Fasi di risoluzione dei problemi per ZTD nella soluzione FAN

Opzioni per il download

  • PDF     (146.0 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (84.5 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (73.2 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:15 luglio 2021
ID documento:201005

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come risolvere i problemi più comuni durante l'installazione Zero Touch (ZTD) in una soluzione Field Area Network (FAN) costituita da Connected Grid Router (CGR) e Field Network Director (FND).


    Prerequisiti 


    Requisiti

    Nessun requisito specifico previsto per questo documento.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulla distribuzione ZTD con CGR.
    Include CGR (CGR1120/CGR1240), FND, Tunnel Provisioning Server (TPS), Registration Authority (RA), Certificate Authority (CA), Domain Name Server (DNS) come componenti.  FND e Cisco Connected Grid Network Management System (CG-NMS) sono intercambiabili poiché CG-NMS è una versione precedente di FND.
     
    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi. 



    Fasi di risoluzione dei problemi secondo il processo ZTD nelle soluzioni FAN

    Configurazione di fabbricazione del router per area campo (FAR)

    Tutto inizia da questa configurazione di produzione, quindi questo passaggio è fondamentale per una distribuzione corretta.
     
    Questa configurazione attiverà le prime due fasi: SCEP (Simple Certificate Enrollment Protocol) e provisioning tunnel.
     
    Un test di successo è un FAR implementato con la sua configurazione di produzione e in grado di passare attraverso il processo ZTD per registrare finalmente con CG-NMS senza alcun intervento.

    Sospetti soliti:

    • Le credenziali tra FAR e CG-NMS non corrispondono.
    • L'URL CGNA (Connected Grid NMS Agent) per il provisioning del tunnel non è corretto (verificare che sia https e non http).
    • DNS (Domain Name Server) non configurato correttamente per risolvere il nome di dominio completo (FQDN) TPS.

    Se al momento della risoluzione dei problemi di queste due fasi, è necessario aggiornare la configurazione di produzione, seguire questo processo:  

    • Bloccare la connettività FAR con HE (fisicamente o logicamente)
    • Ripristino della configurazione espressa di FAR
    • Applicare le modifiche
    • Creare un nuovo file express-setup-config
    • Salvare la configurazione nella nvram
    • Ripristinare la connettività in modo che FAR possa attivare di nuovo il processo ZTD

    Iscrizione SCEP

    L'obiettivo di questa fase è autorizzare FAR a ricevere il certificato di identità del dispositivo locale (LDevID) dall'infrastruttura a chiave pubblica (PKI) RSA e a ottenere il certificato dopo l'autorizzazione. Questo passaggio è un prerequisito per il successivo caso in cui FAR ha bisogno del certificato per comunicare con il TPS e stabilire il tunnel IPSec con il HER.

    I componenti interessati sono: FAR, RA, server SCEP, server Radius e relativo database.

    Uno script TCL (Tool Command Language) denominato tm_ztd_scep.tcl avvierà automaticamente il processo SCEP e continuerà a provare fino al completamento della registrazione.

             Passi                           

    Componenti interessati

    Linee guida per la risoluzione dei problemi            

    Comandi utili                                     

    gestione eventi avvia lo script tm_ztd_scep.tcl

    LONTANO
    • Verificare la configurazione del gestore eventi
    • Verificare la configurazione delle variabili di ambiente utilizzata dallo script

    i comandi tcl di deb event manager evidenzieranno tutti i comandi CLI applicati dallo script

    Risoluzione FQDN Autorità registrazione integrità

    FAR, DNS
    • Verificare la connettività tra FAR e DNS
    • Controllare il record DNS per risolvere il nome
    • Verifica configurazione profilo di registrazione FAR

    eseguire il ping dell'FQDN RA dal FAR

    FAR invia la richiesta SCEP all'Autorità registrazione

    FAR, RA
    • Verificare la connettività tra RA e FAR
    • Controllare la configurazione dell'Autorità registrazione. Il server PKI deve essere attivo

    debug transazioni crypto pki

    debug crypto provisioning

    autorizzazione PKI

    RA, RAGGIO
    • Verificare la connettività tra server RSA e RADIUS
    • Verifica configurazione autorizzazione Infrastruttura a chiave pubblica dell'Autorità registrazione integrità
    • Verifica configurazione server Radius

    debug crypto pki scep

    debug transazioni crypto pki

    debug crypto pki server

    debug crypto provisioning

    rilascio certificato FAR

    RA, CA emittente
    • Verifica della connettività tra Autorità di certificazione e Autorità di certificazione emittente 

    RA: debug crypto pki

    Se l'autorità di certificazione è un'autorità di certificazione IOS-CA, è possibile utilizzare lo stesso comando di debug

    Tunnel Provisioning

    Al momento di questa fase, il FAR comunicherà con il TPS (agisce come proxy per conto di CG-NMS) per ottenere la sua configurazione del tunnel da CG-NMS. Questa fase viene avviata dallo script TCL SCEP una volta completata la registrazione, attivando il profilo CGNA.

    I componenti interessati sono: FAR, DNS, TPS, CG-NMS.

    Passi 

    Componenti Interessati 

    Linee guida per la risoluzione dei problemi 

    		 Comandi utili 

    Script TCL per attivare il profilo CGNA

    LONTANO

    Verificare che il profilo corretto sia configurato per la variabile di ambiente ZTD_SCEP_CGNA_Profile

    "show cgna profile-all" per verificare che il profilo sia attivo

    FQDN risoluzione profilo CGNA

    FAR, DNS
    • Verifica della connettività tra DNS e FAR
    • Controllare il record DNS per risolvere il nome
    • Controllare la configurazione FQDN TPS nell'URL CGNA

    LONTANO: FQDN ping TPS

    Profilo CGNA per stabilire una sessione HTTPS con TPS

    LONTANO, TPS
    • Verificare che il servizio TPS sia in esecuzione
    • Controlla file keystore TPS
    • Check TPS riceve pacchetti TPS da CGR
    • Verifica configurazione profilo CGNA
    		 Il file di registro TPS si trova in: /opt/cgms-tpsproxy/log/tpsproxy.log

    Inoltra richiesta tunnel TPS a CG-NMS

    TPS, CG-NMS
    • Verifica delle proprietà di TPS e CG-NMS
    • Verifica della connettività tra TPS e CG-NMS
    • Controllare i registri TPS e CG-NMS
    		 Il file di registro FND si trova in :cd /opt/cgms/server/cgms/log

    Il FAR contatta TPS con una richiesta di provisioning del tunnel con HTTPS sulla porta 9120

    4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
    [eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
    Inbound proxy request from [192.168.1.1] with client certificate subject 
    [SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

    4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
    [eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
    Completed inbound proxy request from [192.168.1.1] with client certificate subject 
    [SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

      

    Registri dopo il tunnel stabilito tra HER e FAR e da qui in poi, FAR può comunicare direttamente con HER

    4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
    [eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
    Inbound proxy request from [192.168.1.1] with client certificate subject [SERIALNUMBER=PID:

    IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

    4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: 
    %[ch=1c3d5104][eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
    Completed inbound proxy request from [192.168.1.1] with client certificate subject [SERIALN

    UMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

    4353: iok-tps: Jul 13 2016 14:46:12.425 +0000: %CGMS-6-UNSPECIFIED: 
    %[ch=TpsProxyOutboundHandler][ip=192.168.1.1][sev=INFO][tid=qtp687776794-16]: 
    Outbound proxy request from [192.168.1.2] to [192.168.1.1]

    4354: iok-tps: Jul 13 2016 14:46:14.176 +0000: %CGMS-6-UNSPECIFIED: 
    %[ch=TpsProxyOutboundHandler][ip=10.10.10.61][sev=INFO][tid=qtp687776794-16]: 
    Outbound proxy request from [192.168.1.2] to [192.168.1.1

    Registrazione dispositivo

    Passaggio 1. Prepararsi per la registrazione del dispositivo

    CG-NMS eseguirà il push della configurazione del registro CGNA del profilo cg-nms. Vengono aggiunti comandi aggiuntivi in modo che il profilo venga eseguito immediatamente anziché attendere la scadenza del timer dell'intervallo.

    CG-NMS disattiverà il profilo CGNA cg-nms-tunnel Il provisioning del tunnel è considerato completato a questo punto.

    Passaggio 2. CG-NMS riceve una richiesta di registrazione del dispositivo

    • Verificare il provisioning di FAR nel relativo database
    • Verificare se i file cg-nms.odm e cg-nms-scripts.tcl non sono presenti nella memoria flash FAR o devono essere aggiornati a una nuova versione. CG-NMS li carica automaticamente, se necessario.
    • Acquisisci configurazione FAR corrente
    • Elaborare tutti gli output dei comandi show inclusi nella richiesta. Se necessario, chiedete i componenti mancanti. L'elenco può variare in base alla configurazione hardware FAR. 

    Per i dettagli sull'implementazione dell'installazione Zero Touch nella rete, contattare il partner Cisco o il tecnico di sistema Cisco.

    Per express-setup-config su router, contattare il partner o il tecnico di sistema Cisco.


    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    02-Mar-2017
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Abhishek Kumar
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci