Gestion de la gamme de contrôleurs sans fil Catalyst 9800 avec Prime Infrastructure à l'aide de SNMP v2 et SNMP v3 et de NetCONF

Introduction

Ce document décrit comment intégrer les contrôleurs sans fil de la gamme Catalyst 9800 (WLC C9800) à Prime Infrastructure (3.x) qui utilise le protocole de gestion de réseau simple et Netconf.  Les détails de configuration pour SNMPv2 et SNMPv3 sont inclus.

Conditions préalables

Conditions requises

Cisco vous recommande d'avoir une connaissance générale de

• WLC C9800
• Prime Infrastructure Version (PI) 3.5
• SNMP

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• WLC C9800
• Cisco IOS-XE Gibraltar 16.10.1 à 17.3

Note: Prime Infra 3.8 prend uniquement en charge les WLC 17.x 9800. Les clients ne s'afficheront pas sur Prime Infrastructure si vous essayez de gérer un WLC 16.12 avec Prime Infra 3.8

Configuration

Pour que Prime Infrastructure puisse configurer, gérer et surveiller les contrôleurs LAN sans fil de la gamme Catalyst 9800, elle doit pouvoir accéder au C9800 via CLI, SNMP et Netconf. Lors de l'ajout de C9800 à Prime Infrastructure, les informations d'identification Telnet/SSH ainsi que la chaîne de communauté SNMP, la version, etc. doivent être spécifiées. PI utilise ces informations pour vérifier l'accessibilité et pour inventorier le WLC C9800. Il utilisera également SNMP pour transmettre des modèles de configuration ainsi que des interruptions de support pour les événements des points d'accès et des clients. Cependant, afin que PI collecte les statistiques des points d'accès (AP) et des clients, Netconf est exploité. Netconf n'est pas activé par défaut sur le WLC C9800 et doit être configuré manuellement via l'interface de ligne de commande sur la version 16.10.1 (interface utilisateur graphique disponible dans 16.11.1).

Ports utilisés

La communication entre l'infrastructure C9800 et Prime utilise différents ports.

• Toutes les configurations et tous les modèles disponibles dans Prime Infra seront transmis via SNMP et CLI.Ceci utilise le port UDP 161.
• Les données opérationnelles du WLC C9800 lui-même sont obtenues via SNMP. Utilise le port UDP 162
• Les données opérationnelles des points d'accès et des clients exploitent la télémétrie en continu.
  Prime Infrastructure to WLC : Port TCP 830 : utilisé par Prime Infra pour transmettre la configuration de télémétrie à 9 800 périphériques (à l'aide de netconf)
  Infrastructure WLC vers Prime : Port TCP 20828 (pour IOS-XE 16.10 et 16.11) ou 20830 (pour IOS-XE 16.12,17.x et versions ultérieures) -

Note: Les messages de test d'activité sont envoyés toutes les 5 secondes, même s'il n'y a pas de télémétrie à signaler

Note: En cas de pare-feu entre Prime Infrastructure et C9800, assurez-vous d'ouvrir ces ports pour établir la communication

Configuration SNMPv2 sur le WLC Cat 9800

IUG:

Étape 1. Accédez à Administration > SNMP > Slide to Enable SNMP

Étape 2. Cliquez sur Chaînes de communauté et créez un nom de communauté en lecture seule et en lecture-écriture

CLI :

(config)#snmp-server community <snmpv2-community-name> 
(optional)(config)# snmp-server location <site-location>
(optional)(config)# snmp-server contact <contact-number>

Configuration SNMPv3 sur le WLC Cat 9800

IUG:

Note: À partir de la version 17.1 d'IOS-XE, l'interface utilisateur Web ne vous permettra de créer que des utilisateurs v3 en lecture seule. Vous devez suivre la procédure CLI pour créer un utilisateur v3 en lecture-écriture.

CLI :

Cliquez sur Utilisateurs V3. Créez un utilisateur, choisissez « authPriv », les protocoles SHA et AES et choisissez des mots de passe longs. Les protocoles MD5 et DES/3DES ne sont pas sécurisés et, bien qu'ils soient encore une option dans le 9800, ils ne doivent pas être sélectionnés et ne sont plus entièrement testés.

Note: La configuration utilisateur SNMPv3 n'est pas reflétée sur la configuration en cours. Seule la configuration du groupe SNMPv3 est visible

CLI :

(config)#snmp-server view primeview iso included
(config)#snmp-server group <v3-group-name> v3 auth write primeview 
(config)#snmp-server user <v3username> <v3-group-name> v3 auth {md5 | sha} <AUTHPASSWORD> priv {3des | aes | des} {optional for aes 128 | 192| 256} <PRIVACYPASSWORD>



9800#show snmp user

User name: Nico
Engine ID: 800000090300706D1535998C
storage-type: nonvolatile	 active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: SnmpAuthPrivGroup

Configuration NETCONF sur le WLC Cat 9800

GUI (à partir de 16.11) :

Accédez à Administration > HTTP/HTTPS/NetConf

CLI :

(config)#netconf-yang

Attention : Si un nouveau modèle est activé sur C9800, vous devez également configurer
(config)#aaa Authorization exec default <groupe local ou radius/tacacs>
(config)#aaa authentication login default <local ou radius/tacacs group>
Netconf sur C9800 utilise la méthode par défaut (et vous ne pouvez pas la modifier) à la fois pour la connexion d'authentification aaa et pour l'autorisation aaa. Si vous voulez définir une méthode différente pour les connexions SSH, vous pouvez le faire sous la ligne de commande « line vty ». Netconf continuera à utiliser les méthodes par défaut.

L'infrastructure Prime, lors de l'ajout d'un contrôleur 9800 à son inventaire, remplacera les méthodes par défaut d'authentification aaa et d'autorisation aaa exec que vous avez configurées et les dirigera vers l'authentification locale uniquement si Netconf n'est pas déjà activé sur le WLC. Si Prime Infrastructure est en mesure de se connecter avec netconf, la configuration ne sera pas modifiée. Cela signifie que si vous utilisez TACACS, vous perdrez l'accès CLI après avoir ajouté le 9800 à Prime. Vous pouvez revenir sur ces commandes de configuration par la suite et les faire pointer vers TACACS si c'est votre préférence.

Configurer (Prime Infrastructure 3.5 et versions ultérieures)

Étape 1. Capturez l'adresse IP de gestion sans fil configurée sur le WLC Catalyst 9800

IUG:

Accédez à Configuration > Interface : Solutions sans fil

CLI :

# show wireless interface summary

Étape 2. Capturez les informations d'identification de 15 utilisateurs et le mot de passe enable

IUG:

Accédez à Administration > User Administration

        

CLI :

# show run | inc username
# show run | inc enable

Étape 3 - Obtenez les chaînes de communauté SNMPv2 et/ou l'utilisateur SNMPv3, le cas échéant

IUG:

Pour SNMPv2, accédez à Administration > SNMP > Community Strings

Pour SNMPv3, accédez à Administration > SNMP > Utilisateurs V3

CLI :

For SNMPv2 community strings
# show run | sec snmp 

For SNMPv3 user
# show user

Étape 4 Sur l'interface utilisateur graphique de Prime Infrastructure, naviguez jusqu'à Configuration > Réseau : Périphériques réseau > Cliquez sur le menu déroulant en regard de + > Sélectionner Ajouter un périphérique

Étape 5. Dans la fenêtre contextuelle Ajouter un périphérique, entrez l'adresse ip de l'interface sur 9800 qui sera utilisée pour établir la communication avec Prime Infrastructure.

Étape 6. Accédez à l'onglet SNMP et fournissez des chaînes de communauté en lecture seule et en lecture-écriture SNMPv2 configurées sur le WLC C9800

Étape 7. Si vous utilisez SNMPv3, dans la liste déroulante, sélectionnez v3, indiquez le nom d'utilisateur SNMPv3. À partir de la liste déroulante Type d'authentification correspondant au type d'authentification précédemment configuré et de la liste déroulante Type de confidentialité, sélectionnez la méthode de chiffrement configurée sur le WLC C9800

Étape 8. Accédez à l'onglet Telnet/SSH de Add Device, indiquez le nom d'utilisateur et le mot de passe Privilège 15 ainsi que le mot de passe Enable Password. Cliquez sur Vérifier les informations d'identification pour vous assurer que les informations d'identification CLI et SNMP fonctionnent correctement. Puis cliquez sur Ajouter

Vérification

Vérifier l'état de la télémétrie

Étape 1. Vérifiez que Netconf est activé sur C9800 :

#show run | inc netconf
netconf-yang

S'il n'est pas présent, suivez la section « Configuration NETCONF sur le WLC Cat 9800 ».

Étape 2. Vérifiez la connexion de télémétrie vers Prime à partir du C9800

#show telemetry internal connection
Telemetry connection

Address Port Transport State Profile
------------------------------------------------------------------
x.x.x.x 20828 cntp-tcp Active

Note: x.x.x.x est l'adresse ip de Prime Infrastructure et l'état Devrait être Actif. Si l'état n'est pas Actif, reportez-vous à la section Dépannage

Étape 3. Sur Prime Infrastructure, accédez à Inventory > Network Devices > Device Type : Contrôleur sans fil

Étape 4. Pour afficher les détails de la connexion de télémétrie à Prime Infrastructure, exécutez

#show telemetry internal protocol cntp-tcp manager x.x.x.x 20828
Telemetry protocol manager stats:

Con str                : x.x.x.x:20828::
Sockfd                 : 79
Protocol               : cntp-tcp
State                  : CNDP_STATE_CONNECTED
Table id               : 0
Wait Mask              :
Connection Retries     : 0
Send Retries           : 0
Pending events         : 0
Source ip              : <9800_IP_ADD>
Bytes Sent             : 1540271694
Msgs Sent              : 1296530
Msgs Received          : 0

Étape 5. Vérifiez l'état de l'abonnement de télémétrie à partir du C9800 et le fait qu'ils s'affichent comme « Valide »

#show telemetry ietf subscription configured
Telemetry subscription brief

ID Type State Filter type
-----------------------------------------------------
68060586 Configured Valid transform-na
98468759 Configured Valid tdl-uri
520450489 Configured Valid transform-na
551293206 Configured Valid transform-na
657148953 Configured Valid transform-na
824003685 Configured Valid transform-na
996216912 Configured Valid transform-na
1072751042 Configured Valid tdl-uri
1183166899 Configured Valid transform-na
1516559804 Configured Valid transform-na
1944559252 Configured Valid transform-na
2006694178 Configured Valid transform-na

Étape 6 : Les statistiques d'abonnement peuvent être affichées par ID d'abonnement ou pour tous les abonnements à l'aide de

#show telemetry internal subscription { all | id } stats
Telemetry subscription stats:

Subscription ID  Connection Info            Msgs Sent  Msgs Drop  Records Sent
------------------------------------------------------------------------------
865925973        x.x.x.x:20828::      2          0          2
634673555        x.x.x.x:20828::      0          0          0
538584704        x.x.x.x:20828::      0          0          0
1649750869       x.x.x.x:20828::      1          0          2
750608483        x.x.x.x:20828::      10         0          10
129958638        x.x.x.x:20828::      10         0          10
1050262948       x.x.x.x:20828::      1369       0          1369
209286788        x.x.x.x:20828::      15         0          15
1040991478       x.x.x.x:20828::      0          0          0
1775678906       x.x.x.x:20828::      2888       0          2889
1613608097       x.x.x.x:20828::      6          0          6
1202853917       x.x.x.x:20828::      99         0          99
1331436193       x.x.x.x:20828::      743        0          743
1988797793       x.x.x.x:20828::      0          0          0
1885346452       x.x.x.x:20828::      0          0          0
163905892        x.x.x.x:20828::      1668       0          1668
1252125139       x.x.x.x:20828::      13764      0          13764
2078345366       x.x.x.x:20828::      13764      0          13764
239168021        x.x.x.x:20828::      1668       0          1668
373185515        x.x.x.x:20828::      9012       0          9012
635732050        x.x.x.x:20828::      7284       0          7284
1275999538       x.x.x.x:20828::      1236       0          1236
825464779        x.x.x.x:20828::      1225711    0          1225780
169050560        x.x.x.x:20828::      0          0          0
229901535        x.x.x.x:20828::      372        0          372
592451065        x.x.x.x:20828::      8          0          8
2130768585       x.x.x.x:20828::      0          0          0

Dépannage

Dépannage de Prime Infrastructure

• La première chose à vérifier sur l'infrastructure Prime est l'adresse IP et les interfaces. Prime Infrastructure ne prend pas en charge le double hébergement et n'écoute pas les données télémétriques sur son deuxième port.
• L'adresse IP du WLC que vous ajoutez dans Prime Infrastructure doit être l'adresse IP utilisée comme « interface de gestion sans fil ». L'adresse IP de Prime Infrastructure doit être accessible à partir de cette interface de gestion sans fil côté contrôleur.
• Si vous utilisez le port de service (gig0/0 sur les appliances) pour la détection, WLC et les points d'accès apparaîtront à l'état Managed dans Inventory, mais la télémétrie pour WLC et les points d'accès associés ne fonctionnera pas. 
• Si vous voyez que l'état de la télémétrie est « réussite » sur Prime Infrastructure mais que le nombre de points d'accès est 0, il se peut que Prime Infrastructure puisse atteindre le WLC sur le port 830 mais que le contrôleur ne puisse pas atteindre Prime Infrastructure sur le port 20830.

Pour tout problème snmp ou de configuration de périphérique, collectez les journaux suivants à partir de Prime Infrastructure

cd /opt/CSCOlumos/logs/

[root@prime-tdl logs]# ncs-0-0.log

Tdl.logs

Pour les questions de télémétrie/corail, la première chose est de vérifier l'état du corail :

shell

cd /opt/CSCOlumos/coralinstances/coral2/coral/bin

./coral version 1

./coral status 1

./coral stats 1

Si tout va bien, veuillez collecter les journaux suivants à partir du dossier des journaux de corail principal

Note: Selon la version de Prime Infrastructure et la quantité de version IOS-XE prise en charge, il peut y avoir plusieurs instances Coral sur Prime Infrastructure. Pour plus d'informations, consultez les notes de version : https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-7/release/notes/bk_Cisco_Prime_Infrastructure_3_7_0_Release_Notes.html

Étape 1.

cd /opt/CSCOlumos/coral/bin/

[root@prime-tdl bin]# ./coral attach 1

Attached to Coral instance 1 [pid=8511]

Coral-1#cd /tmp/rp/trace/

Coral-1#ls

Collect the  “Prime_TDL_collector_R0-”* logs

Coral-1# cd /tmp/rp/trace/
Coral-1# btdecode P* > coralbtlog.txt
Coral-1# cat  coralbtlog.txt

Ces journaux se trouvent également dans le répertoire ci-dessous :

* Les fichiers de suivi décodés seront disponibles dans le chemin

/opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk

* ade# cd /opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk

* ade# cp coraltrace.txt /localdisk/defaultRepo

Étape 2. Pour activer Coral en mode débogage, le niveau de débogage doit être défini dans le fichier debug.conf.

À partir de l'intérieur du conteneur :

echo "rp:0:0:tdlcold:-e BINOS_BTRACE_LEVEL=DEBUG;" > /harddisk/debug.conf

ou Sur Prime 3.8, le service Coral peut être redémarré en dehors du conteneur à l'aide de

"sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"

Si le redémarrage n'aide pas les éléments ci-dessous peuvent être utilisés pour effacer l'instance de corail et la démarrer en douceur :

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral stop 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral purge 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral start 1

Redémarrez Coral, c'est obligatoire. Vous pouvez quitter l'instance de corail en tapant « Exit », puis :

./coral/bin/coral restart 1

Note: Sur Prime 3.8, le service Coral peut être redémarré en dehors du conteneur en utilisant "sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"

Si vous devez décoder les fichiers journaux Coral, vous pouvez les décoder à l'intérieur du conteneur Coral avec :

btdecode Prime_TDL_collector_*.bin

Note: Après avoir activé le niveau de débogage de Coral, le redémarrage de Coral est obligatoire.

Dépannage sur Catalyst 9800 WLC

Pour surveiller la configuration poussée par Prime Infra sur le WLC C9800, vous pouvez exécuter une applet EEM

#config terminal
#event manager applet catchall
 #event cli pattern ".*" sync no skip no
 #action 1 syslog msg "$_cli_msg"

Supprimer tous les abonnements de télémétrie de la configuration WLC

Il peut arriver que vous souhaitiez annuler la configuration de tous les abonnements de télémétrie configurés sur le WLC. Pour cela, utilisez simplement les commandes suivantes :

WLC#term shell
WLC#function removeall() {
for id in `sh run | grep telemetry | cut -f4 -d' '`
do
conf t
no telemetry ietf subscription $id
exit
done
}
WLC#removeall

Pour activer les traces

# debug netconf-yang level debug

Pour vérifier :

WLC#show platform software trace level mdt-pubd chassis active R0 | inc Debug

pubd                            Debug           

WLC#show platform software trace level ndbman chassis active R0 | inc Debug

ndbmand                         Debug     

      

Pour afficher les sorties de suivi

show platform software trace message mdt-pubd chassis active R0

show platform software trace message ndbman chassis active R0

Vérifiez l'ID d'abonnement pour les informations de point d'accès :

Cliquez sur Requête DB

Accédez à : https://<Prime_IP>/webacs/ncsDiag.do

Sélectionnez * dans ewlcSubscription où OWNINGENTITYID comme '%Controller_IP' et CLASSNAME='UnifiedAp'

De WLC

Vérifiez que l'ID d'abonnement envoie des informations et qu'aucun abandon n'est effectué sur les compteurs cntp.

show tel int sub all stats

show telemetry internal protocol cntp-tcp connector counters drop

show telemetry internal protocol cntp-tcp connector counters queue

show telemetry internal protocol cntp-tcp connector counters rate

show telemetry internal protocol cntp-tcp connector counters sub-rate

show telemetry internal protocol cntp-tcp connector counters reset

Migration de PI vers DNA-Center

Le C9800 ne peut pas être géré simultanément par Prime Infrastructure (PI) et DNA Center en lecture-écriture (il est par exemple préférable d'avoir DNAC qui ne fait que l'assurance et d'utiliser Prime Infra pour pousser des modèles). Ainsi, s'il est prévu de passer à DNAC en tant que solution de gestion de réseau, le C9800 doit être retiré de Prime Infrastructure avant de l'ajouter à DNA Center. Lorsque C9800 est retiré/supprimé de PI 3.5, toute la configuration qui a été repoussée vers C9800 au moment de l'inventaire par PI n'est PAS restaurée et celles-ci doivent être supprimées manuellement du système. Plus précisément, les canaux d'abonnement établis pour le WLC C9800 pour publier des données de télémétrie en continu ne sont pas supprimés. 

Pour identifier cette configuration spécifique, procédez comme suit :

#show run | sec telemetry

Pour supprimer cette configuration, exécutez la forme « no » de la commande :

(config) # no telemetry ietf subscription <Subscription-Id>
Repeat this CLI to remove each of the subscription identifiers. 


(config) # no telemetry transform <Transform-Name>
Repeat this CLI to remove each of the transform names

Note: Si vous gérez le contrôleur 9800 avec DNAC et Prime Infrastructure, la conformité de l'inventaire DNAC échouera de manière prévisible en raison de la gestion Prime.