Gestion des contrôleurs sans fil Catalyst 9800 avec Prime Infrastructure avec SNMP V2 et V3 et NetCONF

Introduction

Ce document décrit comment intégrer les contrôleurs sans fil de la gamme Catalyst 9800 (C9800 WLC) avec Prime Infrastructure (3.x).

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• WLC C9800
• Prime Infrastructure (PI) version 3.5
• Protocole de gestion de réseau simple (SNMP)

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• WLC C9800
• Cisco IOS XE Gibraltar 16.10.1 à 17.3

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Remarque : Prime Infra 3.8 prend uniquement en charge les WLC 17.x 9800. Les clients n'apparaissent pas sur Prime Infrastructure si vous essayez de gérer un WLC 16.12 avec Prime Infra 3.8.

Configurer

Pour que l'infrastructure Prime puisse configurer, gérer et surveiller les contrôleurs LAN sans fil de la gamme Catalyst 9800, elle doit pouvoir accéder à C9800 via CLI, SNMP et Netconf. Lorsque vous ajoutez C9800 à Prime Infrastructure, vous devez spécifier les informations d'identification Telnet/SSH, ainsi que la chaîne de communauté SNMP, la version, etc. PI utilise ces informations pour vérifier l'accessibilité et inventorier le WLC C9800. Il utilise également le protocole SNMP pour transmettre les modèles de configuration et prendre en charge les déroutements pour les événements de point d'accès (AP) et de client. Cependant, pour que PI puisse collecter des statistiques AP et Client, Netconf est utilisé. Netconf n'est pas activé par défaut sur le WLC C9800 et doit être configuré manuellement via CLI sur la version 16.10.1 (GUI disponible dans 16.11.1).

Ports utilisés

La communication entre C9800 et Prime Infrastructure utilise différents ports.

• Toutes les configurations et tous les modèles disponibles dans Prime Infra sont envoyés via SNMP et CLI. Il utilise le port UDP 161.
• Les données opérationnelles pour le WLC C9800 lui-même sont obtenues via SNMP. Il utilise le port UDP 162.
• Les données opérationnelles du point d'accès et du client exploitent la télémétrie en continu.

Prime Infrastructure vers WLC : port TCP 830 - Il est utilisé par Prime Infra pour pousser la configuration de télémétrie vers 9800 périphériques (à l'aide de Netconf).
WLC vers Prime Infrastructure : port TCP 20828 (pour Cisco® IOS XE 16.10 et 16.11) ou 20830 (pour Cisco IOS XE 16.12, 17.x et versions ultérieures).

Remarque : les messages de test d'activité sont envoyés toutes les 5 secondes, même en l'absence de télémétrie à signaler.

Remarque : si un pare-feu est installé entre Prime Infrastructure et C9800, assurez-vous d'ouvrir ces ports pour établir la communication.

Configuration SNMPv2 sur WLC Cat 9800

IUG:

Étape 1. Naviguez jusqu'à Administration > SNMP > Slide to Enable SNMP.

Étape 2. Cliquez sur Community Strings et créez un nom de communauté en lecture seule et en lecture-écriture.

CLI :

(config)#snmp-server community <snmpv2-community-name> 
(optional)(config)# snmp-server location <site-location>
(optional)(config)# snmp-server contact <contact-number>

Configuration SNMPv3 sur WLC Cat 9800

IUG:

Remarque : depuis la version 17.1 de Cisco IOS XE, l'interface utilisateur Web vous permet uniquement de créer des utilisateurs v3 en lecture seule. Vous devez exécuter la procédure CLI pour créer un utilisateur v3 en lecture-écriture.

CLI :

Cliquez sur V3 userset créer un utilisateur. Choisir authPriv, SHA et AES protocolset choisissez des mots de passe longs. MD5 et DES/3DES sont des protocoles non sécurisés et bien qu'ils soient encore une option dans le 9800, ils ne doivent pas être sélectionnés et ne sont plus entièrement testés.

Remarque : la configuration utilisateur SNMPv3 n'est pas reflétée dans la configuration en cours. Seule la configuration de groupe SNMPv3 est visible.

CLI :

(config)#snmp-server view primeview iso included
(config)#snmp-server group <v3-group-name> v3 auth write primeview 
(config)#snmp-server user <v3username> <v3-group-name> v3 auth {md5 | sha} <AUTHPASSWORD> priv {3des | aes | des} {optional for aes 128 | 192| 256} <PRIVACYPASSWORD>



9800#show snmp user

User name: Nico
Engine ID: 800000090300706D1535998C
storage-type: nonvolatile	 active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: SnmpAuthPrivGroup

Configuration Netconf sur le WLC Cat 9800

GUI (à partir de 16.11) :

Naviguez jusqu'à Administration > HTTP/HTTPS/Netconf.

CLI :

(config)#netconf-yang

Attention : si un nouveau modèle est activé sur C9800, vous devez également configurer :
(config)#aaa authorization exec default <local ou radius/tacacs group>
(config)#aaa authentication login default <local ou radius/tacacs group>
Netconf sur C9800 utilise la méthode par défaut (et vous ne pouvez pas la modifier) pour l'authentification aaa login ainsi que pour aaa authorization exec. Si vous souhaitez définir une méthode différente pour les connexions SSH, vous pouvez le faire sous la line vty ligne de commande. Netconf continue à utiliser les méthodes par défaut.

Attention : l'infrastructure Prime, lors de l'ajout d'un contrôleur 9800 à son inventaire, écrase les méthodes par défaut de connexion d'authentification aaa et d'exécution d'autorisation aaa que vous avez configurées et les pointe vers l'authentification locale uniquement dans le cas où Netconf n'est pas déjà activé sur le WLC. Si Prime Infrastructure est en mesure de se connecter avec Netconf, il ne modifie pas la configuration. Cela signifie que si vous utilisiez TACACS, vous perdez l'accès CLI après avoir ajouté le 9800 à Prime. Vous pouvez revenir à ces commandes de configuration par la suite et les faire pointer vers TACACS si vous le souhaitez.

Configurer (Prime Infrastructure 3.5 et versions ultérieures)

Étape 1. Capturez l'adresse IP de gestion sans fil configurée sur le WLC Catalyst 9800.

IUG:

Naviguez jusqu'à Configuration > Interface: Wireless.

CLI :

# show wireless interface summary

Étape 2. Capturez les informations d'identification d'utilisateur du privilège 15 et activez le mot de passe.

IUG:

Naviguez jusqu'à Administration > User Administration.

CLI :

# show run | inc username
# show run | inc enable

Étape 3. Obtenez les chaînes de communauté SNMPv2 et/ou l'utilisateur SNMPv3, le cas échéant.

IUG:

Pour SNMPv2, accédez à Administration > SNMP > Community Strings.

Pour SNMPv3, accédez à Administration > SNMP > V3 Users.

CLI :

For SNMPv2 community strings
# show run | sec snmp 

For SNMPv3 user
# show user

Étape 4. Sur l'interface utilisateur graphique Prime Infrastructure, accédez à Configuration > Network: Network Devices, cliquez sur le menu déroulant en regard de + et choisissez Add Device.

Étape 5. Sur la page Add Device , saisissez l'adresse ip de l'interface sur le 9800 qui est utilisée pour établir la communication avec l'infrastructure Prime.

Étape 6. Accédez à la page SNMP et indiquez SNMPv2 Read-Only and Read-Write Community Strings configuré sur le WLC C9800.

Étape 7. Si vous utilisez SNMPv3, dans la liste déroulante, sélectionnez v3et fournissez le nom d'utilisateur SNMPv3. Expéditeur Auth-Type correspondent au type d'authentification précédemment configuré et à partir de Privacy Type sélectionnez la méthode de cryptage configurée sur le WLC C9800.

Étape 8. Naviguez jusqu'à Telnet/SSH onglet de Add Device, fournissez le nom d'utilisateur et le mot de passe Privilège 15 ainsi que le mot de passe Activer. Cliquez sur Verify Credentials pour garantir le bon fonctionnement des identifiants CLI et SNMP. Cliquez ensuite sur Add.

Vérifier

Vérifier l'état de télémétrie

Étape 1. Vérifiez que Netconf est activé sur C9800.

#show run | inc netconf
netconf-yang

S'il n'est pas présent, entrez la section « NETCONF configuration on the Cat 9800 WLC ».

Étape 2. Vérifiez la connexion de télémétrie à Prime à partir du C9800.

#show telemetry internal connection
Telemetry connection

Address Port Transport State Profile
------------------------------------------------------------------
x.x.x.x 20828 cntp-tcp Active

Remarque : x.x.x.x est l'adresse IP de Prime Infrastructure et l'état doit être Actif. Si l'état n'est pas Actif, reportez-vous à la section Dépannage.

Dans la version 17.9, vous devez utiliser une commande légèrement différente :

9800-17-9-2#show telemetry connection all
Telemetry connections

Index Peer Address               Port  VRF Source Address             State      State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
    0 10.48.39.25                25103 0   10.48.39.228               Active     Connection up

9800-17-9-2#

Étape 3. Sur Prime Infrastructure, accédez à Inventory > Network Devices > Device Type: Wireless Controller.

Étape 4. Pour afficher les détails de la connexion de télémétrie à l'infrastructure Prime, exécutez ceci :

#show telemetry internal protocol cntp-tcp manager x.x.x.x 20828
Telemetry protocol manager stats:

Con str                : x.x.x.x:20828::
Sockfd                 : 79
Protocol               : cntp-tcp
State                  : CNDP_STATE_CONNECTED
Table id               : 0
Wait Mask              :
Connection Retries     : 0
Send Retries           : 0
Pending events         : 0
Source ip              : <9800_IP_ADD>
Bytes Sent             : 1540271694
Msgs Sent              : 1296530
Msgs Received          : 0

Étape 5. Vérifiez l'état de l'abonnement de télémétrie à partir du C9800 et le fait qu'ils s'affichent comme « Valide ».

#show telemetry ietf subscription configured
Telemetry subscription brief

ID Type State Filter type
-----------------------------------------------------
68060586 Configured Valid transform-na
98468759 Configured Valid tdl-uri
520450489 Configured Valid transform-na
551293206 Configured Valid transform-na
657148953 Configured Valid transform-na
824003685 Configured Valid transform-na
996216912 Configured Valid transform-na
1072751042 Configured Valid tdl-uri
1183166899 Configured Valid transform-na
1516559804 Configured Valid transform-na
1944559252 Configured Valid transform-na
2006694178 Configured Valid transform-na

Étape 6 : les statistiques d'abonnement peuvent être affichées par ID d'abonnement ou pour tous les abonnements à l'aide de ce qui suit :

#show telemetry internal subscription { all | id } stats
Telemetry subscription stats:

Subscription ID  Connection Info            Msgs Sent  Msgs Drop  Records Sent
------------------------------------------------------------------------------
865925973        x.x.x.x:20828::      2          0          2
634673555        x.x.x.x:20828::      0          0          0
538584704        x.x.x.x:20828::      0          0          0
1649750869       x.x.x.x:20828::      1          0          2
750608483        x.x.x.x:20828::      10         0          10
129958638        x.x.x.x:20828::      10         0          10
1050262948       x.x.x.x:20828::      1369       0          1369
209286788        x.x.x.x:20828::      15         0          15
1040991478       x.x.x.x:20828::      0          0          0
1775678906       x.x.x.x:20828::      2888       0          2889
1613608097       x.x.x.x:20828::      6          0          6
1202853917       x.x.x.x:20828::      99         0          99
1331436193       x.x.x.x:20828::      743        0          743
1988797793       x.x.x.x:20828::      0          0          0
1885346452       x.x.x.x:20828::      0          0          0
163905892        x.x.x.x:20828::      1668       0          1668
1252125139       x.x.x.x:20828::      13764      0          13764
2078345366       x.x.x.x:20828::      13764      0          13764
239168021        x.x.x.x:20828::      1668       0          1668
373185515        x.x.x.x:20828::      9012       0          9012
635732050        x.x.x.x:20828::      7284       0          7284
1275999538       x.x.x.x:20828::      1236       0          1236
825464779        x.x.x.x:20828::      1225711    0          1225780
169050560        x.x.x.x:20828::      0          0          0
229901535        x.x.x.x:20828::      372        0          372
592451065        x.x.x.x:20828::      8          0          8
2130768585       x.x.x.x:20828::      0          0          0

Dépannage

Dépannage de l'infrastructure Prime

• La première chose à vérifier sur l'infrastructure Prime est l'adresse IP et les interfaces. Prime Infrastructure ne prend pas en charge le double hébergement et n'écoute pas la télémétrie sur son deuxième port.
• L'adresse IP du WLC que vous ajoutez dans Prime Infrastructure doit être l'adresse IP utilisée comme « interface de gestion sans fil ». L'adresse IP de l'infrastructure Prime doit être accessible à partir de cette interface de gestion sans fil côté contrôleur.
• Si vous utilisez le port de service (gig0/0 sur les appareils) pour la détection, le WLC et les AP apparaissent dans l'état Managed dans Inventory mais la télémétrie pour le WLC et les points d'accès associés ne fonctionne pas.
• Si vous voyez que l'état de télémétrie est un « succès » sur l'infrastructure Prime, mais que le nombre d'AP est 0, il se peut que l'infrastructure Prime puisse atteindre le WLC sur le port 830 mais que le contrôleur ne puisse pas atteindre l'infrastructure Prime sur le port 20830.

Pour tout problème SNMP ou de configuration de périphérique, collectez ces journaux auprès de Prime Infrastructure :

cd /opt/CSCOlumos/logs/

[root@prime-tdl logs]# ncs-0-0.log

Tdl.logs

Pour les problèmes de télémétrie/corail, la première chose est de vérifier l'état du corail :

shell

cd /opt/CSCOlumos/coralinstances/coral2/coral/bin

./coral version 1

./coral status 1

./coral stats 1

Si tout va bien, collectez ces journaux à partir du dossier des journaux de corail principal.

Remarque : selon la version de l'infrastructure Prime et la quantité de version de Cisco IOS XE prise en charge, il peut y avoir plusieurs instances Coral sur l'infrastructure Prime. Consultez les notes de version pour plus de détails, par exemple : https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-7/release/notes/bk_Cisco_Prime_Infrastructure_3_7_0_Release_Notes.html

Étape 1.

cd /opt/CSCOlumos/coral/bin/

[root@prime-tdl bin]# ./coral attach 1

Attached to Coral instance 1 [pid=8511]

Coral-1#cd /tmp/rp/trace/

Coral-1#ls

Collect the  “Prime_TDL_collector_R0-”* logs

Coral-1# cd /tmp/rp/trace/
Coral-1# btdecode P* > coralbtlog.txt
Coral-1# cat  coralbtlog.txt

Ces journaux se trouvent également dans ce répertoire :

* Les fichiers de trace décodés sont disponibles dans le chemin/opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
*   ade# cd /opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk

*   ade# cp coraltrace.txt /localdisk/defaultRepo

Étape 2. Pour activer Coral en mode débogage, le niveau de débogage doit être défini dans debug.conf fichier.

Soit à partir du conteneur :

echo "rp:0:0:tdlcold:-e BINOS_BTRACE_LEVEL=DEBUG;" > /harddisk/debug.conf

Ou sur Prime 3.8, le service Coral peut être redémarré en dehors du conteneur à l'aide de :

"sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"

Si le redémarrage n'aide pas, vous pouvez les utiliser pour effacer l'instance de corail et la démarrer en douceur :

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral stop 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral purge 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral start 1

Redémarrez Coral, c'est obligatoire. Vous pouvez laisser l'instance de corail si vous tapez 'Exit' alors :

./coral/bin/coral restart 1

Remarque : sur Prime 3.8, le service Coral peut être redémarré en dehors du conteneur à l'aide de « sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1 »

Si vous devez décoder les fichiers journaux Coral, vous pouvez les décoder à l'intérieur du conteneur Coral avec :

btdecode Prime_TDL_collector_*.bin

Remarque : après avoir activé le niveau de débogage de Coral, le redémarrage de Coral est obligatoire.

Dépannage du WLC Catalyst 9800

Pour surveiller la configuration transmise par Prime Infra au WLC C9800, vous pouvez exécuter une applet EEM.

#config terminal
#event manager applet catchall
 #event cli pattern ".*" sync no skip no
 #action 1 syslog msg "$_cli_msg"

Supprimer tous les abonnements de télémétrie de la configuration WLC

Il peut arriver que vous souhaitiez annuler la configuration de tous les abonnements de télémétrie configurés sur le WLC. Pour ce faire, utilisez simplement les commandes suivantes :

WLC#term shell
WLC#function removeall() {
for id in `sh run | grep telemetry | cut -f4 -d' '`
do
conf t
no telemetry ietf subscription $id
exit
done
}
WLC#removeall

Pour activer les suivis :

# debug netconf-yang level debug

Pour vérifier :

WLC#show platform software trace level mdt-pubd chassis active R0 | inc Debug

pubd                            Debug           

WLC#show platform software trace level ndbman chassis active R0 | inc Debug

ndbmand                         Debug     

      

Pour afficher les résultats du suivi :

show platform software trace message mdt-pubd chassis active R0

show platform software trace message ndbman chassis active R0

Rechercher l'ID d'abonnement pour les informations AP

Cliquez sur DB Query. Accédez à tohttps://<Prime_IP>/webacs/ncsDiag.do.

Choisir *expéditeur ewlcSubscription où OWNINGENTITYID comme '%Controller_IP' et CLASSNAME='UnifiedAp'.

À partir du WLC :

Vérifiez que l'ID d'abonnement envoie des informations et qu'aucun abandon n'est détecté sur les compteurs cntp.

show tel int sub all stats

show telemetry internal protocol cntp-tcp connector counters drop

show telemetry internal protocol cntp-tcp connector counters queue

show telemetry internal protocol cntp-tcp connector counters rate

show telemetry internal protocol cntp-tcp connector counters sub-rate

show telemetry internal protocol cntp-tcp connector counters reset

Remarque : le WLC 9800 prend en charge 100 abonnements télémétriques avant 17.6 et jusqu'à 128 abonnements après 17.6 (car la version récente de DNA center peut utiliser plus de 100 abonnements.

Migration de PI vers DNA-Center

C9800 ne peut pas être géré simultanément par PI et DNA Center. S'il est prévu de passer à DNAC en tant que solution de gestion de réseau, le C9800 doit être supprimé de Prime Infrastructure avant d'être ajouté à DNA Center. Lorsque C9800 est supprimé de PI 3.5, toutes les configurations qui ont été transmises à C9800 au moment de l'inventaire par PI ne sont pas restaurées et elles doivent être supprimées manuellement du système. Plus précisément, les canaux d'abonnement établis pour le WLC C9800 pour publier des données de télémétrie en continu ne sont pas supprimés. 

Pour identifier cette configuration spécifique :

#show run | sec telemetry

Pour supprimer cette configuration, exécutez la commande no forme de la commande :

(config) # no telemetry ietf subscription <Subscription-Id>
Repeat this CLI to remove each of the subscription identifiers. 


(config) # no telemetry transform <Transform-Name>
Repeat this CLI to remove each of the transform names

Remarque : si vous gérez le contrôleur 9800 avec DNAC et Prime Infrastructure, la conformité de l'inventaire DNAC échoue normalement en raison de la gestion Prime.

Dans les versions récentes, Prime Infrastructure et DNAC peuvent utiliser trop d'abonnements de télémétrie pour le WLC pour que les deux serveurs puissent gérer le 9800 simultanément. Vous ne pouvez donc pas gérer le 9800 à la fois avec DNAC et Prime Infrastructure et disposer de la télémétrie et des statistiques. La migration de PI vers DNAC doit donc s'effectuer le plus rapidement possible, car DNAC ne peut pas recevoir de données de télémétrie du 9800 tant que Prime Infrastructure gère le contrôleur 9800.