Integratie van Umbrella Wireless Controller (9800) voor probleemoplossing

Downloadopties

  • PDF     (357.0 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:30 september 2025
Document-id:225099

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u problemen met de integratie van de draadloze controller uit de 9800-reeks met Umbrella kunt oplossen.

    Overzicht

    Dit artikel is een vervolg op de Switches Cisco Catalyst 9200 en Catalyst 9300 en dient als handleiding voor het oplossen van problemen met de registratie en de workflow tussen 9800 en Cisco Umbrella.

    Algemene Cisco Umbrella-workflow


    44153779835084415377983508

    1. Registratie van draadloze controllers met Cisco Umbrella-server is een eenmalig proces en vindt plaats via een beveiligde HTTPS-tunnel.

    2. API Token voor apparaatregistratie (9800) verkrijgen via het Cisco Umbrella Dashboard.

    3. Gebruik de token op 9800. Hiermee wordt het apparaat geregistreerd bij het Cisco Umbrella-account. Maak vervolgens Cisco Umbrella Profile/s op 9800. Profielen worden automatisch naar de Cisco Umbrella gepusht omdat Identiteiten en beleid per identiteit worden afgedwongen.

    4. Het draadloze clientverkeer stroomt naar de Cisco Umbrella-server.

    5. Een draadloze client stuurt een DNS-verzoek naar 9800.

    6. 9800 doorzoekt het DNS-pakket en labelt het met een Cisco Umbrella Profile. Het profiel is de identiteit van het pakket dat zich ook op Cisco Umbrella bevindt.

    7. Dit EDNS-pakket wordt omgeleid naar de Cisco Umbrella-cloudserver voor naamresolutie.

    8. Cisco Umbrella handhaaft vervolgens een beleid op basis van de identiteit en past categoriegebaseerde filterregels toe om de naleving van de organisatorische vereisten te waarborgen.

    9. Afhankelijk van de regels, retourneert het een geblokkeerde pagina of een opgelost IP-adres naar de client voor het DNS-verzoek dat wordt gevraagd.

    Gedetailleerde stappen voor het configureren van de 9800 staan in de Security Configuration Guide.

    Registratie en invoercertificaat

    1. Verkrijg uw API-token van Umbrella Dashboard: Admin > API-sleutels > (maken) Legacy Network Devices.
    2. Het CA-certificaat via CLI importeren in de 9800 met een van de volgende methoden:
      Importeren vanuit URL
      Geef het commando uit en laat 9800 de cert ophalen:  
      crypto pki trustpool import url http://www.cisco.com/security/pki/trs/ios.p7b

      Direct importeren in terminal
      Kopieer en plak het CA-certificaat (zie bijlage) met de opdracht: 

      crypto pki trustpool import terminal
    3. Voer de API-token in op 9800 CLI met de opdracht:  
      parameter-map type umbrella global 
      token XXXXXXXXXXXXXXXXXXXXXXXXXXXX

    De Cisco Umbrella-configuratie controleren

    Gebruik deze opdracht om de configuratiegegevens van Cisco Umbrella weer te geven:

    Device# show umbrella config
    Umbrella Configuration
    ========================
    Token: 5XXXXXXABXXXXXFXXXXXXXXXDXXXXXXXXXXXABXX
    API-KEY: NONE
    OrganizationID: xxxxxxx
    Local Domain Regex parameter-map name: dns_bypass
    DNSCrypt:Enabled 
    Public-key: B735:1140:206F:225D:3E2B:D822:D7FD:691E:A1C3:3CC8:D666:8D0C:BE04:BFAB:CA43:FB79
    UDP Timeout: 5 seconds
    Resolver address:
    1. 208.67.220.220 
    2. 208.67.222.222 
    3. 2620:119:53::53 
    4. 2620:119:35::35
    ewc1#show umbrella deviceid detailed 

    Device registration details 
    1.global
         Tag : global 
         Device-id : 010a2ed75e520fda 
         Description : Device Id recieved successfully 
         WAN interface : None 
    ewc1#show umbrella dnscrypt
       DNSCrypt: Enabled
       Public-key: B735:1140:206F:225D:3E2B:D822:D7FD:691E:A1C3:3CC8:D666:8D0C:BE04:BFAB:CA43:FB79
       Certificate Update Status:
            Last Successfull Attempt: 10:40:58 UTC Apr 8 2020
       Certificate Details:
           Certificate Magic     : DNSC
           Major Version         : 0x0001
           Minor Version         : 0x0000
           Query Magic           : 0x7163373861576F6F
           Serial Number         : 1574811744
           Start  Time           : 1574811744 (23:42:24 UTC Nov 26 2019)
           End Time              : 1606347744 (23:42:24 UTC Nov 25 2020)
           Server Public Key     : 88B4:E44B:35E9:64B4:90BD:DABA:E825:A24B:0415:A08B:E19D:7DDB:87A3:3CD7:7EDF:8E2F

           Client Secret Key Hash: E323:7E82:C0C2:1F0C:55AE:1473:862D:6D26:9607:B41D:3F51:F587:9482:8709:401E:2EC4
           Client Public key     : 8D52:4D73:CF69:4890:F130:2845:4CBE:A9CA:87AF:4CDA:FE17:C626:2F8A:1780:CD18:C855

           NM key Hash           : FAAD:4C16:6DA3:D6F3:655D:FF98:36B7:73E7:9D1C:21F5:A0E3:A083:17D7:C308:522E:722D

    Foutopsporing en registratie

    Als u DNSCrypt wilt uitschakelen, gebruikt u deze opdracht: 

    parameter-map type umbrella global > no dnscrypt

    Mogelijk ziet u de volgende fout: "Certificaat kan niet worden geïmporteerd via URL":

    crypto pki trustpool import urlhttp://www.cisco.com/security/pki/trs/ios.p7b

    % Error: failed to open file.

    % No certificates imported fromhttp://www.cisco.com/security/pki/trs/ios.p7b.

    Tijdelijke oplossing: 

    Kopieer en plak handmatig het CA-certificaat met PEM-opmaak vanaf deze locatie.

    Schakel vervolgens de debuglogboeken voor apparaatregistratie in:

    debug umbrella dnscrypt
    debug umbrella device-registration
    debug umbrella config
    term monitor
    note-icon

    Opmerking: er kunnen gevallen zijn waarin meerdere 9800's aan dezelfde apparaat-id kunnen worden toegewezen. Dit gebeurt in het geval van virtuele 9800 (Embedded Wireless Controller (WC)).

    Alle virtuele wc's hebben hetzelfde hardcoded MAC-adres: "CC46D6CCCCCC".

    Foutopsporingsmonster van eWC A:

    Nov 2 19:21:18.903 Central: UMBRELLA-DEV-REG:Device registration process start: umbrella parameter-map global (tag: global): TCP socket created, connect state will be verified before sending out request
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Socket 0 event handler: event type = WRITE EVENT
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request invoked
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Get registration request info invoked
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Get registration request info: Found new queued request for umbrella parameter-map global (tag: global), status :REQ QUEUED 
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): status = 1
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request license mode = TOKEN
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): POST size = 238, JSON size = 174,actual size = 412 , uri_size = 18
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:
    Nov 2 19:21:18.915 Central: Dev reg json buffer :{"model":"B77A8731C7F4D6E92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9KZNYR9FRRQ"} and bytes: 141
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:
    Nov 2 19:21:18.915 Central: umbrella parameter-map name :global macAddr :cc46.d6cc.cccc 
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Build POST request invoked: post size = 238, size = 141
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Build POST request: hostname = api.opendns.com
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Build POST request: URI = /v3/networkdevices
    Nov 2 19:21:18.916 Central: UMBRELLA-DEV-REG:Build POST request done
    Nov 2 19:21:18.916 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request buffer length = 368
    Nov 2 19:21:18.916 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): Built request = POST /v3/networkdevices HTTP/1.1
    Host: api.opendns.com
    Authorization:OpenDNS,api_key="B0E16D19C32D42EC996B635X4X9005B9",token="B77A8731C7F4D6E92C07D7DCB68961470000A553"
    Content-Type: application/json
    Content-Length: 141

    {"model":"B77A7561C7F4ABC92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9KZNYR9FRRQ"}
    ----------------------------------------<OUTPUT OMITTED>----------------------------------------
    Nov 2 19:21:23.553 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 3, bytes = 256, resp: content-type: application/json
    x-envoy-upstream-service-time: 1462
    x-xss-protection: 1; mode=block
    x-ingress-point: mil1

    {"deviceId":"010a7859d0d39393","deviceKey":"B77A8731C7F4D6E92C07D7DCB68961470000A553-CC46D6CCCCCC-global","label":"global","seria
    Nov 2 19:21:23.553 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 4, bytes = 1
    78, resp: lNumber":"9KZNYR9FPPQ","phishing":1,"createdAt":1635877282,"originId":xxxxxxxx,"
    apiKey":"b0e16d19c32d42ec996b635x4x9005b9","deviceTypeId":1,"vendorId":51,"organizationId":xxxxx}

    Foutopsporingsmonster van eWC B:

    Nov 2 19:21:41.909 Central: UMBRELLA-DEV-REG:Device registration process start: umbrella parameter-map global (tag: global): TCP socket created, connect state will be verified before sending out request
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Socket 0 event handler: event type = WRITE EVENT
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request invoked
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Get registration request info invoked
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Get registration request info: Found new queued request for umbrella parameter-map global (tag: global), status :REQ QUEUED 
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): status = 1
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request license mode = TOKEN
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): POST size = 238, JSON size = 174,actual size = 412 , uri_size = 18
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:
    Nov 2 19:21:41.919 Central: Dev reg json buffer :{"model":"B77A7561C7F4ABC92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9BRCYQ9KDRU"} and bytes: 141
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:
    Nov 2 19:21:41.919 Central: umbrella parameter-map name :global macAddr :cc46.d6cc.cccc 
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request invoked: post size = 238, size = 141
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request: hostname = api.opendns.com
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request: URI = /v3/networkdevices
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request done
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request buffer length = 368
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): Built request = POST /v3/networkdevices HTTP/1.1
    Host: api.opendns.com
    Authorization:OpenDNS,api_key="B0E16D19C32D42EC996B635X4X9005B9",token="B77A8731C7F4D6E92C07D7DCB68961470000A553"
    Content-Type: application/json
    Content-Length: 141

    {"model":"B77A8731C7F4D6E92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9BRCYQ8RDRU"}
    ----------------------------------------<OUTPUT OMITTED>----------------------------------------
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 3, bytes = 256, resp: content-type: application/json
    x-envoy-upstream-service-time: 1462
    x-xss-protection: 1; mode=block
    x-ingress-point: mil1

    {"deviceId":"010a7859d0d39393","deviceKey":"B77A8731C7F4D6E92C07D7DCB68961470000A553-CC46D6CCCCCC-global","label":"global","serialNumber":"9BRCYQ8RDRU"}
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 4, bytes = 1
    78, resp: lNumber":"9KZNYR9FPPQ","phishing":1,"createdAt":1635877282,"originId":573529511,"
    apiKey":"b0e16d19c32d42ec996b635x4x9005b9","deviceTypeId":1,"vendorId":51,"organizationId":xxxxx}

    Hier bevat het POST-verzoek API-token (legacy device API-token van het Cisco Umbrella Dashboard), API-sleutel, modelnummer (hetzelfde als API-token), MAC-adres van de draadloze LAN-controller (WLC), naam van de parameterkaart (tag) en het serienummer van het apparaat.

    De Apparaat-ID wordt gegenereerd met behulp van de API-token, API-sleutel, tag en MAC-adres. Aangezien beide 9800's dezelfde waarden hebben voor het bovenstaande, wordt aan beide dezelfde apparaat-ID toegewezen.

    Dit is een verwacht gedrag. Om dit probleem op te lossen, moet u een aangepaste parametertoewijzing maken op een of beide van de 9800's;

    parameter-map type umbrella <custom name>

    Door een aangepaste parameter-map "cpm" te maken, maken we een nieuwe tag die resulteert in een andere Device ID (deviceId).

    {"deviceId":"010a30f6275c92ce","deviceKey":"0DCDA24CDD6A92D714FE357539FDCAE80051BA0A-DD46D6BBCCCC-global","label":"global","serialNumber":"F222424Q4M8","phishing":1,"createdAt":1641192490,"originId":563829932,"apiKey":"b0e16d15c32d4e8c996b635afa9005b9","deviceTypeId":1,"vendorId":51,"organizationId":******}

    {"deviceId":"010a341b037ea6b9","deviceKey":"0DCDA24CDD6A92D714FE357539FDCAE80051BA0A-DD46D6BBCCCC-cpm","label":"global","serialNumber":"F222424Q4M8","phishing":1,"createdAt":1641825561,"originId":563829932,"apiKey":"b0e16d15c32d4e8c996b635afa9005b9","deviceTypeId":1,"vendorId":51,"organizationId":******}

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    30-Sep-2025
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten