Para parceiros
O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve a abordagem passo a passo de um dispositivo Cisco para integrar com segurança a rede por meio de pesquisa de DNS, que é uma maneira recomendada quando o dispositivo de rede e o controlador de DNAC estão em locais remotos e o cliente deseja provisionar um dispositivo de rede pela Internet pública.
Há maneiras diferentes de integrar um dispositivo de rede com o uso do Cisco Plug & Play Day0.
Para ter uma comunicação segura na Internet pública, você precisa instalar um certificado seguro no DNAC. Siga este documento para configurar um servidor DHCP, servidor DNS, gerar e instalar certificado SSL. Se você já tiver a chave de certificado + e precisar instalá-la no DNAC, siga o documento da Etapa 11. Neste documento:
Por padrão, o DNAC vem com um certificado autoassinado pré-instalado bom para a integração de dispositivos de rede em uma rede privada. No entanto, a Cisco recomenda que você importe um certificado X.509 válido de sua CA interna para comunicação segura para o dispositivo de rede onboard de um local remoto pela Internet pública.
Aqui está um exemplo para baixar e instalar o certificado Open SSL emitido pela Cisco no DNAC.
Para fazer o download do certificado, primeiro é necessário criar um CSR.
Etapa 1. Use um cliente SSH para fazer login no cluster do Cisco DNA Center e criar uma pasta temporária em /home/maglev, por exemplo, insira o comando mkdir tls-cert;cd tls-cert enquanto estiver no diretório inicial.
Etapa 2. Antes de prosseguir, certifique-se de que o nome de host (FQDN) do Cisco DNA Center esteja definido no momento da configuração do Cisco DNA Center inserindo o comando de exibição de rede do cluster maglev:
Input
$ maglev cluster network display
Output
cluster_network:
cluster_dns: 169.254.20.10
cluster_hostname: fqdn.cisco.com
Note: Você precisa ter privilégios de raiz para executar esse comando.
Se o campo de saída cluster_hostname estiver vazio ou não for o que você deseja, adicione ou altere o nome de host do Cisco DNA Center (FQDN) inserindo o comando maglev cluster config-update:
Input
$ maglev-config update
Output
Maglev config wizard GUI
Note: Você precisa ter privilégios de raiz para executar esse comando.
Toque e clique em Avançar até ver a etapa intitulada MAGLEV CLUSTER DETAILS contendo o nome de host do cluster do prompt de entrada. Defina o nome do host para o FQDN do Cisco DNA Center desejado. Clique em Next e continue até que o Cisco DNA Center seja reconfigurado com o novo FQDN.
Etapa 3. Use um editor de texto de sua escolha, crie um arquivo chamado openssl.cnf e faça o upload para o diretório que você criou na etapa anterior. Use este exemplo como seu guia, mas ajuste-o para se adequar à sua implantação.
O suporte completo dos FQDNs no certificado do Cisco DNA Center está disponível a partir do Cisco DNA Center 2.1.1. Para versões do Cisco DNA Center anteriores à 2.1.1, você precisa de um certificado com endereços IP definidos no campo Nome alternativo do assunto (SAN). As configurações da seção alt_names para Cisco DNA Center versões 2.1.1 e posteriores e Cisco DNA Center versões anteriores a 2.1.1 são as seguintes:
Cisco DNA Center versões 2.1.1 e posteriores:
1. Preste muita atenção à seção alt_names, que deve conter todos os nomes DNS (incluindo o Cisco DNA Center FQDN) usados para acessar o Cisco DNA Center, por um navegador da Web ou por um processo automatizado, como PnP ou Cisco ISE. A primeira entrada DNS na seção alt_names deve conter o FQDN do Cisco DNA Center (DNS.1 = FQDN-of-Cisco-DNA-Center). Não é possível adicionar uma entrada DNS curinga no lugar do FQDN do Cisco DNA Center, mas você pode usar um curinga nas entradas DNS subsequentes na seção alt-names (para PnP e outras entradas DNS). Por exemplo, *.domain.com é uma entrada válida.
Importante: Se você estiver usando o mesmo certificado para a configuração de recuperação de desastres, os curingas não serão permitidos ao adicionar uma entrada DNS para um local do sistema de recuperação de desastres na seção alt_names. No entanto, recomendamos que você use um certificado separado para uma configuração de recuperação de desastres. Para obter mais informações, consulte a seção "Adicionar certificado de recuperação de desastre" no Cisco DNA Center Administrator Guide.
2. A seção alt_names deve conter FQDN-of-Cisco-DNA-Center como uma entrada DNS e deve corresponder ao nome de host do Cisco DNA Center (FQDN) definido durante a configuração do Cisco DNA Center através do assistente de configuração (no campo de entrada "Nome de host do cluster"). O Cisco DNA Center atualmente suporta apenas um nome de host (FQDN) para todas as interfaces. Se estiver usando tanto a porta de gerenciamento quanto a de empresa no Cisco DNA Center para conectar dispositivos ao Cisco DNA Center em sua rede, você deverá configurar a política de GeoDNS para resolver o IP/IP virtual de gerenciamento e o IP/IP corporativo/virtual para o nome de host (FQDN) do Cisco DNA Center com base na rede da qual a consulta DNS é recebida. A configuração da política GeoDNS não é necessária se você estiver usando somente a porta corporativa no Cisco DNA Center para conectar dispositivos ao Cisco DNA Center em sua rede.
Note: Se você habilitou a recuperação de desastres para o Cisco DNA Center, configure a política de GeoDNS para resolver o IP virtual de gerenciamento de recuperação de desastres e o IP virtual corporativo de recuperação de desastres para o nome de host do Cisco DNA Center (FQDN) com base na rede de onde a consulta DNS é recebida.
3. Versões do Cisco DNA Center anteriores a 2.1.1:
Preste muita atenção à seção alt_names, que deve conter todos os endereços IP e nomes DNS usados para acessar o Cisco DNA Center, por um navegador da Web ou por um processo automatizado, como PnP ou Cisco ISE. (Este exemplo pressupõe um cluster do Cisco DNA Center de três nós. Se você tiver um dispositivo autônomo, use SANs somente para esse nó e o VIP. Se você agrupar o dispositivo posteriormente, talvez queira recriar o certificado para incluir os endereços IP dos novos membros do cluster.)
Se uma interface de nuvem não estiver configurada, omita os campos da porta de nuvem.
Exemplo openssl.cnf (aplicável para Cisco DNA Center versões 2.1.1 e posteriores):
req_extensions = v3_req
distinguished_name = req_distinguished_name
default_bits = 4096
default_md = sha512
prompt = no
[req_distinguished_name]
C = <two-letter-country-code>
ST = <state-or-province>
L = <city>
O = <company-name>
OU = MyDivision
CN = FQDN-of-Cisco-DNA-Center
emailAddress = responsible-user@mycompany.tld
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = FQDN-of-Cisco-DNA-Center
DNS.2 = pnpserver.DomainAssignedByDHCPDuringPnP.tld
DNS.3 = *.domain.com
Example openssl.cnf (Applicable for Cisco DNA Center versions earlier than 2.1.1)
req_extensions = v3_req
distinguished_name = req_distinguished_name
default_bits = 4096
default_md = sha512
prompt = no
[req_distinguished_name]
C = <two-letter-country-code>
ST = <state-or-province>
L = <city> O = <company-name>
OU = MyDivision
CN = FQDN-of-Cisco-DNA-Center
emailAddress = responsible-user@mycompany.tld
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = FQDN-of-Cisco-DNA-Center
DNS.2 = pnpserver.DomainAssignedByDHCPDuringPnP.tld
IP.1 = Enterprise port IP node #1
IP.2 = Enterprise port IP node #2
IP.3 = Enterprise port IP node #3
IP.4 = Enterprise port VIP
IP.5 = Cluster port IP node #1
IP.6 = Cluster port IP node #2
IP.7 = Cluster port IP node #3
IP.8 = Cluster port VIP
IP.9 = GUI port IP node #1
IP.10 = GUI port IP node #2
IP.11 = GUI port IP node #3
IP.12 = GUI port VIP
IP.13 = Cloud port IP node #1
IP.14 = Cloud port IP node #2
IP.15 = Cloud port IP node #3
IP.16 = Cloud port VIP
Note: Se você não incluir os endereços IP do cluster no arquivo openssl.cnf, não poderá programar a ativação da imagem de software. Para corrigir esse problema, adicione os endereços IP do cluster como SANs ao certificado.
Usando um editor de texto de sua escolha, crie um arquivo chamado openssl.cnf e faça o upload para o diretório que você criou na etapa anterior. Use este exemplo como seu guia, mas ajuste-o para se adequar à sua implantação.
O suporte a FQDNs está disponível a partir do Cisco DNA Center 2.1.1. Para versões do Cisco DNA Center anteriores à 2.1.1, você precisa de um certificado com endereços IP no nome alternativo do assunto (SAN). As configurações da seção alt_names para o Cisco DNA Center versões 2.1.1 e posteriores, e as versões do Cisco DNA Center anteriores à 2.1.1. são as seguintes:
Cisco DNA Center versões 2.1.1 e posteriores:
Preste muita atenção à seção alt_names, que deve conter todos os nomes DNS (incluindo o Cisco DNA Center FQDN) usados para acessar o Cisco DNA Center, por um navegador da Web ou por um processo automatizado, como PnP ou Cisco ISE.
A primeira entrada DNS na seção alt_names deve conter o FQDN do Cisco DNA Center (DNS.1 = FQDN-of-Cisco-DNA-Center). Não é possível adicionar uma entrada DNS curinga no lugar do FQDN do Cisco DNA Center. Mas você pode usar um curinga nas entradas DNS subsequentes na seção alt-names (para PnP e outras entradas DNS). Por exemplo, *.domain.com é uma entrada válida.
Importante: se você estiver usando o mesmo certificado para a configuração de recuperação de desastres, os curingas não serão permitidos ao adicionar uma entrada DNS para um local do sistema de recuperação de desastres na seção alt_names. No entanto, recomendamos que você use um certificado separado para uma configuração de recuperação de desastres. Para obter mais informações, consulte a seção "Adicionar certificado de recuperação de desastre" no Cisco DNA Center Administrator Guide.
O Cisco DNA Center atualmente suporta apenas um nome de host (FQDN) para todas as interfaces. Você deve configurar a política de GeoDNS para resolver para o IP/IP virtual de gerenciamento e IP/IP corporativo para o nome de host (FQDN) do Cisco DNA Center com base na rede da qual a consulta DNS é recebida.
Observação: se você ativou a recuperação de desastres para o Cisco DNA Center, configure a política de GeoDNS para resolver o IP virtual de gerenciamento de recuperação de desastres e o IP virtual corporativo de recuperação de desastres para o nome de host (FQDN) do Cisco DNA Center com base na rede de onde a consulta DNS é recebida.
Preste muita atenção à seção alt_names, que deve conter todos os endereços IP e nomes DNS usados para acessar o Cisco DNA Center, por um navegador da Web ou por um processo automatizado, como PnP ou Cisco ISE. (Este exemplo pressupõe um cluster do Cisco DNA Center de três nós. Se você tiver um dispositivo autônomo, use SANs somente para esse nó e o VIP. Se você agrupar o dispositivo posteriormente, talvez queira recriar o certificado para incluir os endereços IP dos novos membros do cluster.)
Exemplo openssl.cnf (aplicável para Cisco DNA Center versões 2.1.1 e posteriores)
req_extensions = v3_reqdistinguished_name = req_distinguished_namedefault_bits = 4096default_md
= sha512prompt = no[req_distinguished_name]C = <two-letter-country-code>ST = <state-or-province>L
= <city>O = <company-name>OU = MyDivisionCN = FQDN-of-Cisco-DNA-CenteremailAddress =
responsible-user@mycompany.tld [ v3_req ]basicConstraints = CA:FALSEkeyUsage = digitalSignature,
keyEnciphermentextendedKeyUsage=serverAuth,clientAuthsubjectAltName = @alt_names[alt_names]DNS.1 =
FQDN-of-Cisco-DNA-CenterDNS.2 = pnpserver.DomainAssignedByDHCPDuringPnP.tldDNS.3 = *.domain.com
Exemplo openssl.cnf (aplicável para Cisco DNA Center versões anteriores a 2.1.1)
req_extensions = v3_reqdistinguished_name = req_distinguished_namedefault_bits = 4096default_md
= sha512prompt = no[req_distinguished_name]C = <two-letter-country-code>ST = <state-or-province>L
= <city> O = <company-name>OU = MyDivisionCN = FQDN-of-Cisco-DNA-Centeron-GUI-portemailAddress =
responsible-user@mycompany.tld[ v3_req ]basicConstraints = CA:FALSEkeyUsage = nonRepudiation,
digitalSignature, keyEnciphermentextendedKeyUsage=serverAuth,clientAuthsubjectAltName =
@alt_names[alt_names]DNS.1 = FQDN-of-Cisco-DNA-Center-on-GUI-portDNS.2 =
FQDN-of-Cisco-DNA-Center-on-enterprise-portDNS.3 = pnpserver.DomainAssignedByDHCPDuringPnP.tldIP.1 =
Enterprise port IP node #1IP.2 = Enterprise port IP node #2IP.3 = Enterprise port IP node #3IP.4 =
Enterprise port VIPIP.5 = Cluster port IP node #1IP.6 = Cluster port IP node #2IP.7 =
Cluster port IP node #3IP.8 = Cluster port VIPIP.9 = GUI port IP node #1IP.10 = GUI port IP node #2IP.11
= GUI port IP node #3IP.12 = GUI port VIPIP.13 = Cloud port IP node #1IP.14 = Cloud port IP node #2IP.15
= Cloud port IP node #3IP.16 = Cloud port VIP
Observação: se você não incluir os endereços IP do cluster no arquivo openssl.cnf, não será possível programar a ativação da imagem de software. Para corrigir esse problema, adicione os endereços IP do cluster como SANs ao certificado.
Neste caso, abaixo está a configuração de my openssl.conf
req_extensions = v3_req
distinguished_name = req_distinguished_name
default_bits = 4096
default_md = sha512
prompt = no
[req_distinguished_name]
C = US
ST = California
L = Milpitas
O = Cisco Systems Inc.
OU = MyDivision
CN = noc-dnac.cisco.com
emailAddress = sit-noc-team@cisco.com
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = noc-dnac.cisco.com
DNS.2 = pnpserver.cisco.com
IP.1 = 10.10.0.160
IP.2 = 10.29.51.160
Etapa 4. Digite este comando para criar uma chave privada. Ajuste o comprimento da chave para 2048, se exigido pela sua equipe de administração da autoridade de certificação. openssl genrsa -out csr.key 4096
Etapa 5. Depois de preencher os campos no arquivo openssl.cnf, use a chave privada que você criou na etapa anterior para gerar a Solicitação de assinatura de certificado.
openssl req -config openssl.cnf -new -key csr.key -out DNAC.csr
Etapa 6. Verifique o conteúdo da Solicitação de assinatura de certificado e certifique-se de que os nomes DNS (e endereços IP para a versão do Cisco DNA Center anterior à 2.1.1) sejam preenchidos corretamente no campo Nome alternativo do assunto.
openssl req -text -noout -verify -in DNAC.csr
Passo 7. Copie a solicitação de assinatura de certificado e cole-a em uma CA (por exemplo, Cisco Open SSL).
Vá para o link para baixar o certificado. https://sslcerts.cisco.com/sslrequest/
Clique em "Solicitar certificado" para fazer o download do certificado permanente pagando US$ 100.
Ou clique em "Solicitar certificado de teste limitado" para fins limitados.
O usuário receberá um e-mail com as informações do certificado. Clique com o botão direito do mouse e faça o download de todos os três arquivos PEM em seu notebook. Nesse caso, recebi 3 arquivos separados, portanto, pule a etapa 8 e continue na etapa 9.
Etapa 8. Se o emissor do certificado fornecer a cadeia completa do certificado (servidor e CA) em p7b, faça o seguinte:
Baixe o pacote p7b no formato DER e salve-o como dnac-chain.p7b.
Copie o certificado dnac-chain.p7b para o cluster do Cisco DNA Center por meio do SSH.
Digite este comando:
openssl pkcs7 -in dnac-chain.p7b -inform DER -out dnac-chain.pem -print_certs
Etapa 9. Se o emissor do certificado fornecer o certificado e sua cadeia de CA do emitente em arquivos incompletos, faça o seguinte:
Faça o download dos arquivos PEM (base64) ou use openssl para converter DER em PEM.
Concatenar o certificado e sua CA emitente, começando com o certificado, seguido por CA subordinada, até a CA raiz e enviá-lo para o arquivo dnac-chain.pem.
cat certificate.cer subCA.cer rootCA.cer > dnac-chain.pem
Etapa 10. Copie o arquivo dnac-chain.pem do seu laptop para o Cisco DNA Center no diretório tls-cert criado acima.
Etapa 11. Na GUI do Cisco DNA Center, clique no ícone Menu () e escolha Sistema > Configurações > Certificados.
Etapa 12. Clique em Substituir certificado.
Etapa 13. No campo Certificado, clique no botão de opção PEM e execute as seguintes tarefas.
Etapa 14. Clique em Carregar/Ativar. Faça logoff e logon novamente no DNAC.
Configuração:
Configuração do servidor DHCP:
Configure um pool de servidores DHCP para atribuir um endereço IP ao DUT. Também configura o servidor DHCP
para enviar o nome de domínio e o endereço IP do servidor DNS.
ip dhcp pool PNP-A4
network 172.4.15.0 255.255.255.252
default-router 172.4.15.2
domain-name cisco.com
dns-server 1.1.1.23
Configuração do servidor DNS. Configure um servidor DNS em sua rede para resolver o nome FQDN do DNAC.
ip dns server
ip host pnpserver.cisco.com <dnac-controller-ip >
Etapa 1. O novo dispositivo a ser integrado é cabeado e ligado. Como a configuração de inicialização na NVRAM está vazia, o agente PnP é disparado e envia "Cisco PnP" na Opção 60 de DHCP na mensagem DHCP DISCOVER.
Etapa 2. O servidor DHCP não está configurado para reconhecer o "Cisco PnP" na Opção 60, ele ignora a Opção 60. O servidor DHCP atribui um endereço IP e envia a oferta de DHCP junto com o nome de domínio configurado e o endereço IP do servidor DNS.
Etapa 3. O agente PnP lê o nome de domínio e formula o nome de host do servidor PnP totalmente qualificado, acrescentando o nome de domínio à string "pnpserver". Se o nome de domínio for "xyz.com", o nome de host totalmente qualificado do servidor PnP seria "pnpserver.xyz.com". O agente PnP resolve "pnpserver.xyz.com" para seu endereço IP com o servidor DNS recebido nas opções de DHCP.
Exemplo quando o agente pnp é acionado para integração:
Ligue um novo switch ou "write erase" seguido de reload em caso de implantação de campo marrom
Verifique o fluxo de trabalho abaixo no console do switch.
Would you like to enter the initial configuration dialog? [yes/no]:
*Jan 19 22:23:21.981: %IOSXE-0-PLATFORM: R0/0: udev: disk0: has been inserted
Autoinstall trying DHCPv6 on Vlan1
Autoinstall trying DHCPv4 on Vlan1
Autoinstall trying DHCPv6 on Vlan1
Redundant RPs -
Autoinstall trying DHCPv6 on Vlan119
Autoinstall trying DHCPv6 on Vlan119
Acquired IPv4 address 172.4.15.3 on Interface Vlan119
Received following DHCPv4 options:
domain-name : cisco.com
dns-server-ip : 1.1.1.23
si-addr : 1.1.1.21
stop Autoip process
OK to enter CLI now...
pnp-discovery can be monitored without entering enable mode
Entering enable mode will stop pnp-discovery
Autoinstall trying DHCPv6 on Vlan119
Guestshell destroyed successfully
Autoinstall trying DHCPv6 on Vlan119
Press RETURN to get started!