Einleitung
In diesem Dokument wird die Integration der Catalyst Wireless Controller der Serie 9800 (C9800 WLC) in die Prime-Infrastruktur (3.x) beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- C9800 WLC
- Prime Infrastructure (PI) Version 3.5
- Simple Network Management Protocol (SNMP)
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- C9800 WLC
- Cisco IOS XE Gibraltar 16.10.1 bis 17.3
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hinweis: Prime Infra 3.8 unterstützt nur 17.x 9800 WLCs. Clients erscheinen nicht auf der Prime-Infrastruktur, wenn Sie versuchen, einen 16.12 WLC mit Prime Infra 3.8 zu verwalten.
Konfigurieren
Damit die Prime-Infrastruktur die Catalyst Wireless LAN-Controller der Serie 9800 konfigurieren, verwalten und überwachen kann, muss sie über CLI, SNMP und Netconf auf C9800 zugreifen können. Wenn Sie C9800 zur Prime-Infrastruktur hinzufügen, müssen die Telnet-/SSH-Anmeldeinformationen sowie der SNMP-Community-String, die Version usw. angegeben werden. PI verwendet diese Informationen, um die Erreichbarkeit zu überprüfen und den C9800 WLC zu inventarisieren. Außerdem wird SNMP zum Übertragen von Konfigurationsvorlagen und zum Unterstützen von Traps für Access Point- (AP) und Client-Ereignisse verwendet. Damit PI jedoch AP- und Client-Statistiken erfassen kann, wird Netconf verwendet. Netconf ist auf dem C9800 WLC nicht standardmäßig aktiviert und muss in der Version 16.10.1 (GUI verfügbar in 16.11.1) manuell über CLI konfiguriert werden.
Verwendete Ports
Die Kommunikation zwischen dem C9800 und der Prime-Infrastruktur nutzt verschiedene Ports.
- Alle in der Prime-Infrastruktur verfügbaren Konfigurationen und Vorlagen werden per SNMP und CLI bereitgestellt. Verwendet den UDP-Port 161.
- Die Betriebsdaten für den C9800 WLC selbst werden über SNMP abgerufen. Verwendet UDP-Port 162.
- AP- und Client-Betriebsdaten nutzen Streaming-Telemetrie.
Prime-Infrastruktur für WLC: TCP-Port 830 - Diese wird von Prime Infra verwendet, um die Telemetriekonfiguration auf 9.800 Geräte (mithilfe von Netconf) zu übertragen.
WLC zur Prime-Infrastruktur: TCP-Port 20828 (für Cisco® IOS XE 16.10 und 16.11) oder 20830 (für Cisco IOS XE 16.12, 17.x und höher).
Hinweis: Keepalives werden alle 5 Sekunden gesendet, auch wenn keine Telemetrie gemeldet werden muss.
Hinweis: Falls eine Firewall zwischen der Prime-Infrastruktur und dem C9800 vorhanden ist, öffnen Sie diese Ports, um die Kommunikation herzustellen.
SNMPv2-Konfiguration auf Catalyst 9800 WLC
GUI:
Schritt 1: Navigieren Sie zu Administration > SNMP > Slide to Enable SNMP
.
Schritt 2: Klicken Sie Community Strings
und einen schreibgeschützten und einen schreibgeschützten Community-Namen erstellen.
CLI:
(config)#snmp-server community <snmpv2-community-name>
(optional)(config)# snmp-server location <site-location>
(optional)(config)# snmp-server contact <contact-number>
SNMPv3-Konfiguration für Catalyst 9800 WLC
GUI:
Hinweis: Ab 17.1 Cisco IOS XE können Sie über die Webbenutzeroberfläche nur noch schreibgeschützte v3-Benutzer erstellen. Sie müssen die CLI-Prozedur ausführen, um einen v3-Benutzer mit Lese-/Schreibzugriff zu erstellen.
CLI:
Klicken Sie V3 users
und einen Benutzer zu erstellen. Auswählen authPriv
, SHA
und AES protocols
, und wählen Sie lange Passwörter aus. MD5
und DES/3DES
Es handelt sich um unsichere Protokolle. Obwohl sie für den 9800 weiterhin optional sind, dürfen sie nicht ausgewählt werden und sind nicht mehr vollständig getestet.
Hinweis: Die SNMPv3-Benutzerkonfiguration wird für die aktuelle Konfiguration nicht wiedergegeben. Es wird nur die SNMPv3-Gruppenkonfiguration angezeigt.
CLI:
(config)#snmp-server view primeview iso included
(config)#snmp-server group <v3-group-name> v3 auth write primeview
(config)#snmp-server user <v3username> <v3-group-name> v3 auth {md5 | sha} <AUTHPASSWORD> priv {3des | aes | des} {optional for aes 128 | 192| 256} <PRIVACYPASSWORD>
9800#show snmp user
User name: Nico
Engine ID: 800000090300706D1535998C
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: SnmpAuthPrivGroup
Netconf-Konfiguration auf dem Catalyst 9800 WLC
Benutzeroberfläche (ab 16.11):
Navigieren Sie zu Administration > HTTP/HTTPS/Netconf
.
CLI:
(config)#netconf-yang
Vorsicht: Wenn aaa new-model für C9800 aktiviert ist, müssen Sie auch Folgendes konfigurieren:
(config)#aaa authentication exec default <local or radius/tacacs group>
(config)#aaa authentication login default <local or radius/tacacs group>
Netconf verwendet auf dem C9800 die Standardmethode (die Sie nicht ändern können) sowohl für die AAA-Authentifizierungsanmeldung als auch für AAA-Autorisierungsexec. Wenn Sie eine andere Methode für SSH-Verbindungen definieren möchten, können Sie dies im Abschnitt line vty
Befehlszeile. Netconf verwendet weiterhin die Standardmethoden.
Achtung: Wenn die Prime-Infrastruktur einen 9800-Controller zu ihrem Bestand hinzufügt, überschreibt sie die Standardmethoden aaa authentication login default und aaa Authorization exec, die Sie konfiguriert haben, und verweist sie nur dann auf die lokale Authentifizierung, wenn Netconf nicht bereits auf dem WLC aktiviert ist. Wenn sich die Prime-Infrastruktur mit der Netconf anmelden kann, wird die Konfiguration nicht geändert. Wenn Sie also TACACS verwenden, verlieren Sie den CLI-Zugriff, nachdem Sie Prime den 9800 hinzugefügt haben. Sie können diese Konfigurationsbefehle anschließend zurücksetzen und sie auf TACACS verweisen lassen, wenn Sie dies bevorzugen.
Konfigurieren (Prime-Infrastruktur 3.5 und höher)
Schritt 1: Erfassen Sie die auf dem Catalyst 9800 WLC konfigurierte IP-Adresse für die Wireless-Verwaltung.
GUI:
Navigieren Sie zu Configuration > Interface: Wireless
.
CLI:
# show wireless interface summary
Schritt 2: Erfassen Sie die Anmeldeinformationen für 15 Benutzer, und aktivieren Sie das Kennwort.
GUI:
Navigieren Sie zu Administration > User Administration
.
CLI:
# show run | inc username
# show run | inc enable
Schritt 3: Laden Sie die SNMPv2-Community-Strings und/oder SNMPv3-Benutzer herunter.
GUI:
Für SNMPv2 navigieren Sie zu Administration > SNMP > Community Strings
.
Für SNMPv3 navigieren Sie zu Administration > SNMP > V3 Users
.
CLI:
For SNMPv2 community strings
# show run | sec snmp
For SNMPv3 user
# show user
Schritt 4: Navigieren Sie in der Benutzeroberfläche der Prime-Infrastruktur zu Configuration > Network: Network Devices
, klicken Sie auf das Dropdown-Menü neben +
und wählen Add Device
.
Schritt 5: Auf dem Add Device
Geben Sie die IP-Adresse der Schnittstelle am 9800 ein, die für die Kommunikation mit der Prime-Infrastruktur verwendet wird.
Schritt 6: Navigieren Sie zum SNMP
Registerkarte und stellen SNMPv2 Read-Only and Read-Write Community Strings
auf dem C9800 WLC konfiguriert.
Schritt 7. Wenn Sie SNMPv3 verwenden, wählen Sie im Dropdown-Menü v3
und geben Sie den SNMPv3-Benutzernamen an. Von Auth-Type
mit dem zuvor konfigurierten Authentifizierungstyp übereinstimmen und von Privacy Type
Wählen Sie die Verschlüsselungsmethode aus, die für den C9800 WLC konfiguriert wurde.
Schritt 8: Navigieren Sie zu Telnet/SSH
Tab von Add Device
, geben Sie den Benutzernamen und das Passwort für die Berechtigung 15 zusammen mit "Passwort aktivieren" an. Klicken Sie Verify Credentials
um sicherzustellen, dass die CLI- und SNMP-Anmeldeinformationen fehlerfrei funktionieren. Klicken Sie dann auf Add
.
Überprüfung
Telemetriestatus überprüfen
Schritt 1: Überprüfen Sie, ob Netconf auf dem C9800 aktiviert ist.
#show run | inc netconf
netconf-yang
Falls nicht vorhanden, geben Sie den Abschnitt "NETCONF configuration on the Cat 9800 WLC" (NETCONF-Konfiguration auf dem Cat 9800 WLC) ein.
Schritt 2: Überprüfen Sie die Telemetrieverbindung von C9800 zu Prime.
#show telemetry internal connection
Telemetry connection
Address Port Transport State Profile
------------------------------------------------------------------
x.x.x.x 20828 cntp-tcp Active
Hinweis: x.x.x.x ist die IP-Adresse der Prime-Infrastruktur und der Status muss Active (Aktiv) lauten. Wenn der Status nicht aktiv ist, lesen Sie den Abschnitt Fehlerbehebung.
In Version 17.9 müssen Sie einen etwas anderen Befehl verwenden:
9800-17-9-2#show telemetry connection all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
0 10.48.39.25 25103 0 10.48.39.228 Active Connection up
9800-17-9-2#
Schritt 3: In der Prime-Infrastruktur navigieren Sie zu Inventory > Network Devices > Device Type: Wireless Controller
.
Schritt 4: Führen Sie Folgendes aus, um die Details der Telemetrieverbindung zur Prime-Infrastruktur anzuzeigen:
#show telemetry internal protocol cntp-tcp manager x.x.x.x 20828
Telemetry protocol manager stats:
Con str : x.x.x.x:20828::
Sockfd : 79
Protocol : cntp-tcp
State : CNDP_STATE_CONNECTED
Table id : 0
Wait Mask :
Connection Retries : 0
Send Retries : 0
Pending events : 0
Source ip : <9800_IP_ADD>
Bytes Sent : 1540271694
Msgs Sent : 1296530
Msgs Received : 0
Schritt 5: Überprüfen Sie den Status des Telemetrie-Abonnements von C9800 und die Tatsache, dass es als "Gültig" angezeigt wird.
#show telemetry ietf subscription configured
Telemetry subscription brief
ID Type State Filter type
-----------------------------------------------------
68060586 Configured Valid transform-na
98468759 Configured Valid tdl-uri
520450489 Configured Valid transform-na
551293206 Configured Valid transform-na
657148953 Configured Valid transform-na
824003685 Configured Valid transform-na
996216912 Configured Valid transform-na
1072751042 Configured Valid tdl-uri
1183166899 Configured Valid transform-na
1516559804 Configured Valid transform-na
1944559252 Configured Valid transform-na
2006694178 Configured Valid transform-na
Schritt 6: Die Abonnement-Statistiken können nach Abonnement-ID oder für alle Abonnements angezeigt werden, die Folgendes verwenden:
#show telemetry internal subscription { all | id } stats
Telemetry subscription stats:
Subscription ID Connection Info Msgs Sent Msgs Drop Records Sent
------------------------------------------------------------------------------
865925973 x.x.x.x:20828:: 2 0 2
634673555 x.x.x.x:20828:: 0 0 0
538584704 x.x.x.x:20828:: 0 0 0
1649750869 x.x.x.x:20828:: 1 0 2
750608483 x.x.x.x:20828:: 10 0 10
129958638 x.x.x.x:20828:: 10 0 10
1050262948 x.x.x.x:20828:: 1369 0 1369
209286788 x.x.x.x:20828:: 15 0 15
1040991478 x.x.x.x:20828:: 0 0 0
1775678906 x.x.x.x:20828:: 2888 0 2889
1613608097 x.x.x.x:20828:: 6 0 6
1202853917 x.x.x.x:20828:: 99 0 99
1331436193 x.x.x.x:20828:: 743 0 743
1988797793 x.x.x.x:20828:: 0 0 0
1885346452 x.x.x.x:20828:: 0 0 0
163905892 x.x.x.x:20828:: 1668 0 1668
1252125139 x.x.x.x:20828:: 13764 0 13764
2078345366 x.x.x.x:20828:: 13764 0 13764
239168021 x.x.x.x:20828:: 1668 0 1668
373185515 x.x.x.x:20828:: 9012 0 9012
635732050 x.x.x.x:20828:: 7284 0 7284
1275999538 x.x.x.x:20828:: 1236 0 1236
825464779 x.x.x.x:20828:: 1225711 0 1225780
169050560 x.x.x.x:20828:: 0 0 0
229901535 x.x.x.x:20828:: 372 0 372
592451065 x.x.x.x:20828:: 8 0 8
2130768585 x.x.x.x:20828:: 0 0 0
Fehlerbehebung
Fehlerbehebung in der Prime-Infrastruktur
- Als Erstes müssen die IP-Adressen und Schnittstellen in der Prime-Infrastruktur überprüft werden. Die Prime-Infrastruktur unterstützt Dual-Home nicht und wartet nicht auf Telemetrie am zweiten Port.
- Die IP-Adresse des WLC, die Sie in der Prime-Infrastruktur hinzufügen, muss die IP-Adresse sein, die als "Wireless-Management-Schnittstelle" verwendet wird. Die IP-Adresse der Prime-Infrastruktur muss über diese Wireless-Management-Schnittstelle auf der Controllerseite erreichbar sein.
- Wenn Service-Port (gig0/0 auf Appliances) für die Erkennung verwendet wird, werden WLC und APs im Inventar im Status "Managed" angezeigt, die Telemetrie für WLC und die zugehörigen Access Points funktioniert jedoch nicht.
- Wenn Sie den Telemetriestatus in der Prime-Infrastruktur als "erfolgreich" einstufen, die Anzahl der Access Points jedoch 0 ist, kann die Prime-Infrastruktur möglicherweise den WLC an Port 830 erreichen, der Controller kann jedoch die Prime-Infrastruktur an Port 20830 nicht erreichen.
Bei SNMP- oder Gerätekonfigurationsproblemen sollten Sie diese Protokolle von der Prime-Infrastruktur abrufen:
cd /opt/CSCOlumos/logs/
[root@prime-tdl logs]# ncs-0-0.log
Tdl.logs
Bei Telemetrie-/Korallenproblemen ist der Korallenstatus als Erstes zu überprüfen:
shell
cd /opt/CSCOlumos/coralinstances/coral2/coral/bin
./coral version 1
./coral status 1
./coral stats 1
Wenn alles in Ordnung ist, sammeln Sie diese Protokolle aus der Prime Koralle Logs Ordner.
Hinweis: Je nach Prime-Infrastruktur-Version und der von ihr unterstützten Cisco IOS XE-Version können auf der Prime-Infrastruktur mehrere Instanzen von Coral vorhanden sein. Weitere Informationen finden Sie in den Versionshinweisen, z. B.: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-7/release/notes/bk_Cisco_Prime_Infrastructure_3_7_0_Release_Notes.html
Schritt 1:
cd /opt/CSCOlumos/coral/bin/
[root@prime-tdl bin]# ./coral attach 1
Attached to Coral instance 1 [pid=8511]
Coral-1#cd /tmp/rp/trace/
Coral-1#ls
Collect the “Prime_TDL_collector_R0-”* logs
Coral-1# cd /tmp/rp/trace/
Coral-1# btdecode P* > coralbtlog.txt
Coral-1# cat coralbtlog.txt
Diese Protokolle finden Sie auch in diesem Verzeichnis:
* Die decodierten Ablaufverfolgungsdateien sind im Pfad verfügbar./opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
* ade# cd /opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
* ade# cp coraltrace.txt /localdisk/defaultRepo
Schritt 2: Um Coral im Debug-Modus zu aktivieren, muss die Debug-Ebene in debug.conf
Datei.
Entweder aus dem Container heraus:
echo "rp:0:0:tdlcold:-e BINOS_BTRACE_LEVEL=DEBUG;" > /harddisk/debug.conf
Oder auf Prime 3.8 kann der Korallendienst außerhalb des Containers neu gestartet werden:
"sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"
Wenn der Neustart nicht hilft, können diese verwendet werden, um die Koralleninstanz zu löschen und es reibungslos zu starten:
sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral stop 1
sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral purge 1
sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral start 1
Neustart Coral, dies ist obligatorisch. Sie können die Koralleninstanz verlassen, wenn Sie 'Exit' eingeben, dann:
./coral/bin/coral restart 1
Hinweis: In Prime 3.8 kann der Korallendienst außerhalb des Containers mit 'sudo /opt/CSCOlumos/coralinstanzen/coral2/coral/bin/coral restart 1' neu gestartet werden.
Wenn Sie Coral-Protokolldateien decodieren müssen, können Sie sie im Coral-Container decodieren:
btdecode Prime_TDL_collector_*.bin
Hinweis: Nach der Aktivierung des Debug-Levels von Coral muss Coral neu gestartet werden.
Fehlerbehebung bei Catalyst 9800 WLC
Um die von Prime Infra an den C9800 WLC weitergeleitete Konfiguration zu überwachen, können Sie ein EEM-Applet ausführen.
#config terminal
#event manager applet catchall
#event cli pattern ".*" sync no skip no
#action 1 syslog msg "$_cli_msg"
Löschen aller Telemetrie-Abonnements aus der WLC-Konfiguration
Es kann vorkommen, dass Sie die Konfiguration aller Telemetrie-Abonnements, die auf dem WLC konfiguriert sind, aufheben möchten. Dies kann einfach mit den folgenden Befehlen durchgeführt werden:
WLC#term shell
WLC#function removeall() {
for id in `sh run | grep telemetry | cut -f4 -d' '`
do
conf t
no telemetry ietf subscription $id
exit
done
}
WLC#removeall
So aktivieren Sie Ablaufverfolgungen:
# debug netconf-yang level debug
So überprüfen Sie:
WLC#show platform software trace level mdt-pubd chassis active R0 | inc Debug
pubd Debug
WLC#show platform software trace level ndbman chassis active R0 | inc Debug
ndbmand Debug
So zeigen Sie die Ablaufverfolgungsausgaben an:
show platform software trace message mdt-pubd chassis active R0
show platform software trace message ndbman chassis active R0
Suche nach Abonnement-ID für AP-Informationen
Klicken Sie DB Query
. Navigieren Sie zu tohttps://<Prime_IP>/webacs/ncsDiag.do.
Auswählen *
von ewlcSubscription
wobei OWNINGENTITYID wie "%Controller_IP" und CLASSNAME='UnifiedApp'.
Vom WLC:
Vergewissern Sie sich, dass die Abonnement-ID Informationen sendet und die cntp-Zähler nicht gelöscht werden.
show tel int sub all stats
show telemetry internal protocol cntp-tcp connector counters drop
show telemetry internal protocol cntp-tcp connector counters queue
show telemetry internal protocol cntp-tcp connector counters rate
show telemetry internal protocol cntp-tcp connector counters sub-rate
show telemetry internal protocol cntp-tcp connector counters reset
Hinweis: Der 9800 WLC unterstützt 100 Telemetrie-Abonnements vor 17.6 und bis zu 128 Abonnements nach 17.6 (seit der letzten Veröffentlichung von DNA Center können mehr als 100 Abonnements verwendet werden.
Migration von PI zu DNA-Center
C9800 kann nicht gleichzeitig von PI und DNA Center verwaltet werden. Wenn geplant ist, als Netzwerkmanagement-Lösung auf DNAC umzusteigen, muss C9800 aus der Prime-Infrastruktur entfernt werden, bevor es zum DNA Center hinzugefügt wird. Wenn C9800 aus PI 3.5 entfernt/gelöscht wird, wird die gesamte Konfiguration, die von PI zum Zeitpunkt der Bestandsaufnahme an C9800 übertragen wurde, nicht zurückgesetzt, und diese müssen manuell aus dem System gelöscht werden. Insbesondere werden die Abonnementkanäle, die für den C9800 WLC zur Veröffentlichung von Streaming-Telemetriedaten eingerichtet wurden, nicht entfernt.
So identifizieren Sie diese spezifische Konfiguration:
#show run | sec telemetry
Um diese Konfiguration zu entfernen, führen Sie das no
Befehlsform:
(config) # no telemetry ietf subscription <Subscription-Id>
Repeat this CLI to remove each of the subscription identifiers.
(config) # no telemetry transform <Transform-Name>
Repeat this CLI to remove each of the transform names
Hinweis: Wenn Sie den Controller 9800 mit DNAC und Prime Infrastructure verwalten, schlägt die DNAC-Bestandskonformität aufgrund der Prime-Verwaltung erwartungsgemäß fehl.
In aktuellen Versionen können sowohl Prime Infrastructure als auch DNAC zu viele Telemetrie-Abonnements für den WLC verwenden, um den 9800 gleichzeitig zu verwalten. Sie können den 9800 daher nicht mit DNAC und der Prime-Infrastruktur verwalten, und Telemetrie und Statistiken funktionieren nicht. Die Migration von PI zu DNAC muss daher so schnell wie möglich erfolgen, da DNAC keine Telemetriedaten vom 9800 erhalten kann, solange der 9800 Controller von der Prime-Infrastruktur verwaltet wird.