Problemen oplossen Geen verzekeringsgegevens van WLC 9800 in Catalyst Center
Inhoud
Inleiding
In dit document wordt beschreven hoe u problemen kunt oplossen wanneer Catalyst Center geen Assurance-gegevens voor een WLC uit de Catalyst 9800-reeks toont.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Gebruik van de Catalyst Center maglev CLI
- Basis Linux-basis
- Kennis van certificaten op Catalyst Center en op het Catalyst 9800 platform
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Catalyst Center-apparaat 2e en 3e generatie, versie 2.3.7.7 en hoger
- Catalyst 9800-reeks draadloze LAN-controller (WLC)
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Op het moment van toewijzing van de locatie zal het Catalyst Center de Telemetry-configuratie naar de 9800 pushen bovenop de SNMP- en Syslog-configuraties.
Opmerking: Dit voorbeeld is van een Catalyst 9800-CL Cloud Wireless LAN Controller. Sommige details kunnen verschillen wanneer u een fysiek Catalyst 9800 Series-apparaat gebruikt; X.X.X.X is het virtuele IP-adres (VIP) van de Enterprise-interface van Catalyst Center en Y.Y.Y.Y is het IP-adres voor beheer van de WLC.
crypto pki trustpoint sdn-network-infra-iwan
enrollment pkcs12
revocation-check crl
rsakeypair sdn-network-infra-iwan
crypto pki trustpoint DNAC-CA
enrollment mode ra
enrollment terminal
usage ssl-client
revocation-check crl none
source interface GigabitEthernet1
crypto pki certificate chain sdn-network-infra-iwan
certificate 14CFB79EFB61506E
3082037D 30820265 A0030201 02020814 CFB79EFB 61506E30 0D06092A 864886F7
<snip>
quit
certificate ca 7C773F9320DC6166
30820323 3082020B A0030201 0202087C 773F9320 DC616630 0D06092A 864886F7
<snip>
quit
crypto pki certificate chain DNAC-CA
certificate ca 113070AFD2D12EA443A8858FF1272F2A
30820396 3082027E A0030201 02021011 3070AFD2 D12EA443 A8858FF1 272F2A30
<snip>
quit
telemetry ietf subscription 1011
encoding encode-tdl
filter tdl-uri /services;serviceName=ewlc/wlan_config
source-address Y.Y.Y.Y
stream native
update-policy on-change
receiver ip address X.X.X.X 25103 protocol tls-native profile sdn-network-infra-iwan
telemetry ietf subscription 1012
<snip - many different "telemetry ietf subscription" sections - which ones depends on
Cisco IOS® version and Catalyst Center version>
network-assurance enable
network-assurance icap server port 32626
network-assurance url https://X.X.X.X
network-assurance na-certificate PROTOCOL_HTTP X.X.X.X /ca/ pem
Problemen oplossen: geen gegevens over zekerheid van WLC in Catalyst Center
Gebruik de Assurance "Troubleshoot" Machine Redeneren Engine (MRE) Tool in WLC360
Ga naar de WLC360 pagina. Naast de gezondheid ziet de gebruiker de blauwe tekst "Problemen oplossen".
Klik erop en voer de machine redeneermachine uit.
Laat de redeneermachine tot voltooiing lopen.
Controleer het tabblad "Conclusies" om te zien wat de mogelijke problemen zijn. Als u een volledige bevestiging ontvangt zonder problemen in de "Conclusie", ga dan naar de sectie Inbound Data Verification van dit document.
Als u deze koppeling "Problemen oplossen" niet ziet, kunt u deze handmatig uitvoeren op de pagina Tools > Network Reasoner in de GUI. Zoek de "Assurance Telemetry Analysis" workflow.
Conclusie: apparaatconnectiviteit
Gegevens en verificatie van de beoordeling
Ga eerst naar de pagina Inventarisatie en zorg ervoor dat de betreffende WLC wordt beheerd met het IP-adres voor draadloos beheer van de WLC.
Voor 9800 toestellen: overzicht draadloze interface weergeven
Voor 9800-CL: toon de IP-interfaces kort | i Gigabit Ethernet2
Opmerking: hierbij wordt ervan uitgegaan dat de gebruiker de implementatiegids heeft gevolgd op https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/technical-reference/c9800-cl-dg.html#Introduction
Ga nu naar de inventarispagina van het Catalyst Center.
Hiermee wordt geverifieerd of er verbindingsproblemen zijn tussen het Catalyst Center en dit apparaat.
Objecten om problemen op te lossen en te controleren
IP-connectiviteit
Ga in het hoofdmenu naar de pagina Systeem > Instellingen. Ga vervolgens op de linkerbanner naar het gedeelte "Vertrouwen en privacy" en selecteer "IP-toegangscontrole". Een alternatieve methode is het gebruik van de globale zoekopdracht en zoeken naar "IP Access Control"
Zorg ervoor dat de instellingen hier connectiviteit met het apparaat in kwestie toestaan. Controleer vervolgens of u het eindapparaat kunt bereiken via ICMP. Om dit te doen, meldt u zich aan bij de CLI van Catalyst Center en geeft u de opdracht "ping [IP_Address]" uit, zoals te zien is in deze uitvoer.
Het volgende item om te bekijken is de uitvoer van de "traceroute" opdracht van de Catalyst Center CLI.
Controleer vervolgens of er geen koppelingsproblemen zijn in het Catalyst Center met de opdracht "ip -s link show | grep enterprise -A 4"
Als de interfacestatistieken acceptabel lijken, is de volgende stap het vastleggen van pakketten (PCAP) aan beide zijden van de verbinding. In deze handleiding wordt aanbevolen de eerste set PCAP's uit te voeren op de apparaten in kwestie. In dit voorbeeld zijn de twee apparaten hier een 9800 en het Catalyst Center met de VIP. Als dat niet mogelijk is, voer de PCAP's dan zo dicht mogelijk bij de apparaten uit.
Als pakketten naar het netwerk worden verzonden maar niet via de bekabelde infrastructuur worden verzonden, onderzoekt u het bekabelde netwerk op zaken als asynchrone routering, firewalls, NAT's en ACL's die de pakketten blokkeren. Zodra deze zijn opgelost, voert u de Assurance "Troubleshoot" MRE opnieuw uit.
Conclusie: Apparaat "momenteel niet beheerd door Catalyst Center"
Vanaf vandaag 2.3.7.10 kan de werkstroomoutput aangeven dat contact wordt opgenomen met de TAC. Er zijn acties die kunnen worden uitgevoerd voordat de TAC wordt vastgesteld of wordt bepaald of een TAC-geval de juiste onmiddellijke maatregel is. Ga eerst naar de Inventarispagina en zoek het betreffende apparaat op; Hoofdmenu > Voorzieningen > Inventarisatie. Hier is een voorbeeld van hoe een verkeerd geconfigureerd SSH-wachtwoord eruit ziet
Nu is het volgende item om te controleren dat de status "Bereikbaarheid" niet "Onbereikbaar" toont. Als er "Onbereikbaar" of "Onbekend" wordt weergegeven, ga dan naar de sectie "Apparaatconnectiviteit of Credential Failure" van deze handleiding voordat u de TAC inschakelt. Als er "Ping Reachable" of "Reachable" wordt weergegeven, kunt u doorgaan met het oplossen van problemen met de referenties die door het Catalyst Center worden gebruikt. Om dat te doen, klikt u op het vak aan de linkerkant van het apparaat dat u wilt onderzoeken zoals weergegeven. Het vak wordt blauw met een blauw vinkje.
Klik vervolgens op "Acties", "Inventarisatie" en ten slotte "Apparaat bewerken" zoals weergegeven:
Met deze actie wordt een nieuw venster geopend waarin u deze configuratie kunt "valideren". Zie deze screenshot voor een voorbeeld.
Opmerking: op deze pagina wordt de "Gebruikersnaam" in duidelijke tekst weergegeven, maar de "Wachtwoorden" niet. In plaats daarvan toont het Catalyst Center de wachtwoorden als "NO!$DATA!$".
Dit is een voorbeeld van hoe correcte referenties eruit zien. Zie SNMP en ongeldige referenties, zie CLI en Netconf.
Opmerking: draadloze toegangspunten worden niet op deze manier beheerd. Alle AP-gegevens worden via de WLC verzonden.
CLI (SSH)-toegang is verplicht voor alle apparaten.
SNMP met een minimum aan alleen-lezen toegang is verplicht voor alle apparaten.
Netconf is verplicht voor 9800 (Cisco IOS® XE) WLC's. Netconf zal extra monitoring bieden, zoals PoE Dashboards voor Cisco IOS® XE-gebaseerde switches en is daarom optioneel. Netconf wordt niet gebruikt door apparaten die op AireOS of Cisco IOS® zijn gebaseerd.
Nadat alle problemen zijn gecorrigeerd en de optie "Validate" opnieuw is uitgevoerd, ziet u dit:
Nadat de fouten zijn verholpen, klikt u linksonder op de knop "Bijwerken". Wanneer dit is gebeurd, zal het Catalyst Center dit apparaat in de wachtrij plaatsen voor een "Synchronisatie". Als de wachtrij leeg is, zal de "Sync" onmiddellijk starten zoals getoond.
Nadat dit is gebeurd, gaat u terug naar de "Problemen oplossen" MRE-uitvoer om te zien of andere items moeten worden aangepakt. Als er niets anders verschijnt, wacht dan 15-20 minuten om bijgewerkte informatie te zien. Neem contact op met de TAC voor verdere hulp als de informatie na die tijd niet wordt bijgewerkt.
Conclusie: "DNAC-CA (swim) certificaat" kwesties
Hier hebben we een paar mogelijkheden:
- Het certificaat is voor een ander Catalyst Center
- De huidige datum/tijd op het apparaat valt buiten het geldige bereik
- Het certificaat is vervangen en het apparaat gebruikt het oudere certificaat.
Kijk welke de MRE aangeeft. Vanaf hier kunnen we vervolgens naar de 9800 gaan en een paar opdrachten uitvoeren om te zien welk probleem het probleem veroorzaakt. Eerst om de tijd en datum te bepalen waarop het apparaat de opdracht Klok tonen gebruikt.
Voer vervolgens crypto pki-certificaten DNAC-CA uit om details van het DNAC-CA-certificaat op te halen.
Vergelijk eerst de "startdatum" en "einddatum" met de huidige datum en tijd die het apparaat denkt dat het is. Als in de conclusie staat dat het certificaat niet overeenkomt, wordt de certificaatinformatie in de browser weergegeven. Het serienummer moet overeenkomen. Dit is een voorbeeld uit Chrome van een overeenkomend certificaatserienummer.
Conclusie: "Serienummer van het sdn-network-infra-iwan certificaat" probleem
Controleer eerst of de datum op het apparaat juist is
Trek vervolgens de sdn-network-infra-iwan certificaatgegevens op met show crypto pki-certificaten sdn-network-infra-iwan
Controleer in dat geval of de geldigheidsdata binnen de data vallen die het apparaat denkt te hebben.
Ga vervolgens naar het Catalyst Center en controleer of het serienummer van het certificaat overeenkomt.
Ga naar het hoofdmenu > systeem > instellingen pagina. Op die pagina vindt u de pagina "Apparaatcertificaat". Filter op die pagina omlaag naar het betreffende apparaat en controleer of het "Certificaat Serienummer" overeenkomt.
Als dit niet overeenkomt, controleer dan of het apparaat naar verwachting aanwezig is en niet wordt beheerd door een ander Catalyst Center-cluster. Als de fout recent is of het certificaat nog moet vervallen, neem dan contact op met de TAC voor verdere analyse van de oorzaak indien gewenst. Ga anders naar de pagina "Inventaris" en zorg ervoor dat het apparaat "Bereikbaar" en "Beheerd" is met groene vinkjes. Als er een probleem is op deze pagina, ga dan naar de sectie Conclusie: Apparaat "momenteel niet beheerd door Catalyst Center" van deze handleiding en vul de instructies in.
Als alles helemaal groen en volledig beheerd is, voer dan een Forced Telemetry update uit zie de sectie Perform 'Forced' Telemetry Update.
verificatie van inkomende gegevens
Navigeer naar Grafana door te gaan naar Systeem > Systeem 360 > Monitor. Er komt een nieuw scherm voor Grafana
Ga vervolgens naar het dashboard Assurance – Device Processor door in de linkerkolom op het vergrootglas te klikken en Apparaatprocessor te typen
In de tabel "Ontvangen WLC schema per 5 min" vink het nummer "Geheugen" aan. Dit aantal komt overeen met het aantal Catalyst 9800 (Cisco IOS® XE) WLC's dat verkeer verzendt.
Voer een 'geforceerde' telemetrie-update uit
Ga naar Voorraad en selecteer Telemetrie-instellingen bijwerken zoals weergegeven.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
5.0 |
14-Mar-2024
|
Versienummer toegevoegd aan 4.7.4. |
4.0 |
11-Mar-2024
|
Bijgewerkte titel, inleiding, PII, Alt-tekst en opmaak. |
3.0 |
21-Dec-2023
|
Een verbroken koppeling gerepareerd en bijgewerkt voor automatische vertaling. |
1.0 |
17-Apr-2021
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)