JD 3测试

 
Updated 2026 年 5 月 21 日
PDF
Is this helpful? 反馈

简介

本文档介绍遥测连接失败的原因以及如何恢复它们。 

  • 由于Cisco IOS XE设备操作系统上的Cisco bug ID CSCwk39268,Cisco IOS XE设备上的Cisco IOS XE证书(Cisco Catalyst Center - Cisco IOS® XE设备)的自动续订可能会失败,从而导致从受影响设备发送到Catalyst Center的遥测发生故障。
  • 证书的有效期为一年,通常由Catalyst Center在证书到期前60天自动续订。
  • 受此问题影响或可能受影响的客户可以在Catalyst Center中看到弹出消息。

受影响的版本:

  • 2.3.7.11之前的Catalyst Center版本管理运行版本17.12.1-17.12.4的Cisco IOS XE网络设

分辨率:

客户需要使用这个选项之一来解决问题。

选项 1:将Catalyst Center升级到2.3.7.112.3.7.9 PSMU602.3.7.10 PSMU110。 SMU(软件维护更新)可在Cisco Catalyst Center GUI的System > Software Management下升级。

选项2:将受影响的Cisco IOS XE设备升级到17.12.5或思科推荐的更高版本。

选项3:从Catalyst Center GUI强制推送遥感勘测,并将信任点的散列算法更新至设备上的sha512,如下所示:

  1. 导航到菜单>调配>库存
  2. 按主机名选择设备
  3. 选择操作>遥测>更新遥测设置
  4. 启用强制配置推送
  5. 继续完成向导并提交任务

识别受影响的Cisco IOS XE设备:

步骤 1:验证受影响的Cisco IOS XE设备上的设备证书和信任点状态。

device# show crypto pki certificates verbose sdn-network-infra-iwan

输出示例:

Certificate
  Status: Available
  Version: 3
  Certificate Serial Number (hex): 18831279321B12FA
  Certificate Usage: General Purpose
  Issuer: 
    cn=sdn-network-infra-ca
  Subject:
    Name: device.example.net
    cn=C9300-48U_SN12345678_sdn-network-infra-iwan
    hostname=device.example.net
  Validity Date: 
    start date: 11:39:55 cdt Jul 10 2025
    end   date: 11:39:55 cdt Jul 16 2025
    renew date: 06:51:54 cdt Jul 15 2025
  ...

注意:如果结束日期和续订日期早于设备的当前日期,则证书已过期。

步骤 2:检查设备上的错误日志。

输出示例:

Device# show logging
%PKI-2-CERT_RENEW_FAIL: Certificate renewal failed for trustpoint sdn-network-infra-iwan
Reason : Failed to get ID certificate from CA server sdn-network-infra-iwan:Certificate renewal failed.

步骤 3:检查设备到Catalyst Center的遥测状态

输出示例:

Device#show tel con all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
-----------------------------------------------------------------------------------------
36284 x.x.x.x 25103 0 x.x.x.x Connecting Connection request made to transport handler

注意:在本示例中,遥测连接未启用,只是处于“连接”状态。

其它信息:

(a.)对于多个Cisco IOS XE设备,可以通过从Design > CLI Templates工具调配CLI模板从Catalyst Center推送此模板:

crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512

(b.) 散列更新后强制遥测推送 

  1. 导航到菜单>调配>库存
  2. 按主机名选择设备
  3. 选择操作>遥测>更新遥测设置
  4. 启用强制配置推送
  5. 继续完成向导并提交任务

常见问题:安装SMU是否修复了已受影响的系统,或者它是预防性的?
SMU是预防性修复程序,必须在问题发生之前进行安装。如果问题已经发生,安装SMU不会自动清除问题。要恢复现有的故障系统,请选择选项3。

修订历史记录

版本 发布日期 备注
1.0
May 21, 2026
初始版本

Need help?