Umbrellaワイヤレスコントローラ(9800)統合のトラブルシューティング

ダウンロード オプション

  • PDF     (486.3 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2025 年 9 月 30 日
Document ID:225099

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、9800シリーズのワイヤレスコントローラとUmbrellaの統合のトラブルシューティング方法について説明します。

    概要

    この記事は『Cisco Catalyst 9200およびCatalyst 9300スイッチ』の続きであり、登録に関する問題のトラブルシューティングと、9800とCisco Umbrella間のワークフローのガイドとして機能します。

    Cisco Umbrellaの一般的なワークフロー


    44153779835084415377983508

    1. Cisco Umbrellaサーバへのワイヤレスコントローラの登録は1回限りのプロセスで、安全なHTTPSトンネル経由で行われます。

    2. Cisco Umbrellaダッシュボードからデバイス(9800)登録用APIトークンを取得します。

    3. 9800でトークンを適用します。これにより、デバイスがCisco Umbrellaアカウントに登録されます。次に、9800でCisco Umbrellaプロファイルを作成します。IDとポリシーはID単位で適用されるため、プロファイルは自動的にCisco Umbrellaにプッシュされます。

    4. ワイヤレスクライアントトラフィックフローはCisco Umbrellaサーバに送信される

    5. ワイヤレスクライアントがDNS要求を9800に送信します。

    6. 9800はDNSパケットをスヌープし、Cisco Umbrellaプロファイルでタグ付けします。プロファイルは、Cisco Umbrellaにも存在するパケットのIDです。

    7. このEDNSパケットは、名前解決のためにCisco Umbrellaクラウドサーバにリダイレクトされます。

    8. 次に、Cisco Umbrellaはアイデンティティに応じてポリシーを適用し、カテゴリベースのフィルタリングルールを適用して組織のコンプライアンスを確保します。

    9. ルールに応じて、クエリされたDNS要求に対して、ブロックされたページまたは解決済みのIPアドレスをクライアントに返します。

    9800の設定手順の詳細については、『セキュリティ設定ガイド』を参照してください。

    登録と証明書のインポート

    1. UmbrellaダッシュボードからAPIトークンを取得します(Admin > API Keys > (create) Legacy Network Devices)。
    2. 次のいずれかの方法を使用して、CLI経由でCA証明書を9800にインポートします。
      URLからインポート
      次のコマンドを発行し、9800に証明書の取得を許可します。  
      crypto pki trustpool import url http://www.cisco.com/security/pki/trs/ios.p7b

      端子に直接インポート
      次のコマンドを使用して、CA証明書(添付ファイルを参照)をコピーアンドペーストします。 

      crypto pki trustpool import terminal
    3. 次のコマンドを使用して、9800 CLIにAPIトークンを入力します。  
      parameter-map type umbrella global 
      token XXXXXXXXXXXXXXXXXXXXXXXXXXXX

    Cisco Umbrella設定の確認

    Cisco Umbrellaの設定の詳細を表示するには、次のコマンドを使用します。

    Device# show umbrella config
    Umbrella Configuration
    ========================
    Token: 5XXXXXXABXXXXXFXXXXXXXXXDXXXXXXXXXXXABXX
    API-KEY: NONE
    OrganizationID: xxxxxxx
    Local Domain Regex parameter-map name: dns_bypass
    DNSCrypt:Enabled 
    Public-key: B735:1140:206F:225D:3E2B:D822:D7FD:691E:A1C3:3CC8:D666:8D0C:BE04:BFAB:CA43:FB79
    UDP Timeout: 5 seconds
    Resolver address:
    1. 208.67.220.220 
    2. 208.67.222.222 
    3. 2620:119:53::53 
    4. 2620:119:35::35
    ewc1#show umbrella deviceid detailed 

    Device registration details 
    1.global
         Tag : global 
         Device-id : 010a2ed75e520fda 
         Description : Device Id recieved successfully 
         WAN interface : None 
    ewc1#show umbrella dnscrypt
       DNSCrypt: Enabled
       Public-key: B735:1140:206F:225D:3E2B:D822:D7FD:691E:A1C3:3CC8:D666:8D0C:BE04:BFAB:CA43:FB79
       Certificate Update Status:
            Last Successfull Attempt: 10:40:58 UTC Apr 8 2020
       Certificate Details:
           Certificate Magic     : DNSC
           Major Version         : 0x0001
           Minor Version         : 0x0000
           Query Magic           : 0x7163373861576F6F
           Serial Number         : 1574811744
           Start  Time           : 1574811744 (23:42:24 UTC Nov 26 2019)
           End Time              : 1606347744 (23:42:24 UTC Nov 25 2020)
           Server Public Key     : 88B4:E44B:35E9:64B4:90BD:DABA:E825:A24B:0415:A08B:E19D:7DDB:87A3:3CD7:7EDF:8E2F

           Client Secret Key Hash: E323:7E82:C0C2:1F0C:55AE:1473:862D:6D26:9607:B41D:3F51:F587:9482:8709:401E:2EC4
           Client Public key     : 8D52:4D73:CF69:4890:F130:2845:4CBE:A9CA:87AF:4CDA:FE17:C626:2F8A:1780:CD18:C855

           NM key Hash           : FAAD:4C16:6DA3:D6F3:655D:FF98:36B7:73E7:9D1C:21F5:A0E3:A083:17D7:C308:522E:722D

    デバッグとロギング

    DNSCryptを無効にするには、次のコマンドを使用します。 

    parameter-map type umbrella global > no dnscrypt

    「Unable to import certificate using URL」というエラーが表示される場合があります。

    crypto pki trustpool import urlhttp://www.cisco.com/security/pki/trs/ios.p7b

    % Error: failed to open file.

    % No certificates imported fromhttp://www.cisco.com/security/pki/trs/ios.p7b.

    回避策: 

    場所から、PEM形式のCA証明書を手動でコピーして貼り付けます。

    次に、デバイス登録のデバッグログを有効にします。

    debug umbrella dnscrypt
    debug umbrella device-registration
    debug umbrella config
    term monitor
    note-icon

    :複数の9800に同じdeviceIdを割り当てることができる場合があります。これは、仮想9800(Embedded Wireless Controller(WC))の場合に発生します。

    すべての仮想WCには、同じハードコードされたMACアドレス「CC46D6CCCCCC」があります。

    eWC Aからのデバッグサンプル:

    Nov 2 19:21:18.903 Central: UMBRELLA-DEV-REG:Device registration process start: umbrella parameter-map global (tag: global): TCP socket created, connect state will be verified before sending out request
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Socket 0 event handler: event type = WRITE EVENT
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request invoked
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Get registration request info invoked
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Get registration request info: Found new queued request for umbrella parameter-map global (tag: global), status :REQ QUEUED 
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): status = 1
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request license mode = TOKEN
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): POST size = 238, JSON size = 174,actual size = 412 , uri_size = 18
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:
    Nov 2 19:21:18.915 Central: Dev reg json buffer :{"model":"B77A8731C7F4D6E92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9KZNYR9FRRQ"} and bytes: 141
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:
    Nov 2 19:21:18.915 Central: umbrella parameter-map name :global macAddr :cc46.d6cc.cccc 
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Build POST request invoked: post size = 238, size = 141
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Build POST request: hostname = api.opendns.com
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Build POST request: URI = /v3/networkdevices
    Nov 2 19:21:18.916 Central: UMBRELLA-DEV-REG:Build POST request done
    Nov 2 19:21:18.916 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request buffer length = 368
    Nov 2 19:21:18.916 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): Built request = POST /v3/networkdevices HTTP/1.1
    Host: api.opendns.com
    Authorization:OpenDNS,api_key="B0E16D19C32D42EC996B635X4X9005B9",token="B77A8731C7F4D6E92C07D7DCB68961470000A553"
    Content-Type: application/json
    Content-Length: 141

    {"model":"B77A7561C7F4ABC92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9KZNYR9FRRQ"}
    ----------------------------------------<OUTPUT OMITTED>----------------------------------------
    Nov 2 19:21:23.553 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 3, bytes = 256, resp: content-type: application/json
    x-envoy-upstream-service-time: 1462
    x-xss-protection: 1; mode=block
    x-ingress-point: mil1

    {"deviceId":"010a7859d0d39393","deviceKey":"B77A8731C7F4D6E92C07D7DCB68961470000A553-CC46D6CCCCCC-global","label":"global","seria
    Nov 2 19:21:23.553 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 4, bytes = 1
    78, resp: lNumber":"9KZNYR9FPPQ","phishing":1,"createdAt":1635877282,"originId":xxxxxxxx,"
    apiKey":"b0e16d19c32d42ec996b635x4x9005b9","deviceTypeId":1,"vendorId":51,"organizationId":xxxxx}

    eWC Bからのデバッグ例:

    Nov 2 19:21:41.909 Central: UMBRELLA-DEV-REG:Device registration process start: umbrella parameter-map global (tag: global): TCP socket created, connect state will be verified before sending out request
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Socket 0 event handler: event type = WRITE EVENT
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request invoked
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Get registration request info invoked
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Get registration request info: Found new queued request for umbrella parameter-map global (tag: global), status :REQ QUEUED 
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): status = 1
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request license mode = TOKEN
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): POST size = 238, JSON size = 174,actual size = 412 , uri_size = 18
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:
    Nov 2 19:21:41.919 Central: Dev reg json buffer :{"model":"B77A7561C7F4ABC92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9BRCYQ9KDRU"} and bytes: 141
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:
    Nov 2 19:21:41.919 Central: umbrella parameter-map name :global macAddr :cc46.d6cc.cccc 
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request invoked: post size = 238, size = 141
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request: hostname = api.opendns.com
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request: URI = /v3/networkdevices
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request done
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request buffer length = 368
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): Built request = POST /v3/networkdevices HTTP/1.1
    Host: api.opendns.com
    Authorization:OpenDNS,api_key="B0E16D19C32D42EC996B635X4X9005B9",token="B77A8731C7F4D6E92C07D7DCB68961470000A553"
    Content-Type: application/json
    Content-Length: 141

    {"model":"B77A8731C7F4D6E92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9BRCYQ8RDRU"}
    ----------------------------------------<OUTPUT OMITTED>----------------------------------------
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 3, bytes = 256, resp: content-type: application/json
    x-envoy-upstream-service-time: 1462
    x-xss-protection: 1; mode=block
    x-ingress-point: mil1

    {"deviceId":"010a7859d0d39393","deviceKey":"B77A8731C7F4D6E92C07D7DCB68961470000A553-CC46D6CCCCCC-global","label":"global","serialNumber":"9BRCYQ8RDRU"}
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 4, bytes = 1
    78, resp: lNumber":"9KZNYR9FPPQ","phishing":1,"createdAt":1635877282,"originId":573529511,"
    apiKey":"b0e16d19c32d42ec996b635x4x9005b9","deviceTypeId":1,"vendorId":51,"organizationId":xxxxx}

    ここで、POST要求には、APIトークン(Cisco UmbrellaダッシュボードからのレガシーデバイスAPIトークン)、APIキー、モデル番号(APIトークンと同じ)、ワイヤレスLANコントローラ(WLC)のMACアドレス、パラメータマップ(タグ)の名前、およびデバイスのシリアル番号が含まれます。

    デバイスIDは、APIトークン、APIキー、タグ、およびMACアドレスを使用して生成されます。これらの9800は両方とも上記と同じ値を持つため、両方に同じデバイスIDが割り当てられます。

    これは予期された動作です。この問題を解決するには、9800の一方または両方にカスタムパラメータマップを作成する必要があります。

    parameter-map type umbrella <custom name>

    カスタムパラメータマップ「cpm」を作成することで、異なるデバイスID(deviceId)を生成する新しいタグを作成します。

    {"deviceId":"010a30f6275c92ce","deviceKey":"0DCDA24CDD6A92D714FE357539FDCAE80051BA0A-DD46D6BBCCCC-global","label":"global","serialNumber":"F222424Q4M8","phishing":1,"createdAt":1641192490,"originId":563829932,"apiKey":"b0e16d15c32d4e8c996b635afa9005b9","deviceTypeId":1,"vendorId":51,"organizationId":******}

    {"deviceId":"010a341b037ea6b9","deviceKey":"0DCDA24CDD6A92D714FE357539FDCAE80051BA0A-DD46D6BBCCCC-cpm","label":"global","serialNumber":"F222424Q4M8","phishing":1,"createdAt":1641825561,"originId":563829932,"apiKey":"b0e16d15c32d4e8c996b635afa9005b9","deviceTypeId":1,"vendorId":51,"organizationId":******}

    更新履歴

    改定 発行日 コメント
    1.0
    30-Sep-2025
    初版
    TAC Authored

    シスコ エンジニア提供

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています