Introduction
Ce document décrit comment intégrer les contrôleurs sans fil de la gamme Catalyst 9800 (C9800 WLC) avec Prime Infrastructure (3.x).
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- WLC C9800
- Prime Infrastructure (PI) version 3.5
- Protocole de gestion de réseau simple (SNMP)
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- WLC C9800
- Cisco IOS XE Gibraltar 16.10.1 à 17.3
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Remarque : Prime Infra 3.8 prend uniquement en charge les WLC 17.x 9800. Les clients n'apparaissent pas sur Prime Infrastructure si vous essayez de gérer un WLC 16.12 avec Prime Infra 3.8.
Configurer
Pour que l'infrastructure Prime puisse configurer, gérer et surveiller les contrôleurs LAN sans fil de la gamme Catalyst 9800, elle doit pouvoir accéder à C9800 via CLI, SNMP et Netconf. Lorsque vous ajoutez C9800 à Prime Infrastructure, vous devez spécifier les informations d'identification Telnet/SSH, ainsi que la chaîne de communauté SNMP, la version, etc. PI utilise ces informations pour vérifier l'accessibilité et inventorier le WLC C9800. Il utilise également le protocole SNMP pour transmettre les modèles de configuration et prendre en charge les déroutements pour les événements de point d'accès (AP) et de client. Cependant, pour que PI puisse collecter des statistiques AP et Client, Netconf est utilisé. Netconf n'est pas activé par défaut sur le WLC C9800 et doit être configuré manuellement via CLI sur la version 16.10.1 (GUI disponible dans 16.11.1).
Ports utilisés
La communication entre C9800 et Prime Infrastructure utilise différents ports.
- Toutes les configurations et tous les modèles disponibles dans Prime Infra sont envoyés via SNMP et CLI. Il utilise le port UDP 161.
- Les données opérationnelles pour le WLC C9800 lui-même sont obtenues via SNMP. Il utilise le port UDP 162.
- Les données opérationnelles du point d'accès et du client exploitent la télémétrie en continu.
Prime Infrastructure vers WLC : port TCP 830 - Il est utilisé par Prime Infra pour pousser la configuration de télémétrie vers 9800 périphériques (à l'aide de Netconf).
WLC vers Prime Infrastructure : port TCP 20828 (pour Cisco® IOS XE 16.10 et 16.11) ou 20830 (pour Cisco IOS XE 16.12, 17.x et versions ultérieures).
Remarque : les messages de test d'activité sont envoyés toutes les 5 secondes, même en l'absence de télémétrie à signaler.
Remarque : si un pare-feu est installé entre Prime Infrastructure et C9800, assurez-vous d'ouvrir ces ports pour établir la communication.
Configuration SNMPv2 sur WLC Cat 9800
IUG:
Étape 1. Accédez à Administration > SNMP > Slide to Enable SNMP.
Étape 2. Cliquez sur Community Strings et créez un nom de communauté Lecture seule et Lecture-écriture.
CLI :
(config)#snmp-server community <snmpv2-community-name> (optional)(config)# snmp-server location <site-location> (optional)(config)# snmp-server contact <contact-number>
Configuration SNMPv3 sur WLC Cat 9800
IUG:
Remarque : depuis la version 17.1 de Cisco IOS XE, l'interface utilisateur Web vous permet uniquement de créer des utilisateurs v3 en lecture seule. Vous devez exécuter la procédure CLI pour créer un utilisateur v3 en lecture-écriture.
CLI :
Cliquez sur V3 userset créez un utilisateur. Choisissez authPriv, SHA et AES protocols, et choisissez des mots de passe longs. MD5 et DES/3DES sont des protocoles non sécurisés et bien qu'ils soient encore une option dans le 9800, ils ne doivent pas être sélectionnés et ne sont plus entièrement testés.
Remarque : la configuration utilisateur SNMPv3 n'est pas reflétée dans la configuration en cours. Seule la configuration de groupe SNMPv3 est visible.
CLI :
(config)#snmp-server view primeview iso included
(config)#snmp-server group <v3-group-name> v3 auth write primeview (config)#snmp-server user <v3username> <v3-group-name> v3 auth {md5 | sha} <AUTHPASSWORD> priv {3des | aes | des} {optional for aes 128 | 192| 256} <PRIVACYPASSWORD> 9800#show snmp user User name: Nico Engine ID: 800000090300706D1535998C storage-type: nonvolatile active Authentication Protocol: SHA Privacy Protocol: AES128 Group-name: SnmpAuthPrivGroup
Configuration Netconf sur le WLC Cat 9800
GUI (à partir de 16.11) :
Accédez à Administration > HTTP/HTTPS/Netconf.
CLI :
(config)#netconf-yang
Attention : si un nouveau modèle est activé sur C9800, vous devez également configurer :
(config)#aaa authorization exec default <local ou radius/tacacs group>
(config)#aaa authentication login default <local ou radius/tacacs group>
Netconf sur C9800 utilise la méthode par défaut (et vous ne pouvez pas la modifier) pour l'authentification aaa login ainsi que pour aaa authorization exec. Si vous souhaitez définir une méthode différente pour les connexions SSH, vous pouvez le faire dans la ligne de line vty commande. Netconf continue à utiliser les méthodes par défaut.
Attention : l'infrastructure Prime, lors de l'ajout d'un contrôleur 9800 à son inventaire, écrase les méthodes par défaut de connexion d'authentification aaa et d'exécution d'autorisation aaa que vous avez configurées et les pointe vers l'authentification locale uniquement dans le cas où Netconf n'est pas déjà activé sur le WLC. Si Prime Infrastructure est en mesure de se connecter avec Netconf, il ne modifie pas la configuration. Cela signifie que si vous utilisiez TACACS, vous perdez l'accès CLI après avoir ajouté le 9800 à Prime. Vous pouvez revenir à ces commandes de configuration par la suite et les faire pointer vers TACACS si vous le souhaitez.
Remarque : seules les clés RSA sont actuellement prises en charge sur le point de confiance utilisé par NETCONF. Les clés EC (Elliptic Curve) ne sont pas encore prises en charge et provoquent le blocage du processus ncsshd si elles sont utilisées. Vous pouvez vérifier la clé utilisée par le processus ncsshd en utilisant la commande suivante « show logging process ncsshd internal start last 1 hours | sec key name". Une demande d'amélioration est ouverte pour ajouter la prise en charge des clés EC dans les versions futures : ID de bogue Cisco CSCwk02600.
Configurer (Prime Infrastructure 3.5 et versions ultérieures)
Étape 1. Capturez l'adresse IP de gestion sans fil configurée sur le WLC Catalyst 9800.
IUG:
Accédez à Configuration > Interface: Wireless.
CLI :
# show wireless interface summary
Étape 2. Capturez les informations d'identification d'utilisateur du privilège 15 et activez le mot de passe.
IUG:
Accédez à Administration > User Administration.
CLI :
# show run | inc username # show run | inc enable
Étape 3. Obtenez les chaînes de communauté SNMPv2 et/ou l'utilisateur SNMPv3, le cas échéant.
IUG:
Pour SNMPv2, accédez à Administration > SNMP > Community Strings.
Pour SNMPv3, accédez à Administration > SNMP > V3 Users.
CLI :
For SNMPv2 community strings # show run | sec snmp For SNMPv3 user # show user
Étape 4. Sur l'interface utilisateur graphique de Prime Infrastructure, accédez à Configuration > Network: Network Devices, cliquez sur le menu déroulant en regard + et choisissez Add Device.
Étape 5. Dans la Add Device fenêtre contextuelle, entrez l'adresse IP de l'interface sur le routeur 9800 qui est utilisée pour établir la communication avec l'infrastructure Prime.
Étape 6. Accédez à l'SNMP onglet et indiquez SNMPv2 Read-Only and Read-Write Community Strings configuré sur le WLC C9800.
Étape 7. Si vous utilisez SNMPv3, dans la liste déroulante, sélectionnez v3et indiquez le nom d'utilisateur SNMPv3. Dans la Auth-Type liste déroulante, sélectionnez le type d'authentification précédemment configuré et dans la Privacy Type liste déroulante, choisissez la méthode de cryptage configurée sur le WLC C9800.
Étape 8. Accédez à l'Telnet/SSH onglet de, Add Deviceindiquez le nom d'utilisateur et le mot de passe Privilège 15 ainsi que le mot de passe Activer. Cliquez sur Verify Credentials pour vous assurer que les identifiants CLI et SNMP fonctionnent correctement. Cliquez ensuite sur Add.
Vérifier
Vérifier l'état de télémétrie
Étape 1. Vérifiez que Netconf est activé sur C9800.
#show run | inc netconf netconf-yang
S'il n'est pas présent, entrez la section « NETCONF configuration on the Cat 9800 WLC ».
Étape 2. Vérifiez la connexion de télémétrie à Prime à partir du C9800.
#show telemetry internal connection Telemetry connection Address Port Transport State Profile ------------------------------------------------------------------ x.x.x.x 20828 cntp-tcp Active
Remarque : x.x.x.x est l'adresse IP de Prime Infrastructure et l'état doit être Actif. Si l'état n'est pas Actif, reportez-vous à la section Dépannage.
Dans la version 17.9, vous devez utiliser une commande légèrement différente :
9800-17-9-2#show telemetry connection all Telemetry connections Index Peer Address Port VRF Source Address State State Description ----- -------------------------- ----- --- -------------------------- ---------- -------------------- 0 10.48.39.25 25103 0 10.48.39.228 Active Connection up 9800-17-9-2#
Étape 3. Sur Prime Infrastructure, accédez à Inventory > Network Devices > Device Type: Wireless Controller.
Étape 4. Pour afficher les détails de la connexion de télémétrie à l'infrastructure Prime, exécutez ceci :
#show telemetry internal protocol cntp-tcp manager x.x.x.x 20828 Telemetry protocol manager stats: Con str : x.x.x.x:20828:: Sockfd : 79 Protocol : cntp-tcp State : CNDP_STATE_CONNECTED Table id : 0 Wait Mask : Connection Retries : 0 Send Retries : 0 Pending events : 0 Source ip : <9800_IP_ADD> Bytes Sent : 1540271694 Msgs Sent : 1296530 Msgs Received : 0
Étape 5. Vérifiez l'état de l'abonnement de télémétrie à partir du C9800 et le fait qu'ils s'affichent comme « Valide ».
#show telemetry ietf subscription configured Telemetry subscription brief ID Type State Filter type ----------------------------------------------------- 68060586 Configured Valid transform-na 98468759 Configured Valid tdl-uri 520450489 Configured Valid transform-na 551293206 Configured Valid transform-na 657148953 Configured Valid transform-na 824003685 Configured Valid transform-na 996216912 Configured Valid transform-na 1072751042 Configured Valid tdl-uri 1183166899 Configured Valid transform-na 1516559804 Configured Valid transform-na 1944559252 Configured Valid transform-na 2006694178 Configured Valid transform-na
Étape 6 : les statistiques d'abonnement peuvent être affichées par ID d'abonnement ou pour tous les abonnements à l'aide de ce qui suit :
#show telemetry internal subscription { all | id } stats Telemetry subscription stats: Subscription ID Connection Info Msgs Sent Msgs Drop Records Sent ------------------------------------------------------------------------------ 865925973 x.x.x.x:20828:: 2 0 2 634673555 x.x.x.x:20828:: 0 0 0 538584704 x.x.x.x:20828:: 0 0 0 1649750869 x.x.x.x:20828:: 1 0 2 750608483 x.x.x.x:20828:: 10 0 10 129958638 x.x.x.x:20828:: 10 0 10 1050262948 x.x.x.x:20828:: 1369 0 1369 209286788 x.x.x.x:20828:: 15 0 15 1040991478 x.x.x.x:20828:: 0 0 0 1775678906 x.x.x.x:20828:: 2888 0 2889 1613608097 x.x.x.x:20828:: 6 0 6 1202853917 x.x.x.x:20828:: 99 0 99 1331436193 x.x.x.x:20828:: 743 0 743 1988797793 x.x.x.x:20828:: 0 0 0 1885346452 x.x.x.x:20828:: 0 0 0 163905892 x.x.x.x:20828:: 1668 0 1668 1252125139 x.x.x.x:20828:: 13764 0 13764 2078345366 x.x.x.x:20828:: 13764 0 13764 239168021 x.x.x.x:20828:: 1668 0 1668 373185515 x.x.x.x:20828:: 9012 0 9012 635732050 x.x.x.x:20828:: 7284 0 7284 1275999538 x.x.x.x:20828:: 1236 0 1236 825464779 x.x.x.x:20828:: 1225711 0 1225780 169050560 x.x.x.x:20828:: 0 0 0 229901535 x.x.x.x:20828:: 372 0 372 592451065 x.x.x.x:20828:: 8 0 8 2130768585 x.x.x.x:20828:: 0 0 0
Dépannage
Dépannage de l'infrastructure Prime
- La première chose à vérifier sur l'infrastructure Prime est l'adresse IP et les interfaces. Prime Infrastructure ne prend pas en charge le double hébergement et n'écoute pas la télémétrie sur son deuxième port.
- L'adresse IP du WLC que vous ajoutez dans Prime Infrastructure doit être l'adresse IP utilisée comme « interface de gestion sans fil ». L'adresse IP de l'infrastructure Prime doit être accessible à partir de cette interface de gestion sans fil côté contrôleur.
- Si vous utilisez le port de service (gig0/0 sur les appareils) pour la détection, le WLC et les AP apparaissent dans l'état Managed dans Inventory mais la télémétrie pour le WLC et les points d'accès associés ne fonctionne pas.
- Si vous voyez que l'état de télémétrie est un « succès » sur l'infrastructure Prime, mais que le nombre d'AP est 0, il se peut que l'infrastructure Prime puisse atteindre le WLC sur le port 830 mais que le contrôleur ne puisse pas atteindre l'infrastructure Prime sur le port 20830.
Pour tout problème SNMP ou de configuration de périphérique, collectez ces journaux auprès de Prime Infrastructure :
cd /opt/CSCOlumos/logs/ [root@prime-tdl logs]# ncs-0-0.log Tdl.logs
Pour les problèmes de télémétrie/corail, la première chose est de vérifier l'état du corail :
shell cd /opt/CSCOlumos/coralinstances/coral2/coral/bin ./coral version 1 ./coral status 1 ./coral stats 1
Si tout va bien, collectez ces journaux à partir du dossier des journaux de corail principal.
Remarque : selon la version de l'infrastructure Prime et la quantité de version de Cisco IOS XE prise en charge, il peut y avoir plusieurs instances Coral sur l'infrastructure Prime. Consultez les notes de version pour plus de détails, par exemple : https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-7/release/notes/bk_Cisco_Prime_Infrastructure_3_7_0_Release_Notes.html
Étape 1.
cd /opt/CSCOlumos/coral/bin/ [root@prime-tdl bin]# ./coral attach 1 Attached to Coral instance 1 [pid=8511] Coral-1#cd /tmp/rp/trace/ Coral-1#ls Collect the “Prime_TDL_collector_R0-”* logs
Coral-1# cd /tmp/rp/trace/ Coral-1# btdecode P* > coralbtlog.txt Coral-1# cat coralbtlog.txt
Ces journaux se trouvent également dans ce répertoire :
* Les fichiers de trace décodés sont disponibles dans le chemin/opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
* ade# cd /opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
* ade# cp coraltrace.txt /localdisk/defaultRepo
Étape 2. Pour activer Coral en mode de débogage, le niveau de débogage doit être défini dans le debug.conf fichier.
Soit à partir du conteneur :
echo "rp:0:0:tdlcold:-e BINOS_BTRACE_LEVEL=DEBUG;" > /harddisk/debug.conf
Ou sur Prime 3.8, le service Coral peut être redémarré en dehors du conteneur à l'aide de :
"sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"
Si le redémarrage n'aide pas, vous pouvez les utiliser pour effacer l'instance de corail et la démarrer en douceur :
sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral stop 1 sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral purge 1 sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral start 1
Redémarrez Coral, c'est obligatoire. Vous pouvez laisser l'instance de corail si vous tapez 'Exit' alors :
./coral/bin/coral restart 1
Remarque : sur Prime 3.8, le service Coral peut être redémarré en dehors du conteneur à l'aide de « sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1 »
Si vous devez décoder les fichiers journaux Coral, vous pouvez les décoder à l'intérieur du conteneur Coral avec :
btdecode Prime_TDL_collector_*.bin
Remarque : après avoir activé le niveau de débogage de Coral, le redémarrage de Coral est obligatoire.
Dépannage du WLC Catalyst 9800
Pour surveiller la configuration transmise par Prime Infra au WLC C9800, vous pouvez exécuter une applet EEM.
#config terminal #event manager applet catchall #event cli pattern ".*" sync no skip no #action 1 syslog msg "$_cli_msg"
Supprimer tous les abonnements de télémétrie de la configuration WLC
Il peut arriver que vous souhaitiez annuler la configuration de tous les abonnements de télémétrie configurés sur le WLC. Pour ce faire, utilisez simplement les commandes suivantes :
WLC#term shell WLC#function removeall() { for id in `sh run | grep telemetry | cut -f4 -d' '` do conf t no telemetry ietf subscription $id exit done } WLC#removeall
Pour activer les suivis :
# debug netconf-yang level debug
Pour vérifier :
WLC#show platform software trace level mdt-pubd chassis active R0 | inc Debug pubd Debug WLC#show platform software trace level ndbman chassis active R0 | inc Debug ndbmand Debug
Pour afficher les résultats du suivi :
show platform software trace message mdt-pubd chassis active R0 show platform software trace message ndbman chassis active R0
Rechercher l'ID d'abonnement pour les informations AP
Cliquez sur DB Query. Accédez à tohttps://<Prime_IP>/webacs/ncsDiag.do.
Choisissez *l'emplacement ewlcSubscription où OWNINGENTITYID comme '%Controller_IP' et CLASSNAME='UnifiedAp'.
À partir du WLC :
Vérifiez que l'ID d'abonnement envoie des informations et qu'aucun abandon n'est détecté sur les compteurs cntp.
show tel int sub all stats show telemetry internal protocol cntp-tcp connector counters drop show telemetry internal protocol cntp-tcp connector counters queue show telemetry internal protocol cntp-tcp connector counters rate show telemetry internal protocol cntp-tcp connector counters sub-rate show telemetry internal protocol cntp-tcp connector counters reset
Remarque : le WLC 9800 prend en charge 100 abonnements télémétriques avant 17.6 et jusqu'à 128 abonnements après 17.6 (car la version récente de Catalyst Center peut utiliser plus de 100 abonnements.
Migration de PI vers Cisco Catalyst Center
Le C9800 ne peut pas être géré simultanément par PI et Cisco Catalyst Center. S'il est prévu de passer à Catalyst Center en tant que solution de gestion de réseau, le C9800 doit être supprimé de Prime Infrastructure avant de l'ajouter à Catalyst Center. Lorsque C9800 est supprimé de PI 3.5, toutes les configurations qui ont été transmises à C9800 au moment de l'inventaire par PI ne sont pas restaurées et elles doivent être supprimées manuellement du système. Plus précisément, les canaux d'abonnement établis pour le WLC C9800 pour publier des données de télémétrie en continu ne sont pas supprimés.
Pour identifier cette configuration spécifique :
#show run | sec telemetry
Pour supprimer cette configuration, exécutez la no forme de la commande :
(config) # no telemetry ietf subscription <Subscription-Id> Repeat this CLI to remove each of the subscription identifiers. (config) # no telemetry transform <Transform-Name> Repeat this CLI to remove each of the transform names
Remarque : si vous gérez le contrôleur 9800 avec Catalyst Center et Prime Infrastructure, la conformité de l'inventaire de Catalyst Center échoue normalement en raison de la gestion Prime.
Dans les versions récentes, Prime Infrastructure et Catalyst Center peuvent utiliser trop d'abonnements de télémétrie pour le WLC pour que les deux serveurs puissent gérer le 9800 simultanément. Vous ne pouvez donc pas gérer le 9800 à la fois avec Catalyst Center et avec Prime Infrastructure, et la télémétrie et les statistiques fonctionnent. La migration de PI vers Catalyst Center doit donc se faire le plus rapidement possible, car Catalyst Center ne peut pas recevoir de données de télémétrie du 9800 tant que Prime Infrastructure gère le contrôleur 9800.