デジタルネットワークアーキテクチャ(DNA)センターのLAN自動化のヒントとテクニックのトラブルシューティング

はじめに

このドキュメントでは、ローカルエリアネットワーク(LAN)の自動化の概要について説明します。LANの自動化がデジタルネットワークアーキテクチャ(DNA)センターで期待どおりに機能しない場合の問題の診断に役立ちます。

著者：Cisco TACエンジニア、Alexandro Carrasquedo

舌骨

プラグアンドプレイ(PnP)エージェント：電源が入ったばかりの新しいデバイスで、DNAセンターによって自動的に構成される、構成も証明書も不要です。

シードデバイス：DNA Centerがすでにプロビジョニングし、Dynamic Host Configuration Protocol(DHCP)サーバとして機能するデバイス。 

前提条件

要件

LANオートメーションとプラグアンドプレイソリューションに関する一般的な知識があることが強く推奨されます。に、LANオートメーションの概要を示します。この概念はDNA Center 1.0に基づいていますが、DNA Center 1.1以降にも当てはまります。

背景説明

LANの自動化は、ほぼゼロタッチの導入ソリューションです。これを使用すると、アンダーレイルーティングプロトコルとしてISISを使用して、ネットワークデバイスを設定し、プロビジョニングできます。

はじめる前に

LAN Automationを実行する前に、PnPエージェントの証明書がNVRAMにロードされていないことを確認してください。

Edge1#dir nvram:*.cer 
Directory of nvram:/*.cer

Directory of nvram:/

    4  -rw-         820                    <no date>  IOS-Self-Sig#1.cer
    6  -rw-         763                    <no date>  kube-ca#468ACA.cer
    7  -rw-         882                    <no date>  sdn-network-#616F.cer
    8  -rw-         807                    <no date>  sdn-network-#4E13CA.cer
2097152 bytes total (2033494 bytes free)
Edge1#delete nvram:*.cer

Provisioning > Devices > Device Inventoryページに要求されていないデバイスがないことを確認します。

CSCvh68847のため を使用した場合、一部のスタックが要求されていない状態にならず、ERROR_STACK_UNSUPPORTEDエラーメッセージが表示される場合があります。このメッセージは、LANオートメーションがデバイスを単一のスイッチであるかのようにプロビジョニングするように要求しようとしたときに発生します。ただし、デバイスはCatalyst 9300スイッチスタックであるため、LANオートメーションはデバイスを要求できず、デバイスは要求されていないものとして表示されます。同様に、PnPはスタックであるためデバイスを要求しないため、デバイスはプロビジョニングされません。

LAN Automationの実行中に実行される手順は何ですか。

DNA Centerは、シードデバイスにDHCP設定をプロビジョニングします。シードデバイスが取得するIPアドレスの範囲は、サイト用にIPアドレスプールを予約するときに定義した初期プールのセグメントです。このプールは/25以上である必要があります。

注：このプールは次の3つのセグメントに分けられます。
1. PnPエージェントのVLAN 1にプッシュされるIPアドレス。
2. PnPエージェントのLoopbac0にプッシュされるIPアドレス。
3. シードまたは他のファブリックデバイスに接続するリンク上のPnPエージェントにプッシュされる/30 IPアドレス。

DNA CenterでPnPエージェントをプロビジョニングするには、シードデバイスが受け取るDHCP構成に、DNA Centerのエンタープライズ側のネットワークインターフェイスカード(NIC)のIPアドレス、またはnノードクラスタの場合は仮想IP(VIP)アドレスで定義されたオプション43が必要です。

PnPエージェントが起動しても、設定は行われません。したがって、これらのポートはすべてVLAN 1の一部です。その結果、デバイスはシードデバイスにDHCP discoverメッセージを送信します。シードデバイスは、LAN自動化プール内のIPアドレスのオファーで応答します。

LAN自動化の最初のシーケンスを理解したので、期待どおりに動作しない場合は、プロセスのトラブルシューティングを行うことができます。

トラブルシューティング図

DNA Center 1.1 LANオートメーション関連ログ

• ネットワークオーケストレーションサービス
• PNPサービス

DNA Center 1.2 LANオートメーション関連ログ

リリース1.2ではpnpサービスがないため、LANの自動化のトラブルシューティングを行う際は次のサービスを探す必要があります。

• ネットワークオーケストレーション
• ネットワーク設計
• 接続マネージャサービス
• オンボーディングサービス（これは、1.1の古いpnp-serviceに相当します）

DNA Center 1.x Public Key Infrastructure(PKI)関連ログ

• apic-em-pki-broker – サービス
• apic-em-jboss-ejbca（日本未発売）

フローチャートに表示されているtcpdumpを実行する方法

sudo tcpdump -i <DNA Center fabric's interface> host <PnP Agent ip address> -w /data/tmp/pnp_capture.pcap

* これを停止するには、Ctrl+Cを使用します。 

これにより、 pnp_capture.pcapファイルが/data/tmp/に保存されます。Secure copy (SCP)コマンドを使用してDNA Centerからファイルをコピーするか、次のコマンドを使用してDNA Centerからファイルを読み取る必要があります。

$ sudo tcpdump -ttttnnr /data/tmp/pnp_capture.pcap
[sudo] password for maglev: 
reading from file capture.pcap, link-type EN10MB (Ethernet)
2018-03-08 20:09:27.369544 IP 192.168.31.1 > 192.168.31.10: ICMP host 192.168.1.2 unreachable, length 36
2018-03-08 20:09:39.369175 IP 192.168.31.1 > 192.168.31.10: ICMP host 192.168.1.2 unreachable, length 36
2018-03-08 20:09:44.373056 ARP, Request who-has 192.168.31.1 tell 192.168.31.10, length 28
2018-03-08 20:09:44.374834 ARP, Reply 192.168.31.1 is-at 2c:31:24:cf:d0:62, length 46
2018-03-08 20:09:50.628539 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [S], seq 1113323684, win 29200, options [mss 1460,sackOK,TS val 274921400 ecr 0,nop,wscale 7], length 0
2018-03-08 20:09:50.630523 IP 192.168.31.1.22 > 192.168.31.10.57234: Flags [S.], seq 2270495802, ack 1113323685, win 4128, options [mss 1460], length 0
2018-03-08 20:09:50.630604 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [.], ack 1, win 29200, length 0
2018-03-08 20:09:50.631712 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [P.], seq 1:25, ack 1, win 29200, length 24

コピーしようとしているbridge.pngファイルは何ですか。

HTTP（証明書を使用しない）またはHTTPS（証明書を使用する）を使用して、DNA CenterとPnPエージェント間の通信をテストするためにコピーする、DNA Centerに格納されている191バイトのイメージファイルです。 

Secure Sockets Layer(SSL)通信が期待どおりに動作しない場合のキャプチャ例（この記事に添付されている.pcapファイル全体）

無効な証明書 

考えられる原因：

• DNA Centerの証明書のサブジェクト代替名(SAN)フィールドに正しいIPアドレスがありません。

証明書のSANフィールドを確認するには、次の手順を実行します。

ブラウザを使用して証明書を確認する

サンプルキャプチャ

解決方法.

サードパーティCA（認証局）がある場合は、DNAセンターのIPアドレスとVIPが記載された証明書が提供されていることを確認してください。サードパーティCAを所有していない場合は、DNA Centerで証明書を生成できます。このプロセスの手順については、Cisco TACにお問い合わせください。

DNAセンターが接続をリセットします

考えられる原因：

DNA Centerは、デフォルトではTLS v1.2のみをサポートしています。

これを回避するには、このガイドに従って、DNA CenterでTLS v1を使用できるようにします

サンプルキャプチャ

証明書に関連する問題に対するPnPエージェントの便利なdebugコマンド

• debug crypto pki transactions
• ssl opensslのデバッグ
• debug ssl opensslエラー
• debug ssl openssl errors
• debug crypto pki api
• debug crypto pki transactions
• debug ssl openssl msg

応答に以前に確立された認証セッションキーがありません

理論的には、Provisioning > Devices > Device Inventoryページで要求されていないデバイスを削除しても、このページから要求されていないデバイスを削除しても、デバイスがhttps://<DNA Center ip>/mypnpに表示されたままになるという問題がありました。このシナリオが発生し、PnPログに次のようなログが表示されるか、GUIに同じ表示が表示される場合は、デバイスがPnPで未要求として表示されていないことを確認してください。 

ERROR | qtp604107971-170 | | c.c.e.z.impl.ZtdHistoryServiceImpl | Device authentication status has changed to Error(PNP response com.cisco.enc.pnp.messages.PnpBackoffResponse is missing previously established authenticated session key) | address=192.168.31.10, sn=FCW212XXXXX

LANの自動化とスタッキングの目標

• DNA Center 1.2では、スタックは完全なリングである必要があります（2メンバのスタックに1本のスタックケーブルを使用しても機能しない場合があります）。
• スタックデバイスは、LANオートメーションによって約10分以内に要求される必要があります。
• DNA Centerに接続されると、PnPでUnclaimedと表示されます。  PnPはスタックの判別に10分のタイムウィンドウを使用し、この時間が経過すると、LANオートメーションの未請求セクションに留まります。

RCAまたはPnPのログがある場合は、要求されていないデバイスメッセージを探すことができます。

more pnp.log | egrep "(Received unclaimed notification|ZtdDeviceUnclaimedMessage)"

メッセージがない場合、要求されていないデバイスの通知はDNA Centerに到達しておらず、PnPはそれを要求できません。

スタック上でLANを自動化する方法

1. シードデバイスへのアップリンクをシャットダウンします。
2. DNA CenterでLAN Automationを起動します。
3. スタックからスタートアップコンフィギュレーションを削除します。#書き込み消去
4. NVRAMからすべての証明書を削除します。# delete nvram:*.cer
5. vlan.datファイルを削除します。# delete flash:vlan.dat
6. プライマリスイッチから、スタンバイスイッチの証明書を削除します。# stby-nvram:*.cerを削除

     a.スタックケーブルを取り外します。

     b.各メンバスイッチのコンソールにログインします。

     c.証明書を削除します。 # nvram:*.cerを削除

     d. flas vlanデータベースを削除します。# delete flash:vlan.dat

     e.スタックケーブルを再接続します。

  7. 再起動します。

  8. スイッチがスタックとして登録されるまで待機し、すべてのメンバを起動して、初期設定ダイアログを開始します。

%INIT: waited 0 seconds for NVRAM to be available


         --- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]:  

  9. シードデバイスへのアップリンクを有効にします。 #シャットダウンなし

LAN Automationタスクにインポートできるホスト名マップファイルの形式

DNA Centerでは、次の例に示すように、ホスト名とシリアル番号（ホスト名、シリアル番号）が付いたCSVファイルが必要です。

スタックLANオートメーションの場合、CSVファイルを使用して、1つのホスト名と行ごとに複数のシリアル番号を入力できます。シリアル番号はカンマで区切る必要があります。詳細については、添付のCSVファイルを参照してください。

/mypnpが1.2で使用された場所

次のいずれかの方法でPnPにアクセスします。

• Webブラウザでhttps://<DNA Center IP>/networkpnpと入力します。
• DNA Centerのホームページから、次のネットワークプラグアンドプレイツールを選択します。

または、https://<DNA Center IP>/networkpnpにアクセスします。

 インベントリエラー

インベントリエラーは、LANオートメーションによって要求された後にデバイスが設定を受信できず、インベントリに追加できないことを意味します。このエラーは通常、設定、一部のルーティング、またはCLIクレデンシャルの問題が原因で発生します。

LANオートメーションを使用して正しいデバイスを起動しようとしていることを確認するには、優先する接続プロトコル（SSHまたはTelnet）を使用して、デバイスのループバック0インターフェイスのIPアドレスにリモートでアクセスします。

接続は存在しますが、PKI証明書がPnPエージェントに正常にプッシュされません

途中のデバイスで、DNACとPnPエージェント間のパケットのDo not Fragment(DF)ビットがオンになる場合があります。これにより、1500バイトを超えるパケット（通常は証明書を含むパケット）が廃棄され、LANオートメーションが完了しない可能性があります。DNA Centerのオンボーディングログには、次のような一般的なログがあります。

errorMessage=Failed to format the url for trustpoint

この場合に推奨される処置は、DNA CenterとPnPエージェント間のパスで、system mtu 9100コマンドを使用してジャンボフレームが通過できるようにすることです。

Switch(config)# system mtu 9100