O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como solucionar problemas comuns enquanto a solução ZTD (Zero Touch Deployment, Implantação Zero Touch Zero) em FAN (Field Area Network, Rede de Área de Campo) consiste em CGR (Connected Grid Router, Roteador de Grade Conectada) e FND (Field Network Diretor, Diretor de Rede de Campo).
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas na implantação ZTD com CGR.
Inclui CGR (CGR1120/CGR1240), FND, TPS (Tunnel Provisioning Server), RA (Registration Authority), CA (Certificate Authority), DNS (Domain Name Server) como componentes. O FND e o Cisco Connected Grid Network Management System (CG-NMS) são intercambiáveis porque o CG-NMS é uma versão anterior do FND.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Tudo começa com essa configuração de fabricação, portanto, essa etapa é essencial para uma implantação bem-sucedida.
Essa configuração acionará as duas primeiras fases: Simple Certificate Enrollment Protocol (SCEP) e provisionamento de túnel.
Um teste bem-sucedido é um FAR implantado com sua configuração de fabricação e capaz de passar pelo processo ZTD para finalmente se registrar no CG-NMS sem qualquer intervenção.
Suspeitos comuns:
Se no momento da solução de problemas dessas duas fases, a configuração de fabricação precisar ser atualizada, este processo deve ser seguido:
Os objetivos desta fase são autorizar o FAR a receber seu certificado de identidade de dispositivo local (LDevID) do PKI (Public Key Infrastructure, Infraestrutura de Chave Pública) RSA e a obter um certificado após a autorização. Esta etapa é um pré-requisito para a próxima, onde o FAR precisa de seu certificado para se comunicar com o TPS e estabelecer seu túnel IPSec com o HER.
Os componentes envolvidos são: FAR, RA, servidor SCEP, servidor Radius e seu DB.
Um script TCL (Tool Command Language) chamado tm_ztd_scep.tcl iniciará automaticamente o processo SCEP e continuará tentando até que a inscrição seja bem-sucedida.
Etapas | Componentes envolvidos |
Diretrizes de Troubleshooting |
Comandos úteis |
o gerenciador de eventos inicia o script tm_ztd_scep.tcl |
LONGE |
|
os comandos deb event manager tcl destacarão todos os comandos CLI aplicados pelo script |
resolução de RA FQDN |
LONGE, DNS |
|
Faça ping no RA FQDN a partir do FAR |
FAR envia solicitação SCEP ao RA |
LONGE, RA |
|
debug crypto pki transactions debug crypto provisionamento |
autorização de PKI |
RA, RADIUS |
|
debug crypto pki scep debug crypto pki transactions debug crypto pki server debug crypto provisionamento |
Emissão de certificado FAR |
RA, CA do emissor |
|
RA: debug crypto pki Se a AC do emitente for um IOS-CA, o mesmo comando de depuração também poderá ser usado |
No momento dessa fase, o FAR se comunicará com o TPS (atua como proxy em nome do CG-NMS) para obter sua configuração de túnel do CG-NMS. Essa fase é iniciada pelo script tcl do SCEP quando a inscrição é feita ativando o perfil do CGNA.
Os componentes envolvidos são: LONGE, DNS, TPS, CG-NMS.
Etapas |
Componentes envolvidos |
Guias de solução de problemas |
Comandos úteis |
Script TCL para ativar o perfil CGNA |
LONGE |
Verifique se o perfil correto está configurado para a variável de ambiente ZTD_SCEP_CGNA_Profile |
"show cgna profile-all" para verificar se o perfil está ativo |
perfil CGNA resolver TPS FQDN |
LONGE, DNS |
|
LONGE: ping TPS FQDN |
Perfil CGNA estabelece sessão HTTPS com TPS |
LONGE, TPS |
|
O arquivo de log do TPS está localizado em: /opt/cgms-tpsproxy/log/tpsproxy.log |
Solicitação de túnel de encaminhamento TPS para CG-NMS |
TPS, CG-NMS |
|
O arquivo de log do FND está localizado em: cd /opt/cgms/server/cgms/log |
4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Inbound proxy request from [192.168.1.1] with client certificate subject
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Completed inbound proxy request from [192.168.1.1] with client certificate subject
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Inbound proxy request from [192.168.1.1] with client certificate subject [SERIALNUMBER=PID:
IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED:
%[ch=1c3d5104][eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Completed inbound proxy request from [192.168.1.1] with client certificate subject [SERIALN
UMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4353: iok-tps: Jul 13 2016 14:46:12.425 +0000: %CGMS-6-UNSPECIFIED:
%[ch=TpsProxyOutboundHandler][ip=192.168.1.1][sev=INFO][tid=qtp687776794-16]:
Outbound proxy request from [192.168.1.2] to [192.168.1.1]
4354: iok-tps: Jul 13 2016 14:46:14.176 +0000: %CGMS-6-UNSPECIFIED:
%[ch=TpsProxyOutboundHandler][ip=10.10.10.61][sev=INFO][tid=qtp687776794-16]:
Outbound proxy request from [192.168.1.2] to [192.168.1.1
O CG-NMS encaminhará a configuração do perfil CGNA cg-nms-register. Comandos adicionais são adicionados para que o perfil seja executado imediatamente, em vez de esperar que o temporizador de intervalo expire.
O CG-NMS desativará o provisionamento de túnel cg-nms-tunnel do perfil do CGNA considerado concluído neste ponto.
Para obter detalhes sobre como implementar a implantação Zero Touch em sua rede, entre em contato com seu parceiro da Cisco ou engenheiro de sistemas da Cisco.
Para configuração expressa no roteador, entre em contato com seu parceiro ou engenheiro de sistema da Cisco.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
02-Mar-2017 |
Versão inicial |