Fehlerbehebungsschritte für ZTD in der FAN-Lösung
Download-Optionen
-
ePub (84.0 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Inklusive Sprache
In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Informationen zu dieser Übersetzung
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Inhalt
Einführung
In diesem Dokument wird beschrieben, wie Sie häufige Probleme beheben können, wenn die ZTD-Lösung (Zero Touch Deployment) in Field Area Network (FAN) aus Connected Grid Router (CGR) und Field Network Director (FND) besteht.
Voraussetzungen
Anforderungen
Für dieses Dokument bestehen keine speziellen Anforderungen.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf der ZTD-Bereitstellung mit dem CGR.
Dazu gehören CGR (CGR1120/CGR1240), FND, Tunnel Provisioning Server (TPS), Registration Authority (RA), Certificate Authority (CA), Domain Name Server (DNS) als Komponenten. FND und Cisco Connected Grid Network Management System (CG-NMS) sind austauschbar, da CG-NMS eine frühere Version von FND ist.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Schritte zur Fehlerbehebung gemäß ZTD-Prozess in FAN-Lösungen
Konfiguration der Fertigung mit Field Area Router (FAR)
Alles beginnt mit dieser Fertigungskonfiguration. Dieser Schritt ist daher der Schlüssel für eine erfolgreiche Bereitstellung.
Diese Konfiguration löst die ersten beiden Phasen aus: Simple Certificate Enrollment Protocol (SCEP) und Tunnelbereitstellung.
Ein erfolgreicher Test ist eine FAR-Lösung, die mit ihrer Produktionskonfiguration bereitgestellt wird und den ZTD-Prozess durchlaufen kann, um sich schließlich ohne Eingriff beim CG-NMS anzumelden.
Gewöhnliche Verdächtige:
- Die Anmeldedaten zwischen FAR und CG-NMS stimmen nicht überein.
- Die CGNA-URL (Connected Grid NMS Agent) für die Tunnelbereitstellung ist falsch (vergewissern Sie sich, dass sie "https" und nicht "http" lautet.
- Domain Name Server (DNS) ist falsch konfiguriert, um den vollqualifizierten TPS-Domänennamen (FQDN) aufzulösen.
Wenn bei der Fehlerbehebung in diesen beiden Phasen die Fertigungskonfiguration aktualisiert werden muss, sollte dieser Prozess befolgt werden:
- FAR-Verbindungen mit dem HE blockieren (physisch oder logisch)
- Zurücksetzen des FAR auf seine Express-Setup-Konfiguration
- Änderungen übernehmen
- Erstellen einer neuen Datei "express-setup-config"
- Speichern der Konfiguration im nvram
- Stellen Sie die Verbindung wieder her, damit der FAR den ZTD-Prozess erneut auslösen kann.
SCEP-Registrierung
Ziel dieser Phase ist es, die FAR zu autorisieren, ihr LDevID-Zertifikat (Local Device Identity) von der RSA Public Key Infrastructure (PKI) zu erhalten, und das Zertifikat nach der Autorisierung zu erhalten. Dieser Schritt ist eine Voraussetzung für den nächsten, bei dem FAR sein Zertifikat für die Kommunikation mit dem TPS und die Einrichtung seines IPSec-Tunnels mit dem HER benötigt.
Es handelt sich um folgende Komponenten: FAR, RA, SCEP-Server, Radius-Server und zugehörige DB.
Ein TCL-Skript (Tool Command Language) mit dem Namen tm_ztd_scep.tcl initiiert automatisch den SCEP-Prozess und versucht weiter, bis die Registrierung erfolgreich ist.
| Schritte | Betroffene Komponenten |
Richtlinien zur Fehlerbehebung |
Nützliche Befehle |
| Ereignismanager startet tm_ztd_scep.tcl-Skript |
WEIT |
|
deb event manager tcl-Befehle markieren alle CLI-Befehle, die vom Skript angewendet werden |
| RA FQDN-Auflösung |
FAR, DNS |
|
Pingen Sie den RA FQDN vom FAR. |
| FAR sendet SCEP-Anfrage an RA |
FAR, RA |
|
Debuggen von Krypto-Pki-Transaktionen Crypto-Bereitstellung debuggen |
| PKI-Autorisierung |
RA, RADIUS |
|
debuggen crypto pki scep Debuggen von Krypto-Pki-Transaktionen debuggen crypto pki-Server Crypto-Bereitstellung debuggen |
| FAR-Zeugnisausstellung |
RA, Issuer CA |
|
RA: debuggen crypto pki Wenn die EmittentenCA eine IOS-CA ist, kann auch der gleiche Debug-Befehl verwendet werden. |
Tunnelbereitstellung
Zum Zeitpunkt dieser Phase kommuniziert die FAR mit dem TPS (fungiert als Proxy im Auftrag des CG-NMS), um die Tunnelkonfiguration vom CG-NMS zu erhalten. Diese Phase wird vom SCEP tcl-Skript initiiert, sobald die Registrierung durch Aktivierung des CGNA-Profils erfolgt.
Die beteiligten Komponenten sind: FAR, DNS, TPS, CG-NMS.
| Schritte |
Beteiligte Komponenten |
Richtlinien zur Fehlerbehebung |
Nützliche Befehle |
| TCL-Skript zum Aktivieren des CGNA-Profils |
WEIT |
Überprüfen Sie, ob das richtige Profil für die Umgebungsvariable ZTD_SCEP_CGNA_Profile konfiguriert ist. |
"show cgna profile all", um zu überprüfen, ob das Profil aktiv ist |
| CGNA-Profil auflösen TPS FQDN |
FAR, DNS |
|
FAR: Ping TPS FQDN |
| CGNA-Profil erstellt HTTPS-Sitzung mit TPS |
FAR, TPS |
|
Die TPS-Protokolldatei finden Sie unter: /opt/cgms-tpsproxy/log/tpsproxy.log |
| TPS-Weiterleitungstunnelanforderung an CG-NMS |
TPS, CG-NMS |
|
Die FND-Protokolldatei befindet sich unter :cd /opt/cgms/server/cgms/log |
Der FAR kontaktiert TPS mit einer Tunnelbereitstellungsanfrage über HTTPS auf Port 9120.
4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Inbound proxy request from [192.168.1.1] with client certificate subject
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Completed inbound proxy request from [192.168.1.1] with client certificate subject
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
Protokolle nachdem Tunnel zwischen HER und FAR eingerichtet wurde und nachfolgend kann FAR direkt mit der HER kommunizieren
4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Inbound proxy request from [192.168.1.1] with client certificate subject [SERIALNUMBER=PID:
IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED:
%[ch=1c3d5104][eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Completed inbound proxy request from [192.168.1.1] with client certificate subject [SERIALN
UMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4353: iok-tps: Jul 13 2016 14:46:12.425 +0000: %CGMS-6-UNSPECIFIED:
%[ch=TpsProxyOutboundHandler][ip=192.168.1.1][sev=INFO][tid=qtp687776794-16]:
Outbound proxy request from [192.168.1.2] to [192.168.1.1]
4354: iok-tps: Jul 13 2016 14:46:14.176 +0000: %CGMS-6-UNSPECIFIED:
%[ch=TpsProxyOutboundHandler][ip=10.10.10.61][sev=INFO][tid=qtp687776794-16]:
Outbound proxy request from [192.168.1.2] to [192.168.1.1
Geräteregistrierung
Schritt 1: Vorbereitung auf die Geräteregistrierung
CG-NMS leitet die Konfiguration des CGNA-Profils cg-nms-register weiter. Zusätzliche Befehle werden hinzugefügt, sodass das Profil sofort ausgeführt wird, anstatt auf das Ablaufen des Intervallzeitgebers zu warten.
CG-NMS deaktiviert die CGNA-Profil cg-nms-tunnel Tunnelbereitstellung wird zu diesem Zeitpunkt als abgeschlossen angesehen.
Schritt 2: CG-NMS erhält eine Geräteregistrierungsanfrage.
- Überprüfen der Bereitstellung von FAR in der DB
- Überprüfen Sie, ob die Dateien cg-nms.odm und cg-nms-scripts.tcl entweder im FAR-Flash fehlen oder auf eine neue Version aktualisiert werden müssen. CG-NMS lädt diese bei Bedarf automatisch hoch.
- Erfassen der FAR-aktuellen Konfiguration
- Verarbeiten Sie alle Ausgaben der Anzeigebefehle, die in der Anforderung enthalten sind. Fragen Sie bei Bedarf nach den fehlenden. Die Liste kann je nach FAR-Hardwarekonfiguration variieren.
Wenn Sie weitere Informationen zur Implementierung der Zero Touch Deployment in Ihrem Netzwerk benötigen, wenden Sie sich an Ihren Cisco Partner oder Cisco Systemtechniker.
Wenden Sie sich für eine Express-Setup-Konfiguration auf dem Router an Ihren Partner oder Cisco Systemtechniker.
Zugehörige Informationen
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
02-Mar-2017 |
Erstveröffentlichung |
Beiträge von Cisco Ingenieuren
- Abhishek KumarCisco TAC Engineer
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)