使用备份配置启用TLS的NDDB交换机
简介
本文档介绍重建Nexus控制面板数据代理(NDDB)交换机的标准过程。
问题
此过程将在更换NDDB交换机时执行。
先决条件
要求
在启动交换机重建过程之前,请确保提前准备以下项目:
- 固件文件:从此software.cisco.com下载正确的NDDB交换机软件。
- 用于恢复的备份配置文件:最新的交换机备份文件。
- 切换要恢复的TLS证书和私钥文件:启用NDDB交换机和控制器之间的安全连接的证书文件。
使用的组件
本文档中的信息基于以下软件和硬件版本:
-
Hardware:Nexus C93180YC-FX3交换机
- NXOS版本:10.4.5.M.bin(链路)
- 文件传输实用程序:WinSCP(Windows安全复制)
- 文件传输设备:32GB USB驱动器
- SSH/控制台客户端:SecureCRT v9.6.
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
备份过程
该过程概述了操作团队收集备份文件.cer和.key(TLS证书和密钥)的步骤。
注意:根据您的组织,遵循备份策略进行定期备份,确保在开始重建过程之前可以访问这些备份。
步骤1.使用SecureCRT/Putty通过SSH连接到交换机IP。
步骤2.运行以下命令以在交换机上本地进行备份:
#configure terminal
#feature sftp-server
#copy running-config conf.<Switch IP/Hostname>
注意:<Switch IP/Hostname>变量是指当前正在备份的交换机的IP地址或主机名。
步骤3.在WinSCP中使用SFTP登录到NDDB交换机IP。导航到bootflash/目录并将conf.<Switch IP/Hostname>文件下载到您的本地计算机。
此外,从bootflash(TLS证书)的交换机下载.cer和.key文件
例如:
- Switch 1 - switch1.cer / switch1.key
- 交换机2 - switch2.cer / switch2.key
重建过程
此过程介绍恢复Nexus控制面板数据代理(NDDB)交换机的两种方法。您可以选择任一方法来完成恢复过程。
注意:
1)旧交换机状态:此过程假设现有NDDB交换机不可恢复。如果原始交换机仍然可以访问,则必须在开始重建过程之前完全关闭其电源(通过拔下电源线),以防止配置冲突。
2)管理网络布线和机架:新交换机和同一管理网络电缆的机架/堆叠已移至新交换机(用于方法2)。
3)在新的交换机重建完成之前,请勿移动数据电缆。
方法 1:使用USB磁盘
步骤1.将交换机备份文件、备份过程中收集的TLS文件以及下载的固件文件复制到USB驱动器。
步骤2.将笔记本电脑连接到交换机的控制台,将USB驱动器连接到交换机。
步骤3.使用SecureCRT/Putty连接到交换机的控制台以监控启动过程。
步骤4.当出现Abort Power On Auto Provisioning提示时,键入yes,然后按Enter键,直到显示“Aborting POAP Process”消息。
步骤5.在strict password policy提示符下按Enter,启动交换机配置过程以设置管理员密码。选择任何密码并记录以供将来参考。
设置密码后,输入no以拒绝进一步配置。
步骤6.在进入登录提示符后,输入admin作为用户名,输入新配置的密码以访问switch#命令提示符。
步骤7.运行以下命令以复制映像文件和备份配置文件:
switch#copy usb1:nxos-image.bin bootflash:
switch#copy usb1:conf.bootflash:
同时从USB将.cer和.key文件复制到bootflash。Eg交换机1位于下方:
#copy usb1:switch1.cer bootflash:
#copy usb1:switch1.key bootflash:
步骤8.要升级Nexus控制面板数据代理(NDDB)交换机,请参阅特定软件版本的文档。NX-OS软件升级和降级指南
步骤9.交换机成功重新启动后,请执行以下命令:
switch#copy conf.<switch IP/Hostname> startup-config
注意:使用reload命令重新加载交换机,并且完成交换机重建。
警告:在此阶段,步骤4中配置的密码无效。必须使用原始交换机管理员凭证对访问进行身份验证。此外,如果启用AAA(身份验证、授权和记帐),本地管理访问将被取代或禁用。
步骤10.将数据电缆重新连接到原始NDDB交换机上使用的相应端口。
步骤11.访问与故障交换机关联的https://NDDB_Controller_IP:8443 上的NDDB控制器,并完成以下步骤:
- 在NDDB GUI中,导航到Devices,找到状态为RED的交换机。
- 检查出现故障的交换机,单击Actions,然后选择Rediscover。完成时,交换机状态变为绿色。
警告:重新发现会触发策略推送,并可能导致短暂的服务影响。仅当交换机状态为RED时才执行此操作。
方法 2:使用SFTP客户端(WinSCP)
步骤1.将交换机备份文件、备份过程中收集的TLS文件以及下载的固件文件从提供的链接复制到您的工作站。
步骤2.将笔记本电脑连接到交换机的控制台,以监控启动过程。
步骤3.当出现Abort Power On Auto Provisioning提示时,键入yes,然后按Enter键,直到显示“Aborting POAP Process”消息。
步骤4.在严格密码策略提示符下按Enter键,启动交换机配置过程以设置管理员密码。选择任何密码并记录以供将来参考。
设置密码后,输入no以拒绝进一步配置。
步骤5.在到达登录提示符后,输入admin作为用户名,输入新配置的密码以访问switch#命令提示符。
步骤6.运行这些命令以设置新交换机上的管理IP。确保交换机IP与故障交换机的IP地址匹配:
#configure terminal
#interface mgmt0
#ip address/
#vrf context management
#ip route 0.0.0.0/0 <Gateway IP>
#feature sftp-server
#copy run start
步骤7.通过WinSCP连接到新交换机IP需要SFTP协议和管理凭据。需要将这些文件传输到交换机bootflash/目录:
- nxos64-cs.10.X.X.X.bin
- conf.<switch IP>(备份文件)
- .cer(TLS证书)
- .key(TLS私钥)
步骤8.要升级Nexus控制面板数据代理(NDDB)交换机,请参阅特定软件版本的文档。NX-OS软件升级和降级指南
步骤9.交换机成功重新启动后,请执行以下命令:
switch#copy conf.<switch IP/Hostname> startup-config
注意:使用reload命令再次重新加载交换机,然后完成交换机重建。
警告:在此阶段,步骤4中配置的密码无效。必须使用原始交换机管理员凭证对访问进行身份验证。此外,如果启用AAA(身份验证、授权和记帐),本地管理访问将被取代或禁用。
步骤10.将数据电缆重新连接到原始NDDB交换机上使用的相应端口。
步骤11.访问与故障交换机关联的https://NDDB_Controller_IP:8443 上的NDDB控制器,并完成以下步骤:
- 在NDDB GUI中,导航到Devices,找到状态为RED的交换机。
- 检查出现故障的交换机,单击Actions,然后选择Rediscover。完成时,交换机状态变为绿色。
警告:重新发现会触发策略推送,并可能导致短暂的服务影响。仅当交换机状态为RED时才执行此操作。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
01-Jun-2026
|
初始版本 |
反馈