+MeKNhJ7jitralj41E6Vf8PlwUHBHQRFXGU7Aj64GxJUTFy8bJZ91
    8rGOmaFvE7FBcf6IKshPECBV1/MUReXgRPTqh5Uykw7+U0b6LJ3/iyK5S9kJRaTe
    pLiaWN0bfVKfjllDiIGknibVb63dDcY3fe0Dkhvld1927jyNxF1WW6LZZm6zNTfl
    MrY=
    -----END CERTIFICATE-----

    Kopieer en plak het tussenliggende certificaat met de opdracht: 

    (Dit certificaat is voor DigiCert Global G2 TLS RSA SHA256 2020 CA1.)

    crypto pki trustpool import terminal
    -----BEGIN CERTIFICATE-----
    MIIEyDCCA7CgAwIBAgIQDPW9BitWAvR6uFAsI8zwZjANBgkqhkiG9w0BAQsFADBh
    MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3
    d3cuZGlnaWNlcnQuY29tMSAwHgYDVQQDExdEaWdpQ2VydCBHbG9iYWwgUm9vdCBH
    MjAeFw0yMTAzMzAwMDAwMDBaFw0zMTAzMjkyMzU5NTlaMFkxCzAJBgNVBAYTAlVT
    MRUwEwYDVQQKEwxEaWdpQ2VydCBJbmMxMzAxBgNVBAMTKkRpZ2lDZXJ0IEdsb2Jh
    bCBHMiBUTFMgUlNBIFNIQTI1NiAyMDIwIENBMTCCASIwDQYJKoZIhvcNAQEBBQAD
    ggEPADCCAQoCggEBAMz3EGJPprtjb+2QUlbFbSd7ehJWivH0+dbn4Y+9lavyYEEV
    cNsSAPonCrVXOFt9slGTcZUOakGUWzUb+nv6u8W+JDD+Vu/E832X4xT1FE3LpxDy
    FuqrIvAxIhFhaZAmunjZlx/jfWardUSVc8is/+9dCopZQ+GssjoP80j812s3wWPc
    3kbW20X+fSP9kOhRBx5Ro1/tSUZUfyyIxfQTnJcVPAPooTncaQwywa8WV0yUR0J8
    osicfebUTVSvQpmowQTCd5zWSOTOEeAqgJnwQ3DPP3Zr0UxJqyRewg2C/Uaoq2yT
    zGJSQnWS+Jr6Xl6ysGHlHx+5fwmY6D36g39HaaECAwEAAaOCAYIwggF+MBIGA1Ud
    EwEB/wQIMAYBAf8CAQAwHQYDVR0OBBYEFHSFgMBmx9833s+9KTeqAx2+7c0XMB8G
    A1UdIwQYMBaAFE4iVCAYlebjbuYP+vq5Eu0GF485MA4GA1UdDwEB/wQEAwIBhjAd
    BgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwdgYIKwYBBQUHAQEEajBoMCQG
    CCsGAQUFBzABhhhodHRwOi8vb2NzcC5kaWdpY2VydC5jb20wQAYIKwYBBQUHMAKG
    NGh0dHA6Ly9jYWNlcnRzLmRpZ2ljZXJ0LmNvbS9EaWdpQ2VydEdsb2JhbFJvb3RH
    Mi5jcnQwQgYDVR0fBDswOTA3oDWgM4YxaHR0cDovL2NybDMuZGlnaWNlcnQuY29t
    L0RpZ2lDZXJ0R2xvYmFsUm9vdEcyLmNybDA9BgNVHSAENjA0MAsGCWCGSAGG/WwC
    ATAHBgVngQwBATAIBgZngQwBAgEwCAYGZ4EMAQICMAgGBmeBDAECAzANBgkqhkiG
    9w0BAQsFAAOCAQEAkPFwyyiXaZd8dP3A+iZ7U6utzWX9upwGnIrXWkOH7U1MVl+t
    wcW1BSAuWdH/SvWgKtiwla3JLko716f2b4gp/DA/JIS7w7d7kwcsr4drdjPtAFVS
    slme5LnQ89/nD/7d+MS5EHKBCQRfz5eeLjJ1js+aWNJXMX43AYGyZm0pGrFmCW3R
    bpD0ufovARTFXFZkAdl9h6g4U5+LXUZtXMYnhIHUfoyMo5tS58aI7Dd8KvvwVVo4
    chDYABPPTHPbqjc1qCmBaZx2vN4Ye5DUys/vZwP9BFohFrH/6j/f3IL16/RZkiMN
    JCqVJUzKoZHm1Lesh3Sz8W2jmdv51b2EQJ8HmA==
    -----END CERTIFICATE-----


    3. Voer de API-token in ISR4k CLI in met de opdracht: 

    parameter-map type umbrella global
    token XXXXXXXXXXXXXXXXXXXXXXXXXXXX


    4. Dit is de minimale monsterconfiguratie op ISR4k: 

    interface GigabitEthernet0/0/0
    ip address 192.168.50.249 255.255.255.252
    ip nat outside
    umbrella out

    interface GigabitEthernet0/0/1.10
    encapsulation dot1Q 10
    ip address 192.168.8.254 255.255.255.0
    ip nat inside
    umbrella in odns_v10_5

    Aanvullende informatie:

    • Zorg ervoor dat u de opdracht "Paraplu uit" vóór "Paraplu in" configureert.
    • Registratie kan alleen succesvol zijn als poort 443 zich in een open toestand bevindt en het verkeer door een bestaande firewall kan passeren.
    • In de oudere Cisco IOS XE Denali-versie wordt de opdracht OpenDNS gebruikt in plaats van Umbrella.

    Het certificaat importeren en de apparaatregistratie controleren

    1. Controleer of het CA-certificaat met succes is opgeslagen op het ISR4k-apparaat:

    • Als het importeren van het certificaat is gedaan met behulp van de URL, geeft u de opdracht dir nvram: om te controleren of het ios.p7b-certificaat met succes is opgeslagen in het NVRAM-apparaat. 

    115016968663115016968663

    • Als het importeren van het certificaat is uitgevoerd met de methode copy/paste, voert u de opdracht show cry pki trustpool uit en controleert u het serienummer en cn van het certificaat:

    2855206622325228552066223252

    2. Voer de opdracht paraplu-apparaat tonen uit om de succesvolle registratie van ISR4k te verifiëren.

    Steekproefuitvoer:

    Device registration details

    Interface Name                          Tag            Status       Device Id 

    interface GigabitEthernet0/0/1.10     odns_v10_5    200 SUCCES   010a04efd4e4bc14

    interface GigabitEthernet0/0/1.11     odns_v11      200 SUCCES   010a04efd4e4xy15

    Dashboarduitvoer:

    115016791766115016791766

    Foutopsporing en registratie

    • Controleer de ISR4k-versie: toon de versie of toon het platform (vereist Cisco IOS XE Denali 16.3 of nieuwer) 
    • Debuglogboeken voor apparaatregistratie inschakelen: "debug umbrella device-registration" en vervolgens "show logging" (uitschakelen - geen debugumbrella apparaatregistratie)

    Dit zijn voorbeeldlogs:

     Certificaat ontbreekt:

         Jun 13 04:05:32.639: %OPENDNS-3-SSL_HANDSHAKE_FAILURE: SSL handshake failed

    Certificaat geïnstalleerd en apparaat is geregistreerd:

    *%PKI-6-TRUSTPOOL_DOWNLOAD_SUCCESS: Trustpool Download is successful
    *%OPENDNS-6-DEV_REG_SUCCESS: Device id for interface/tag GigabitEthernet0/0/1/odns_v10_5 is 010a0e4bc14

    Api.opendns.com kan niet worden opgelost:

    *%UMBRELLA-3-DNS_RES_FAILURE: Failed to resolve name api.opendns.com Retry attempts:0
    • DNS-resolutie controleren: er is geen opdracht 'dig' of 'nslookup' beschikbaar op ISR4k.  U kunt het beste "ping hostname source interface #" van de ISR4k CLI gebruiken
    • ISR met VRF geconfigureerd: Zorg ervoor dat op de interface "ip name-server vrf <vrf_name> <dns_server_ip>" is geconfigureerd en controleer met "ping vrf <vrf_name> api.opendns.com"
    • Zorg ervoor dat "ip dns server" is geconfigureerd: hierdoor kan de ISR rechtstreeks worden opgevraagd.
    • Als u DNSCrypt wilt uitschakelen, voert u deze opdracht in: parametermaptype umbrella global > no dnscrypt
    • Interne domeinverificatie: Voer de opdracht paraplu-configuratie tonen en kijk voor de Local Domain Regex, bijvoorbeeld:
      • umbrella config weergeven > Local Domain Regex parameter-map: dns bypass
      • Uitvoeren weergeven | beDNS_Bypass
      • Platform hardware weergeven QFP Active Feature DNS-Snoop-Agent Client HW-Pattern-List
    • Certificaat kan niet worden geïmporteerd via URL of certificaat geïmporteerd met terminal wordt verwijderd na opnieuw opstarten:
    crypto pki trustpool import url http://www.cisco.com/security/pki/trs/ios.p7b

    % Error: failed to open file.

    % No certificates imported from http://www.cisco.com/security/pki/trs/ios.p7b.

    Oplossing: handmatig downloaden "ios.p7b" cert bundel via curl en kopiëren naar de router flash > Wis bestaand certificaat uit pool > Importeren "ios.p7b" cert bundel van flash:

    Show run | sec crypto pki

    crypto pki certificate pool

    cabundle nvram:Trustpool15.cer

    crypto pki trustpool clean
    crypto pki trustpool import url flash:ios.p7b

    Reading file from bootflash:ios.p7b

    % PEM files import succeeded.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    08-Sep-2025
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten