Tipps und Tricks für die LAN-Automatisierung im Digital Network Architecture (DNA) Center

Download-Optionen

  • PDF     (1.1 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.0 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (716.2 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:24. August 2020
Dokument-ID:213927

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

      

    Einleitung

    In diesem Dokument wird eine Übersicht zur LAN-Automatisierung (Local Area Network) gegeben, die Ihnen bei der Diagnose von Problemen hilft, wenn die LAN-Automatisierung im Digital Network Architecture (DNA) Center nicht wie erwartet funktioniert.

    Ein Beitrag von Alexandro Carrasquedo, Cisco TAC Engineer.

      

    Glosary

    Plug-and-Play (PnP) Agent: Neues Gerät, das Sie gerade eingeschaltet haben, ohne Konfiguration und Zertifikate, das automatisch vom DNA Center konfiguriert wird.

    Seed-Gerät: Gerät, das bereits vom DNA Center bereitgestellt wurde und als DHCP-Server (Dynamic Host Configuration Protocol) fungiert. 

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt dringend, über allgemeine Kenntnisse der LAN-Automatisierung und der Plug-and-Play-Lösung zu verfügen. gibt einen Überblick über LAN-Automatisierung, obwohl sie auf DNA Center 1.0 basiert. Dasselbe Konzept gilt für DNA Center 1.1 und höher.

    Hintergrundinformationen

    Die LAN-Automatisierung ist eine fast automatisierte Bereitstellungslösung, mit der Sie Ihre Netzwerkgeräte mithilfe von ISIS als untergeordnetem Routing-Protokoll konfigurieren und bereitstellen können.

    Vorbereitungen

      

    Stellen Sie vor dem Ausführen von LAN Automation sicher, dass Ihr PnP-Agent keine Zertifikate im NVRAM geladen hat.

    Edge1#dir nvram:*.cer 
Directory of nvram:/*.cer

Directory of nvram:/

    4  -rw-         820                    <no date>  IOS-Self-Sig#1.cer
    6  -rw-         763                    <no date>  kube-ca#468ACA.cer
    7  -rw-         882                    <no date>  sdn-network-#616F.cer
    8  -rw-         807                    <no date>  sdn-network-#4E13CA.cer
2097152 bytes total (2033494 bytes free)
Edge1#delete nvram:*.cer

    Vergewissern Sie sich, dass Sie auf der Seite Provisioning > Devices > Device Inventory (Bereitstellung > Geräte > Gerätebestand) keine nicht beanspruchten Geräte haben:

    Screen Shot 2018-03-19 at 08.03.13

    Wegen CSCvh68847 können einige Stapel den nicht beanspruchten Zustand nicht verlassen, und Sie erhalten möglicherweise die Fehlermeldung ERROR_STACK_UNSUPPORTED. Diese Meldung wird angezeigt, wenn die LAN-Automatisierung versucht, das Gerät zur Bereitstellung anzufordern, als handele es sich um einen einzelnen Switch. Da es sich bei dem Gerät jedoch um einen Catalyst 9300 Switch-Stack handelt, kann die LAN-Automatisierung das Gerät nicht beanspruchen, und das Gerät wird als nicht beansprucht angezeigt. Ebenso beansprucht PnP das Gerät nicht, da es sich um einen Stack handelt, sodass es nicht bereitgestellt wird.

    Welche Schritte führt LAN Automation durch, während es ausgeführt wird?

    Das DNA Center stellt das Seed-Gerät mit einer DHCP-Konfiguration bereit. Der Umfang der IP-Adressen, die das Seed-Gerät erhält, ist ein Segment des ursprünglichen Pools, den Sie definiert haben, als Sie den IP-Adresspool für Ihren Standort reserviert haben. Beachten Sie, dass dieser Pool mindestens /25 betragen muss.

    Anmerkung: Dieser Pool ist in drei Segmente unterteilt:
    1. Die IP-Adressen, die per Push an VLAN 1 Ihrer PnP-Agenten übertragen werden.
    2. Die IP-Adressen, die an Loopback0 auf Ihren PnP-Agenten weitergeleitet werden.
    3. Die /30-IP-Adressen, die an die PnP-Agenten über den Link weitergeleitet werden, der mit Ihrem Seed- oder anderen Fabric-Geräten verbunden ist.

    Damit DNA Center Ihre PnP-Agenten bereitstellen kann, muss die DHCP-Konfiguration, die das Seed-Gerät empfängt, über die Option 43 verfügen, die mit der IP-Adresse der unternehmensorientierten Netzwerkschnittstellenkarte (NIC) von DNA Center oder der virtuellen IP-Adresse (VIP) definiert ist, falls Sie einen n-Node-Cluster haben.

    Wenn PnP-Agenten hochfahren, haben sie keine Konfiguration. Daher sind alle ihre Ports Teil von VLAN 1. Daher senden die Geräte DHCP-Erkennungsmeldungen an das Seed-Gerät. Das Seed-Gerät antwortet mit einem Angebot der IP-Adressen innerhalb des LAN-Automatisierungspools.

      

    Nachdem Sie den anfänglichen Ablauf der LAN-Automatisierung verstanden haben, können Sie den Prozess beheben, wenn er nicht wie erwartet funktioniert.

    Fehlerbehebungsdiagramm

    Screen Shot 2018-03-19 at 08.15.35

    DNA Center 1.1 LAN Automation-relevante Protokolle

    • Netzwerk-Orchestrierungs-Service
    • pnp-service

    DNA Center 1.2 LAN Automation-relevante Protokolle

    In Version 1.2 gibt es keinen pnp-Service mehr. Sie müssen daher bei der Fehlerbehebung für die LAN-Automatisierung nach den folgenden Services suchen:

    • Netzwerkorchestrierung
    • Netzwerkdesign
    • Verbindungs-Manager-Dienst
    • Onboarding-Service (dies ist das alte PNP-Service-Äquivalent von 1.1)

    PKI-relevante Protokolle (Public Key Infrastructure) von DNA Center 1.x

    • apic-em-pki-broker-service
    • apic-em-jboss-ejbca

      

    Wie wird tcpdump ausgeführt, das im Flussdiagramm angezeigt wird?

    sudo tcpdump -i <DNA Center fabric's interface> host <PnP Agent ip address> -w /data/tmp/pnp_capture.pcap

    *Um dies zu beenden, drücken Sie STRG+C. 

    Die Datei pnp_capture.pcap wird in /data/tmp/ gespeichert. Sie müssen die Datei mithilfe des Befehls Secure Copy (SCP) vom DNA Center kopieren oder mithilfe des folgenden Befehls aus dem DNA Center lesen:

    $ sudo tcpdump -ttttnnr /data/tmp/pnp_capture.pcap
[sudo] password for maglev: 
reading from file capture.pcap, link-type EN10MB (Ethernet)
2018-03-08 20:09:27.369544 IP 192.168.31.1 > 192.168.31.10: ICMP host 192.168.1.2 unreachable, length 36
2018-03-08 20:09:39.369175 IP 192.168.31.1 > 192.168.31.10: ICMP host 192.168.1.2 unreachable, length 36
2018-03-08 20:09:44.373056 ARP, Request who-has 192.168.31.1 tell 192.168.31.10, length 28
2018-03-08 20:09:44.374834 ARP, Reply 192.168.31.1 is-at 2c:31:24:cf:d0:62, length 46
2018-03-08 20:09:50.628539 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [S], seq 1113323684, win 29200, options [mss 1460,sackOK,TS val 274921400 ecr 0,nop,wscale 7], length 0
2018-03-08 20:09:50.630523 IP 192.168.31.1.22 > 192.168.31.10.57234: Flags [S.], seq 2270495802, ack 1113323685, win 4128, options [mss 1460], length 0
2018-03-08 20:09:50.630604 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [.], ack 1, win 29200, length 0
2018-03-08 20:09:50.631712 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [P.], seq 1:25, ack 1, win 29200, length 24

    Was ist das für eine Bridge.png-Datei, die Sie kopieren wollen?

    Es handelt sich um eine 191 Byte große Bilddatei im DNA Center, die Sie mit HTTP (ohne Zertifikate) oder HTTPS (mit Zertifikaten) kopieren möchten, um die Kommunikation zwischen DNA Center und Ihrem PnP Agent zu testen. 

    Beispielaufnahmen, wenn die SSL-Kommunikation (Secure Sockets Layer) nicht wie erwartet funktioniert (vollständige .pcap-Dateien im Anhang zu diesem Artikel)

    Ungültiges Zertifikat 

    Mögliche Ursache:

    • Das Zertifikat von DNA Center hat nicht die richtige IP-Adresse im Feld "Subject Alternative Name (SAN)" (Alternativer Antragstellername).

    Um die SAN-Felder in Ihrem Zertifikat zu überprüfen, können Sie wie folgt vorgehen:

    Überprüfen des Zertifikats mit einem Browser

    Screen Shot 2018-06-21 at 11.19.25Screen Shot 2018-06-21 at 11.18.32

    Screen Shot 2018-06-21 at 11.18.52

    Beispielerfassung

    bad_cert

    Auflösung.

    Wenn Sie über eine Zertifizierungsstelle eines Drittanbieters verfügen, stellen Sie sicher, dass diese Ihnen ein Zertifikat mit den IP-Adressen von DNA Center und dem darin enthaltenen VIP ausstellt. Wenn Sie keine Drittanbieter-CA haben, kann DNA Center ein Zertifikat für Sie generieren. Wenden Sie sich an das Cisco TAC, um Sie durch diesen Prozess zu führen.

    DNS-Center setzt die Verbindung zurück

    Mögliche Ursache:

    DNA Center unterstützt standardmäßig nur TLS v1.2.

    Um dieses Problem zu umgehen, aktivieren Sie DNA Center, um TLS v1 gemäß diesem Leitfaden zu verwenden.

    Beispielerfassung

    TLS1

    Nützliche Debug-Befehle auf dem PnP-Agent für zertifikatbezogene Probleme

    • Verschlüsselungspakettransaktionen debuggen
    • debug ssl openssl
    • debug ssl openssl-Fehler
    • debug ssl openssl-Fehler
    • debuggen crypto pki API
    • Verschlüsselungspakettransaktionen debuggen
    • debug ssl openssl msg

    Die Antwort enthält keinen zuvor erstellten authentifizierten Sitzungsschlüssel.

    Theoretisch sollten Sie nicht über nicht beanspruchte Geräte auf der Seite Provisioning > Devices > Device Inventory (Bereitstellung > Geräte > Gerätebestand) verfügen. Es gab jedoch Probleme, bei denen die Geräte nach dem Löschen der nicht beanspruchten Geräte von dieser Seite immer noch in https://<DNA Center ip>/mypnp angezeigt wurden. Wenn dieses Szenario auftritt und in den PnP-Protokollen ein Protokoll ähnlich dem Folgenden oder ein Hinweis darauf in der GUI angezeigt wird, stellen Sie sicher, dass das Gerät nicht als nicht beansprucht in PnP angezeigt wird: 

    ERROR | qtp604107971-170 | | c.c.e.z.impl.ZtdHistoryServiceImpl | Device authentication status has changed to Error(PNP response com.cisco.enc.pnp.messages.PnpBackoffResponse is missing previously established authenticated session key) | address=192.168.31.10, sn=FCW212XXXXX

       

    LAN-Automatisierung und -Stacking

    • In DNA Center 1.2 muss der Stack ein voller Ring sein (ein Stack-Kabel für einen Stack mit zwei Elementen funktioniert möglicherweise nicht).
    • Das Stack-Gerät muss umgehend von der LAN-Automatisierung zurückgefordert werden, d. h. in weniger als 10 Minuten.
    • Sobald es mit DNA-Center verbunden ist, erscheint als Nicht beansprucht in PnP.  PnP verwendet das 10-Minuten-Zeitfenster für die Stapelbestimmung und verbleibt nach Ablauf im nicht beanspruchten Abschnitt der LAN-Automatisierung.

    Wenn Sie über RCA- oder PnP-Protokolle verfügen, können Sie nach nicht beanspruchten Gerätemeldungen suchen:

    more pnp.log | egrep "(Received unclaimed notification|ZtdDeviceUnclaimedMessage)"

    Wenn keine Nachrichten vorliegen, erreichen die nicht angeforderten Gerätebenachrichtigungen nicht das DNA Center, und PnP kann sie nicht anfordern.

    LAN-Automatisierung in einem Stack

    1. Fahren Sie die Uplinks zu den Seed-Geräten herunter.
    2. Starten Sie LAN-Automatisierung im DNA Center.
    3. Löschen Sie die Startkonfiguration aus dem Stapel. # Schreiblöschung
    4. Entfernen Sie alle Zertifikate aus dem NVRAM. # delete nvram:*.cer
    5. Entfernen Sie die Datei vlan.dat. # Flash löschen:vlan.dat
    6. Löschen Sie vom Primärswitch die Zertifikate auf dem Standby-Switch. # stby-nvram löschen:*.cer

         antwort: Trennen Sie die Stack-Kabel.

         b. Melden Sie sich bei der Konsole jedes Mitglieds-Switches an.

         c. Löschen Sie die Zertifikate. # Löschen Sie nvram:*.cer

         d. Löschen Sie die Flas-VLAN-Datenbank. # Flash löschen:vlan.dat

         e. Schließen Sie die Stack-Kabel wieder an.

      7. Neustart.

      8. Warten Sie, bis der Switch als Stack registriert ist, rufen Sie alle Elemente auf und versuchen Sie, den Dialog zur Erstkonfiguration zu starten.

    %INIT: waited 0 seconds for NVRAM to be available


         --- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]:

      9. Aktivieren Sie die Uplinks zu den Seed-Geräten. # no shutdown

      

    Format der Hostnamen-Zuordnungsdatei, die in meinen LAN-Automatisierungsauftrag importiert werden kann?

    DNA Center erwartet eine CSV-Datei mit dem Hostnamen und der Seriennummer (Hostname, Seriennummer), wie im folgenden Beispiel gezeigt:

    Screen Shot 2018-06-13 at 15.31.45

    Für die Stack-LAN-Automatisierung können Sie in der CSV-Datei einen Hostnamen und mehrere Seriennummern pro Zeile eingeben. Die Seriennummern müssen durch Kommas getrennt werden. Weitere Informationen finden Sie in der angehängten CSV-Datei.

      

    Wohin ist /mypnp in 1.2 gegangen?

    Sie haben folgende Möglichkeiten, auf PnP zuzugreifen:

    • Geben Sie in Ihrem Webbrowser https://<DNA Center IP>/networkpnp ein.
    • Wählen Sie auf der Startseite von DNA Center das folgende Plug-and-Play-Tool für Ihr Netzwerk aus:


    Screen Shot 2018-06-18 at 15.40.22

    oder indem Sie auf https://<DNS-Center-IP>/networkpnp

     Bestandsfehler

    inv_error

    Der Inventarfehler bedeutet, dass das Gerät, nachdem es von der LAN-Automatisierung angefordert wurde und seine Konfiguration erhalten hat, nicht zum Inventar hinzugefügt werden kann. Dieser Fehler tritt in der Regel aufgrund von Problemen mit der Konfiguration, einigen Routing- oder CLI-Anmeldeinformationen auf.

    Um sicherzustellen, dass Sie versuchen, das richtige Gerät über die LAN-Automatisierung zu aktivieren, greifen Sie per Remote-Zugriff auf die IP-Adresse der Loopback 0-Schnittstelle des Geräts zu, und verwenden Sie das bevorzugte Verbindungsprotokoll (SSH oder Telnet).

    Es besteht eine Verbindung, aber PKI-Zertifikate werden nicht erfolgreich an die PnP-Agenten weitergeleitet.

    Es kann vorkommen, dass die Geräte in der Mitte das Bit "Nicht fragmentieren" (DF) der Pakete zwischen DNAC und den PnP-Agenten aktivieren. Dies kann dazu führen, dass Pakete mit mehr als 1500 Byte, in der Regel Pakete mit dem Zertifikat, verworfen werden und die LAN-Automatisierung daher möglicherweise nicht abgeschlossen wird. Zu den gängigen Protokollen in den Onboarding-Protokollen von DNA Center gehören:

    errorMessage=Failed to format the url for trustpoint

    In diesem Fall wird empfohlen, sicherzustellen, dass der Pfad zwischen DNA Center und den PnP-Agenten Jumbo-Frames über das Befehlssystem mtu 9100 durchlässt.

    Switch(config)# system mtu 9100

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    22-Nov-2018
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Alexnadro Carrasquedo
      TS Incubation

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.