SNMP V2、V3、およびNetCONFを使用したPrime InfrastructureによるCatalyst 9800ワイヤレスコントローラシリーズの管理

はじめに

このドキュメントでは、Catalyst 9800シリーズワイヤレスコントローラ(C9800 WLC)をPrime Infrastructure(3.x)と統合する方法について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• C9800 WLC
• Prime Infrastructure(PI)バージョン3.5
• Simple Network Management Protocol（SNMP）

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• C9800 WLC
• Cisco IOS XE Gibraltar 16.10.1 ～ 17.3

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

注:Prime Infra 3.8は17.x 9800 WLCのみをサポートしています。Prime Infra 3.8で16.12 WLCを管理しようとすると、クライアントがPrime Infrastructureに表示されません。

設定

Prime InfrastructureがCatalyst 9800シリーズワイヤレスLANコントローラを設定、管理、および監視するには、CLI、SNMP、およびNetconfを介してC9800にアクセスできる必要があります。Prime InfrastructureにC9800を追加する場合は、telnet/SSHクレデンシャルと、SNMPコミュニティストリングやバージョンなどを指定する必要があります。PIはこの情報を使用して、到達可能性を確認し、C9800 WLCをインベントリします。また、SNMPを使用して設定テンプレートをプッシュし、アクセスポイント(AP)とクライアントイベントのトラップをサポートします。ただし、PIがAPとクライアントの統計情報を収集するためには、Netconfが活用されます。NetconfはC9800 WLCではデフォルトで有効になっていないため、リリース16.10.1（GUIは16.11.1で使用可能）のCLIを使用して手動で設定する必要があります。

使用ポート

C9800とPrime Infrastructure間の通信では、異なるポートが使用されます。

• Prime Infraで使用できるすべての設定とテンプレートは、SNMPとCLIを介してプッシュされます。UDPポート161を使用します。
• C9800 WLC自体の動作データはSNMPを介して取得されます。UDPポート162を使用します。
• APおよびクライアントの運用データは、ストリーミングテレメトリを活用します。

Prime InfrastructureからWLCへ：TCPポート830：これは、Prime Infraが9800デバイスにテレメトリ設定をプッシュするために使用します（Netconfを使用）。
WLCからPrime Infrastructure:TCPポート20828(Cisco® IOS XE 16.10および16.11)または20830（Cisco IOS XE 16.12、17.x以降）。

注：レポートするテレメトリがない場合でも、キープアライブは5秒ごとに送信されます。

注:Prime InfrastructureとC9800の間にファイアウォールがある場合は、必ずこれらのポートを開いて通信を確立してください。

Cat 9800 WLCでのSNMPv2の設定

GUI：

ステップ 1：移動先 Administration > SNMP > Slide to Enable SNMPを参照。

ステップ 2：クリック Community Strings 読み取り専用および読み取り/書き込みコミュニティ名を作成します。

CLI：

(config)#snmp-server community <snmpv2-community-name> 
(optional)(config)# snmp-server location <site-location>
(optional)(config)# snmp-server contact <contact-number>

Cat 9800 WLCでのSNMPv3の設定

GUI：

注:17.1のCisco IOS XEでは、Web UIで作成できるのは読み取り専用v3ユーザだけです。読み取り/書き込みv3ユーザを作成するには、CLIプロシージャを実行する必要があります。

CLI：

クリック V3 usersユーザを作成します。選択 authPriv、 SHA と AES protocolsを選択し、長いパスワードを選択します。 MD5 と DES/3DES これらは安全でないプロトコルであり、9800ではまだオプションですが、選択してはならず、完全にはテストされていません。

注:SNMPv3ユーザ設定は、実行コンフィギュレーションには反映されません。SNMPv3グループの設定だけが表示されます。

CLI：

(config)#snmp-server view primeview iso included
(config)#snmp-server group <v3-group-name> v3 auth write primeview 
(config)#snmp-server user <v3username> <v3-group-name> v3 auth {md5 | sha} <AUTHPASSWORD> priv {3des | aes | des} {optional for aes 128 | 192| 256} <PRIVACYPASSWORD>



9800#show snmp user

User name: Nico
Engine ID: 800000090300706D1535998C
storage-type: nonvolatile	 active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: SnmpAuthPrivGroup

Cat 9800 WLCでのNetconfの設定

GUI（16.11以降）:

移動先 Administration > HTTP/HTTPS/Netconfを参照。

CLI：

(config)#netconf-yang

注意:C9800でaaa new-modelが有効になっている場合は、次も設定する必要があります。
(config)#aaa authorization exec default <ローカルまたはradius/tacacsグループ>
(config)#aaa authentication login default <localまたはradius/tacacs group>
C9800のNetconfは、aaa authentication loginとaaa authorization execの両方にデフォルトの方式を使用します（この方法は変更できません）。SSH接続に別の方式を定義する場合は、 line vty コマンドライン.Netconfはデフォルトの方法を使用し続けます。

注意:Prime Infrastructureでは、9800コントローラをインベントリに追加すると、設定したaaa authentication login defaultおよびaaa authorization exec default方式が上書きされ、WLCでNetconfが有効になっていない場合にのみローカル認証がポイントされます。Prime InfrastructureがNetconfでログインできる場合、設定は変更されません。つまり、TACACSを使用している場合、9800をPrimeに追加するとCLIアクセスが失われます。これらの設定コマンドは、後で元に戻して、TACACSを指すように設定できます（TACACSが優先される場合）。

設定（Prime Infrastructure 3.5以降）

ステップ 1：Catalyst 9800 WLCで設定されたワイヤレス管理IPアドレスをキャプチャします。

GUI：

移動先 Configuration > Interface: Wirelessを参照。

CLI：

# show wireless interface summary

ステップ 2：特権15のユーザクレデンシャルをキャプチャし、パスワードを有効にします。

GUI：

移動先 Administration > User Administrationを参照。

CLI：

# show run | inc username
# show run | inc enable

ステップ 3：必要に応じて、SNMPv2コミュニティストリングやSNMPv3ユーザを取得します。

GUI：

SNMPv2の場合は、 Administration > SNMP > Community Stringsを参照。

SNMPv3の場合は、 Administration > SNMP > V3 Usersを参照。

CLI：

For SNMPv2 community strings
# show run | sec snmp 

For SNMPv3 user
# show user

ステップ 4：Prime InfrastructureのGUIで、 Configuration > Network: Network Devicesをクリックし、次のドロップダウンをクリックします + を選択して Add Deviceを参照。

ステップ 5：次の Add Device ポップアップで、Prime Infrastructureとの通信の確立に使用される9800のインターフェイスIPアドレスを入力します。

手順 6：に移動します。 SNMP タブをクリックして、 SNMPv2 Read-Only and Read-Write Community Strings C9800 WLC上で設定されます。

手順 7：SNMPv3を使用している場合は、ドロップダウンから v3、SNMPv3ユーザ名を指定します。変更前 Auth-Type ドロップダウンで、以前に設定した認証タイプと Privacy Type ドロップダウンから、C9800 WLCで設定されている暗号化方式を選択します。

ステップ 8：移動先 Telnet/SSH タブ/ Add Device、特権15のユーザ名とパスワード、およびイネーブルパスワードを入力します。クリック Verify Credentials CLIクレデンシャルとSNMPクレデンシャルが正常に動作していることを確認します。次に、 Addを参照。

確認

テレメトリステータスの確認

ステップ 1：C9800でNetconfが有効になっていることを確認します。

#show run | inc netconf
netconf-yang

存在しない場合は、「Cat 9800 WLCでのNETCONF設定」セクションを入力します。

ステップ 2：C9800からPrimeへのテレメトリ接続を確認します。

#show telemetry internal connection
Telemetry connection

Address Port Transport State Profile
------------------------------------------------------------------
x.x.x.x 20828 cntp-tcp Active

注:x.x.x.xはPrime InfrastructureのIPアドレスで、状態はActiveである必要があります。状態がアクティブでない場合は、「トラブルシューティング」の項を参照してください。

17.9では、少し異なるコマンドを使用する必要があります。

9800-17-9-2#show telemetry connection all
Telemetry connections

Index Peer Address               Port  VRF Source Address             State      State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
    0 10.48.39.25                25103 0   10.48.39.228               Active     Connection up

9800-17-9-2#

ステップ 3：Prime Infrastructureで、 Inventory > Network Devices > Device Type: Wireless Controllerを参照。

ステップ 4：Prime Infrastructureへのテレメトリ接続の詳細を表示するには、次を実行します。

#show telemetry internal protocol cntp-tcp manager x.x.x.x 20828
Telemetry protocol manager stats:

Con str                : x.x.x.x:20828::
Sockfd                 : 79
Protocol               : cntp-tcp
State                  : CNDP_STATE_CONNECTED
Table id               : 0
Wait Mask              :
Connection Retries     : 0
Send Retries           : 0
Pending events         : 0
Source ip              : <9800_IP_ADD>
Bytes Sent             : 1540271694
Msgs Sent              : 1296530
Msgs Received          : 0

ステップ 5：C9800からのテレメトリサブスクリプションのステータスと、「Valid」と表示されていることを確認します。

#show telemetry ietf subscription configured
Telemetry subscription brief

ID Type State Filter type
-----------------------------------------------------
68060586 Configured Valid transform-na
98468759 Configured Valid tdl-uri
520450489 Configured Valid transform-na
551293206 Configured Valid transform-na
657148953 Configured Valid transform-na
824003685 Configured Valid transform-na
996216912 Configured Valid transform-na
1072751042 Configured Valid tdl-uri
1183166899 Configured Valid transform-na
1516559804 Configured Valid transform-na
1944559252 Configured Valid transform-na
2006694178 Configured Valid transform-na

ステップ6：サブスクリプション統計は、サブスクリプションIDごとまたは次を使用してすべてのサブスクリプションについて表示できます。

#show telemetry internal subscription { all | id } stats
Telemetry subscription stats:

Subscription ID  Connection Info            Msgs Sent  Msgs Drop  Records Sent
------------------------------------------------------------------------------
865925973        x.x.x.x:20828::      2          0          2
634673555        x.x.x.x:20828::      0          0          0
538584704        x.x.x.x:20828::      0          0          0
1649750869       x.x.x.x:20828::      1          0          2
750608483        x.x.x.x:20828::      10         0          10
129958638        x.x.x.x:20828::      10         0          10
1050262948       x.x.x.x:20828::      1369       0          1369
209286788        x.x.x.x:20828::      15         0          15
1040991478       x.x.x.x:20828::      0          0          0
1775678906       x.x.x.x:20828::      2888       0          2889
1613608097       x.x.x.x:20828::      6          0          6
1202853917       x.x.x.x:20828::      99         0          99
1331436193       x.x.x.x:20828::      743        0          743
1988797793       x.x.x.x:20828::      0          0          0
1885346452       x.x.x.x:20828::      0          0          0
163905892        x.x.x.x:20828::      1668       0          1668
1252125139       x.x.x.x:20828::      13764      0          13764
2078345366       x.x.x.x:20828::      13764      0          13764
239168021        x.x.x.x:20828::      1668       0          1668
373185515        x.x.x.x:20828::      9012       0          9012
635732050        x.x.x.x:20828::      7284       0          7284
1275999538       x.x.x.x:20828::      1236       0          1236
825464779        x.x.x.x:20828::      1225711    0          1225780
169050560        x.x.x.x:20828::      0          0          0
229901535        x.x.x.x:20828::      372        0          372
592451065        x.x.x.x:20828::      8          0          8
2130768585       x.x.x.x:20828::      0          0          0

トラブルシュート

Prime Infrastructureのトラブルシューティング

• Prime Infrastructureで最初に確認するのは、IPアドレスとインターフェイスです。Prime Infrastructureはデュアルホームをサポートせず、2番目のポートでテレメトリをリッスンしません。
• Prime Infrastructureに追加するWLCのIPアドレスは、「ワイヤレス管理インターフェイス」として使用するIPアドレスである必要があります。Prime InfrastructureのIPアドレスは、コントローラ側のワイヤレス管理インターフェイスから到達可能である必要があります。
• 検出にサービスポート（アプライアンス上のgig0/0）を使用している場合、WLCとAPはインベントリで管理状態として表示されますが、WLCと関連付けられたアクセスポイントのテレメトリは機能しません。
• Prime Infrastructureでテレメトリステータスが「success」になっていてもAPカウントが0の場合、Prime Infrastructureはポート830でWLCに到達できるものの、コントローラはポート20830でPrime Infrastructureに到達できない可能性があります。

SNMPの問題またはデバイス設定の問題については、Prime Infrastructureから次のログを収集します。

cd /opt/CSCOlumos/logs/

[root@prime-tdl logs]# ncs-0-0.log

Tdl.logs

テレメトリやサンゴの問題では、まず最初にサンゴの状態を確認します。

shell

cd /opt/CSCOlumos/coralinstances/coral2/coral/bin

./coral version 1

./coral status 1

./coral stats 1

問題がなければ、これらのログをprime coral logsフォルダから収集します。

注:Prime InfrastructureのバージョンとサポートするCisco IOS XEバージョンの数によっては、Prime Infrastructureに複数のCoralインスタンスが存在する場合があります。次のような詳細については、リリースノートを参照してください。https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-7/release/notes/bk_Cisco_Prime_Infrastructure_3_7_0_Release_Notes.html

ステップ 1：

cd /opt/CSCOlumos/coral/bin/

[root@prime-tdl bin]# ./coral attach 1

Attached to Coral instance 1 [pid=8511]

Coral-1#cd /tmp/rp/trace/

Coral-1#ls

Collect the  “Prime_TDL_collector_R0-”* logs

Coral-1# cd /tmp/rp/trace/
Coral-1# btdecode P* > coralbtlog.txt
Coral-1# cat  coralbtlog.txt

これらのログは、次のディレクトリにも保存されています。

*デコードされたトレースファイルはパスで使用できます/opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
*   ade# cd /opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk

*   ade# cp coraltrace.txt /localdisk/defaultRepo

ステップ 2：デバッグモードでCoralを有効にするには、デバッグレベルを debug.conf 出力を提供してください。

コンテナ内から次のいずれかを実行します。

echo "rp:0:0:tdlcold:-e BINOS_BTRACE_LEVEL=DEBUG;" > /harddisk/debug.conf

またはPrime 3.8では、次のコマンドを使用して、コンテナの外部でCoralサービスを再起動できます。

"sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"

再起動しても問題が解決しない場合は、次のコマンドを使用してコーラルインスタンスを消去し、スムーズに起動できます。

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral stop 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral purge 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral start 1

Coralを再起動します。これは必須です。「Exit」と入力してから次のコマンドを実行すると、Coralインスタンスを終了できます。

./coral/bin/coral restart 1

注:Prime 3.8では、「sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1」を使用して、コンテナの外部でCoralサービスを再起動できます。

Coralログファイルをデコードする必要がある場合は、Coralコンテナ内で次のコマンドを使用してデコードできます。

btdecode Prime_TDL_collector_*.bin

注:Coralのデバッグレベルを有効にした後は、Coralを再起動する必要があります。

Catalyst 9800 WLCでのトラブルシューティング

Prime InfraからC9800 WLCにプッシュされた設定をモニタするには、EEMアプレットを実行します。

#config terminal
#event manager applet catchall
 #event cli pattern ".*" sync no skip no
 #action 1 syslog msg "$_cli_msg"

WLC設定からすべてのテレメトリサブスクリプションを削除する

WLCで設定されているすべてのテレメトリサブスクリプションの設定を解除する場合があります。これは、次のコマンドを使用するだけで簡単に実行できます。

WLC#term shell
WLC#function removeall() {
for id in `sh run | grep telemetry | cut -f4 -d' '`
do
conf t
no telemetry ietf subscription $id
exit
done
}
WLC#removeall

トレースを有効にするには、次の手順を実行します。

# debug netconf-yang level debug

確認するには、次のコマンドを実行します。

WLC#show platform software trace level mdt-pubd chassis active R0 | inc Debug

pubd                            Debug           

WLC#show platform software trace level ndbman chassis active R0 | inc Debug

ndbmand                         Debug     

      

トレース出力を表示するには、次の手順を実行します。

show platform software trace message mdt-pubd chassis active R0

show platform software trace message ndbman chassis active R0

AP情報のサブスクリプションIDの確認

クリック DB Queryを参照。tohttps://<Prime_IP>/webacs/ncsDiag.doに移動します。

選択 *変更前 ewlcSubscription ここで、OWNINGENTITYIDは'%Controller_IP'およびCLASSNAME='UnifiedAp'です。

WLCから：

サブスクリプションIDが情報を送信しており、cntpカウンタでドロップが発生していないことを確認します。

show tel int sub all stats

show telemetry internal protocol cntp-tcp connector counters drop

show telemetry internal protocol cntp-tcp connector counters queue

show telemetry internal protocol cntp-tcp connector counters rate

show telemetry internal protocol cntp-tcp connector counters sub-rate

show telemetry internal protocol cntp-tcp connector counters reset

注:9800 WLCは、17.6より前では100のテレメトリサブスクリプション、17.6より後では最大128のサブスクリプションをサポートします（DNA Centerの最近のリリースでは100を超えるサブスクリプションを使用できます）。

PIからDNA-Centerへの移行

C9800は、PIとDNA Centerの両方で同時に管理することはできません。ネットワーク管理ソリューションとしてDNACに移行する計画がある場合は、DNA Centerに追加する前にPrime InfrastructureからC9800を削除する必要があります。C9800をPI 3.5から削除すると、PIによってインベントリ時にC9800にプッシュされたすべての設定はロールバックされず、システムから手動で削除する必要があります。具体的には、ストリーミングテレメトリデータを公開するためにC9800 WLC用に確立されたサブスクリプションチャネルは削除されません。 

この特定の設定を識別するには、次の手順を実行します。

#show run | sec telemetry

この設定を削除するには、 no コマンドの形式：

(config) # no telemetry ietf subscription <Subscription-Id>
Repeat this CLI to remove each of the subscription identifiers. 


(config) # no telemetry transform <Transform-Name>
Repeat this CLI to remove each of the transform names

注:DNACとPrime Infrastructureの両方を使用して9800コントローラを管理する場合、Prime Managementが原因でDNACインベントリのコンプライアンスに失敗することが予想されます。

最近のリリースでは、Prime InfrastructureとDNACの両方が、両方のサーバに対してWLCのテレメトリサブスクリプションを大量に使用し、9800を同時に管理できます。そのため、DNACとPrime Infrastructureの両方を使用して9800を管理し、テレメトリと統計情報を機能させることはできません。したがって、PIからDNACへの移行は、Prime Infrastructureが9800コントローラを管理している限り、DNACは9800からのテレメトリデータを保持できないため、可能な限り迅速に行う必要があります。