FAN 솔루션에서 ZTD의 문제 해결 단계

소개

이 문서에서는 CGR(Connected Grid Router) 및 FND(Field Network Director)로 구성된 FAN(Field Area Network) 솔루션의 ZTD(Zero Touch Deployment)를 통해 일반적인 문제를 해결하는 방법에 대해 설명합니다.

사전 요구 사항 

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 CGR을 사용한 ZTD 구축을 기반으로 합니다.
CGR(CGR1120/CGR1240), FND, TPS(Tunnel Provisioning Server), RA(Registration Authority), CA(Certificate Authority), DNS(Domain Name Server)를 구성 요소로 포함합니다.  CG-NMS는 이전 버전의 FND이므로 FND와 Cisco CG-NMS(Connected Grid Network Management System)를 상호 변경할 수 있습니다.
 
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다. 

FAN 솔루션의 ZTD 프로세스에 따라 문제 해결 단계

FAR(Field Area Router) 제조 구성

모든 것은 이 제조 컨피그레이션에서 시작되므로 이 단계는 성공적인 구축을 위한 핵심 단계입니다.
 
이 컨피그레이션은 처음 두 단계를 트리거합니다.SCEP(Simple Certificate Enrollment Protocol) 및 터널 프로비저닝.
 
성공적인 테스트는 제조 컨피그레이션과 함께 구축되는 FAR이며, ZTD 프로세스를 통해 어떠한 개입도 없이 CG-NMS에 최종적으로 등록할 수 있습니다.

일반 용의자:

• FAR과 CG-NMS 간의 자격 증명이 일치하지 않습니다.
• 터널 프로비저닝을 위한 CGNA(Connected Grid NMS Agent) URL이 잘못되었습니다(http가 아닌 https인지 확인).
• TPS FQDN(정규화된 도메인 이름)을 확인하도록 DNS(Domain Name Server)가 잘못 구성되었습니다.

이 두 단계의 트러블슈팅을 수행할 때 제조 컨피그레이션을 업데이트해야 하는 경우 이 프로세스를 따라야 합니다.  

• HE와의 FAR 연결 차단(물리적 또는 논리적)
• FAR을 express-setup-config로 롤백
• 변경 사항 적용
• 새 express-setup-config 파일 만들기
• nvram에 컨피그레이션 저장
• FAR에서 ZTD 프로세스를 다시 트리거할 수 있도록 연결 복원

SCEP 등록

이 단계의 목표는 FAR이 RSA PKI(Public Key Infrastructure)에서 로컬 디바이스 ID(LDevID) 인증서를 수신하고 권한 부여 후 인증서를 가져오도록 허용하는 것입니다.이 단계는 FAR가 TPS와 통신하고 IPSec 터널을 HER와 설정하기 위해 인증서가 필요한 다음 단계의 필수 사항입니다.

관련 구성 요소는 다음과 같습니다.FAR, RA, SCEP 서버, Radius 서버 및 DB

tm_ztd_scep.tcl이라는 TCL(Tool Command Language) 스크립트는 자동으로 SCEP 프로세스를 시작하고 등록이 성공할 때까지 계속 시도합니다.

단계	관련 구성 요소	문제 해결 지침	유용한 명령
이벤트 관리자가 tm_ztd_scep.tcl 스크립트 시작	멀리	이벤트 관리자 구성 확인 스크립트에서 사용하는 환경 변수 구성 확인	deb event manager tcl 명령은 스크립트에 의해 적용된 모든 CLI 명령을 강조 표시합니다.
RA FQDN 확인	FAR, DNS	FAR과 DNS 간의 연결 확인 DNS 레코드를 확인하여 이 이름을 확인합니다. FAR 등록 프로필 구성 확인	FAR에서 RA FQDN ping
FAR에서 SCEP 요청을 RA로 전송	FAR, RA	RA와 FAR 간의 연결 확인 RA 컨피그레이션을 확인합니다.PKI 서버는 UP여야 합니다.	디버그 암호화 pki 트랜잭션 디버그 암호화 프로비저닝
PKI 권한 부여	RA, RADIUS	RA와 RADIUS 서버 간 연결 확인 RA PKI 권한 부여 구성 확인 RADIUS 서버 구성 확인	디버그 암호화 pki scep 디버그 암호화 pki 트랜잭션 debug crypto pki server 디버그 암호화 프로비저닝
FAR 인증서 발급	RA, 발급자 CA	RA와 발급자 CA 간의 연결 확인	RA:디버그 암호화 pki 발급자 CA가 IOS-CA인 경우 동일한 debug 명령도 사용할 수 있습니다

터널 프로비저닝

이 단계에서 FAR은 CG-NMS에서 터널 컨피그레이션을 가져오기 위해 TPS(CG-NMS를 대신하여 프록시 역할)와 통신합니다.이 단계는 CGNA 프로파일을 활성화하여 등록이 완료되면 SCEP tcl 스크립트에 의해 시작됩니다.

관련 구성 요소는 다음과 같습니다.FAR, DNS, TPS, CG-NMS

단계	관련 구성 요소	문제 해결 지침	유용한 명령
CGNA 프로파일을 활성화하는 TCL 스크립트	멀리	ZTD_SCEP_CGNA_Profile 환경 변수에 대해 올바른 프로파일이 구성되었는지 확인합니다.	"show cgna profile-all" - 프로파일이 활성 상태인지 확인합니다.
CGNA 프로필에서 TPS FQDN 확인	FAR, DNS	DNS와 FAR 간의 연결 확인 DNS 레코드를 확인하여 이 이름을 확인합니다. CGNA URL에서 TPS FQDN 컨피그레이션 확인	멀리:TPS FQDN ping
CGNA 프로필은 TPS로 HTTPS 세션 설정	FAR, TPS	TPS 서비스가 실행 중인지 확인 TPS 키 저장소 파일 확인 TPS가 CGR에서 TPS 패킷을 수신하는지 확인 CGNA 프로필 컨피그레이션 확인	TPS 로그 파일은 /opt/cgms-tpsproxy/log/tpsproxy.log에 있습니다.
TPS는 CG-NMS에 터널 요청을 전달합니다.	TPS, CG-NMS	TPS 및 CG-NMS 속성 확인 TPS와 CG-NMS 간의 연결을 확인합니다. TPS 및 CG-NMS 로그 확인	FND 로그 파일은 <:cd /opt/cgms/server/cgms/log )에 있습니다.

FAR는 포트 9120에서 HTTPS를 사용하여 터널 프로비저닝 요청을 통해 TPS에 연결

4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
Inbound proxy request from [192.168.1.1] with client certificate subject 
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
Completed inbound proxy request from [192.168.1.1] with client certificate subject 
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

  

터널의 로그(Logs after Tunnel)는 HER와 FAR 간에 설정되며 FAR은 HER와 직접 통신할 수 있습니다.

4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
Inbound proxy request from [192.168.1.1] with client certificate subject [SERIALNUMBER=PID:

IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: 
%[ch=1c3d5104][eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]: 
Completed inbound proxy request from [192.168.1.1] with client certificate subject [SERIALN

UMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]

4353: iok-tps: Jul 13 2016 14:46:12.425 +0000: %CGMS-6-UNSPECIFIED: 
%[ch=TpsProxyOutboundHandler][ip=192.168.1.1][sev=INFO][tid=qtp687776794-16]: 
Outbound proxy request from [192.168.1.2] to [192.168.1.1]

4354: iok-tps: Jul 13 2016 14:46:14.176 +0000: %CGMS-6-UNSPECIFIED: 
%[ch=TpsProxyOutboundHandler][ip=10.10.10.61][sev=INFO][tid=qtp687776794-16]: 
Outbound proxy request from [192.168.1.2] to [192.168.1.1

디바이스 등록

1단계. 디바이스 등록 준비

CG-NMS는 CGNA 프로파일 cg-nms-register의 컨피그레이션을 푸시합니다.추가 명령이 추가되어 간격 타이머가 만료될 때까지 기다리지 않고 프로파일이 즉시 실행됩니다.

CG-NMS는 CGNA 프로파일 cg-nms-tunnel Tunnel 프로비저닝이 완료된 것으로 간주됩니다.

2단계. CG-NMS가 디바이스 등록 요청을 수신함

• FAR이 DB에 프로비저닝되었는지 확인합니다.
• cg-nms.odm 및 cg-nms-scripts.tcl 파일이 FAR 플래시에 없거나 새 버전으로 업데이트해야 하는지 확인합니다.필요한 경우 CG-NMS에서 자동으로 업로드합니다.
• FAR 현재 구성 캡처
• 요청에 포함된 모든 show 명령 출력을 처리합니다.필요한 경우 누락된 항목을 요청합니다.목록은 FAR 하드웨어 구성에 따라 달라질 수 있습니다. 

네트워크 내에서 제로 터치 구축을 구현하는 방법에 대한 자세한 내용은 Cisco 파트너 또는 Cisco 시스템 엔지니어에게 문의하십시오.

라우터에 대한 express-setup-config는 파트너 또는 Cisco 시스템 엔지니어에게 문의하십시오.

관련 정보

• http://www.cisco.com/c/en/us/td/docs/routers/connectedgrid/cgr1000/1_0/software/configuration/guide/security/security_Book/sec_ztdv4_cgr1000.html
• 기술 지원 및 문서 − Cisco Systems