概要
このドキュメントでは、Connected Gridルータ(CGR)とField Network Director(FND)で構成されるフィールドエリアネットワーク(FAN)ソリューションのゼロタッチ導入(ZTD)で一般的な問題をトラブルシューティングする方法について説明します。
前提条件
要件
このドキュメントに特有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、CGRによるZTDの導入に基づいています。
コンポーネントとしてCGR(CGR1120/CGR1240)、FND、Tunnel Provisioning Server(TPS)、Registration Authority(RA)、Certificate Authority(CA)、Domain Name Server(DNS)が含まれます。 CG-NMSは以前のバージョンのFNDであるため、FNDとCisco Connected Grid Network Management System(CG-NMS)は互換性があります。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
FANソリューションのZTDプロセスに従ったトラブルシューティング手順
フィールドエリアルータ(FAR)の製造設定
この製造構成から始まるすべてが、このステップが導入を成功させる鍵となります。
この設定は、最初の2つのフェーズをトリガーします。Simple Certificate Enrollment Protocol(SCEP)およびトンネルプロビジョニング。
テストの成功は、製造構成を持つFARを導入し、ZTDプロセスを経て、介入なしで最終的にCG-NMSに登録できます。
容疑者:
- FARとCG-NMSの間のクレデンシャルが一致しません。
- トンネルプロビジョニングのConnected Grid NMS Agent(CGNA)URLが正しくない(httpではなくhttpsであることを確認してください)。
- TPS完全修飾ドメイン名(FQDN)を解決するためにドメインネームサーバ(DNS)が正しく設定されていません。
これら2つのフェーズのトラブルシューティングを行う際に、製造構成を更新する必要がある場合は、次の手順に従ってください。
- HE(物理的または論理的)とのFAR接続をブロックする
- FARをexpress-setup-configにロールバックします
- 変更の適用
- 新しいexpress-setup-configファイルを作成します
- nvramに設定を保存します
- FARがZTDプロセスを再びトリガーできるように、接続を復元します
SCEP登録
このフェーズの目標は、FARがローカルデバイスID(LDevID)証明書をRSA公開キーインフラストラクチャ(PKI)から受信し、認証後に証明書を取得することを許可することです。このステップは、FARがTPSと通信し、HERとのIPSecトンネルを確立するために証明書を必要とする次のステップに必要です。
関連するコンポーネントは次のとおりです。FAR、RA、SCEPサーバ、RADIUSサーバ、およびそのDB。
tm_ztd_scep.tclというTool Command Language(TCL)スクリプトが自動的にSCEPプロセスを開始し、登録が成功するまで試行を続けます。
手順 |
関連コンポーネント |
トラブルシューティングのガイドライン |
便利なコマンド |
イベントマネージャがtm_ztd_scep.tclスクリプトを開始 |
FAR |
- イベントマネージャの設定の確認
- スクリプトで使用される環境変数の設定を確認します
|
deb event manager tclコマンドは、スクリプトによって適用されるすべてのCLIコマンドを強調表示します |
RA FQDN解決 |
FAR、DNS |
- FARとDNSの間の接続を確認します
- この名前を解決するには、DNSレコードを確認します
- FAR登録プロファイル設定を確認します
|
FAR |
FARがRAにSCEP要求を送信 |
ラ・ファール |
- RAとFARの間の接続をチェックします。
- RA設定を確認します。PKIサーバが起動している必要があります
|
debug crypto pki transactions debug crypto provisioning |
PKI認可 |
RA、RADIUS |
- RAとRADIUSサーバ間の接続を確認します。
- RA PKI許可設定を確認します
- Radiusサーバ設定の確認
|
debug crypto pki scep debug crypto pki transactions debug crypto pki server debug crypto provisioning |
FAR証明書発行 |
RA、発行者CA |
|
RA:debug crypto pki 発行者CAがIOS-CAである場合は、同じdebugコマンドも使用できます |
トンネルプロビジョニング
このフェーズの時点で、FARは(CG-NMSの代理として)TPSと通信し、CG-NMSからトンネル設定を取得します。このフェーズは、CGNAプロファイルをアクティブ化して登録が完了すると、SCEP tclスクリプトによって開始されます。
関連するコンポーネントは次のとおりです。FAR、DNS、TPS、CG-NMS
手順 |
関連コンポーネント |
トラブルシューティングガイドライン |
便利なコマンド |
CGNAプロファイルをアクティブにするTCLスクリプト |
FAR |
適切なプロファイルがZTD_SCEP_CGNA_Profile環境変数に設定されていることを確認します |
プロファイルがアクティブであることを確認するには、「show cgna profile-all」 |
CGNAプロファイルがTPS FQDNを解決 |
FAR、DNS |
- DNSとFARの間の接続を確認する
- この名前を解決するには、DNSレコードを確認します
- CGNA URLのTPS FQDN設定を確認します
|
FAR:ping TPS FQDN |
CGNAプロファイルは、TPSとのHTTPSセッションを確立します |
FAR、TPS |
- TPSサービスが実行中であることを確認します
- TPSキーストアファイルの確認
- TPSがCGRからTPSパケットを受信することを確認します
- CGNAプロファイル設定の確認
|
TPSログファイルは、/opt/cgms-tpsproxy/log/tpsproxy.logにあります。 |
TPSがトンネル要求をCG-NMSに転送 |
TPS、CG-NMS |
- TPSおよびCG-NMSプロパティの確認
- TPSとCG-NMS間の接続を確認する
- TPSおよびCG-NMSログのチェック
|
FNDログファイルは:cd /opt/cgms/server/cgms/logにあります。 |
FARは、ポート9120でHTTPSによるトンネルプロビジョニング要求を使用してTPSに接続します
4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Inbound proxy request from [192.168.1.1] with client certificate subject
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Completed inbound proxy request from [192.168.1.1] with client certificate subject
[SERIALNUMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
トンネルがHERとFARの間に確立された後のログと、今後FARがHERと直接通信できるログ
4351: iok-tps: Jul 13 2016 14:46:12.328 +0000: %CGMS-6-UNSPECIFIED: %[ch=1c3d5104]
[eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Inbound proxy request from [192.168.1.1] with client certificate subject [SERIALNUMBER=PID:
IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4352: iok-tps: Jul 13 2016 14:46:12.382 +0000: %CGMS-6-UNSPECIFIED:
%[ch=1c3d5104][eid=IR809G-LTE-NA-K9+JMX2007X00Z][ip=192.168.1.1][sev=INFO][tid=qtp756319399-23]:
Completed inbound proxy request from [192.168.1.1] with client certificate subject [SERIALN
UMBER=PID:IR809G-LTE-NA-K9 SN:JMX2007X00Z, CN=IR800_JMX2007X00Z.cisco.com]
4353: iok-tps: Jul 13 2016 14:46:12.425 +0000: %CGMS-6-UNSPECIFIED:
%[ch=TpsProxyOutboundHandler][ip=192.168.1.1][sev=INFO][tid=qtp687776794-16]:
Outbound proxy request from [192.168.1.2] to [192.168.1.1]
4354: iok-tps: Jul 13 2016 14:46:14.176 +0000: %CGMS-6-UNSPECIFIED:
%[ch=TpsProxyOutboundHandler][ip=10.10.10.61][sev=INFO][tid=qtp687776794-16]:
Outbound proxy request from [192.168.1.2] to [192.168.1.1
デバイス登録
ステップ1:デバイス登録の準備をする
CG-NMSは、CGNAプロファイルcg-nms-registerの設定をプッシュします。インターバルタイマーが期限切れになるまで待たずに、プロファイルがすぐに実行されるように、追加のコマンドが追加されます。
CG-NMSはCGNAプロファイルcg-nms-tunnelを非アクティブにします。この時点でトンネルプロビジョニングが完了していると見なされます。
ステップ2:CG-NMSがデバイス登録要求を受信する
- FARがDBでプロビジョニングされていることを確認します
- cg-nms.odmおよびcg-nms-scripts.tclファイルがFARフラッシュに存在しないか、新しいバージョンに更新する必要があるかどうかを確認します。必要に応じて、CG-NMSによって自動的にアップロードされます。
- FARの現在の設定のキャプチャ
- 要求に含まれるすべてのshowコマンド出力を処理します。必要に応じて、足りない項目を求めます。このリストは、FARハードウェア設定によって異なる場合があります。
ネットワーク内でのゼロタッチ導入の実装の詳細については、シスコパートナーまたはシスコシステムエンジニアにお問い合わせください。
ルータのexpress-setup-configについては、パートナーまたはシスコのシステムエンジニアにお問い合わせください。
関連情報