Fehlerbehebung: Keine gesicherten Daten vom WLC 9800 in Catalyst Center
Inhalt
Einleitung
Dieses Dokument beschreibt die Fehlerbehebung, wenn Catalyst Center keine Assurance-Daten für einen Catalyst WLC der Serie 9800 anzeigt.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Verwendung der Catalyst Center Maglev CLI
- Grundlegende Linux-Grundlagen
- Kenntnisse über Zertifikate für Catalyst Center und die Catalyst 9800-Plattform
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Catalyst Center Appliance der 2. und 3. Generation, Version 2.3.7.7 und höher
- Catalyst Wireless LAN Controller (WLC) der Serie 9800
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Zum Zeitpunkt der Standortzuweisung überträgt das Catalyst Center die Telemetrie-Konfiguration auf den 9800, der sich auf der SNMP- und Syslog-Konfiguration befindet.
Anmerkung: Dieses Beispiel stammt von einem Catalyst 9800-CL Cloud Wireless LAN Controller. Einige Details können sich unterscheiden, wenn Sie eine physische Catalyst Appliance der Serie 9800 verwenden. X.X.X.X ist die virtuelle IP-Adresse (VIP) der Catalyst Center Enterprise-Schnittstelle und Y.Y.Y.Y die Management-IP-Adresse des WLC.
crypto pki trustpoint sdn-network-infra-iwan
enrollment pkcs12
revocation-check crl
rsakeypair sdn-network-infra-iwan
crypto pki trustpoint DNAC-CA
enrollment mode ra
enrollment terminal
usage ssl-client
revocation-check crl none
source interface GigabitEthernet1
crypto pki certificate chain sdn-network-infra-iwan
certificate 14CFB79EFB61506E
3082037D 30820265 A0030201 02020814 CFB79EFB 61506E30 0D06092A 864886F7
<snip>
quit
certificate ca 7C773F9320DC6166
30820323 3082020B A0030201 0202087C 773F9320 DC616630 0D06092A 864886F7
<snip>
quit
crypto pki certificate chain DNAC-CA
certificate ca 113070AFD2D12EA443A8858FF1272F2A
30820396 3082027E A0030201 02021011 3070AFD2 D12EA443 A8858FF1 272F2A30
<snip>
quit
telemetry ietf subscription 1011
encoding encode-tdl
filter tdl-uri /services;serviceName=ewlc/wlan_config
source-address Y.Y.Y.Y
stream native
update-policy on-change
receiver ip address X.X.X.X 25103 protocol tls-native profile sdn-network-infra-iwan
telemetry ietf subscription 1012
<snip - many different "telemetry ietf subscription" sections - which ones depends on
Cisco IOS® version and Catalyst Center version>
network-assurance enable
network-assurance icap server port 32626
network-assurance url https://X.X.X.X
network-assurance na-certificate PROTOCOL_HTTP X.X.X.X /ca/ pem
Fehlerbehebung: Keine gesicherten Daten von WLC in Catalyst Center
Verwenden Sie das Tool Assurance "Troubleshoot" Machine Reasoning Engine (MRE) in WLC360.
Rufen Sie die Seite WLC360 auf. Neben der Diagnose wird dem Benutzer der blaue Text "Troubleshoot" (Fehlerbehebung) angezeigt.
Klicken Sie darauf und starten Sie die Machine Reasoning Engine.
Lassen Sie den Abschluss der Begründungsfunktion zu.
Überprüfen Sie die Registerkarte "Schlussfolgerungen", um die möglichen Probleme anzuzeigen. Erhält ein Kunde ein vollständiges Dokument, das keine Probleme in der "Zusammenfassung" enthält, können Sie zum Abschnitt Eingehende Datenverifizierung dieses Dokuments springen.
Wenn der Link "Troubleshoot" (Fehlerbehebung) nicht angezeigt wird, können Sie dies manuell auf der Seite Tools > Network Reasoner (Extras > Netzwerkgrund) in der GUI ausführen. Suchen Sie den Workflow "Assurance Telemetry Analysis".
Fazit: Geräteanbindung
Daten und Überprüfung der Bewertung
Rufen Sie zunächst die Seite "Inventory" (Bestand) auf, und stellen Sie sicher, dass der betreffende WLC über die Wireless Management-IP-Adresse des WLC verwaltet wird.
Für Appliances der Serie 9800: Wireless-Schnittstellenübersicht anzeigen
Für 9800-CL: show ip interfaces brief | i GigabitEthernet2
Anmerkung: Dabei wird davon ausgegangen, dass der Benutzer den Bereitstellungsleitfaden unter https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/technical-reference/c9800-cl-dg.html#Introduction befolgt hat.
Rufen Sie jetzt die Seite "Catalyst Center-Bestand" auf.
Dadurch wird sichergestellt, dass Verbindungsprobleme zwischen dem Catalyst Center und diesem Gerät bestehen.
Zu behebende und zu überprüfende Elemente
IP-Verbindungen
Gehen Sie im Hauptmenü auf die Seite System > Settings (System > Einstellungen). Gehen Sie dann auf dem linken Banner zum Abschnitt "Trust & Privacy" und wählen Sie "IP Access Control". Eine alternative Methode besteht darin, die globale Suche nach "IP Access Control" zu verwenden.
Stellen Sie sicher, dass die Einstellungen hier eine Verbindung zu dem betreffenden Gerät zulassen. Überprüfen Sie anschließend, ob das Endgerät über ICMP erreicht werden kann. Melden Sie sich dazu bei der CLI von Catalyst Center an, und geben Sie den Befehl "ping [IP_Address]" aus, wie in dieser Ausgabe dargestellt.
Als Nächstes müssen Sie die Ausgabe des Befehls "traceroute" in der Catalyst Center-CLI überprüfen.
Stellen Sie anschließend sicher, dass im Catalyst Center keine Verbindungsprobleme auftreten. Verwenden Sie dazu den Befehl "ip -s link show | grep enterprise -A 4"
Wenn die Schnittstellenmetriken akzeptabel erscheinen, besteht der nächste Schritt darin, eine Paketerfassung (PCAP) von beiden Seiten der Verbindung aus durchzuführen. In diesem Leitfaden wird empfohlen, die ersten PCAPs auf den entsprechenden Geräten durchzuführen. In diesem Beispiel sind die beiden Geräte hier ein 9800 und das Catalyst Center mit dem VIP. Wenn das nicht möglich ist, dann fahren Sie bitte die PCAPs so nah an den Geräten wie möglich.
Wenn Pakete in das Netzwerk gesendet werden, aber nicht über die kabelgebundene Infrastruktur übertragen werden, überprüfen Sie das kabelgebundene Netzwerk auf mögliche Ursachen, wie z. B. asynchrones Routing, Firewalls, NATs und ACLs, die die Pakete blockieren. Führen Sie nach der Auflösung erneut die MRE-Aktion "Fehlerbehebung" durch.
Fazit: Gerät wird derzeit nicht vom Catalyst Center verwaltet
Ab heute 2.3.7.10 kann die Workflow-Ausgabe den Kontakt zum TAC anzeigen. Es gibt Aktionen, die durchgeführt werden können, bevor Sie sich an das TAC wenden oder bestimmen, ob ein TAC-Fall die richtige sofortige Vorgehensweise ist. Rufen Sie zunächst die Seite "Inventar" auf, und suchen Sie nach dem entsprechenden Gerät. Hauptmenü > Bereitstellen > Bestand. Hier sehen Sie ein Beispiel für ein falsch konfiguriertes SSH-Kennwort.
Als Nächstes müssen Sie überprüfen, ob der Status "Erreichbarkeit" nicht "Nicht erreichbar" anzeigt. Wenn "Unreachable" oder "Unknown" angezeigt wird, wechseln Sie zum Abschnitt "Device Connectivity or Credential Failure" dieses Handbuchs, bevor Sie sich an das TAC wenden. Wenn "Ping Reachable" oder "Reachable" angezeigt wird, können Sie mit der Fehlerbehebung für die vom Catalyst Center verwendeten Anmeldeinformationen fortfahren. Klicken Sie dazu auf das Kästchen links neben dem Gerät, das Sie untersuchen möchten, wie abgebildet. Das Kästchen wird blau mit einem blauen Häkchen.
Klicken Sie dann auf "Aktionen", "Inventar" und schließlich auf "Gerät bearbeiten" wie folgt:
Durch diese Aktion wird ein neues Fenster geöffnet, in dem Sie diese Konfiguration validieren können. Ein Beispiel finden Sie in diesem Screenshot.
Anmerkung: Auf dieser Seite wird der "Benutzername" im Klartext angezeigt, die "Passwörter" jedoch nicht. Stattdessen zeigt das Catalyst Center die Kennwörter als "NO!$DATA!$" an.
Dies ist ein Beispiel dafür, wie korrekte Anmeldeinformationen aussehen. Siehe SNMP und ungültige Anmeldedaten, siehe CLI und Netconf.
Anmerkung: Wireless Access Points (APs) werden nicht auf diese Weise verwaltet. Alle AP-Daten werden über den WLC übertragen.
Der CLI-Zugriff (SSH) ist für alle Geräte obligatorisch.
SNMP mit einem Minimum an schreibgeschütztem Zugriff ist für alle Geräte obligatorisch.
Netconf ist für WLCs der Serie 9800 (basierend auf Cisco IOS® XE) obligatorisch. Netconf bietet zusätzliche Überwachungsfunktionen wie PoE-Dashboards für Cisco IOS® XE-basierte Switches und ist daher optional. Netconf wird nicht von AireOS- oder Cisco IOS®-basierten Geräten verwendet.
Nachdem Sie alle Probleme behoben und die Option "Validieren" erneut ausgeführt haben, sehen Sie Folgendes:
Nachdem die Fehler behoben wurden, klicken Sie auf den "Update" Button in der linken unteren Ecke. Anschließend wird das Catalyst Center dieses Gerät für eine Synchronisierung in die Warteschlange einreihen. Wenn die Warteschlange leer ist, startet der "Sync" sofort wie dargestellt.
Gehen Sie anschließend zur MRE-Ausgabe "Troubleshoot" zurück, um zu sehen, ob weitere Probleme behoben werden müssen. Wenn nichts anderes erscheint, warten Sie bitte 15-20 Minuten, um die aktualisierten Informationen zu sehen. Wenden Sie sich für weitere Unterstützung an das TAC, wenn die Informationen nach diesem Zeitpunkt nicht aktualisiert werden.
Fazit: Probleme mit dem "DNAC-CA (swim) certificate"
Hier haben wir einige Möglichkeiten:
- Das Zertifikat gilt für ein anderes Catalyst Center.
- Das "aktuelle Datum/die aktuelle Uhrzeit" auf dem Gerät liegt außerhalb des gültigen Bereichs.
- Das Zertifikat wurde ausgetauscht, und das Gerät verwendet das ältere Zertifikat.
Bitte sehen Sie, welches MRE anzeigt. Von hier aus können wir dann zum 9800 gehen und einige Befehle ausführen, um zu sehen, welches Problem das Problem verursacht. Um zuerst die Zeit und das Datum zu bestimmen, die das Gerät verwendet, führen Sie den Befehl show clock aus.
Führen Sie dann show crypto pki Certificates DNAC-CA aus, um Details des DNAC-CA-Zertifikats anzuzeigen.
Vergleichen Sie zunächst das "Startdatum" und das "Enddatum" mit dem aktuellen Datum und der aktuellen Uhrzeit, von dem das Gerät glaubt, dass es das ist. Wenn das Fazit angibt, dass das Zertifikat nicht übereinstimmt, rufen Sie im Browser die Zertifikatinformationen ab. Die Seriennummer muss übereinstimmen. Dies ist ein Beispiel von Chrome für eine übereinstimmende Seriennummer des Zertifikats.
Fazit: Problem mit der Seriennummer des Zertifikats sdn-network-infra-iwan
Überprüfen Sie zunächst, ob das Datum auf dem Gerät richtig ist.
Laden Sie dann die sdn-network-infra-iwan-Zertifikatdetails mit show crypto pki Certificates sdn-network-infra-iwan herunter.
Überprüfen Sie in diesem, ob die Gültigkeitsdaten innerhalb der vom Gerät als gültig angesehenen Daten liegen.
Wechseln Sie anschließend zum Catalyst Center, und überprüfen Sie, ob die Seriennummer des Zertifikats übereinstimmt.
Gehen Sie zur Seite Hauptmenü > System > Einstellungen. Auf dieser Seite finden Sie die Seite "Device Certificate" (Gerätezertifikat). Filtern Sie auf dieser Seite nach unten zum betreffenden Gerät, und überprüfen Sie, ob die "Seriennummer des Zertifikats" übereinstimmt.
Wenn dies nicht übereinstimmt, stellen Sie sicher, dass das Gerät voraussichtlich vorhanden ist und nicht von einem anderen Catalyst Center-Cluster verwaltet wird. Wenn der Fehler vor kurzem aufgetreten ist oder das Zertifikat noch nicht abgelaufen ist, wenden Sie sich bei Bedarf an das TAC, um eine weitere Ursachenanalyse durchzuführen. Andernfalls rufen Sie die Seite "Inventory" (Bestand) auf, und stellen Sie sicher, dass das Gerät erreichbar ist und mit grünen Häkchen verwaltet wird. Wenn auf dieser Seite ein Problem auftritt, gehen Sie bitte zum Abschnitt Zusammenfassung: Gerät, das derzeit nicht vom Catalyst Center verwaltet wird, in diesem Handbuch beschrieben, und führen Sie die Anweisungen aus.
Wenn alles grün ist und vollständig verwaltet wird, führen Sie ein erzwungenes Telemetrie-Update durch. Weitere Informationen finden Sie im Abschnitt Erzwungene Telemetrie-Aktualisierung durchführen.
Überprüfung eingehender Daten
Navigieren Sie zu Grafana, indem Sie System > System 360 > Monitor aufrufen. Daraufhin wird ein neuer Bildschirm für Grafana angezeigt
Fahren Sie dann mit dem Dashboard Assurance - Device Processor fort, indem Sie in der linken Spalte auf die Lupe klicken und Device Processor eingeben.
Überprüfen Sie in der Tabelle "Received WLC schema per 5min" die Nummer "Memory". Diese Zahl entspricht der Anzahl der Catalyst 9800 (Cisco IOS® XE) WLCs, die Datenverkehr senden.
Erzwungene Telemetrie-Updates
Gehen Sie zu Inventory, und wählen Sie Update Telemetry Settings wie abgebildet aus.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
5.0 |
14-Mar-2024
|
Versionsnummer zu 4.7.4 hinzugefügt. |
4.0 |
11-Mar-2024
|
Aktualisierter Titel, Einführung, PII, Alternativer Text und Formatierung. |
3.0 |
21-Dec-2023
|
Fehlerhafte Verbindung behoben und für maschinelle Übersetzung aktualisiert. |
1.0 |
17-Apr-2021
|
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)