Risoluzione dei problemi relativi all'assenza di dati sulla garanzia da WLC 9800 in Catalyst Center
Sommario
Introduzione
In questo documento viene descritto come risolvere i problemi quando Catalyst Center non visualizza alcun dato Assurance per un Catalyst serie 9800 WLC.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Uso della CLI di Catalyst Center maglev
- Base Linux
- Conoscenza dei certificati sul Catalyst Center e sulla piattaforma Catalyst 9800
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Appliance Catalyst Center di seconda e terza generazione, versione 2.3.7.7 e successive
- Catalyst serie 9800 Wireless LAN Controller (WLC)
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Al momento dell'assegnazione del sito, il Catalyst Center eseguirà il push della configurazione della telemetria allo switch 9800 sulle configurazioni SNMP e Syslog.
Nota: Questo esempio è tratto da un controller LAN wireless Catalyst 9800-CL Cloud. Alcuni dettagli possono differire quando si usa un accessorio Catalyst serie 9800 fisico; X.X.X.X è l'indirizzo IP virtuale (VIP) dell'interfaccia enterprise di Catalyst Center e Y.Y.Y.Y è l'indirizzo IP di gestione del WLC.
crypto pki trustpoint sdn-network-infra-iwan
enrollment pkcs12
revocation-check crl
rsakeypair sdn-network-infra-iwan
crypto pki trustpoint DNAC-CA
enrollment mode ra
enrollment terminal
usage ssl-client
revocation-check crl none
source interface GigabitEthernet1
crypto pki certificate chain sdn-network-infra-iwan
certificate 14CFB79EFB61506E
3082037D 30820265 A0030201 02020814 CFB79EFB 61506E30 0D06092A 864886F7
<snip>
quit
certificate ca 7C773F9320DC6166
30820323 3082020B A0030201 0202087C 773F9320 DC616630 0D06092A 864886F7
<snip>
quit
crypto pki certificate chain DNAC-CA
certificate ca 113070AFD2D12EA443A8858FF1272F2A
30820396 3082027E A0030201 02021011 3070AFD2 D12EA443 A8858FF1 272F2A30
<snip>
quit
telemetry ietf subscription 1011
encoding encode-tdl
filter tdl-uri /services;serviceName=ewlc/wlan_config
source-address Y.Y.Y.Y
stream native
update-policy on-change
receiver ip address X.X.X.X 25103 protocol tls-native profile sdn-network-infra-iwan
telemetry ietf subscription 1012
<snip - many different "telemetry ietf subscription" sections - which ones depends on
Cisco IOS® version and Catalyst Center version>
network-assurance enable
network-assurance icap server port 32626
network-assurance url https://X.X.X.X
network-assurance na-certificate PROTOCOL_HTTP X.X.X.X /ca/ pem
Risoluzione dei problemi relativi all'assenza di dati di garanzia dal WLC in Catalyst Center
Utilizzare lo strumento Assurance "Troubleshoot" Machine Reasoning Engine (MRE) in WLC360
Andare alla pagina WLC360. Accanto allo stato di salute, l'utente vedrà il testo blu "Risoluzione dei problemi".
Fare clic su di esso ed eseguire il Motore di ragionamento della macchina.
Consentire l'esecuzione completa del modulo di ragionamento.
Controllare la scheda "Conclusioni" per vedere quali sono i problemi possibili. Se si riceve un messaggio completo senza problemi nella "Conclusione", andare alla sezione Verifica dei dati in arrivo di questo documento.
Se il collegamento "Risoluzione dei problemi" non è visualizzato, è possibile eseguirlo manualmente nella pagina Strumenti > Motore di rete della GUI. Trovare il flusso di lavoro "Assurance Telemetry Analysis" (Analisi telemetria garanzia).
Conclusione: Connettività dispositivo
Dati e verifica della valutazione
Andare innanzitutto alla pagina Inventory e verificare che il WLC in questione sia gestito utilizzando l'indirizzo IP di gestione wireless del WLC.
Per appliance 9800: mostra riepilogo interfaccia wireless
Per 9800-CL: show ip interfaces brief | i Gigabit Ethernet 2
Nota: Si presuppone che l'utente abbia seguito la Guida alla distribuzione disponibile all'indirizzo https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/technical-reference/c9800-cl-dg.html#Introduction
Andare alla pagina dell'inventario del Catalyst Center.
Questo comando verifica la presenza di problemi di connettività tra Catalyst Center e il dispositivo.
Elementi da risolvere e controllare
Connettività IP
Dal menu principale andare alla pagina Sistema > Impostazioni. Quindi, sul banner a sinistra, andare alla sezione "Trust & Privacy" e selezionare "IP Access Control". Un metodo alternativo consiste nell'utilizzare la ricerca globale e cercare "IP Access Control"
Verificare che le impostazioni qui consentano la connettività al dispositivo in questione. Verificare quindi che sia possibile raggiungere il dispositivo terminale tramite ICMP. Per eseguire questa operazione, accedere alla CLI di Catalyst Center e usare il comando "ping [IP_Address]" come mostrato in questo output.
L'elemento successivo da esaminare è l'output del comando "traceroute" dalla CLI di Catalyst Center.
Quindi, verificare che non vi siano problemi di collegamento sul Catalyst Center usando il comando "ip -s link show | imprese grep -A 4"
Se le metriche dell'interfaccia sembrano accettabili, il passaggio successivo consiste nell'eseguire un'acquisizione del pacchetto (PCAP) da entrambi i lati della connessione. Questa guida consiglia di eseguire la prima serie di PCAP sui dispositivi in questione. Nell'esempio, i due dispositivi sono un 9800 e il Catalyst Center e il VIP. Se ciò non è possibile, eseguire i PCAP il più vicino possibile ai dispositivi.
Se i pacchetti vengono inviati alla rete ma non passano attraverso l'infrastruttura cablata, verificare se nella rete cablata sono presenti elementi quali routing asincrono, firewall, NAT e ACL che bloccano i pacchetti. Dopo la risoluzione di questi elementi, eseguire di nuovo l'MRE Assurance "Troubleshoot".
Conclusione: Dispositivo "non attualmente gestito da Catalyst Center"
A partire dalla versione 2.3.7.10, l'output del flusso di lavoro può comunicare di contattare il TAC. È possibile decidere alcune azioni prima di raggiungere il TAC o determinare se un caso TAC sia il modo corretto di agire immediatamente. Andare innanzitutto alla pagina Inventario e cercare il dispositivo in questione; Menu principale > Assegna ruoli > Magazzino. Di seguito è riportato un esempio di una password SSH configurata in modo errato
Ora il prossimo elemento da verificare è che lo stato "Raggiungibilità" non mostri "Raggiungibile". Se il messaggio visualizzato è "Unreachable" (Non raggiungibile) o "Unknown" (Sconosciuto), passare alla sezione "Device Connectivity or Credential Failure" (Connettività dispositivo o errore credenziali) in questa guida prima di attivare il TAC. Se il messaggio è "Ping Reachable" (Ping raggiungibile) o "Reachable" (Raggiungibile), passare alla risoluzione dei problemi relativi alle credenziali utilizzate dal Catalyst Center. A tale scopo, fare clic sulla casella a sinistra del dispositivo che si desidera esaminare, come mostrato. La casella diventerà blu con un segno di spunta blu.
Quindi fare clic su "Actions" (Azioni), "Inventory" (Inventario) e infine su "Edit Device" (Modifica dispositivo) come mostrato:
Verrà visualizzata una nuova finestra che consente di "Convalidare" questa configurazione. Per un esempio, guarda questa schermata.
Nota: In questa pagina il "Nome utente" verrà visualizzato in testo non crittografato, ma non le "Password". Al contrario, sul Catalyst Center le password verranno visualizzate come "NO!$DATA!$".
Questo è un esempio di come appaiono le credenziali corrette. Vedere SNMP e credenziali non valide, vedere CLI e Netconf.
Nota: I punti di accesso wireless non verranno gestiti in questo modo. Tutti i dati AP saranno trasmessi attraverso il WLC.
L'accesso CLI (SSH) è obbligatorio per tutti i dispositivi.
L'SNMP con un accesso di sola lettura minimo è obbligatorio per tutti i dispositivi.
Netconf è obbligatorio per i WLC 9800 (basati su Cisco IOS® XE). Netconf fornisce un monitoraggio aggiuntivo, ad esempio Dashboard PoE per switch basati su Cisco IOS® XE, ed è quindi opzionale. Netconf non viene utilizzato da dispositivi basati su AireOS o Cisco IOS®.
Dopo aver risolto tutti i problemi ed eseguito di nuovo l'opzione "Convalida", si può vedere questo:
Dopo aver risolto gli errori, fare clic sul pulsante "Aggiorna" in basso a sinistra. Al termine, il Catalyst Center accoderà il dispositivo per una "sincronizzazione". Se la coda è vuota, la "Sincronizzazione" inizierà immediatamente come mostrato.
Al termine, tornare all'output MRE "Risoluzione problemi" per verificare se è necessario indirizzare altri elementi. Se non viene visualizzato altro, attendere 15-20 minuti per visualizzare le informazioni aggiornate. Contattare il TAC per ulteriore assistenza se le informazioni non vengono aggiornate dopo tale periodo.
Conclusione: Problemi relativi al "certificato DNAC-CA (swim)"
Qui abbiamo alcune possibilità:
- Il certificato è per un Catalyst Center diverso
- La data/ora corrente del dispositivo non è compresa nell'intervallo valido
- Il certificato è stato sostituito e il dispositivo utilizza il certificato precedente.
Vedere quale valore MRE indica. Da qui è possibile passare alla scheda 9800 ed eseguire alcuni comandi per verificare la causa del problema. Per determinare la data e l'ora in cui il dispositivo sta utilizzando, eseguire il comando show clock.
Eseguire quindi il comando show crypto pki certificates DNAC-CA per ottenere i dettagli del certificato DNAC-CA.
In primo luogo, confronta la "data di inizio" e la "data di fine" con la data e l'ora correnti che il dispositivo ritiene siano. Se la conclusione indica che il certificato non corrisponde, sul browser preleva le informazioni del certificato. Il numero di serie deve corrispondere. Questo è un esempio da Chrome di un numero di serie di certificato corrispondente.
Conclusione: Numero di serie del certificato sdn-network-infra-iwan
Verificare innanzitutto che la data sul dispositivo sia corretta
Quindi, estrarre i dettagli del certificato sdn-network-infra-iwan con show crypto pki certificates sdn-network-infra-iwan
In questo caso, verificare che le date di validità siano comprese nelle date che il dispositivo ritiene siano.
Quindi, andare al Catalyst Center e verificare che il numero di serie del certificato corrisponda.
Andare alla pagina Menu principale > Sistema > Impostazioni. In questa pagina è possibile trovare la pagina "Certificato dispositivo". In questa pagina, filtrare fino al dispositivo in questione e verificare che il "Numero di serie certificato" corrisponda.
Se non corrisponde, verificare che il dispositivo sia presente e non sia gestito da un altro cluster Catalyst Center. Se l'errore è recente o il certificato non è ancora scaduto, contattare il TAC per un'ulteriore analisi della causa principale, se si desidera. In caso contrario, andare alla pagina "Inventario" e verificare che il dispositivo sia "Raggiungibile" e "Gestito" con un segno di spunta verde. In caso di problemi in questa pagina, andare alla sezione Conclusione: Periferica "non attualmente gestita da Catalyst Center" in questa guida e completare le istruzioni.
Se tutto è verde e completamente gestito, eseguire un aggiornamento di telemetria forzata vedere la sezione Esecuzione di un aggiornamento di telemetria "forzato".
Verifica dati in ingresso
Passare a Grafana selezionando Sistema > Sistema 360 > Monitor. Verrà visualizzata una nuova schermata per Grafana
Procedere quindi al dashboard Assurance - Device Processor facendo clic sulla lente di ingrandimento nella colonna sinistra e digitando Device Processor
Nella tabella "Received WLC schema per 5min" (Ricevuto schema WLC per 5 minuti), controllare il numero "Memory" (Memoria). Questo numero corrisponde al numero di WLC di Catalyst 9800 (Cisco IOS® XE) che inviano traffico.
Esegui aggiornamento telemetrico "forzato"
Andare a Inventario e selezionare Aggiorna impostazioni telemetria come mostrato.
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
5.0 |
14-Mar-2024
|
Numero di versione aggiunto a 4.7.4. |
4.0 |
11-Mar-2024
|
Titolo, introduzione, PII, testo alternativo e formattazione aggiornati. |
3.0 |
21-Dec-2023
|
È stato corretto un collegamento interrotto e aggiornato per la traduzione automatica. |
1.0 |
17-Apr-2021
|
Versione iniziale |
Feedback