In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument enthält häufig gestellte Fragen und Fehlerbehebungsszenarien, mit denen Benutzer bei der Arbeit mit CX Cloud Agent konfrontiert werden können.
Antwort: Ja. Bei einigen speziellen Bereitstellungsszenarien wird die Umleitung an cloudfront.net wird erwartet. OUngebundener Zugriff sollte mit aktivierter Umleitung an Port 443 für diese FQDNs zulässig sein.
A. Ja
A. OVA und VHD
Antwort: für OVA
Für VHD
A. Ja, die IP-Adresszuweisung während der IP-Konfiguration wurde erkannt. Die für den CX Cloud Agent zu erwartende Änderung der IP-Adresse wird jedoch nicht unterstützt. Kunden sollten die IP-Adresse für den CX Cloud Agent in ihrer DHCP-Umgebung reservieren.
A. Nein, nur IPV4 wird unterstützt.
A. Ja, die IP-Adresssyntax und die Zuweisung doppelter IP-Adressen werden validiert.
A.Die OVA-Bereitstellung hängt von der Geschwindigkeit ab, mit der das Netzwerk die Daten kopiert. Die IP-Konfiguration dauert etwa 8-10 Minuten, einschließlich Kubernetes und Container-Erstellung.
Antwort: Der Host-Rechner, auf dem OVA bereitgestellt wird, muss die im Rahmen der CX-Portal-Konfiguration gestellten Anforderungen erfüllen. Der CX Cloud Agent wird mit einer VMware/VirtualBox getestet, die auf einer Hardware mit Intel Xeon E5-Prozessoren mit einem vCPU-zu-CPU-Verhältnis von 2:1 ausgeführt wird. Wenn eine weniger leistungsstarke Prozessor-CPU oder ein größeres Verhältnis verwendet wird, kann sich die Leistung verschlechtern.
A. Nein, der Kopplungscode kann nur generiert werden, wenn der CX Cloud Agent nicht registriert ist.
A.Die Bandbreite stellt keine Einschränkung dar, wenn sich CX Cloud Agent und Cisco DNA Center in der Kundenumgebung im selben LAN/WAN-Netzwerk befinden. Die mindestens erforderliche Netzwerkbandbreite beträgt 2,7 Mbit/s für eine Bestandserfassung mit 5.000 Geräten sowie 13000 Access Points für eine Verbindung zwischen Agent und Cisco DNA Center. Wenn Syslogs für Level-2-Einblicke gesammelt werden, beträgt die erforderliche Mindestbandbreite 3,5 Mbit/s für die Abdeckung von 5.000 Geräten +13000 Access Points für das Inventar, 5.000 Geräte Syslogs und 2.000 Geräte für Scans - die alle parallel von CX Cloud Agent ausgeführt werden.
A. Der Zugriff auf Syslogs für Agent VM erfolgt über die lokale VM-Anmeldung über die folgenden beiden Pfade:
/var/log/syslog.1 (Zugriff über cxcadmin- und cxcroot-Anmeldedaten)
/var/log/syslog (Zugriff über Root)
A. Hier sind die veröffentlichten Versionen von CX Cloud Agent aufgeführt:
wobei A eine langfristige Veröffentlichung ist, die sich über 3-5 Jahre erstreckt.
A. Melden Sie sich beim CX Cloud-Portal an. Navigieren Sie zu Admin Settings > Data Sources (Admin-Einstellungen > Datenquellen). Klicken Sie auf Update anzeigen, und befolgen Sie die Anweisungen auf dem Bildschirm.
A. cxcadmin
A. Kennwörter werden während der Netzwerkkonfiguration festgelegt.
A. Der CX Cloud Agent bietet keine spezielle Option zum Zurücksetzen des Kennworts, Sie können das Kennwort für cxcadmin jedoch mithilfe der Linux-Befehle zurücksetzen.
A. Kennwortrichtlinien sind:
A. Um die SSH-Erreichbarkeit zu bestätigen:
Iptables -A OUTPUT -p tcp -m tcp —dport 22 -j ACCEPT
So deaktivieren Sie die oben im CX Cloud Agent aktivierten SSH-Ports:
iptables -L OUTPUT —line-number | Grep Dpt | Grep-SSH | Wake '{print $1}'
iptables -L OUTPUT <Leitungsnummer>
A. So bestätigen Sie die SNMP-Erreichbarkeit:
iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT
iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT
snmpwalk -v2c -c Cisco IPADDRESS
So deaktivieren Sie die oben im CX Cloud Agent aktivierten SNMP-Ports:
iptables -L OUTPUT —line-number | Grep Dpt | Grep-SSH | Wake '{print $1}'
iptables -L OUTPUT <Leitungsnummer2 Nummer>
iptables -L OUTPUT <Leitungsnummer1 Nummer>
A. So legen Sie das Grub-Kennwort fest:
A. Das Kennwort läuft in 90 Tagen ab.
A. Ja, das Konto wird nach fünf (5) aufeinander folgenden erfolglosen Versuchen deaktiviert. Die Sperrzeit beträgt 30 Minuten.
A. So erstellen Sie eine Passphrase:
A. Ja, aber um den Hostnamen zu verwenden, muss der Benutzer die DNS-IP-Adresse (Domain Name Server) während der Netzwerkkonfiguration angeben.
A. Folgende Chiffren werden unterstützt:
A. Anmeldung:
A. Ja, sie werden als Teil der Datei "var/logs/audit/audit.log".
A. Ein SSH-Sitzungs-Timeout tritt auf, wenn der CX Cloud Agent fünf (5) Minuten lang inaktiv ist.
A. Folgende Ports sind verfügbar:
NORD- UND SÜDAMERIKA |
EMEA |
APJC |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud |
agent.emea.cisco.cloud |
agent.apjc.cisco.cloud |
ng.acs.agent.us.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
Hinweis: Wenn EMEA- oder APJC-Kunden den CX Cloud Agent neu installieren, muss zusätzlich zu den aufgeführten Domänen die Domäne agent.us.csco.cloud in der Kunden-Firewall zugelassen sein.
Die agent.us.csco.cloud-Domäne ist nach der erfolgreichen Neuinstallation nicht mehr erforderlich.
Hinweis: Stellen Sie sicher, dass Datenrückverkehr auf Port 443 zugelassen werden muss.
Inbound port
: Für die lokale Verwaltung des CX Cloud Agent müssen 514 (Syslog) und 22 (SSH) zugänglich sein. Kunden müssen zulassen, dass Port 443 in ihrer Firewall Daten von der CX Cloud empfängt.A. Cisco DNA Center ist der Cloud Agent, der die Netzwerkgeräte am Kundenstandort verwaltet. CX Cloud Agent sammelt Inventarinformationen von Geräten aus dem konfigurierten Cisco DNA Center und lädt die Inventarinformationen hoch, die in der Ressourcenansicht von CX Cloud verfügbar sind.
A.: Während der Einrichtung von Day 0 - CX Cloud Agent können Benutzer die Details zum Cisco DNA Center über das CX Cloud-Portal hinzufügen. Während des Day-N-Betriebs können Benutzer zusätzliche Cisco DNA Center hinzufügen von Admin Settings > Data Source
.
A. Es können zehn (10) Cisco DNA Center Cluster oder 20 Cisco DNA Center Non-Cluster hinzugefügt werden.
A. Um ein verbundenes Cisco DNA Center aus dem CX Cloud Agent zu entfernen, wenden Sie sich an das Technical Assistance Center (TAC), um ein Support-Ticket im CX Cloud-Portal zu erstellen.
A. Die Benutzerrolle kann entweder admin oder observer sein.
A. Führen Sie den Befehl cxcli agent changeController von der Konsole des CX Cloud Agent aus:
Wenden Sie sich bei Problemen während der Aktualisierung der Cisco DNA Center-Anmeldeinformationen an den Support.
A. Alle Daten, einschließlich der Anmeldedaten der mit CX Cloud Agent verbundenen Controller (z. B. Cisco DNA Center) und direkt verbundener Ressourcen (z. B. über Seed-Datei, IP-Bereich), werden mit AES-256 verschlüsselt und in der CX Cloud Agent-Datenbank gespeichert, die mit einer sicheren Benutzer-ID und einem Passwort geschützt ist.
A. HTTPS über TLS 1.2 wird für die Kommunikation zwischen Cisco DNA Center und CX Cloud Agent verwendet.
A. CX Cloud Agent sammelt Daten zu Netzwerkgeräten aus dem Cisco DNA Center und verwendet die Befehlsrunner-Schnittstelle von Cisco DNA Center, um mit Endgeräten zu kommunizieren und CLI-Befehle auszuführen (Befehl show). Es werden keine Konfigurationsänderungsbefehle ausgeführt.
Antwort:
A. Weitere Informationen finden Sie in diesem Dokument.
A. CX Cloud Agent lädt die Bestandsdaten über das TLS 1.2-Protokoll auf den Cisco Backend-Server hoch.
A. Die Erfassung wird gemäß dem benutzerdefinierten Zeitplan ausgelöst und in das Cisco Backend hochgeladen.
A. Ja, es steht eine Option unter Admin Settings > Data Sources (Admin-Einstellungen > Datenquellen) zur Verfügung, um die Zeitplaninformationen zu ändern.
A. Zeitüberschreitungen werden wie folgt kategorisiert:
A. Befehle, die für den Scan auf dem Gerät ausgeführt werden müssen, werden während des Scanvorgangs dynamisch bestimmt. Die Befehlssätze können sich im Laufe der Zeit ändern, auch für das gleiche Gerät (und ohne Kontrolle über die Diagnosescans).
A. Die gescannten Ergebnisse werden im Cisco Backend gespeichert und in einem Profil festgehalten.
A. Nein, Duplikate werden so gefiltert, dass nur die eindeutigen Geräte extrahiert werden.
A. Der Gerätescan wird vollständig beendet und als nicht erfolgreich markiert.
A. Anwendungsprotokolle, Pod-Status, Details zum Cisco DNA Center, Audit-Protokolle, System- und Hardwaredetails
A. Beispielausgabe:
Systemdetails":{
"os_details":{
"containerRuntimeVersion":"docker://19.3.12",
"kernelVersion":"5.4.0-47-generic",
"kubeProxyVersion":"v1.15.12",
"kubeletVersion":"v1.15.12",
"machineID":"81edd7df1c1145e7bcc1ab4fe778615f",
"Operating System" (Betriebssystem):"linux",
"osImage":"Ubuntu 20.04.1 LTS",
"systemUUID":"42002151-4131-2ad8-4443-8682911bdadb"
},
"Hardware_Details":{
"total_cpu":"8",
"cpu_usage":"12,5 %",
"Speicher gesamt":"16007 MB",
"freier Speicher":"9994 MB",
"hdd_size":"214G",
"free_hdd_size":"202G"
}
}
}
A. Mit CX Cloud Agent streamt der Integritätsdienst (Wartungsfreundlichkeit) die Daten an das Cisco Backend.
A. Die Aufbewahrungsrichtlinie für das Integritätsdatenprotokoll des CX Cloud Agent im Backend beträgt 120 Tage.
Antwort:
Problem: Kein Zugriff auf die konfigurierte IP-Adresse.
Lösung: SSH mit konfigurierter IP ausführen. Bei einer Verbindungsunterbrechung liegt der mögliche Grund in einer falschen IP-Konfiguration. Führen Sie in diesem Fall eine Neuinstallation durch, indem Sie eine gültige IP-Adresse konfigurieren. Dies kann über das Portal mit der im Abschnitt Admin Settings
Seite.
Problem: Wie kann ich nach der Registrierung überprüfen, ob die Services einsatzbereit sind?
Lösung: Befolgen Sie die unten aufgeführten Schritte, um sicherzustellen, dass die PODs betriebsbereit sind:
PODs können sich in einem beliebigen Zustand befinden (Wird ausgeführt, Initialisiert oder Erstellen eines Containers). Nach 20 Minuten müssen sich die PODs im Running-Status befinden.
Wenn der Status nicht ausgeführt wird oder Pod initialisiert, überprüfen Sie die POD-Beschreibung mit dem Befehl kubectl description pod <podname>.
Die Ausgabe enthält Informationen zum POD-Status.
Problem: Wie kann überprüft werden, ob der SSL-Interceptor beim Kundenproxy deaktiviert ist?
Lösung: Führen Sie den hier gezeigten curl-Befehl aus, um den Abschnitt für das Serverzertifikat zu überprüfen. Die Antwort enthält die Zertifikatdetails des consoweb-Servers.
curl -v —header 'Authorization: Basic xxxxxx' https://concsoweb-prd.cisco.com/
* Serverzertifikat:
* Betreff: C=USA; ST=Kalifornien; L=San Jose; O=Cisco Systems, Inc; CN=concsoweb-prd.cisco.com
* Startdatum: 16. Februar 11:55:11 Uhr GMT
* Gültig bis: 16.02.2022 12:05:00 GMT
* BetreffAltName: Host "concsoweb-prd.cisco.com" entspricht "concsoweb-prd.cisco.com"
* Aussteller: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID SSL CA G3
* SSL-Zertifikat überprüft OK.
> GET/HTTP/1.1
Problem: kubectl-Befehle fehlgeschlagen und zeigt den Fehler als "Die Verbindung zum Server X.X.X.X:6443 wurde abgelehnt - haben Sie den richtigen Host oder Port angegeben"
Lösung:
Problem: Wie erhalte ich die Details eines Erfassungsfehlers für einen Befehl/ein Gerät?
Lösung:
kubectl get pods
und rufen Sie den Namen des Sammlungspods ab.kubectl logs
um bestimmte Details zu dem Befehl/Gerät abzurufen.Problem: kubectl-Befehl funktioniert nicht mit Fehler "[authentication.go:64] Die Anforderung kann aufgrund eines Fehlers nicht authentifiziert werden: [x509: Zertifikat ist abgelaufen oder noch nicht gültig, x509: Zertifikat ist abgelaufen oder noch nicht gültig]"
Lösung: Führen Sie die hier gezeigten Befehle als cxcroot-Benutzer aus
rm /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3s
kubectl —insecure-skip-tls-verify=true delete secret -n kube-system k3s-serving
systemctl restart k3s
Ursache für Erfassungsfehler können Einschränkungen oder Probleme mit dem hinzugefügten Controller oder den im Controller vorhandenen Geräten sein.
Die hier abgebildete Tabelle enthält den Fehlerausschnitt für Anwendungsfälle, der während des Erfassungsprozesses unter dem Collection-Mikrodienst angezeigt wird.
Anwendungsfall |
Protokoll-Snippet im Microservice "Erfassung" |
Wenn das angeforderte Gerät in Cisco DNA Center nicht gefunden wird |
{ |
Wenn das angeforderte Gerät nicht über Cisco DNA Center erreichbar ist |
{ |
Wenn das angeforderte Gerät nicht über Cisco DNA Center erreichbar ist |
{ |
Wenn der angeforderte Befehl auf dem Gerät nicht verfügbar ist |
{ |
Wenn das angeforderte Gerät nicht über SSHv2 verfügt und Cisco DNA Center versucht, das Gerät mit SSHv2 zu verbinden |
{ |
Wenn der Befehl im Microservice "Erfassung" deaktiviert ist |
{ |
Wenn die Command Runner-Aufgabe fehlgeschlagen ist und die Aufgaben-URL nicht von Cisco DNA Center zurückgegeben wird |
{ |
Wenn die Command Runner-Aufgabe in Cisco DNA Center nicht erstellt werden konnte |
{ |
Wenn der Collection-Microservice keine Antwort auf eine Command Runner-Anfrage vom Cisco DNA Center erhält. |
{ |
Wenn Cisco DNA Center die Aufgabe nicht innerhalb der konfigurierten Zeitüberschreitung abschließt (5 Minuten pro Befehl im Microservice "Erfassung") |
{ |
Wenn der Command Runner-Task fehlgeschlagen ist und die Datei-ID für den von Cisco DNA Center übermittelten Task leer ist |
{ |
Wenn der Command Runner Task fehlgeschlagen ist und das Datei-ID-Tag nicht vom Cisco DNA Center zurückgegeben wird |
{ |
Wenn das Gerät nicht für die Ausführung durch den Command Runner geeignet ist |
{ |
Wenn der Befehl "runner" für den Benutzer deaktiviert ist |
{ |
Fehler beim Scannen und die Ursachen können von einer beliebigen der aufgeführten Komponenten stammen.
Wenn Benutzer eine Suche über das Portal starten, wird diese gelegentlich als "fehlgeschlagen: Interner Serverfehler" angezeigt.
Die Ursache des Problems ist eine der aufgeführten Komponenten
Protokolle anzeigen:
kubectl get pods
.kubectl logs
kubectl logs
kubectl logs
In der Tabelle unten wird der Fehlerausschnitt angezeigt, der in den Protokollen des Collection-Mikrodiensts und des Service-Mikrodiensts enthalten ist und aufgrund von Problemen/Einschränkungen mit den Komponenten auftritt.
Anwendungsfall |
Protokoll-Snippet im Microservice "Erfassung" |
Das Gerät kann erreichbar sein und wird unterstützt, aber die Befehle, die auf diesem Gerät ausgeführt werden sollen, werden im Collection-Microservice blockiert. |
{ |
Wenn das Gerät für eine Suche nicht verfügbar ist. Tritt in einem Szenario auf, wenn ein Synchronisierungsproblem zwischen den Komponenten wie Portal, Diagnosescan, CX-Komponente und Cisco DNA Center besteht |
Kein Gerät mit der ID 02eb08be-b13f-4d25-9d63-eaf4e882f71a gefunden |
Wenn das zu scannende Gerät ausgelastet ist, wenn dasselbe Gerät Teil eines anderen Auftrags war und keine parallelen Anfragen von Cisco DNA Center für das Gerät verarbeitet werden |
Alle angeforderten Geräte werden bereits in einer anderen Sitzung vom Befehlsrunner abgefragt. Versuchen Sie es mit anderen Geräten. |
Wenn das Gerät den Scanvorgang nicht unterstützt. |
Die angeforderten Geräte befinden sich nicht im Bestand. Versuchen Sie es mit anderen im Bestand verfügbaren Geräten. |
Wenn das Gerät nicht erreichbar ist |
"Fehler beim Ausführen des Befehls: show udi\nFehler beim Herstellen der Verbindung mit dem Gerät [Host: x.x.x.x:22] Keine Route zum Host: Keine Route zum Host |
Wenn Cisco DNA Center über den Cloud Agent nicht erreichbar ist oder der Microservice "Erfassung" des Cloud Agent keine Antwort auf eine Command Runner-Anfrage vom Cisco DNA Center erhält. |
{ |
Anwendungsfall |
Protokoll-Snippet im Microservice "Kontrollpunkt-Agent" |
Wenn bei der Scananfrage Zeitplandetails fehlen. |
Anfrage konnte nicht ausgeführt werden |
Wenn bei der Scananfrage Gerätedetails fehlen. |
Fehler beim Erstellen der Scanrichtlinie. Keine gültigen Geräte in der Anforderung |
Wenn die Verbindung zwischen CPA und Netzwerkverbindungen unterbrochen ist. |
Anfrage konnte nicht ausgeführt werden |
Wenn das angeforderte Gerät in den Diagnosescans nicht zum Scannen verfügbar ist. |
Fehler beim Übermitteln der Scananforderung. Ursache = {\"Nachricht\":\"Gerät mit Hostname=x.x.x.x' wurde nicht gefunden\"} |
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
31-Oct-2022 |
Erstveröffentlichung |