この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントには、CX Cloud Agentの操作中に発生する可能性のある、よく寄せられる質問(FAQ)とトラブルシューティングシナリオが記載されています。
A. はい。一部の特定の導入シナリオでは、cloudfront.netへのリダイレクトは が必要ですを参照。 OこれらのFQDNのポート443でリダイレクトを有効にして、非連結アクセスを許可する必要があります。
A.はい
A. OVAおよびVHD
A. OVAの場合
VHDの場合
A.はい。IP設定時のIPアドレスの割り当てが検出されています。ただし、将来的にCX Cloud Agentに対して予想されるIPアドレスの変更はサポートされていません。お客様のDHCP環境でCX Cloud AgentのIPを予約することを推奨します。
A. いいえ、IPV4だけがサポートされています。
A. はい。IPアドレスの構文と重複するIPアドレスの割り当てが検証されます。
A.OVAの導入は、ネットワークのデータのコピー速度によって異なります。IP設定には、Kubernetesやコンテナの作成を含め、約8 ~ 10分かかります。
A. OVAが導入されているホストマシンは、CXポータルの設定の一部として提供される要件を満たす必要があります。CX Cloud Agentは、vCPU対CPU比が2:1に設定されたIntel Xeon E5プロセッサを搭載したハードウェア上で稼働するVMware/仮想ボックスを使用してテストされています。プロセッサCPUの処理能力が低かったり、使用率が高かったりすると、パフォーマンスが低下することがあります。
A. いいえ。ペアリングコードは、CX Cloud Agentが登録されていない場合にのみ生成できます。
A.CX Cloud AgentとCisco DNA Centerがお客様の環境の同じLAN/WANネットワークにある場合、帯域幅は制約されません。5000台のデバイスのインベントリコレクションに必要な最小ネットワーク帯域幅は2.7 Mbit/秒で、AgentからCisco DNA Centerへの接続には13000台のアクセスポイントが必要です。Level 2のインサイトのためにsyslogが収集される場合、最小限必要な帯域は、5000台のデバイス+インベントリ用の13000台のアクセスポイント、5000台のデバイスのsyslog、およびスキャン用の2000台のデバイスに対して3.5 Mbit/秒です。これらはすべて、CX Cloud Agentから並行して実行されます。
A. Agent VMのSyslogには、次の2つのパスを使用してローカルVMログインからアクセスできます。
/var/log/syslog.1(cxcadminおよびcxcrootログイン経由でアクセス)
/var/log/syslog(rootを使用してアクセス)
A. 次に、リリースされたCX Cloud Agentのバージョンを示します。
ここで、Aは3 ~ 5年に及ぶ長期リリースです。
A. CX Cloudポータルにログインします。Admin Settings>Data Sourcesの順に移動します。View Updateをクリックして、画面の指示に従います。
A. cxcadmin。
A.パスワードはネットワーク設定時に設定されます。
A.CX Cloud Agentでは、パスワードをリセットするための特別なオプションは提供されていませんが、Linuxコマンドを使用してcxcadminのパスワードをリセットできます。
A.パスワードポリシーは次のとおりです。
A. SSHの到達可能性を確認するには、次のコマンドを実行します。
Iptables -A OUTPUT -p tcp -m tcp —dport 22 -j ACCEPT
CX Cloud Agentで上記のSSHポートを無効にするには、次のコマンドを実行します。
iptables -L OUTPUT – 行番号 | グレップdpt | grep ssh | awk '{print $1}'
iptables -L OUTPUT <行番号>
A. SNMPの到達可能性を確認するには、次のコマンドを実行します。
iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT
iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT
snmpwalk -v2c -c cisco IPアドレス
CX Cloud Agentで上記のSNMPポートを無効にするには、次のコマンドを実行します。
iptables -L OUTPUT – 行番号 | グレップdpt | grep ssh | awk '{print $1}'
iptables -L OUTPUT <行番号2番号>
iptables -L OUTPUT <行番号1番号>
A. Grubパスワードを設定するには、次の手順に従います。
A.パスワードの有効期限は90日です。
A.はい。5回連続して認証に失敗すると、アカウントは無効になります。ロックアウト時間は 30 分です。
A.パスフレーズを生成するには、次の手順に従います。
A.はい。ただし、ホスト名を使用するには、ネットワーク設定時にドメインネームサーバ(DNS)のIPアドレスを指定する必要があります。
A. 次の暗号がサポートされています。
A.ログインするには:
A.はい。これらは「var/logs/audit/audit.log」ファイルの一部として記録されます。
A. CX Cloud Agentが5分間アイドル状態になると、SSHセッションタイムアウトが発生します。
A.次のポートを使用できます。
AMERICAS |
EMEA |
APJC |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud(クラウドに関する情報) |
エージェント.emea.csco.cloud |
エージェント.apjc.csco.cloud |
ng.acs.agent.us.csco.cloud(クラウドに関する情報) |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
注:上記のドメインに加えて、EMEAまたはAPJCのお客様がCX Cloud Agentを再インストールする際には、agent.us.csco.cloudドメインをお客様のファイアウォールで許可する必要があります。
agent.us.csco.cloudドメインは、再インストールが正常に完了した後は不要になります。
注:リターントラフィックはポート443で許可する必要があります。
Inbound port
:CX Cloud Agentのローカル管理では、514(syslog)および22(ssh)にアクセス可能である必要があります。ファイアウォールのポート443でCX Cloudからのデータ受信を許可する必要があります。A. Cisco DNA Centerは、顧客宅内ネットワークデバイスを管理するクラウドエージェントです。CX Cloud Agentは、設定済みのCisco DNA Centerからデバイスインベントリ情報を収集し、CX CloudのAsset Viewで使用可能なインベントリ情報をアップロードします。
A. 0日目のCX Cloud Agentセットアップでは、CX CloudポータルからCisco DNA Centerの詳細を追加できます。N日目の運用では、次の方法でCisco DNA Centerを追加できます。 Admin Settings > Data Source
を参照。
A. Cisco DNA Centerクラスタを10個、またはCisco DNA Center非クラスタを20個追加できます。
A.接続されているCisco DNA CenterをCX Cloud Agentから削除するには、Technical Assistance Center(TAC)に連絡して、CX Cloudポータルからサポートケースをオープンしてください。
A.ユーザロールはadminまたはobserverのいずれかです。
A. CX Cloud Agentコンソールからcxcli agent modifyControllerコマンドを実行します。
Cisco DNA Centerクレデンシャルの更新中に発生した問題については、サポートにお問い合わせください。
A. CX Cloud Agentに接続されたコントローラ(Cisco DNA Centerなど)および直接接続されたアセット(シードファイルやIP範囲など)のクレデンシャルを含むすべてのデータは、AES-256を使用して暗号化され、安全なユーザIDとパスワードで保護されたCX Cloud Agentデータベースに保存されます。
A. HTTPS over TLS 1.2は、Cisco DNA CenterとCX Cloud Agent間の通信に使用されます。
A. CX Cloud Agentは、Cisco DNA Centerからネットワークデバイスに関するデータを収集し、Cisco DNA Centerコマンドランナーインターフェイスを使用してエンドデバイスと通信し、CLIコマンド(showコマンド)を実行します。 config change コマンドは実行されません。
A.
A.詳細については、このドキュメントを参照してください。
A. CX Cloud Agentは、インベントリデータをTLS 1.2プロトコルを使用してシスコバックエンドサーバにアップロードします。
A.収集は、ユーザ定義のスケジュールに従ってトリガーされ、シスコのバックエンドにアップロードされます。
A.はい。スケジュール情報を変更するには、Admin Settings > Data Sourcesのオプションを使用できます。
A.タイムアウトは次のように分類されます。
A.スキャンのためにデバイス上で実行する必要があるコマンドは、スキャンプロセス中に動的に決定されます。コマンドのセットは、同じデバイスに対しても(診断スキャンの制御下ではなく)、時間の経過とともに変更されることがあります。
A.スキャン結果は、シスコのバックエンドに保存され、プロファイルが作成されます。
A.いいえ。重複はフィルタリングされ、一意のデバイスのみが抽出されます。
A.デバイススキャンが完全に停止し、失敗としてマークされます。
A.アプリケーションログ、ポッドステータス、Cisco DNA Centerの詳細、監査ログ、システムの詳細、およびハードウェアの詳細。
A.出力例:
system_details":{
「os_details」:{
"containerRuntimeVersion":"docker://19.3.12",
"kernelVersion":"5.4.0-47-generic",
"kubeProxyVersion":"v1.15.12",
"kubeletVersion":"v1.15.12",
"machineID":"81edd7df1c1145e7bcc1ab4fe778615f",
"operatingSystem":"linux",
"osImage":"Ubuntu 20.04.1 LTS",
"systemUUID":"42002151-4131-2ad8-4443-8682911bdadb"
},
"hardware_details":{
"total_cpu":"8",
"cpu_utilization":"12.5%",
"total_memory":"16007MB",
"free_memory":"9994MB",
"hdd_size":"214G",
「free_hdd_size」:「202G」
}
}
}
A. CX Cloud Agentを使用すると、ヘルスサービス(サービサビリティ)によってデータがシスコのバックエンドにストリーミングされます。
A.バックエンドでのCX Cloudエージェントのヘルスデータログ保持ポリシーは120日です。
A.
問題:設定されたIPにアクセスできない。
解決策:設定されたIPを使用してsshを実行します。接続がタイムアウトした場合、考えられる原因はIPの設定ミスです。この場合は、有効な IP を設定して再インストールします。この操作は、ポータルの Admin Settings
ページを使用します。
問題:登録後にサービスが稼働していることを確認するにはどうすればよいですか。
解決策:次の手順に従って、ポッドが稼働していることを確認します。
ポッドは任意の状態(実行中、初期化中、またはコンテナ作成中)にできます。20分後、ポッドはRunning状態である必要があります。
状態がnot runningまたはPod Initializingの場合は、kubectl describe pod <podname> コマンドを使用してポッドの説明を確認します。
出力には、ポッドのステータスに関する情報が表示されます。
問題:顧客プロキシでSSLインターセプタが無効になっているかどうかを確認する方法
解決策:サーバ証明書セクションを確認するには、ここに示すcurlコマンドを実行します。 応答には、concsowebサーバの証明書の詳細が含まれます。
curl -v – ヘッダー'Authorization: Basic xxxxxx' https://concsoweb-prd.cisco.com/
*サーバ証明書:
*件名: C=US; ST=California; L=San Jose; O=Cisco Systems, Inc.; CN=concsoweb-prd.cisco.com
*開始日:2021年2月16日11:55:11 GMT
*有効期限:2022年2月16日12:05:00 GMT
* subjectAltName:ホスト「concsoweb-prd.cisco.com」が証明書「concsoweb-prd.cisco.com」と一致
*発行者:C=US、O=HydrantID(Avalanche Cloud Corporation)、CN=HydrantID SSL CA G3
* SSL証明書の確認は正常です。
> GET / HTTP/1.1
問題: kubectlコマンドが失敗し、「The connection to the server X.X.X.X:6443 was refused - did you specified the right host or port」というエラーが表示されます
ソリューション:
問題:コマンド/デバイスの収集エラーの詳細を取得する方法
ソリューション:
kubectl get pods
収集ポッド名を取得します。kubectl logs
コマンド/デバイス固有の詳細情報を取得します。問題: kubectlコマンドがエラー「[authentication.go:64] Unable to authenticate the request due to an error: [x509: certificate has has has not yet valid, x509: certificate has expired or is not yet valid]」が表示される
解決策:次に示すコマンドをcxcroot userとして実行します
rm /var/lib/rancher/k3s/server/tls/dynamic-cert.json(登録ユーザ専用)
systemctl restart k3s
kubectl —insecure-skip-tls-verify=true delete secret -n kube-system k3s-serving
systemctl restart k3s
収集失敗の原因は、追加されたコントローラまたはコントローラ内に存在するデバイスで発生した制約や問題であると考えられます。
ここに示す表には、収集プロセス中にCollection microserviceの下に表示される使用例に対するエラースニペットがあります。
使用例 |
コレクション マイクロサービスのログスニペット |
要求されたデバイスが Cisco DNA Center で見つからない場合 |
{ |
要求されたデバイスに Cisco DNA Center からアクセスできない場合 |
{ |
要求されたデバイスに Cisco DNA Center からアクセスできない場合 |
{ |
要求されたコマンドがデバイスで使用できない場合 |
{ |
要求されたデバイスにSSHv2がなく、Cisco DNA CenterがデバイスをSSHv2で接続しようとする場合 |
{ |
コレクション マイクロサービスでコマンドが無効になっている場合 |
{ |
コマンドランナータスクが失敗し、タスク URL が Cisco DNA Center から返されない場合 |
{ |
Cisco DNA Center でコマンドランナータスクを作成できなかった場合 |
{ |
CollectionマイクロサービスがCisco DNA CenterからのCommand Runner要求に対する応答を受信していない場合 |
{ |
Cisco DNA Center が設定されたタイムアウト(コレクション マイクロサービスのコマンドあたり 5 分)内にタスクを完了しない場合 |
{ |
Cisco DNA Centerによって送信されたタスクのCommand Runner Taskが失敗し、ファイルIDが空の場合 |
{ |
Command Runner Taskが失敗し、ファイルIDタグがCisco DNA Centerから返されない場合 |
{ |
デバイスがコマンドランナーの実行に適格でない場合 |
{ |
コマンドランナーがユーザーに対して無効になっている場合 |
{ |
スキャンの失敗と原因は、リストされているコンポーネントのいずれかにある可能性があります。
ユーザがポータルからスキャンを開始すると、「failed: Internal server error」と表示されることがあります。
問題の原因は、リストされているコンポーネントの1つです
ログを表示するには、次の手順を実行します。
kubectl get pods
を参照。kubectl logs
kubectl logs
kubectl logs
次の表は、コンポーネントの問題や制約が原因で発生するCollection microserviceおよびservicability microserviceのログに表示されるエラースニペットを示しています。
使用例 |
コレクション マイクロサービスのログスニペット |
デバイスは到達可能でサポートされますが、そのデバイスで実行するコマンドはCollectionマイクロサービスにブロックリストされています |
{ |
スキャン用のデバイスが使用できない場合。 ポータル、診断スキャン、CXコンポーネント、Cisco DNA Centerなどのコンポーネント間で同期の問題が発生した場合に発生します。 |
ID 02eb08be-b13f-4d25-9d63-eaf4e882f71aのデバイスが見つかりません |
スキャン対象のデバイスがビジー状態の場合(シナリオの場合)、同じデバイスが他のジョブの一部であり、Cisco DNA Centerからそのデバイスに対する並行要求が処理されません |
要求されたすべてのデバイスは、既に別のセッションのコマンドランナーによって照会されています。他のデバイスを試してください |
デバイスでスキャンがサポートされていない場合 |
要求されたデバイスはインベントリ内にありません。インベントリ内の使用可能な他のデバイスで試してください |
スキャン対象のデバイスが到達不能な場合 |
「Error occurred while executing command: show udi\nError connecting to device [Host: x.x.x.x:22] No route to host : No route to host」 |
Cisco DNA Center が Cloud Agent から到達できない場合、または Cloud Agent のコレクション マイクロサービスが Cisco DNA Center からのコマンドランナー要求に対する応答を受信していない場合 |
{ |
使用例 |
コントロール ポイント エージェントのマイクロサービスのログスニペット |
スキャン要求にスケジュールの詳細がない場合 |
要求を実行できませんでした |
スキャン要求にデバイスの詳細が含まれていない場合 |
スキャンポリシーを作成できませんでした。要求に有効なデバイスがありません |
CPA との接続がダウンしている場合 |
要求を実行できませんでした |
要求されたスキャン対象デバイスで診断スキャンを利用できない場合 |
スキャン要求を送信できませんでした。理由= {\"message\":\"Device with Hostname=x.x.x.x' was not found\"} |
改定 | 発行日 | コメント |
---|---|---|
1.0 |
31-Oct-2022 |
初版 |