Management der Catalyst Wireless Controller der Serie 9800 mit Prime-Infrastruktur mit SNMP V2 und V3 und NetCONF

Einleitung

In diesem Dokument wird die Integration der Catalyst Wireless Controller der Serie 9800 (C9800 WLC) in die Prime-Infrastruktur (3.x) beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• C9800 WLC
• Prime Infrastructure (PI) Version 3.5
• Simple Network Management Protocol (SNMP)

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• C9800 WLC
• Cisco IOS XE Gibraltar 16.10.1 bis 17.3

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hinweis: Prime Infra 3.8 unterstützt nur 17.x 9800 WLCs. Clients erscheinen nicht auf der Prime-Infrastruktur, wenn Sie versuchen, einen 16.12 WLC mit Prime Infra 3.8 zu verwalten.

Konfigurieren

Damit die Prime-Infrastruktur die Catalyst Wireless LAN-Controller der Serie 9800 konfigurieren, verwalten und überwachen kann, muss sie über CLI, SNMP und Netconf auf C9800 zugreifen können. Wenn Sie C9800 zur Prime-Infrastruktur hinzufügen, müssen die Telnet-/SSH-Anmeldeinformationen sowie der SNMP-Community-String, die Version usw. angegeben werden. PI verwendet diese Informationen, um die Erreichbarkeit zu überprüfen und den C9800 WLC zu inventarisieren. Außerdem wird SNMP zum Übertragen von Konfigurationsvorlagen und zum Unterstützen von Traps für Access Point- (AP) und Client-Ereignisse verwendet. Damit PI jedoch AP- und Client-Statistiken erfassen kann, wird Netconf verwendet. Netconf ist auf dem C9800 WLC nicht standardmäßig aktiviert und muss in der Version 16.10.1 (GUI verfügbar in 16.11.1) manuell über CLI konfiguriert werden.

Verwendete Ports

Die Kommunikation zwischen dem C9800 und der Prime-Infrastruktur nutzt verschiedene Ports.

• Alle in der Prime-Infrastruktur verfügbaren Konfigurationen und Vorlagen werden per SNMP und CLI bereitgestellt. Verwendet den UDP-Port 161.
• Die Betriebsdaten für den C9800 WLC selbst werden über SNMP abgerufen. Verwendet UDP-Port 162.
• AP- und Client-Betriebsdaten nutzen Streaming-Telemetrie.

Prime-Infrastruktur für WLC: TCP-Port 830 - Diese wird von Prime Infra verwendet, um die Telemetriekonfiguration auf 9.800 Geräte (mithilfe von Netconf) zu übertragen.
WLC zur Prime-Infrastruktur: TCP-Port 20828 (für Cisco® IOS XE 16.10 und 16.11) oder 20830 (für Cisco IOS XE 16.12, 17.x und höher).

Hinweis: Keepalives werden alle 5 Sekunden gesendet, auch wenn keine Telemetrie gemeldet werden muss.

Hinweis: Falls eine Firewall zwischen der Prime-Infrastruktur und dem C9800 vorhanden ist, öffnen Sie diese Ports, um die Kommunikation herzustellen.

SNMPv2-Konfiguration auf Catalyst 9800 WLC

GUI:

Schritt 1: Navigieren Sie zu Administration > SNMP > Slide to Enable SNMP.

Schritt 2: Klicken Sie Community Strings und einen schreibgeschützten und einen schreibgeschützten Community-Namen erstellen.

CLI:

(config)#snmp-server community <snmpv2-community-name> 
(optional)(config)# snmp-server location <site-location>
(optional)(config)# snmp-server contact <contact-number>

SNMPv3-Konfiguration für Catalyst 9800 WLC

GUI:

Hinweis: Ab 17.1 Cisco IOS XE können Sie über die Webbenutzeroberfläche nur noch schreibgeschützte v3-Benutzer erstellen. Sie müssen die CLI-Prozedur ausführen, um einen v3-Benutzer mit Lese-/Schreibzugriff zu erstellen.

CLI:

Klicken Sie V3 usersund einen Benutzer zu erstellen. Auswählen authPriv, SHA und AES protocols, und wählen Sie lange Passwörter aus. MD5 und DES/3DES Es handelt sich um unsichere Protokolle. Obwohl sie für den 9800 weiterhin optional sind, dürfen sie nicht ausgewählt werden und sind nicht mehr vollständig getestet.

Hinweis: Die SNMPv3-Benutzerkonfiguration wird für die aktuelle Konfiguration nicht wiedergegeben. Es wird nur die SNMPv3-Gruppenkonfiguration angezeigt.

CLI:

(config)#snmp-server view primeview iso included
(config)#snmp-server group <v3-group-name> v3 auth write primeview 
(config)#snmp-server user <v3username> <v3-group-name> v3 auth {md5 | sha} <AUTHPASSWORD> priv {3des | aes | des} {optional for aes 128 | 192| 256} <PRIVACYPASSWORD>



9800#show snmp user

User name: Nico
Engine ID: 800000090300706D1535998C
storage-type: nonvolatile	 active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: SnmpAuthPrivGroup

Netconf-Konfiguration auf dem Catalyst 9800 WLC

Benutzeroberfläche (ab 16.11):

Navigieren Sie zu Administration > HTTP/HTTPS/Netconf.

CLI:

(config)#netconf-yang

Vorsicht: Wenn aaa new-model für C9800 aktiviert ist, müssen Sie auch Folgendes konfigurieren:
(config)#aaa authentication exec default <local or radius/tacacs group>
(config)#aaa authentication login default <local or radius/tacacs group>
Netconf verwendet auf dem C9800 die Standardmethode (die Sie nicht ändern können) sowohl für die AAA-Authentifizierungsanmeldung als auch für AAA-Autorisierungsexec. Wenn Sie eine andere Methode für SSH-Verbindungen definieren möchten, können Sie dies im Abschnitt line vty Befehlszeile. Netconf verwendet weiterhin die Standardmethoden.

Achtung: Wenn die Prime-Infrastruktur einen 9800-Controller zu ihrem Bestand hinzufügt, überschreibt sie die Standardmethoden aaa authentication login default und aaa Authorization exec, die Sie konfiguriert haben, und verweist sie nur dann auf die lokale Authentifizierung, wenn Netconf nicht bereits auf dem WLC aktiviert ist. Wenn sich die Prime-Infrastruktur mit der Netconf anmelden kann, wird die Konfiguration nicht geändert. Wenn Sie also TACACS verwenden, verlieren Sie den CLI-Zugriff, nachdem Sie Prime den 9800 hinzugefügt haben. Sie können diese Konfigurationsbefehle anschließend zurücksetzen und sie auf TACACS verweisen lassen, wenn Sie dies bevorzugen.

Konfigurieren (Prime-Infrastruktur 3.5 und höher)

Schritt 1: Erfassen Sie die auf dem Catalyst 9800 WLC konfigurierte IP-Adresse für die Wireless-Verwaltung.

GUI:

Navigieren Sie zu Configuration > Interface: Wireless.

CLI:

# show wireless interface summary

Schritt 2: Erfassen Sie die Anmeldeinformationen für 15 Benutzer, und aktivieren Sie das Kennwort.

GUI:

Navigieren Sie zu Administration > User Administration.

CLI:

# show run | inc username
# show run | inc enable

Schritt 3: Laden Sie die SNMPv2-Community-Strings und/oder SNMPv3-Benutzer herunter.

GUI:

Für SNMPv2 navigieren Sie zu Administration > SNMP > Community Strings.

Für SNMPv3 navigieren Sie zu Administration > SNMP > V3 Users.

CLI:

For SNMPv2 community strings
# show run | sec snmp 

For SNMPv3 user
# show user

Schritt 4: Navigieren Sie in der Benutzeroberfläche der Prime-Infrastruktur zu Configuration > Network: Network Devices, klicken Sie auf das Dropdown-Menü neben + und wählen Add Device.

Schritt 5: Auf dem Add Device Geben Sie die IP-Adresse der Schnittstelle am 9800 ein, die für die Kommunikation mit der Prime-Infrastruktur verwendet wird.

Schritt 6: Navigieren Sie zum SNMP Registerkarte und stellen SNMPv2 Read-Only and Read-Write Community Strings auf dem C9800 WLC konfiguriert.

Schritt 7. Wenn Sie SNMPv3 verwenden, wählen Sie im Dropdown-Menü v3und geben Sie den SNMPv3-Benutzernamen an. Von Auth-Type mit dem zuvor konfigurierten Authentifizierungstyp übereinstimmen und von Privacy Type Wählen Sie die Verschlüsselungsmethode aus, die für den C9800 WLC konfiguriert wurde.

Schritt 8: Navigieren Sie zu Telnet/SSH Tab von Add Device, geben Sie den Benutzernamen und das Passwort für die Berechtigung 15 zusammen mit "Passwort aktivieren" an. Klicken Sie Verify Credentials um sicherzustellen, dass die CLI- und SNMP-Anmeldeinformationen fehlerfrei funktionieren. Klicken Sie dann auf Add.

Überprüfung

Telemetriestatus überprüfen

Schritt 1: Überprüfen Sie, ob Netconf auf dem C9800 aktiviert ist.

#show run | inc netconf
netconf-yang

Falls nicht vorhanden, geben Sie den Abschnitt "NETCONF configuration on the Cat 9800 WLC" (NETCONF-Konfiguration auf dem Cat 9800 WLC) ein.

Schritt 2: Überprüfen Sie die Telemetrieverbindung von C9800 zu Prime.

#show telemetry internal connection
Telemetry connection

Address Port Transport State Profile
------------------------------------------------------------------
x.x.x.x 20828 cntp-tcp Active

Hinweis: x.x.x.x ist die IP-Adresse der Prime-Infrastruktur und der Status muss Active (Aktiv) lauten. Wenn der Status nicht aktiv ist, lesen Sie den Abschnitt Fehlerbehebung.

In Version 17.9 müssen Sie einen etwas anderen Befehl verwenden:

9800-17-9-2#show telemetry connection all
Telemetry connections

Index Peer Address               Port  VRF Source Address             State      State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
    0 10.48.39.25                25103 0   10.48.39.228               Active     Connection up

9800-17-9-2#

Schritt 3: In der Prime-Infrastruktur navigieren Sie zu Inventory > Network Devices > Device Type: Wireless Controller.

Schritt 4: Führen Sie Folgendes aus, um die Details der Telemetrieverbindung zur Prime-Infrastruktur anzuzeigen:

#show telemetry internal protocol cntp-tcp manager x.x.x.x 20828
Telemetry protocol manager stats:

Con str                : x.x.x.x:20828::
Sockfd                 : 79
Protocol               : cntp-tcp
State                  : CNDP_STATE_CONNECTED
Table id               : 0
Wait Mask              :
Connection Retries     : 0
Send Retries           : 0
Pending events         : 0
Source ip              : <9800_IP_ADD>
Bytes Sent             : 1540271694
Msgs Sent              : 1296530
Msgs Received          : 0

Schritt 5: Überprüfen Sie den Status des Telemetrie-Abonnements von C9800 und die Tatsache, dass es als "Gültig" angezeigt wird.

#show telemetry ietf subscription configured
Telemetry subscription brief

ID Type State Filter type
-----------------------------------------------------
68060586 Configured Valid transform-na
98468759 Configured Valid tdl-uri
520450489 Configured Valid transform-na
551293206 Configured Valid transform-na
657148953 Configured Valid transform-na
824003685 Configured Valid transform-na
996216912 Configured Valid transform-na
1072751042 Configured Valid tdl-uri
1183166899 Configured Valid transform-na
1516559804 Configured Valid transform-na
1944559252 Configured Valid transform-na
2006694178 Configured Valid transform-na

Schritt 6: Die Abonnement-Statistiken können nach Abonnement-ID oder für alle Abonnements angezeigt werden, die Folgendes verwenden:

#show telemetry internal subscription { all | id } stats
Telemetry subscription stats:

Subscription ID  Connection Info            Msgs Sent  Msgs Drop  Records Sent
------------------------------------------------------------------------------
865925973        x.x.x.x:20828::      2          0          2
634673555        x.x.x.x:20828::      0          0          0
538584704        x.x.x.x:20828::      0          0          0
1649750869       x.x.x.x:20828::      1          0          2
750608483        x.x.x.x:20828::      10         0          10
129958638        x.x.x.x:20828::      10         0          10
1050262948       x.x.x.x:20828::      1369       0          1369
209286788        x.x.x.x:20828::      15         0          15
1040991478       x.x.x.x:20828::      0          0          0
1775678906       x.x.x.x:20828::      2888       0          2889
1613608097       x.x.x.x:20828::      6          0          6
1202853917       x.x.x.x:20828::      99         0          99
1331436193       x.x.x.x:20828::      743        0          743
1988797793       x.x.x.x:20828::      0          0          0
1885346452       x.x.x.x:20828::      0          0          0
163905892        x.x.x.x:20828::      1668       0          1668
1252125139       x.x.x.x:20828::      13764      0          13764
2078345366       x.x.x.x:20828::      13764      0          13764
239168021        x.x.x.x:20828::      1668       0          1668
373185515        x.x.x.x:20828::      9012       0          9012
635732050        x.x.x.x:20828::      7284       0          7284
1275999538       x.x.x.x:20828::      1236       0          1236
825464779        x.x.x.x:20828::      1225711    0          1225780
169050560        x.x.x.x:20828::      0          0          0
229901535        x.x.x.x:20828::      372        0          372
592451065        x.x.x.x:20828::      8          0          8
2130768585       x.x.x.x:20828::      0          0          0

Fehlerbehebung

Fehlerbehebung in der Prime-Infrastruktur

• Als Erstes müssen die IP-Adressen und Schnittstellen in der Prime-Infrastruktur überprüft werden. Die Prime-Infrastruktur unterstützt Dual-Home nicht und wartet nicht auf Telemetrie am zweiten Port.
• Die IP-Adresse des WLC, die Sie in der Prime-Infrastruktur hinzufügen, muss die IP-Adresse sein, die als "Wireless-Management-Schnittstelle" verwendet wird. Die IP-Adresse der Prime-Infrastruktur muss über diese Wireless-Management-Schnittstelle auf der Controllerseite erreichbar sein.
• Wenn Service-Port (gig0/0 auf Appliances) für die Erkennung verwendet wird, werden WLC und APs im Inventar im Status "Managed" angezeigt, die Telemetrie für WLC und die zugehörigen Access Points funktioniert jedoch nicht.
• Wenn Sie den Telemetriestatus in der Prime-Infrastruktur als "erfolgreich" einstufen, die Anzahl der Access Points jedoch 0 ist, kann die Prime-Infrastruktur möglicherweise den WLC an Port 830 erreichen, der Controller kann jedoch die Prime-Infrastruktur an Port 20830 nicht erreichen.

Bei SNMP- oder Gerätekonfigurationsproblemen sollten Sie diese Protokolle von der Prime-Infrastruktur abrufen:

cd /opt/CSCOlumos/logs/

[root@prime-tdl logs]# ncs-0-0.log

Tdl.logs

Bei Telemetrie-/Korallenproblemen ist der Korallenstatus als Erstes zu überprüfen:

shell

cd /opt/CSCOlumos/coralinstances/coral2/coral/bin

./coral version 1

./coral status 1

./coral stats 1

Wenn alles in Ordnung ist, sammeln Sie diese Protokolle aus der Prime Koralle Logs Ordner.

Hinweis: Je nach Prime-Infrastruktur-Version und der von ihr unterstützten Cisco IOS XE-Version können auf der Prime-Infrastruktur mehrere Instanzen von Coral vorhanden sein. Weitere Informationen finden Sie in den Versionshinweisen, z. B.: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-7/release/notes/bk_Cisco_Prime_Infrastructure_3_7_0_Release_Notes.html

Schritt 1:

cd /opt/CSCOlumos/coral/bin/

[root@prime-tdl bin]# ./coral attach 1

Attached to Coral instance 1 [pid=8511]

Coral-1#cd /tmp/rp/trace/

Coral-1#ls

Collect the  “Prime_TDL_collector_R0-”* logs

Coral-1# cd /tmp/rp/trace/
Coral-1# btdecode P* > coralbtlog.txt
Coral-1# cat  coralbtlog.txt

Diese Protokolle finden Sie auch in diesem Verzeichnis:

* Die decodierten Ablaufverfolgungsdateien sind im Pfad verfügbar./opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
*   ade# cd /opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk

*   ade# cp coraltrace.txt /localdisk/defaultRepo

Schritt 2: Um Coral im Debug-Modus zu aktivieren, muss die Debug-Ebene in debug.conf Datei.

Entweder aus dem Container heraus:

echo "rp:0:0:tdlcold:-e BINOS_BTRACE_LEVEL=DEBUG;" > /harddisk/debug.conf

Oder auf Prime 3.8 kann der Korallendienst außerhalb des Containers neu gestartet werden:

"sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"

Wenn der Neustart nicht hilft, können diese verwendet werden, um die Koralleninstanz zu löschen und es reibungslos zu starten:

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral stop 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral purge 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral start 1

Neustart Coral, dies ist obligatorisch. Sie können die Koralleninstanz verlassen, wenn Sie 'Exit' eingeben, dann:

./coral/bin/coral restart 1

Hinweis: In Prime 3.8 kann der Korallendienst außerhalb des Containers mit 'sudo /opt/CSCOlumos/coralinstanzen/coral2/coral/bin/coral restart 1' neu gestartet werden.

Wenn Sie Coral-Protokolldateien decodieren müssen, können Sie sie im Coral-Container decodieren:

btdecode Prime_TDL_collector_*.bin

Hinweis: Nach der Aktivierung des Debug-Levels von Coral muss Coral neu gestartet werden.

Fehlerbehebung bei Catalyst 9800 WLC

Um die von Prime Infra an den C9800 WLC weitergeleitete Konfiguration zu überwachen, können Sie ein EEM-Applet ausführen.

#config terminal
#event manager applet catchall
 #event cli pattern ".*" sync no skip no
 #action 1 syslog msg "$_cli_msg"

Löschen aller Telemetrie-Abonnements aus der WLC-Konfiguration

Es kann vorkommen, dass Sie die Konfiguration aller Telemetrie-Abonnements, die auf dem WLC konfiguriert sind, aufheben möchten. Dies kann einfach mit den folgenden Befehlen durchgeführt werden:

WLC#term shell
WLC#function removeall() {
for id in `sh run | grep telemetry | cut -f4 -d' '`
do
conf t
no telemetry ietf subscription $id
exit
done
}
WLC#removeall

So aktivieren Sie Ablaufverfolgungen:

# debug netconf-yang level debug

So überprüfen Sie:

WLC#show platform software trace level mdt-pubd chassis active R0 | inc Debug

pubd                            Debug           

WLC#show platform software trace level ndbman chassis active R0 | inc Debug

ndbmand                         Debug     

      

So zeigen Sie die Ablaufverfolgungsausgaben an:

show platform software trace message mdt-pubd chassis active R0

show platform software trace message ndbman chassis active R0

Suche nach Abonnement-ID für AP-Informationen

Klicken Sie DB Query. Navigieren Sie zu tohttps://<Prime_IP>/webacs/ncsDiag.do.

Auswählen *von ewlcSubscription wobei OWNINGENTITYID wie "%Controller_IP" und CLASSNAME='UnifiedApp'.

Vom WLC:

Vergewissern Sie sich, dass die Abonnement-ID Informationen sendet und die cntp-Zähler nicht gelöscht werden.

show tel int sub all stats

show telemetry internal protocol cntp-tcp connector counters drop

show telemetry internal protocol cntp-tcp connector counters queue

show telemetry internal protocol cntp-tcp connector counters rate

show telemetry internal protocol cntp-tcp connector counters sub-rate

show telemetry internal protocol cntp-tcp connector counters reset

Hinweis: Der 9800 WLC unterstützt 100 Telemetrie-Abonnements vor 17.6 und bis zu 128 Abonnements nach 17.6 (seit der letzten Veröffentlichung von DNA Center können mehr als 100 Abonnements verwendet werden.

Migration von PI zu DNA-Center

C9800 kann nicht gleichzeitig von PI und DNA Center verwaltet werden. Wenn geplant ist, als Netzwerkmanagement-Lösung auf DNAC umzusteigen, muss C9800 aus der Prime-Infrastruktur entfernt werden, bevor es zum DNA Center hinzugefügt wird. Wenn C9800 aus PI 3.5 entfernt/gelöscht wird, wird die gesamte Konfiguration, die von PI zum Zeitpunkt der Bestandsaufnahme an C9800 übertragen wurde, nicht zurückgesetzt, und diese müssen manuell aus dem System gelöscht werden. Insbesondere werden die Abonnementkanäle, die für den C9800 WLC zur Veröffentlichung von Streaming-Telemetriedaten eingerichtet wurden, nicht entfernt. 

So identifizieren Sie diese spezifische Konfiguration:

#show run | sec telemetry

Um diese Konfiguration zu entfernen, führen Sie das no Befehlsform:

(config) # no telemetry ietf subscription <Subscription-Id>
Repeat this CLI to remove each of the subscription identifiers. 


(config) # no telemetry transform <Transform-Name>
Repeat this CLI to remove each of the transform names

Hinweis: Wenn Sie den Controller 9800 mit DNAC und Prime Infrastructure verwalten, schlägt die DNAC-Bestandskonformität aufgrund der Prime-Verwaltung erwartungsgemäß fehl.

In aktuellen Versionen können sowohl Prime Infrastructure als auch DNAC zu viele Telemetrie-Abonnements für den WLC verwenden, um den 9800 gleichzeitig zu verwalten. Sie können den 9800 daher nicht mit DNAC und der Prime-Infrastruktur verwalten, und Telemetrie und Statistiken funktionieren nicht. Die Migration von PI zu DNAC muss daher so schnell wie möglich erfolgen, da DNAC keine Telemetriedaten vom 9800 erhalten kann, solange der 9800 Controller von der Prime-Infrastruktur verwaltet wird.