أستكشاف أخطاء تكامل وحدة التحكم اللاسلكية Umbrella (9800) وإصلاحها
المقدمة
يوضح هذا المستند كيفية أستكشاف أخطاء دمج وحدة التحكم اللاسلكية من السلسلة 9800 وإصلاحها باستخدام Umbrella.
نظرة عامة
هذه المقالة هي إستمرار للمحولات Cisco Catalyst 9200 و Catalyst 9300 switches وتعمل كدليل لاستكشاف أخطاء التسجيل وإصلاحها بالإضافة إلى سير العمل بين 9800 و Cisco Umbrella.
سير عمل Cisco Umbrella العام
4415377983508-
تسجيل وحدة التحكم اللاسلكية مع خادم Cisco Umbrella هو عملية تتم مرة واحدة ويحدث عبر نفق HTTPS آمن.
-
الحصول على رمز API المميز لتسجيل الجهاز (9800) من لوحة معلومات Cisco Umbrella.
-
تطبيق الرمز المميز على 9800. يقوم هذا بتسجيل الجهاز إلى حساب Cisco Umbrella. بعد ذلك، قم بإنشاء ملف تعريف Cisco Umbrella/s على 9800. يتم دفع ملفات التخصيص تلقائيا إلى Cisco Umbrella حيث يتم فرض الهويات والنهج على أساس كل هوية.
-
تتدفق حركة مرور بيانات العميل اللاسلكي إلى خادم Cisco Umbrella.
-
يرسل عميل لاسلكي طلب DNS إلى 9800.
-
يقوم 9800 بالتطفل على حزمة DNS ووضع علامات عليه باستخدام ملف تعريف Cisco Umbrella. التوصيف هو هوية الحزمة الموجودة أيضا على Cisco Umbrella.
-
تتم إعادة توجيه حزمة EDNS هذه إلى خادم Cisco Umbrella Cloud لحل الاسم.
-
ثم تقوم Cisco Umbrella بفرض سياسة عليها تعتمد على الهوية وتطبق قواعد التصفية المستندة إلى الفئة لضمان التوافق التنظيمي.
-
بناء على القواعد، يقوم إما بإرجاع صفحة محظورة أو عنوان IP تم حله إلى العميل لطلب DNS الذي تم الاستعلام عنه.
توجد الخطوات التفصيلية لتكوين 9800 في دليل تكوين الأمان.
التسجيل واستيراد الشهادة
- الحصول على رمز API المميز من لوحة معلومات Umbrella: Admin > مفاتيح API > (إنشاء) أجهزة الشبكة القديمة.
- قم باستيراد شهادة CA إلى 9800 عن طريق CLI باستخدام أي من الطريقتين التاليتين:
إستيراد من URL
أصدرت الأمر وسمحت ل 9800 أن يجلب الشنطة:crypto pki trustpool import url http://www.cisco.com/security/pki/trs/ios.p7bالاستيراد مباشرة في الوحدة الطرفية
نسخ ولصق شهادة CA (راجع المرفق) باستخدام الأمر:crypto pki trustpool import terminal
- دخلت ال API رمز إلى 9800 CLI يستعمل الأمر:
parameter-map type umbrella global
token XXXXXXXXXXXXXXXXXXXXXXXXXXXX
التحقق من تكوين Cisco Umbrella
لعرض تفاصيل تكوين Cisco Umbrella، أستخدم هذا الأمر:
Device# show umbrella config
Umbrella Configuration
========================
Token: 5XXXXXXABXXXXXFXXXXXXXXXDXXXXXXXXXXXABXX
API-KEY: NONE
OrganizationID: xxxxxxx
Local Domain Regex parameter-map name: dns_bypass
DNSCrypt:Enabled
Public-key: B735:1140:206F:225D:3E2B:D822:D7FD:691E:A1C3:3CC8:D666:8D0C:BE04:BFAB:CA43:FB79
UDP Timeout: 5 seconds
Resolver address:
1. 208.67.220.220
2. 208.67.222.222
3. 2620:119:53::53
4. 2620:119:35::35
ewc1#show umbrella deviceid detailed
Device registration details
1.global
Tag : global
Device-id : 010a2ed75e520fda
Description : Device Id recieved successfully
WAN interface : None
ewc1#show umbrella dnscrypt
DNSCrypt: Enabled
Public-key: B735:1140:206F:225D:3E2B:D822:D7FD:691E:A1C3:3CC8:D666:8D0C:BE04:BFAB:CA43:FB79
Certificate Update Status:
Last Successfull Attempt: 10:40:58 UTC Apr 8 2020
Certificate Details:
Certificate Magic : DNSC
Major Version : 0x0001
Minor Version : 0x0000
Query Magic : 0x7163373861576F6F
Serial Number : 1574811744
Start Time : 1574811744 (23:42:24 UTC Nov 26 2019)
End Time : 1606347744 (23:42:24 UTC Nov 25 2020)
Server Public Key : 88B4:E44B:35E9:64B4:90BD:DABA:E825:A24B:0415:A08B:E19D:7DDB:87A3:3CD7:7EDF:8E2F
Client Secret Key Hash: E323:7E82:C0C2:1F0C:55AE:1473:862D:6D26:9607:B41D:3F51:F587:9482:8709:401E:2EC4
Client Public key : 8D52:4D73:CF69:4890:F130:2845:4CBE:A9CA:87AF:4CDA:FE17:C626:2F8A:1780:CD18:C855
NM key Hash : FAAD:4C16:6DA3:D6F3:655D:FF98:36B7:73E7:9D1C:21F5:A0E3:A083:17D7:C308:522E:722D
تصحيح الأخطاء والتسجيل
لتعطيل تشفير DNSCrypt، أستخدم هذا الأمر:
parameter-map type umbrella global > no dnscryptقد ترى هذا الخطأ: "يتعذر إستيراد الشهادة باستخدام URL":
crypto pki trustpool import urlhttp://www.cisco.com/security/pki/trs/ios.p7b
% Error: failed to open file.
% No certificates imported fromhttp://www.cisco.com/security/pki/trs/ios.p7b.
الحل:
نسخ ولصق شهادة المرجع المصدق المنسقة بتنسيق PEM يدويا من هذا الموقع.
بعد ذلك، قم بتمكين سجلات تصحيح أخطاء تسجيل الأجهزة:
debug umbrella dnscrypt
debug umbrella device-registration
debug umbrella config
term monitor
ملاحظة: يمكن أن تكون هناك مثيلات يمكن فيها تعيين معرف الجهاز نفسه لعدد 9800. وهذا يحدث في حالة وحدة التحكم اللاسلكية المضمنة (WC) طراز 9800 الافتراضي.
تحتوي جميع مراكز التحكم في الشبكة المحلية اللاسلكية (WC) الظاهرية على عنوان MAC نفسه الذي تم ترميزه ترميزا ثابتا: "CC46D6CCCCCC".
نموذج تصحيح الأخطاء من eWC A:
Nov 2 19:21:18.903 Central: UMBRELLA-DEV-REG:Device registration process start: umbrella parameter-map global (tag: global): TCP socket created, connect state will be verified before sending out request
Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Socket 0 event handler: event type = WRITE EVENT
Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request invoked
Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Get registration request info invoked
Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Get registration request info: Found new queued request for umbrella parameter-map global (tag: global), status :REQ QUEUED
Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): status = 1
Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request license mode = TOKEN
Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): POST size = 238, JSON size = 174,actual size = 412 , uri_size = 18
Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:
Nov 2 19:21:18.915 Central: Dev reg json buffer :{"model":"B77A8731C7F4D6E92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9KZNYR9FRRQ"} and bytes: 141
Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:
Nov 2 19:21:18.915 Central: umbrella parameter-map name :global macAddr :cc46.d6cc.cccc
Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Build POST request invoked: post size = 238, size = 141
Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Build POST request: hostname = api.opendns.com
Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Build POST request: URI = /v3/networkdevices
Nov 2 19:21:18.916 Central: UMBRELLA-DEV-REG:Build POST request done
Nov 2 19:21:18.916 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request buffer length = 368
Nov 2 19:21:18.916 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): Built request = POST /v3/networkdevices HTTP/1.1
Host: api.opendns.com
Authorization:OpenDNS,api_key="B0E16D19C32D42EC996B635X4X9005B9",token="B77A8731C7F4D6E92C07D7DCB68961470000A553"
Content-Type: application/json
Content-Length: 141
{"model":"B77A7561C7F4ABC92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9KZNYR9FRRQ"}
----------------------------------------<OUTPUT OMITTED>----------------------------------------
Nov 2 19:21:23.553 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 3, bytes = 256, resp: content-type: application/json
x-envoy-upstream-service-time: 1462
x-xss-protection: 1; mode=block
x-ingress-point: mil1
{"deviceId":"010a7859d0d39393","deviceKey":"B77A8731C7F4D6E92C07D7DCB68961470000A553-CC46D6CCCCCC-global","label":"global","seria
Nov 2 19:21:23.553 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 4, bytes = 1
78, resp: lNumber":"9KZNYR9FPPQ","phishing":1,"createdAt":1635877282,"originId":xxxxxxxx,"
apiKey":"b0e16d19c32d42ec996b635x4x9005b9","deviceTypeId":1,"vendorId":51,"organizationId":xxxxx}
نموذج تصحيح الأخطاء من eWC B:
Nov 2 19:21:41.909 Central: UMBRELLA-DEV-REG:Device registration process start: umbrella parameter-map global (tag: global): TCP socket created, connect state will be verified before sending out request
Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Socket 0 event handler: event type = WRITE EVENT
Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request invoked
Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Get registration request info invoked
Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Get registration request info: Found new queued request for umbrella parameter-map global (tag: global), status :REQ QUEUED
Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): status = 1
Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request license mode = TOKEN
Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): POST size = 238, JSON size = 174,actual size = 412 , uri_size = 18
Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:
Nov 2 19:21:41.919 Central: Dev reg json buffer :{"model":"B77A7561C7F4ABC92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9BRCYQ9KDRU"} and bytes: 141
Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:
Nov 2 19:21:41.919 Central: umbrella parameter-map name :global macAddr :cc46.d6cc.cccc
Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request invoked: post size = 238, size = 141
Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request: hostname = api.opendns.com
Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request: URI = /v3/networkdevices
Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request done
Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request buffer length = 368
Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): Built request = POST /v3/networkdevices HTTP/1.1
Host: api.opendns.com
Authorization:OpenDNS,api_key="B0E16D19C32D42EC996B635X4X9005B9",token="B77A8731C7F4D6E92C07D7DCB68961470000A553"
Content-Type: application/json
Content-Length: 141
{"model":"B77A8731C7F4D6E92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9BRCYQ8RDRU"}
----------------------------------------<OUTPUT OMITTED>----------------------------------------
Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 3, bytes = 256, resp: content-type: application/json
x-envoy-upstream-service-time: 1462
x-xss-protection: 1; mode=block
x-ingress-point: mil1
{"deviceId":"010a7859d0d39393","deviceKey":"B77A8731C7F4D6E92C07D7DCB68961470000A553-CC46D6CCCCCC-global","label":"global","serialNumber":"9BRCYQ8RDRU"}
Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 4, bytes = 1
78, resp: lNumber":"9KZNYR9FPPQ","phishing":1,"createdAt":1635877282,"originId":573529511,"
apiKey":"b0e16d19c32d42ec996b635x4x9005b9","deviceTypeId":1,"vendorId":51,"organizationId":xxxxx}
هنا، يحتوي طلب POST على رمز API المميز (الرمز المميز للجهاز القديم API من لوحة معلومات Cisco Umbrella)، ومفتاح API، ورقم الطراز (مثل رمز API المميز)، وعنوان MAC لوحدة التحكم في الشبكة المحلية اللاسلكية (WLC)، واسم خريطة المعلمة (العلامة)، والرقم التسلسلي للجهاز.
يتم إنشاء معرف الجهاز باستخدام رمز API المميز ومفتاح API والعلامة وعنوان MAC. ونظرا لأن كلا من معرفات الأجهزة هذه 9800 لها نفس القيم المذكورة أعلاه، يتم تعيين نفس معرف الجهاز لكليهما.
هذا سلوك متوقع. لحل هذه المشكلة، يجب إنشاء خريطة معلمة مخصصة على واحد أو كلا من معرفات 9800؛
parameter-map type umbrella <custom name>
بإنشاء خريطة معلمة مخصصة "cpm"، نقوم بإنشاء علامة تمييز جديدة ينتج عنها معرف جهاز مختلف (DeviceId).
{"deviceId":"010a30f6275c92ce","deviceKey":"0DCDA24CDD6A92D714FE357539FDCAE80051BA0A-DD46D6BBCCCC-global","label":"global","serialNumber":"F222424Q4M8","phishing":1,"createdAt":1641192490,"originId":563829932,"apiKey":"b0e16d15c32d4e8c996b635afa9005b9","deviceTypeId":1,"vendorId":51,"organizationId":******}
{"deviceId":"010a341b037ea6b9","deviceKey":"0DCDA24CDD6A92D714FE357539FDCAE80051BA0A-DD46D6BBCCCC-cpm","label":"global","serialNumber":"F222424Q4M8","phishing":1,"createdAt":1641825561,"originId":563829932,"apiKey":"b0e16d15c32d4e8c996b635afa9005b9","deviceTypeId":1,"vendorId":51,"organizationId":******}
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
30-Sep-2025
|
الإصدار الأولي |
التعليقات