Tips en trucs voor LAN-automatisering voor het centrum voor digitale netwerkarchitectuur (DNA)

Downloadopties

  • PDF     (1.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.0 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (715.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:24 augustus 2020
Document-id:213927

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

      

    Inleiding

    In dit document wordt een overzicht van Local Area Network (LAN) Automation beschreven om u te helpen problemen te diagnosticeren wanneer LAN Automation niet werkt zoals verwacht in Digital Network Architecture (DNA) Center.

    Bijgedragen door Alexandro Carrasquedo, Cisco TAC Engineer.

      

    verklarende woordenlijst

    Plug and Play (PnP) Agent: Nieuw apparaat dat u zojuist hebt ingeschakeld zonder configuratie en zonder certificaten die automatisch door DNA Center worden geconfigureerd.

    Seed-apparaat: apparaat dat door DNA Center al is geleverd en dat fungeert als de DHCP-server (Dynamic Host Configuration Protocol). 

    Voorwaarden

    vereisten

    Cisco raadt u ten zeerste aan algemene kennis te hebben van LAN Automation en de Plug and Play Solution. geeft een overzicht van LAN Automation hoewel het gebaseerd is op DNA Center 1.0, hetzelfde concept geldt voor DNA Center 1.1 en hoger.

    Achtergrondinformatie

    LAN-automatisering is een bijna-zero-touch implementatieoplossing waarmee u uw netwerkapparaten kunt configureren en voorzien van het gebruik van ISIS als het onderliggende routeringsprotocol.

    Voordat u begint

      

    Voordat u LAN-automatisering uitvoert, moet u ervoor zorgen dat er in uw PnP Agent geen certificaten zijn geladen in NVRAM.

    Edge1#dir nvram:*.cer 
Directory of nvram:/*.cer

Directory of nvram:/

    4  -rw-         820                    <no date>  IOS-Self-Sig#1.cer
    6  -rw-         763                    <no date>  kube-ca#468ACA.cer
    7  -rw-         882                    <no date>  sdn-network-#616F.cer
    8  -rw-         807                    <no date>  sdn-network-#4E13CA.cer
2097152 bytes total (2033494 bytes free)
Edge1#delete nvram:*.cer

    Zorg ervoor dat u geen niet-geclaimde apparaten hebt op de pagina Provisioning > Devices > Device Inventory:

    Screen Shot 2018-03-19 at 08.03.13

    Vanwege CSCvh68847 Sommige stapels verlaten de niet-opgeëiste status mogelijk niet en u krijgt mogelijk een foutbericht ERROR_STACK_UNSUPPORTED. Dit bericht wordt weergegeven wanneer de LAN-automatisering probeert te claimen dat het apparaat is geleverd alsof het een enkele switch is. Omdat het toestel echter een Catalyst 9300 switch stack is, kan LAN automation het toestel niet claimen en wordt het toestel weergegeven als niet geclaimd. Evenzo claimt PnP het apparaat niet omdat het een stapel is, dus het apparaat wordt niet geleverd.

    Wat zijn de stappen die LAN Automation doorloopt terwijl het wordt uitgevoerd?

    DNA Center levert het zaadapparaat met DHCP-configuratie. Het bereik van de IP-adressen die het seed-apparaat krijgt, is een segment van de initiële pool die u hebt gedefinieerd toen u de IP-adrespool voor uw site hebt gereserveerd. Merk op dat deze pool ten minste /25 moet zijn.

    Opmerking: Deze pool is verdeeld in 3 segmenten:
    1. De IP-adressen die op uw PnP-agents naar VLAN 1 worden gepusht.
    2. De IP-adressen die naar Loopbac0 op uw PnP-agents worden gepusht.
    3. De /30 IP-adressen die naar uw PnP-agents worden gepusht op de link die verbinding maakt met uw zaad of andere weefselapparaten.

    Om uw PnP-agents te kunnen leveren, moet de DHCP-configuratie die het seed-apparaat ontvangt, optie 43 hebben, gedefinieerd met het IP-adres van de netwerkinterfacekaart (NIC) of het virtuele IP-adres (VIP) van het bedrijfsnetwerk van het DNA Center, als u een cluster met een n-node hebt.

    Wanneer PnP-agents worden opgestart, hebben ze geen configuratie. Al hun poorten maken daarom deel uit van VLAN 1. Dientengevolge sturen de apparaten DHCP-detectieberichten naar het zaadapparaat. Het seed-apparaat antwoordt met een aanbieding van de IP-adressen binnen de LAN-automatiseringspool.

      

    Nu u de eerste reeks LAN-automatisering begrijpt, kunt u het proces oplossen als het niet werkt zoals verwacht.

    Diagram voor probleemoplossing

    Screen Shot 2018-03-19 at 08.15.35

    DNA Center 1.1 Logbestanden voor LAN-automatisering

    • netwerk-orchestratiedienst
    • PNP-dienst

    DNA Center 1.2 Logbestanden voor LAN-automatisering

    In versie 1.2 is er geen pnp-service meer, dus u moet op zoek naar de volgende services wanneer u problemen met LAN Automation oplost:

    • netwerkorkestratie
    • netwerkontwerp
    • connection-manager-service
    • Onboarding-service (dit is het oude PNP-service-equivalent van 1.1)

    DNA Center 1.x relevante logboeken voor Public Key Infrastructure (PKI)

    • apic-em-pki-broker-service
    • APIC-EM-JBOSS-EJBCA

      

    Hoe de tcpdump uit te voeren die in de stroomdiagram wordt weergegeven?

    sudo tcpdump -i <DNA Center fabric's interface> host <PnP Agent ip address> -w /data/tmp/pnp_capture.pcap

    *Om dit te stoppen gebruikt u CTRL+C 

    Hiermee wordt het bestand pnp_capture.pcap opgeslagen in /data/tmp/. U moet het bestand vanuit DNA Center kopiëren met de opdracht Secure Copy (SCP) of het bestand vanuit DNA Center lezen met de volgende opdracht:

    $ sudo tcpdump -ttttnnr /data/tmp/pnp_capture.pcap
[sudo] password for maglev: 
reading from file capture.pcap, link-type EN10MB (Ethernet)
2018-03-08 20:09:27.369544 IP 192.168.31.1 > 192.168.31.10: ICMP host 192.168.1.2 unreachable, length 36
2018-03-08 20:09:39.369175 IP 192.168.31.1 > 192.168.31.10: ICMP host 192.168.1.2 unreachable, length 36
2018-03-08 20:09:44.373056 ARP, Request who-has 192.168.31.1 tell 192.168.31.10, length 28
2018-03-08 20:09:44.374834 ARP, Reply 192.168.31.1 is-at 2c:31:24:cf:d0:62, length 46
2018-03-08 20:09:50.628539 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [S], seq 1113323684, win 29200, options [mss 1460,sackOK,TS val 274921400 ecr 0,nop,wscale 7], length 0
2018-03-08 20:09:50.630523 IP 192.168.31.1.22 > 192.168.31.10.57234: Flags [S.], seq 2270495802, ack 1113323685, win 4128, options [mss 1460], length 0
2018-03-08 20:09:50.630604 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [.], ack 1, win 29200, length 0
2018-03-08 20:09:50.631712 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [P.], seq 1:25, ack 1, win 29200, length 24

    Wat is dat bridge.png-bestand dat u probeert te kopiëren?

    Het is een 191 byte beeldbestand dat zich in DNA Center bevindt en dat u wilt kopiëren met behulp van HTTP (zonder gebruik te maken van certificaten) of HTTPS (met behulp van certificaten) om de communicatie tussen DNA Center en uw PnP Agent te testen. 

    Voorbeeld wordt vastgelegd wanneer SSL-communicatie (Secure Sockets Layer) niet werkt zoals verwacht (volledige .pcap-bestanden die aan dit artikel zijn gekoppeld)

    Slecht certificaat 

    Mogelijke oorzaak:

    • Het certificaat van DNA Center heeft niet het juiste IP-adres in het veld Alternatieve naam onderwerp (SAN).

    Als u de SAN-velden in uw certificaat wilt controleren, kunt u het volgende doen:

    Verifieer het certificaat met een browser

    Screen Shot 2018-06-21 at 11.19.25Screen Shot 2018-06-21 at 11.18.32

    Screen Shot 2018-06-21 at 11.18.52

    Sample capture

    bad_cert

    Resolutie.

    Als je een 3rd party CA (Certificate Authority) hebt, zorg er dan voor dat ze je een certificaat geven met de IP-adressen van DNA Center en de VIP erin. Als je geen 3rd party CA hebt, kan DNA Center een certificaat voor je genereren. Neem contact op met Cisco TAC om u door dit proces te leiden.

    DNA Center reset de verbinding

    Mogelijke oorzaak:

    DNA Center ondersteunt standaard alleen TLS v1.2.

    Om dit te omzeilen, schakelt u DNA Center in om TLS v1 te gebruiken volgens deze handleiding

    monsterneming

    TLS1

    Handige foutopsporingsopdrachten op de PnP Agent voor problemen met certificaten

    • Foutopsporing Crypto PKI-transacties
    • Foutopsporing SSL OpenSSL
    • Fouten met SSL OpenSSL opsporen
    • Fouten met SSL OpenSSL opsporen
    • foutopsporings-crypto-pki-API
    • Foutopsporing Crypto PKI-transacties
    • Foutopsporing SSL OpenSSL MSG

    Reactie ontbreekt eerder ingestelde geverifieerde sessiesleutel

    In theorie zou u geen niet-geclaimde apparaten moeten hebben op de pagina Provisioning > Devices > Device Inventory, maar er zijn problemen geweest waarbij, na het verwijderen van de niet-geclaimde apparaten van deze pagina, de apparaten nog steeds werden weergegeven in https://<DNA Center ip>/mypnp. Als u dit scenario tegenkomt en u ziet een log vergelijkbaar met het volgende in de PnP-logs of een indicatie van hetzelfde in de GUI, zorg er dan voor dat het apparaat niet wordt weergegeven als niet-geclaimd in PnP: 

    ERROR | qtp604107971-170 | | c.c.e.z.impl.ZtdHistoryServiceImpl | Device authentication status has changed to Error(PNP response com.cisco.enc.pnp.messages.PnpBackoffResponse is missing previously established authenticated session key) | address=192.168.31.10, sn=FCW212XXXXX

       

    Gotchas van LAN-automatisering en stapelen

    • In DNA Center 1.2 moet de stapel een volledige ring zijn (één stapelkabel voor een stapel met 2 leden werkt mogelijk niet).
    • Het stapelapparaat moet onmiddellijk door LAN-automatisering worden geclaimd, ongeveer minder dan 10 minuten.
    • Zodra het is verbonden met DNA Center verschijnt als Unclaimed in PnP.  PnP gebruikt het tijdsvenster van 10 minuten voor het bepalen van de stapel en nadat deze is verlopen, blijft deze in het niet-opgeëiste gedeelte van de LAN-automatisering.

    Als u de RCA- of PnP-logs hebt, kunt u zoeken naar niet-geclaimde apparaatberichten:

    more pnp.log | egrep "(Received unclaimed notification|ZtdDeviceUnclaimedMessage)"

    Als er geen berichten zijn, bereiken de niet-opgeëiste apparaatmeldingen DNA Center niet en PnP kan dit niet claimen.

    Hoe LAN-automatisering op een stapel te doen

    1. Schakel de uplinks naar de zaadapparatuur(en) uit.
    2. Start LAN-automatisering op het DNA-centrum.
    3. Verwijder de opstartconfiguratie uit de stapel. # Schrijven wissen
    4. Verwijder alle certificaten van NVRAM. # delete nvram:*.cer
    5. Verwijder het bestand vlan.dat. # Flash verwijderen: vlan.dat
    6. Verwijder de certificaten op de standby-switch uit de primaire switch. # STBY-NVRAM verwijderen:*.cer

         a. Koppel de stapelkabels los.

         b. Log in op de spelcomputer van elke switch.

         c. Verwijder de certificaten. # NVRAM verwijderen:*.cer

         d. Verwijder de flas vlan-database. # Flash verwijderen: vlan.dat

         e. Sluit de stapelkabels opnieuw aan.

      7. Opnieuw opstarten.

      8. Wacht tot de switch zich registreert als stapel, breng alle leden naar voren en probeer het eerste configuratiedialoogvenster te starten.

    %INIT: waited 0 seconds for NVRAM to be available


         --- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]:

      9. Schakel de uplinks naar de zaadapparatuur(en) in. # geen afsluiten

      

    Formaat van het hostname map bestand dat ik kan importeren naar mijn LAN Automation taak?

    DNA Center verwacht een CSV-bestand met de hostnaam en het serienummer (hostnaam, serienummer) zoals in het volgende voorbeeld wordt getoond:

    Screen Shot 2018-06-13 at 15.31.45

    Voor stack LAN Automation kunt u met het CSV-bestand één hostnaam en meerdere serienummers per rij invoeren. De serienummers moeten worden gescheiden door komma's. Zie bijgevoegd CSV-bestand voor referentie.

      

    Waar is /mypnp gebleven in 1.2?

    Open PnP op een van de volgende manieren:

    • Voer in uw webbrowser https://<DNA Center IP>/networkVPN
    • Selecteer op de startpagina van DNA Center het volgende hulpprogramma Netwerkplug en -play:


    Screen Shot 2018-06-18 at 15.40.22

    Of ga naar https://<DNA Center IP>/network pnp

     Voorraadfout

    inv_error

    De inventarisfout betekent dat het apparaat, nadat het door LAN-automatisering is geclaimd en de configuratie ervan is ontvangen, niet aan de inventaris is toegevoegd. Deze fout treedt meestal op vanwege problemen met de configuratie, bepaalde routering of CLI-referenties.

    Als u wilt controleren of u het juiste apparaat via LAN-automatisering probeert te openen, opent u op afstand het IP-adres van de loopback 0-interface op het apparaat met behulp van het voorkeursverbindingsprotocol (SSH of Telnet).

    Connectiviteit bestaat, maar PKI-certificaten worden niet succesvol naar de PnP-agents gepusht

    Er zijn enkele momenten waarop de apparaten in het midden de Do not Fragment (DF)-bit van de pakketten tussen DNAC en de PnP-agents kunnen inschakelen. Dit kan ertoe leiden dat pakketten groter dan 1500 bytes, meestal pakketten met het certificaat, worden weggegooid en daarom kan LAN Automation niet voltooien. Enkele van de gebruikelijke logs die te zien zijn in de onboarding logs van DNA Center zijn:

    errorMessage=Failed to format the url for trustpoint

    De voorgestelde actie in dit geval is om ervoor te zorgen dat het pad tussen DNA Center en de PnP Agents jumbo frames door te gaan met behulp van het commando systeem mtu 9100.

    Switch(config)# System MTU 9100

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    22-Nov-2018
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Alexnadro Carrasquedo
      TS Incubatie

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten