проблема с подключением Edge с использованием автоматической авторизации сертификатов

Hetch

Здравствуйте, Я использую Cisco Catalyst SD-WAN версии 20.15.1 (на локальных оркестраторах). У меня возникает проблема с подключением любого виртуального пограничного маршрутизатора C8000V, когда я устанавливаю автоматическую авторизацию сертификатов WAN Edge Cloud (подписанных менеджером), но у меня не возникает такой проблемы, если авторизация сертификатов WAN Edge Cloud установлена в ручной режим (рекомендуется Enterprise CA). Когда я пытаюсь подключить маршрутизатор C8000V с помощью автоматического процесса авторизации (подписанного менеджером), это не удается. В журналах vBond отображается сбой проверки сертификата с кодом «ERR_CERT_VER_FAIL». ------------------ vBond:~$ cat /var/log/vsyslog 9 февраля 10:30:19 vBond VBOND_4[1626]: %Viptela-vBond-vbond_4-5-NTCE-1400002: Уведомление: vbond-reject-vedge-connection severity-level:major host-name:"vBond" system-ip:10.3.3.2 uuid:"C8K-9C82B27D-FC58-6716-B992-3A616D67FE6E" organization-name:"NCRATLEOS-NOC-LAB" sp-organization-name:"NCRATLEOS-NOC-LAB" reason:"ERR_CERT_VER_FAIL" generated-at:2-9-2025T8:30:19
Feb 9 10:30:19 vBond VBOND_4[1626]: %Viptela-vBond-vbond_4-5-NTCE-1400002: Уведомление: control-connection-auth-fail severity-level:major host-name:"vBond" system-ip:10.3.3.2 personality:vbond peer-type:vedge peer-system-ip::: local-system-ip:10.3.3.2 local-color:default reason:"ERR_CERT_VER_FAIL" generated-at:2-9-2025T8:30:19 9
февраля 10:30:21 vBond VBOND_0[1635]: %Viptela-vBond-vbond_0-5-NTCE-1400002: Уведомление: vbond-reject-vedge-connection severity-level:major host-name:"vBond" system-ip:10.3.3.2 uuid:"C8K-BC9FCD48-8689-6C4D-A509-43608B131407" organization-name:"NCRATLEOS-NOC-LAB" sp-organization-name:"NCRATLEOS-NOC-LAB" reason:"ERR_CERT_VER_FAIL" generated-at:2-9-2025T8:30:21
Feb 9 10:30:21 vBond VBOND_0[1635]: %Viptela-vBond-vbond_0-5-NTCE-1400002: Уведомление: control-connection-auth-fail severity-level:major host-name:"vBond" system-ip:10.3.3.2 personality:vbond peer-type:vedge peer-system-ip::: local-system-ip:10.3.3.2 local-color:default reason:"ERR_CERT_VER_FAIL" generated-at:2-9-2025T8:30:21 9
февраля 10:30:23 vBond VBOND_4[1626]: %Viptela-vBond-vbond_4-5-NTCE-1400002: Уведомление: vbond-reject-vedge-connection severity-level:major host-name:"vBond" system-ip:10.3.3.2 uuid:"ASR-6332d2ad-329a-4b26-a0f4-175965c51b78" organization-name:"NCR-NOC-CAIRO-LAB" sp-organization-name:"NCR-NOC-CAIRO-LAB" reason:"ERR_CERT_VER_FAIL" generated-at:2-9-2025T8:30:23
Feb 9 10:30:23 vBond VBOND_4[1626]: %Viptela-vBond-vbond_4-5-NTCE-1400002: Уведомление: control-connection-auth-fail severity-level:major host-name:"vBond" system-ip:10.3.3.2 personality:vbond peer-type:vedge peer-system-ip::: local-system-ip:10.3.3.2 local-color:default reason:"ERR_CERT_VER_FAIL" generated-at:2-9-2025T8:30:23 ------------------------- Корневой центр сертификации установлен на маршрутизаторе, и я сравнил его с корневым центром сертификации, установленным на vManage и vBond. Он выглядит одинаково (одинаковый серийный номер, одинаковый эмитент и название организации). Кроме того, NTP синхронизирован, а DNS-сервер установлен правильно. Связь в порядке. Это вывод команды «show sdwan control connection-history». ------------------- PEER PEER
PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC
TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE

vmanage dtls 10.3.3.1 11 0 192.168.74.11 12946 192.168.74.11 12946 public-internet tear_down 0
vbond dtls 0.0.0.0 0 0 192.168.74.12 12346 192.168.74.12 12346 public-internet tear_down 0
vbond dtls 0.0.0.0 0 0 192.168.74.12 12346 192.168.74.12 12346 public-internet tear_down 0
vbond dtls 0.0.0.0 0 0 192.168.74.12 12346 192.168.74.12 12346 public-internet connect 0 ----------------------- и я вижу только RootCA, установленный на cEdge, но не сертификат устройства: ------------- cEdge61#show sdwan control local-properties | include chassis-num|serial-num
chassis-num/unique-id C8K-D175064E-AB76-2C6D-4FAA-024A075D8BA2
serial-num No certificate installed
subject-serial-num N/A
enterprise-serial-num No certificate installed -------------------- Есть ли идеи, почему не работает только автоматическая авторизация, а ручная работает? В графическом интерфейсе vManage я вижу, что CSR сгенерирован, но установка сертификата не удалась. Означает ли это, что у vManage есть какие-то проблемы с процессом подписания CSR? Заранее спасибо,

Hetch

Привет
[, @Jeongjun Park]
и
@Kanan Huseynli
Спасибо за ответ. Я также использовал тот же NTP time.google.com для синхронизации и загрузил список серийных номеров в контроллеры, но большое спасибо за подробную информацию об этапе активации. Дело в том, что автоматический процесс авторизации работал нормально только несколько дней, и я понял, что что-то не так с ROOTCA (я не могу точно определить, в чем была проблема, но теперь она решена после того, как я установил новую версию vManage и снова установил ROOTCA на vManage). Теперь я вижу, что автоматический процесс авторизации работает. Один вопрос
@Kanan Huseynli
по поводу автоматического процесса авторизации. Насколько я понимаю, vManage использует корневой сертификат предприятия для подписи запроса CSR Edge, верно? И для подписи CSR ему нужен закрытый ключ. Как он его получает? Большое спасибо,

Jeongjun Park

Здравствуйте, пожалуйста, ознакомьтесь с этой статьей. [)

Kanan Huseynli

Здравствуйте, вы загрузили список серийных номеров в vManage и отправили его на все остальные контроллеры? Виртуальные устройства (vedge-cloud/ csr1kv /cat8kv) не имеют встроенной информации о серийных номерах/токенах для подключения. Ниже приведены шаги для подключения виртуального маршрутизатора: 1) В портале PNP вы добавляете виртуальное устройство (тип/количество). Он генерирует идентификатор шасси и токен. 2) Вы загружаете и обновляете список серийных номеров в vManage, загрузив (или повторно загрузив) файл серийных номеров, загруженный с портала PNP. Вы также отправляете обновленный список на другие контроллеры (vbond/vsmart). 3) В списке маршрутизаторов vManage вы увидите идентификатор шасси и токен (серийный номер и токен находятся в одной колонке). 4) Вы берете любой из них (идентификатор шасси + токен, соответствующий типу устройства) и включаете его на виртуальном маршрутизаторе request platform software sd-wan vedge-cloud activation chassis-id [
id
] token [
token
]
и нажмите Enter. 5) Маршрутизатор переходит к vBond, используя chassis-id и токен. Они авторизуют друг друга. vBond предоставляет информацию vManage. vManages авторизует маршрутизатор, используя chassis-id и токен от маршрутизатора. Только после этого vManage генерирует CSR и подписывает сертификат для маршрутизатора. Теперь у вас есть тот же chassis-id, но серийный номер (SN) подписанного сертификата на основе vManage вместо токена (он виден в графическом интерфейсе vManage). Маршрутизатор разрывает управляющие соединения и восстанавливает их, используя chassis-id и серийный номер, начиная с vBond. После двунаправленной аутентификации маршрутизатор получает информацию vManage/vSmart, получает свой шаблон и локализованную политику от vManage,
а также
маршрутизацию и централизованную политику от vSmart. См.: https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/SDWAN/sdwan-wan-edge-onboarding-deploy-guide-2020nov.pdf Процедура 2: Дополнительные шаги по подключению к платформе vEdge Cloud HTH,
пожалуйста, оцените и отметьте как принятое решение, если вы нашли какую-либо из предоставленной информации полезной.

Kanan Huseynli

В автоматическом варианте vManage сам является CA. Это совершенно отличается от Enterprise CA HTH,
пожалуйста, оцените и отметьте как принятое решение, если вы нашли какую-либо из предоставленной информации полезной.

Jeongjun Park

Рад слышать! Думаю, такое случается редко.

Hetch

Еще раз спасибо
@Jeongjun Park
и
@Kanan Huseynli
. Очень признателен!