Configurar o Field Network Diretor para usar Plug and Play no IR800

Introdução

Este documento descreve como começar com o Field Network Diretor (FND) e o Plug and Play (PNP) com o uso de um conjunto mínimo de componentes.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Experiência com Linux e conhecimento para editar arquivos de configuração de execução em uma máquina Linux
• Pelo menos um dos roteadores suportados deve ser gerenciado pelo FND. Por exemplo, IR809 ou IR829.
  • Acesso ao console
  • IOS® versão mínima 15.7(3)M1
• Arquivo OVA implantado em um hipervisor (por exemplo: VMware ESXi). O arquivo OVA, se habilitado, pode ser baixado de: https://software.cisco.com/download/home/286287993/type/286320249

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Arquivo OVA para FND versão 4.5.0-122 (CISCO-IOTFND-V-K9-4.5.0-122.zip)
• VMWare ESX
• IR809 com IOS® versão 15.8(3)M2

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

Como o FND tem muitas opções de implantação diferentes, o objetivo é poder configurar uma instalação mínima, mas funcional, para o FND. Essa configuração pode servir como o ponto de partida para mais personalização e para adicionar mais recursos. A configuração explicada aqui é com o uso da instalação FND em pacote com Open Virtual Appliance (OVA) como o ponto inicial e usa o modo fácil para evitar a necessidade de Public Key Infrastructure (PKI) e provisionamento de túnel. Use PNP para simplificar e adicionar dispositivos à instalação.

O resultado deste guia não deve ser usado na produção, pois pode haver alguns riscos de segurança devido à senha de texto de plano e à ausência de túneis e PKI.

  

Configurar

Implantar e configurar o FND OVA

Etapa 1. Faça o download e implante o arquivo FND OVA em seu hipervisor. Por exemplo, para o VMWare, isso será feito por meio de File > Deploy OVF Template como mostrado na imagem.

Etapa 2. Após a implantação, você pode iniciar a VM e uma tela de logon é exibida na imagem.

As senhas padrão para o arquivo OVA são:

• nome de usuário: senha raiz: cisco123
• nome de usuário: senha da cisco: C_sco123

Etapa 3. Faça login com o usuário e a senha da Cisco e navegue para Applications > System Tools > Settings > Network. Adicione um perfil com fio e, na guia IPv4, defina o endereço IP ou DHCP desejado conforme mostrado na imagem.

Etapa 4. Clique em Apply e ative/desative a conexão para garantir que as novas configurações sejam aplicadas.

Neste ponto, você deve ser capaz de navegar para a GUI FND com seu navegador e o endereço IP configurado como mostrado na imagem.

Etapa 5. Efetue login na GUI usando o nome de usuário e a senha padrão: raiz / raiz123

Você será solicitado a alterar sua senha imediatamente e, em seguida, será redirecionado para o login novamente.

Se tudo correr bem, você deve ser capaz de fazer login com sua nova senha e ser capaz de navegar através da GUI FND.

Além disso, o modo PNP e o modo de demonstração são descritos seguidos pela configuração do FND.

Sobre o PNP

O PNP é o método mais atual da Cisco para fazer ZTD (Zero Touch Deployment, Implantação Zero-Touch). Com o uso do PNP, um dispositivo pode ser totalmente configurado e a necessidade de tocar na configuração manualmente não surgirá.

Para o FND, com o uso do PNP, a necessidade de primeiro inicializar o roteador é evitada. Na verdade, tudo o que o PNP faz é redirecioná-lo para o FND, de forma segura, e buscar a configuração de bootstrap.

Uma vez que a configuração de bootstrap está presente no dispositivo, o resto do processo é continuado como com um dispositivo bootstrapped clássico.

Há diferentes maneiras de usar o PNP:

• Através do serviço PNP da Cisco (devicehelper.cisco.com), com o uso de uma Conta inteligente. Ativado por padrão fora da fábrica em determinados dispositivos
• Com o uso da opção de DHCP 43 para fornecer o IP ou o nome do host ao qual se conectar para bootstrapping
• Definindo manualmente o servidor PNP na configuração

Para essa configuração, o IP do servidor PNP é definido manualmente, que é o IP do servidor FND, e a porta no dispositivo. Caso deseje fazer isso com o DHCP, forneça as informações da seguinte maneira:

Para o Cisco IOS®, o servidor DHCP deve ser configurado da seguinte maneira:

ip dhcp pool pnp_pool
network 192.168.10.0 255.255.255.248
default-router 192.168.10.1
dns-server 8.8.8.8
option 43 ascii "5A;K4;B2;I10.48.43.231;J9125"
!

Para DHCPd no Linux: 

[jedepuyd@KJK-SRVIOT-10 ~]$ cat /etc/dhcp/dhcpd.conf
subnet 192.168.100.0 netmask 255.255.255.0 {

option routers 192.168.100.1;
range 192.168.100.100 192.168.100.199;
option domain-name-servers 192.168.100.1;
option domain-name "test.dom";
option vendor-encapsulated-options "5A;K4;B2;I10.48.43.231;J9125";
}

Nesta configuração para a opção 43 ou vendor-encapsulated-options, você precisa especificar estas strings ASCII:

"5A;K4;B2;I10.50.215.252;J9125"

Ele pode ser adaptado da seguinte maneira:

• 5 - Código do tipo DHCP 5
• A - Código de operação do recurso ativo
• K4 - protocolo de transporte HTTP
• B2 - O tipo de endereço IP do servidor PnP/TPS/FND é IPv4
• I10.48.43.231 - Endereço IP do servidor FND
• J9125 - Número da porta 9125 (porta para PNP no servidor FND)

Mais informações sobre PNP com DHCP podem ser encontradas aqui: https://www.cisco.com/c/en/us/td/docs/routers/connectedgrid/iot_fnd/guide/4_3/iot_fnd_ug4_3/sys_mgmt.html#31568 na seção: Configurar a Opção de DHCP 43 no Servidor DHCP do Cisco IOS®

Sobre o EasyMode

O modo fácil foi introduzido desde o FND 4.1, embora tenha sido chamado de modo demo na época, e permite que você execute o FND de uma forma menos segura. Embora isso não seja recomendado para produção, é uma boa maneira de começar.

Com o uso do modo fácil, você pode se concentrar no processo PNP, no bootstrapping e na configuração do roteador. Caso algo não funcione, você não precisa suspeitar da acumulação de túnel ou dos certificados.

Alterações que ocorrem quando você configura o FND para ser executado no modo fácil:

• Não há necessidade de um roteador de extremidade principal (HER) ou de um túnel para o servidor FND.
• Não há necessidade de uma configuração de Public Key Infrastructure (PKI) e do Simple Certificate Enrollment Protocol (SCEP).
• Não há necessidade de certificados de roteador, ponto confiável e certificados SSL.
• Toda a comunicação está ocorrendo por HTTP em vez de HTTPS.

Mais informações sobre o modo fácil podem ser encontradas aqui:

https://www.cisco.com/c/en/us/td/docs/routers/connectedgrid/iot_fnd/guide/4_1_B/iot_fnd_ug4_1_b/device_mgmt.html#85516

Configurar FND para PNP e Modo Fácil

Agora, você sabe o que é o modo de demonstração/PNP e por que ele é usado nesse contexto. Vamos alterar a configuração do FND para ativá-lo:

Na VM FND, que se originou do arquivo OVA, conecte-se com SSH e edite o cgms.properties da seguinte maneira:

[root@iot-fnd ~]# cat /opt/fnd/data/cgms.properties
cgms-keystore-password-hidden=dD5KmzJHa64Oyvpqdu8SCg==
use-router-ip-from-db=true
rabbit-broker-ip=
rabbit-broker-port=
rabbit-broker-username=
rabbit-broker-password=
fogd-ip=192.68.5.3
enable-reverse-dns-lookup=false
enableApiAuth=false
fnd-router-mgmt-mode=1
enable-bootstrap-service=true
proxy-bootstrap-ip=10.48.43.231

As últimas três linhas foram alteradas no arquivo de configuração.

• Linha 10: permite o modo fácil
• Linha 11: habilita PNP
• Linha 12: define o IP do servidor FND a ser contatado

Depois de alterar o arquivo, reinicie o contêiner FND para adaptar as alterações feitas:

[root@iot-fnd ~]# /opt/fnd/scripts/fnd-container.sh restart
Stopping FND container...
fnd-container
[root@iot-fnd ~]# Starting FND container...
fnd-container

Uma vez reiniciado, o restante da configuração pode ser feito com o uso da GUI.

Preparar o CSV e adicionar o roteador ao FND

Pode parecer um pouco ilógico adicionar o dispositivo neste ponto do processo de configuração, mas infelizmente, partes da configuração não estão disponíveis até que certos tipos de dispositivo tenham sido adicionados.

Isso é feito para evitar que a GUI seja muito sobrecarregada, pois diferentes dispositivos apresentam diferentes opções.

Aqui, vamos tentar adicionar um IR809 ao FND.

O CSV é semelhante a este:

deviceType,eid,adminUsername,adminPassword,ip
ir800,IR809G-LTE-GA-K9+JMX2022X04S,fndadmin,C1sc0123!,10.48.43.250

Os campos no CSV são:

• tipo de dispositivo: ir800
• eid: PID e serial junto com +
• adminUsername: esse nome de usuário será adicionado à configuração do roteador e, posteriormente, será usado para concluir o processo de registro
• adminSenha: senha para adminUsername
• ip: o endereço IP a ser substituído na configuração do dispositivo após a implantação

Para adicionar esse dispositivo, conecte-se à GUI e navegue até Devices > Field Devices > Inventory > Add Devices conforme mostrado na imagem.

Na caixa de diálogo, especifique o local do arquivo CSV e clique em Adicionar para adicioná-lo ao FND, conforme mostrado na imagem.

Se tudo correr bem, você deverá ver o item de histórico para listar "COMPLETED" (CONCLUÍDO). Depois de fechar o diálogo, o dispositivo deve aparecer no inventário como mostrado na imagem.

Como o dispositivo do deviceType ir800 foi adicionado, os modelos e grupos aplicáveis estarão disponíveis na GUI neste ponto.

Preparar as Definições de Provisionamento, o Modelo de Bootstrap e o Modelo de Configuração

Como o FND está configurado para o modo de demonstração, é necessário alterar a URL de provisionamento para usar o HTTP. Navegue até Admin > Configurações de provisionamento para fazer isso:

Altere a URL da IoT-FND para http://<FND IP>:9121

Em seguida, configure dois modelos mínimos para bootstrapping e configuração.

O primeiro, chamado modelo de configuração de bootstrap do roteador, é a configuração que é enviada para o roteador quando ele puder entrar em contato com o FND com êxito com o uso do PNP.

Se o PNP não estiver em uso, seria a configuração que seria colocada no roteador manualmente ou na fábrica no momento do processo de bootstrap. Essa configuração contém apenas informações suficientes para que o roteador inicie o processo de registro no FND.

A segunda, chamada de Modelo de configuração, será a configuração adicionada à configuração atualmente em execução do dispositivo. Na verdade, ele pode ser visto como um incremento na configuração existente.

Na maioria dos casos, isso leva a uma situação estranha, portanto, é recomendável primeiro apagar todas as configurações no roteador antes de adicioná-lo ao FND.

Para definir o modelo de reprovisionamento de fábrica do roteador, navegue para Configure > Tunnel Provisioning > Router Bootstrap Configuration e substitua-o pelo seguinte modelo:

<#if isBootstrapping = true>
<#assign mgmtintf = "GigabitEthernet0">
<#assign fndserver = "10.48.43.231">
<#assign sublist=far.eid?split("+")[0..1]>
<#assign pid=sublist[0]>
<#assign sn=sublist[1]>
 
<#-- General parameters  --> 
hostname ${sn}BS
ip domain-name ${sn}
ip host fndserver.fnd.iot ${fndserver}
service timestamps debug datetime msec localtime show-timezone 
service timestamps log datetime msec localtime show-timezone
!
<#-- Users  --> 
username backup privilege 15 password C1sc0123!
username ${far.adminUsername} privilege 15 password ${far.adminPassword}
!
<#-- Interfaces  -->
interface ${mgmtintf}
  ip address ${far.ip} 255.255.255.192
exit
!
<#-- Clock  -->
clock timezone UTC +2
!
<#-- Archive  -->
file prompt quiet
do mkdir flash:archive
archive
  path flash:/archive
  maximum 8
exit
!
<#-- HTTP -->
ip http server
ip http client connection retry 5
ip http client connection timeout 5
ip http client source-interface ${mgmtintf}
ip http authentication local
ip http timeout-policy idle 600 life 86400 requests 3
ip http max-connections 2
!
<#-- WSMA -->
wsma profile listener exec 
  transport http path /wsma/exec
exit 
!
wsma profile listener config 
  transport http path /wsma/config 
exit
! 
wsma agent exec
  profile exec
exit 
!
wsma agent config 
  profile config 
exit
!
<#-- CGNA -->
cgna gzip
!
cgna profile cg-nms-register 
  add-command show hosts | format flash:/managed/odm/cg-nms.odm
  add-command show interfaces | format flash:/managed/odm/cg-nms.odm
  add-command show ipv6 dhcp | format flash:/managed/odm/cg-nms.odm
  add-command show ipv6 interface | format flash:/managed/odm/cg-nms.odm
  add-command show platform hypervisor | format flash:/managed/odm/cg-nms.odm
  add-command show snmp mib ifmib ifindex | format flash:/managed/odm/cg-nms.odm
  add-command show iox host list detail | format flash:/managed/odm/cg-nms.odm
  add-command show version | format flash:/managed/odm/cg-nms.odm
  interval 10
  url http://fndserver.fnd.iot:9121/cgna/ios/registration
  gzip
  active
exit
!
<#-- Script to generate RSA for SSH -->
event manager applet genkeys
  event timer watchdog name genkeys time 30 maxrun 60
    action 10 cli command "enable"
    action 20 cli command "configure terminal"
    action 30 cli command "crypto key generate rsa modulus 2048"
    action 80 cli command "no event manager applet genkeys"
    action 90 cli command "exit"
    action 99 cli command "end"
exit

end
</#if>

Para definir o modelo de configuração. Navegue até Config > Device Configuration > Edit Configuration Template e adicione este modelo:

<#-- Enable periodic inventory notification every 1 hour to report metrics. -->
    cgna profile cg-nms-periodic
      interval 60
    exit
<#-- Enable periodic configuration (heartbeat) notification every 15 min. -->
   cgna heart-beat interval 15

<#-- Enable SSH access -->
line vty 0 4
  transport input ssh
  login local
exit

Esse modelo será a configuração atual do roteador resultante. Portanto, qualquer configuração específica para esse grupo de configuração deve ser adicionada aqui.

O mais fácil é começar com esse modelo mínimo. Depois de obter êxito, atualize e personalize o modelo de acordo com suas necessidades.

Neste ponto, a configuração/preparação do FND é feita e você pode começar com a preparação do roteador.

Preparar o IR800 para Provisionamento/PNP

Se o dispositivo que você deseja provisionar já contiver uma configuração ou tiver sido usado anteriormente, é melhor apagar completamente a configuração do roteador antes de adicioná-la ao FND com PNP.

Obviamente, se este for um novo dispositivo, esta etapa pode ser ignorada.

A maneira mais fácil de fazer isso é com o uso do comando write erase e recarregar o roteador com o uso do console.

ir809kjk#write erase
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete
*Oct 18 11:42:54.367 UTC: %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
ir809kjk#reload

System configuration has been modified. Save? [yes/no]: no
Proceed with reload? [confirm]

Starting File System integrity check
NOTE: File System will be deinited and later rebuilt

Depois de algum tempo, o IR800 deve voltar com o prompt para executar o diálogo de configuração inicial:

         --- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: no


Press RETURN to get started!

Certifique-se de que não haja mais restos de uma tentativa PNP/ZTD anterior. É melhor recriar o arquivo e o diretório e remover a before-registration-config também no roteador:

IR800#delete /f before-*
IR800#delete /f /r archive*
IR800#mkdir archive
Create directory filename [archive]?
Created dir flash:/archive
IR800#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
IR800(config)#archive
IR800(config-archive)#path flash:/archive
IR800(config-archive)#maximum 8
IR800(config-archive)#end

No momento, você tem um novo dispositivo ou um dispositivo com uma configuração vazia, portanto, se necessário, este é o momento em que uma configuração mínima para que o roteador acesse o FND pode ser aplicada.

Caso você tenha um servidor DHCP, a maior parte dele deve ir automaticamente. 

A seguinte configuração manual é selecionada no dispositivo:

IR800>enable
IR800#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
IR800(config)#int gi0
IR800(config-if)#ip addr dhcp
IR800(config-if)#no shut
IR800(config-if)#end
*Aug 1 12:02:02.887: %SYS-5-CONFIG_I: Configured from console by console

IR800#ping 10.48.43.231
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.48.43.231, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
IR800#

Como você pode ver, um ping rápido foi executado para testar se o roteador conseguiu acessar o FND com a configuração IP aplicada.

Provisionar o Roteador IR800

Nesse ponto, todos os pré-requisitos estão concluídos e você pode iniciar o processo PNP. Isso é feito manualmente nesse caso.

Em um ambiente de produção, muito provavelmente, o PNP será usado com a opção 43 do DHCP. Isso significa que, uma vez que o roteador é iniciado, ele recebe um IP e a configuração do PNP e você pode pular esta etapa e a seguinte.

Para configurar manualmente o PNP no IR800 sem DHCP, você precisa especificar o destino das solicitações, que será o servidor FND.

Isso pode ser feito da seguinte maneira:

IR800(config)#pnp profile pnp-zero-touch
IR800(config-pnp-init)#transport http ipv4 10.48.43.231 port 9125
IR800(config-pnp-init)#end

Assim que você entrar na linha que começa com "transport", o roteador inicia o processo PNP e tentará entrar em contato com o FND no IP e na porta fornecidos.

Se tudo correr bem, o dispositivo passa por:

• [ATUALIZAÇÃO_ODM]: atualizar os arquivos ODM (Operational Data Model) no dispositivo para que correspondam àqueles válidos para a versão FND atual
• [UPDATING_ODM_VERIFY_HASH]: verificar se os arquivos atualizados estão corretos
• [ATUALIZADO_ODM]
• [COLLECTING_INVENTORY]: coletar a configuração atual e as informações do dispositivo
• [INVENTÁRIO_COLETADO]
• [CONFIGURAÇÃO_VALIDAÇÃO]: tente aplicar a configuração a partir da configuração de bootstrap (modelo substituído de reprovisionamento de fábrica do roteador)
• [CONFIGURAÇÃO_VALIDADA]
• [ARQUIVO_CONFIG_BOOTSTRAP_PUSHING]: aplicar a configuração validada
• [PUSHING_BOOTSTRAP_CONFIG_VERIFY_HASH] verificar se a configuração aplicada está correta
• [ARQUIVO_CONFIG_BOOTSTRAP_PUSHED]
• [CONFIGURING_STARTUP_CONFIG]:grave a configuração como configuração de inicialização
• [CONFIGURAÇÃO_INICIALIZAÇÃO_CONFIG]
• [APLICANDO_CONFIG]: aplicar a configuração de inicialização
• [CONFIGURAÇÃO_APLICADA]
• [TERMINATING_BS_PROFILE]: pare o bootstrapping.

Você pode rastrear o processo no server.log FND.

Na GUI, você verá o dispositivo se mover quando navegar para Unheard > Boostrapping > Bootstrapped

Após a conclusão do bootstrapping, o roteador tem o modelo substituído de reprovisionamento de fábrica do roteador e se comporta como um dispositivo bootstrapped regular sem PNP.

Em outras palavras, um perfil CGNA no IR800 tenta se registrar no servidor FND.

Verifique o status do perfil do CGNA:

JMX2022X04SBS#sh cgna profile-state all
Profile 1:
Profile Name: cg-nms-register
Activated at: Thu Aug  1 15:31:14 2019
URL: http://fndserver.fnd.iot:9121/cgna/ios/registration
Payload content type: xml
Interval: 10 minutes
gzip: activated
Profile command:
    show hosts | format flash:/managed/odm/cg-nms.odm
    show interfaces | format flash:/managed/odm/cg-nms.odm
    show ipv6 dhcp | format flash:/managed/odm/cg-nms.odm
    show ipv6 interface | format flash:/managed/odm/cg-nms.odm
    show platform hypervisor | format flash:/managed/odm/cg-nms.odm
    show snmp mib ifmib ifindex | format flash:/managed/odm/cg-nms.odm
    show iox host list detail | format flash:/managed/odm/cg-nms.odm
    show version | format flash:/managed/odm/cg-nms.odm
State: Wait for timer for next action
Timer started at Thu Aug  1 15:31:14 2019
Next update will be sent in 9 minutes 30 seconds
Last successful response not found
Last failed response not found

Com a configuração fornecida, o dispositivo tentará se registrar no FND após dez minutos. Você pode ver que nesta saída restam nove minutos e trinta segundos antes do roteador iniciar o processo de registro.

Você pode aguardar o término do temporizador ou executar manualmente o perfil cg-nms-register imediatamente:

IR800-Bootstrap#cgna exec profile cg-nms-register

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

O dispositivo deve passar para o status UP no FND como mostrado na imagem.

Troubleshooting

Esta seção disponibiliza informações para a solução de problemas de configuração.

Para solucionar problemas do processo de bootstrapping, verifique estes:

• Logon do servidor FND: /opt/fnd/logs/server.log
• Aumente o detalhamento do logon: Admin > Log > Configurações de Nível de Log > Bootstrapping de Roteador > Depurar
• Do console IR800: show pnp ? ou debug pnp ?
• Na GUI do FND: Dispositivos > Inventário > Selecionar dispositivo > Eventos
• A maioria dos problemas neste estágio está relacionada a erros (sintaxe) no modelo de reprovisionamento de fábrica do roteador

Para solucionar problemas do processo de registro, verifique estes:

• Logon do servidor FND: /opt/fnd/logs/server.log
• Do console IR800:
  
  
  • show cgna profile-state all
  • debug cgna logging ?
  • debug wsma agent
• Na GUI do FND: Dispositivos > Inventário > Selecionar dispositivo > Eventos
• Verifique a conectividade WSMA sobre HTTP para o IR800 da VM FND
  
  • URI usado por FND: http://10.48.43.231:80/wsma/exec
  • Método: POST
  • Segurança: autenticação básica