Dépannage de l'intégration du contrôleur sans fil Umbrella (9800)

Options de téléchargement

  • PDF     (357.1 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:30 septembre 2025
ID du document:225099

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment dépanner l'intégration du contrôleur sans fil de la gamme 9800 avec Umbrella.

    Aperçu

    Cet article est une suite des commutateurs Cisco Catalyst 9200 et Catalyst 9300 et sert de guide pour le dépannage des problèmes d'enregistrement ainsi que pour le workflow entre le 9800 et Cisco Umbrella.

    Workflow général de Cisco Umbrella


    44153779835084415377983508

    1. L'enregistrement du contrôleur sans fil auprès du serveur Cisco Umbrella est un processus unique qui s'effectue via un tunnel HTTPS sécurisé.

    2. Obtenez un jeton API pour l'enregistrement du périphérique (9800) à partir du tableau de bord Cisco Umbrella.

    3. Appliquez le jeton sur le 9800. Le périphérique est alors enregistré sur le compte Cisco Umbrella. Ensuite, créez le/les profil(s) Cisco Umbrella sur le 9800. Les profils sont automatiquement transmis à Cisco Umbrella lorsque les identités et les politiques sont appliquées en fonction de l'identité.

    4. Le trafic client sans fil est acheminé vers le serveur Cisco Umbrella.

    5. Un client sans fil envoie une requête DNS au 9800.

    6. Le 9800 surveille le paquet DNS et l’étiquette avec un profil Cisco Umbrella. Le profil est l'identité du paquet qui réside également sur Cisco Umbrella.

    7. Ce paquet EDNS est redirigé vers le serveur cloud Cisco Umbrella pour la résolution de noms.

    8. Cisco Umbrella applique ensuite une stratégie en fonction de l'identité et applique des règles de filtrage par catégorie pour garantir la conformité de l'entreprise.

    9. Selon les règles, il renvoie une page bloquée ou une adresse IP résolue au client pour la requête DNS demandée.

    Les étapes détaillées de configuration du 9800 sont décrites dans le Guide de configuration de la sécurité.

    Enregistrement et importation de certificats

    1. Obtenez votre jeton API à partir du tableau de bord Umbrella : Admin > Clés API > (créer) Périphériques réseau hérités.
    2. Importez le certificat CA sur le 9800 via l'interface de ligne de commande en utilisant l'une des méthodes suivantes :
      Importer à partir de l'URL
      Exécutez la commande et autorisez le 9800 à récupérer le certificat :  
      crypto pki trustpool import url http://www.cisco.com/security/pki/trs/ios.p7b

      Importer directement dans le terminal
      Copiez et collez le certificat CA (voir pièce jointe) à l’aide de la commande suivante : 

      crypto pki trustpool import terminal
    3. Entrez le jeton API dans l’interface de ligne de commande 9800 à l’aide de la commande :  
      parameter-map type umbrella global 
      token XXXXXXXXXXXXXXXXXXXXXXXXXXXX

    Vérification de la configuration de Cisco Umbrella

    Pour afficher les détails de la configuration Cisco Umbrella, utilisez la commande suivante :

    Device# show umbrella config
    Umbrella Configuration
    ========================
    Token: 5XXXXXXABXXXXXFXXXXXXXXXDXXXXXXXXXXXABXX
    API-KEY: NONE
    OrganizationID: xxxxxxx
    Local Domain Regex parameter-map name: dns_bypass
    DNSCrypt:Enabled 
    Public-key: B735:1140:206F:225D:3E2B:D822:D7FD:691E:A1C3:3CC8:D666:8D0C:BE04:BFAB:CA43:FB79
    UDP Timeout: 5 seconds
    Resolver address:
    1. 208.67.220.220 
    2. 208.67.222.222 
    3. 2620:119:53::53 
    4. 2620:119:35::35
    ewc1#show umbrella deviceid detailed 

    Device registration details 
    1.global
         Tag : global 
         Device-id : 010a2ed75e520fda 
         Description : Device Id recieved successfully 
         WAN interface : None 
    ewc1#show umbrella dnscrypt
       DNSCrypt: Enabled
       Public-key: B735:1140:206F:225D:3E2B:D822:D7FD:691E:A1C3:3CC8:D666:8D0C:BE04:BFAB:CA43:FB79
       Certificate Update Status:
            Last Successfull Attempt: 10:40:58 UTC Apr 8 2020
       Certificate Details:
           Certificate Magic     : DNSC
           Major Version         : 0x0001
           Minor Version         : 0x0000
           Query Magic           : 0x7163373861576F6F
           Serial Number         : 1574811744
           Start  Time           : 1574811744 (23:42:24 UTC Nov 26 2019)
           End Time              : 1606347744 (23:42:24 UTC Nov 25 2020)
           Server Public Key     : 88B4:E44B:35E9:64B4:90BD:DABA:E825:A24B:0415:A08B:E19D:7DDB:87A3:3CD7:7EDF:8E2F

           Client Secret Key Hash: E323:7E82:C0C2:1F0C:55AE:1473:862D:6D26:9607:B41D:3F51:F587:9482:8709:401E:2EC4
           Client Public key     : 8D52:4D73:CF69:4890:F130:2845:4CBE:A9CA:87AF:4CDA:FE17:C626:2F8A:1780:CD18:C855

           NM key Hash           : FAAD:4C16:6DA3:D6F3:655D:FF98:36B7:73E7:9D1C:21F5:A0E3:A083:17D7:C308:522E:722D

    Débogage et journalisation

    Pour désactiver DNSCrypt, utilisez cette commande : 

    parameter-map type umbrella global > no dnscrypt

    Cette erreur peut se produire : "Impossible d'importer le certificat à l'aide de l'URL" :

    crypto pki trustpool import urlhttp://www.cisco.com/security/pki/trs/ios.p7b

    % Error: failed to open file.

    % No certificates imported fromhttp://www.cisco.com/security/pki/trs/ios.p7b.

    Solution de contournement: 

    Copiez et collez manuellement le certificat CA au format PEM à partir de cet emplacement.

    Activez ensuite les journaux de débogage d'enregistrement des périphériques :

    debug umbrella dnscrypt
    debug umbrella device-registration
    debug umbrella config
    term monitor
    note-icon

    Remarque : Il peut y avoir des cas où plusieurs 9800 peuvent se voir attribuer le même ID de périphérique. Cela se produit dans le cas du 9800 virtuel (contrôleur sans fil intégré (WC)).

    Tous les WC virtuels ont la même adresse MAC codée en dur : "CC46D6CCCC".

    Exemple de débogage de eWC A :

    Nov 2 19:21:18.903 Central: UMBRELLA-DEV-REG:Device registration process start: umbrella parameter-map global (tag: global): TCP socket created, connect state will be verified before sending out request
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Socket 0 event handler: event type = WRITE EVENT
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request invoked
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Get registration request info invoked
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Get registration request info: Found new queued request for umbrella parameter-map global (tag: global), status :REQ QUEUED 
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): status = 1
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request license mode = TOKEN
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): POST size = 238, JSON size = 174,actual size = 412 , uri_size = 18
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:
    Nov 2 19:21:18.915 Central: Dev reg json buffer :{"model":"B77A8731C7F4D6E92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9KZNYR9FRRQ"} and bytes: 141
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:
    Nov 2 19:21:18.915 Central: umbrella parameter-map name :global macAddr :cc46.d6cc.cccc 
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Build POST request invoked: post size = 238, size = 141
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Build POST request: hostname = api.opendns.com
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Build POST request: URI = /v3/networkdevices
    Nov 2 19:21:18.916 Central: UMBRELLA-DEV-REG:Build POST request done
    Nov 2 19:21:18.916 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request buffer length = 368
    Nov 2 19:21:18.916 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): Built request = POST /v3/networkdevices HTTP/1.1
    Host: api.opendns.com
    Authorization:OpenDNS,api_key="B0E16D19C32D42EC996B635X4X9005B9",token="B77A8731C7F4D6E92C07D7DCB68961470000A553"
    Content-Type: application/json
    Content-Length: 141

    {"model":"B77A7561C7F4ABC92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9KZNYR9FRRQ"}
    ----------------------------------------<OUTPUT OMITTED>----------------------------------------
    Nov 2 19:21:23.553 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 3, bytes = 256, resp: content-type: application/json
    x-envoy-upstream-service-time: 1462
    x-xss-protection: 1; mode=block
    x-ingress-point: mil1

    {"deviceId":"010a7859d0d39393","deviceKey":"B77A8731C7F4D6E92C07D7DCB68961470000A553-CC46D6CCCCCC-global","label":"global","seria
    Nov 2 19:21:23.553 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 4, bytes = 1
    78, resp: lNumber":"9KZNYR9FPPQ","phishing":1,"createdAt":1635877282,"originId":xxxxxxxx,"
    apiKey":"b0e16d19c32d42ec996b635x4x9005b9","deviceTypeId":1,"vendorId":51,"organizationId":xxxxx}

    Exemple de débogage d'eWC B :

    Nov 2 19:21:41.909 Central: UMBRELLA-DEV-REG:Device registration process start: umbrella parameter-map global (tag: global): TCP socket created, connect state will be verified before sending out request
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Socket 0 event handler: event type = WRITE EVENT
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request invoked
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Get registration request info invoked
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Get registration request info: Found new queued request for umbrella parameter-map global (tag: global), status :REQ QUEUED 
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): status = 1
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request license mode = TOKEN
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): POST size = 238, JSON size = 174,actual size = 412 , uri_size = 18
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:
    Nov 2 19:21:41.919 Central: Dev reg json buffer :{"model":"B77A7561C7F4ABC92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9BRCYQ9KDRU"} and bytes: 141
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:
    Nov 2 19:21:41.919 Central: umbrella parameter-map name :global macAddr :cc46.d6cc.cccc 
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request invoked: post size = 238, size = 141
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request: hostname = api.opendns.com
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request: URI = /v3/networkdevices
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request done
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request buffer length = 368
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): Built request = POST /v3/networkdevices HTTP/1.1
    Host: api.opendns.com
    Authorization:OpenDNS,api_key="B0E16D19C32D42EC996B635X4X9005B9",token="B77A8731C7F4D6E92C07D7DCB68961470000A553"
    Content-Type: application/json
    Content-Length: 141

    {"model":"B77A8731C7F4D6E92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9BRCYQ8RDRU"}
    ----------------------------------------<OUTPUT OMITTED>----------------------------------------
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 3, bytes = 256, resp: content-type: application/json
    x-envoy-upstream-service-time: 1462
    x-xss-protection: 1; mode=block
    x-ingress-point: mil1

    {"deviceId":"010a7859d0d39393","deviceKey":"B77A8731C7F4D6E92C07D7DCB68961470000A553-CC46D6CCCCCC-global","label":"global","serialNumber":"9BRCYQ8RDRU"}
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 4, bytes = 1
    78, resp: lNumber":"9KZNYR9FPPQ","phishing":1,"createdAt":1635877282,"originId":573529511,"
    apiKey":"b0e16d19c32d42ec996b635x4x9005b9","deviceTypeId":1,"vendorId":51,"organizationId":xxxxx}

    Ici, la requête POST contient le jeton API (jeton API du périphérique hérité du tableau de bord Cisco Umbrella), la clé API, le numéro de modèle (identique au jeton API), l'adresse MAC du contrôleur LAN sans fil (WLC), le nom de la carte de paramètres (balise) et le numéro de série du périphérique.

    L'ID de périphérique est généré à l'aide du jeton API, de la clé API, de la balise et de l'adresse MAC. Étant donné que ces deux 9800 ont les mêmes valeurs pour ce qui précède, le même ID de périphérique leur est attribué.

    C'est un comportement prévu. Pour résoudre ce problème, vous devez créer une carte-paramètre personnalisée sur l'un des 9800 ou les deux ;

    parameter-map type umbrella <custom name>

    En créant une carte-paramètre personnalisée "cpm", nous créons une nouvelle balise qui donne un ID de périphérique différent (deviceId).

    {"deviceId":"010a30f6275c92ce","deviceKey":"0DCDA24CDD6A92D714FE357539FDCAE80051BA0A-DD46D6BBCCCC-global","label":"global","serialNumber":"F222424Q4M8","phishing":1,"createdAt":1641192490,"originId":563829932,"apiKey":"b0e16d15c32d4e8c996b635afa9005b9","deviceTypeId":1,"vendorId":51,"organizationId":******}

    {"deviceId":"010a341b037ea6b9","deviceKey":"0DCDA24CDD6A92D714FE357539FDCAE80051BA0A-DD46D6BBCCCC-cpm","label":"global","serialNumber":"F222424Q4M8","phishing":1,"createdAt":1641825561,"originId":563829932,"apiKey":"b0e16d15c32d4e8c996b635afa9005b9","deviceTypeId":1,"vendorId":51,"organizationId":******}

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    30-Sep-2025
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits