Beheer de Catalyst 9800 Wireless Controller-reeks met Prime Infrastructure met SNMP V2 en V3 en NetCONF

Inleiding

In dit document wordt beschreven hoe u de draadloze controllers uit de Catalyst 9800-reeks (C9800 WLC) kunt integreren met Prime Infrastructure (3.x).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• C9800 WLC
• Prime Infrastructure (PI) versie 3.5
• Simple Network Management Protocol (SNMP)

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• C9800 WLC
• Cisco IOS XE Gibraltar 16.10.1 tot 17.3

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Opmerking: Prime Infra 3.8 ondersteunt alleen 17 x 9800 WLC's. Cliënten worden niet weergegeven op Prime Infrastructure als u probeert een WLC van 10 .12 te beheren met Prime Infra 3.8.

Configureren

Als u wilt dat Prime Infrastructure de draadloze LAN-controllers uit de Catalyst 9800-reeks configureert, beheert en bewaakt, moet de infrastructuur toegang hebben tot C9800 via CLI, SNMP en Netconf. Wanneer u C9800 toevoegt aan Prime Infrastructure, moeten telnet/SSH-referenties en SNMP-communitytekenreeks, versie enzovoort worden opgegeven. PI gebruikt deze informatie om de bereikbaarheid te verifiëren en C9800 WLC te inventariseren. Het maakt ook gebruik van SNMP om configuratiesjablonen te pushen en om traps te ondersteunen voor Access Point (AP) en client events. Om PI echter AP- en clientstatistieken te laten verzamelen, wordt Netconf gebruikt. Netconf is standaard niet ingeschakeld op C9800 WLC en moet handmatig worden geconfigureerd via CLI op de 16.10.1-release (GUI beschikbaar in 16.11.1).

Gebruikte poorten

Voor de communicatie tussen C9800 en Prime Infrastructure worden verschillende poorten gebruikt.

• Alle beschikbare configuraties en sjablonen in Prime Infra worden gepusht via SNMP en CLI. Hiervoor wordt UDP-poort 161 gebruikt.
• Operationele gegevens voor C9800 WLC zelf worden verkregen via SNMP. Hiervoor wordt UDP-poort 162 gebruikt.
• AP en client operationele gegevens maken gebruik van streaming telemetrie.

Prime Infrastructure to WLC: TCP-poort 830 - Dit wordt gebruikt door Prime Infra om de telemetrieconfiguratie naar 9800 apparaten te duwen (met behulp van Netconf).
WLC naar Prime Infrastructure: TCP-poort 20828 (voor Cisco® IOS XE 17 .10 en 20 .11) of 20830 (voor Cisco IOS XE 17 .12, 17.x en hoger).

Opmerking: Keepalives worden elke 5 seconden verzonden, zelfs als er geen telemetrie te melden is.

Opmerking: Als er een firewall is tussen Prime Infrastructure en C9800, moet u deze poorten openen om communicatie tot stand te brengen.

SNMPv2-configuratie op Cat 9800 WLC

GUI:

Stap 1. Navigeer naar Administration > SNMP > Slide to Enable SNMPde.

Stap 2. Klik op Community Strings en maak een alleen-lezen en een lees-schrijf-communitynaam.

CLI:

(config)#snmp-server community <snmpv2-community-name> 
(optional)(config)# snmp-server location <site-location>
(optional)(config)# snmp-server contact <contact-number>

SNMPv3-configuratie op Cat 9800 WLC

GUI:

Opmerking: vanaf 17.1 Cisco IOS XE kunt u met de web-gebruikersinterface alleen-lezen v3-gebruikers maken. U moet de CLI-procedure uitvoeren om een read-write v3-gebruiker te maken.

CLI:

Klik op V3 usersen maak een gebruiker aan. Kies authPriv, SHA en AES protocols, en kies lange wachtwoorden. MD5 en zijn DES/3DES onveilige protocollen en hoewel ze nog steeds een optie zijn in de 9800, mogen ze niet worden geselecteerd en zijn ze niet volledig getest meer.

Opmerking: SNMPv3-gebruikersconfiguratie wordt niet weergegeven bij actieve configuratie. Alleen de SNMPv3-groepsconfiguratie wordt weergegeven.

CLI:

(config)#snmp-server view primeview iso included
(config)#snmp-server group <v3-group-name> v3 auth write primeview 
(config)#snmp-server user <v3username> <v3-group-name> v3 auth {md5 | sha} <AUTHPASSWORD> priv {3des | aes | des} {optional for aes 128 | 192| 256} <PRIVACYPASSWORD>



9800#show snmp user

User name: Nico
Engine ID: 800000090300706D1535998C
storage-type: nonvolatile	 active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: SnmpAuthPrivGroup

Netconf-configuratie op de Cat 9800 WLC

GUI (vanaf 10 .11):

Navigeer naar Administration > HTTP/HTTPS/Netconfde.

CLI:

(config)#netconf-yang

Let op: Als aaa-new-model is ingeschakeld op C9800, dan moet u ook configureren:
(Config)#AAA Authorization EXEC Default <Lokaal of Radius/Tacacs-groep>
(Config)#AAA Authentication Login Standaard <Lokaal of Radius/Tacacs-groep>
Netconf op C9800 gebruikt de standaardmethode (en u kunt dit niet wijzigen) voor zowel aanmelding voor aaa-verificatie als autorisatie-exec. Als u een andere methode voor SSH-verbindingen wilt definiëren, kunt u dit doen onder de line vty opdrachtregel. Netconf blijft de standaardmethoden gebruiken.

Let op: Prime infrastructure overschrijft bij het toevoegen van een 9800-controller aan de inventaris de standaard aanmeldingsmethoden voor aaa-verificatie en de standaard methoden voor aaa-autorisatie exec die u had geconfigureerd en wijst ze alleen naar lokale verificatie als Netconf niet al is ingeschakeld op de WLC. Als Prime Infrastructure kan inloggen met de Netconf, verandert de configuratie niet. Dit betekent dat als u TACACS gebruikt, u CLI-toegang verliest na het toevoegen van de 9800 aan Prime. U kunt die configuratiecommando's daarna terugzetten en ze naar TACACS laten verwijzen als dat uw voorkeur is.

Opmerking: alleen de RSA-sleutels worden momenteel ondersteund op het trustpoint dat door NETCONF wordt gebruikt. EC (Elliptic Curve)-toetsen worden nog niet ondersteund en ze zorgen ervoor dat het ncsshd-proces crasht als het wordt gebruikt. U kunt controleren of de sleutel wordt gebruikt door het ncsshd-proces dat de opdracht "Toon logboekproces ncsshd interne start laatste 1 uur | sec sleutelnaam" uitvoert. Er is een uitbreidingsverzoek geopend om de ondersteuning voor EC-sleutels toe te voegen in toekomstige releases: Cisco Bug ID CSCwk02600

Configureren (Prime Infrastructure 3.5 en hoger)

Stap 1. Leg het IP-adres voor draadloos beheer vast dat is geconfigureerd op de Catalyst 9800 WLC.

GUI:

Navigeer naar Configuration > Interface: Wirelessde.

CLI:

# show wireless interface summary

Stap 2. Leg het privilege van 15 gebruikersreferenties vast en schakel het wachtwoord in.

GUI:

Navigeer naar Administration > User Administrationde.

CLI:

# show run | inc username
# show run | inc enable

Stap 3. Gebruik de SNMPv2-communitytekenreeksen en/of de SNMPv3-gebruiker, indien van toepassing.

GUI:

Voor SNMPv2 gaat u naar Administration > SNMP > Community Strings.

Voor SNMPv3 gaat u naar Administration > SNMP > V3 Users.

CLI:

For SNMPv2 community strings
# show run | sec snmp 

For SNMPv3 user
# show user

Stap 4. Navigeer in Prime Infrastructure GUI naar, Configuration > Network: Network Devicesklik op de vervolgkeuzelijst naast + en kies Add Devicevoor.

Stap 5. Voer in het Add Device pop-upvenster het IP-adres van de interface op 9800 in dat wordt gebruikt om de communicatie met Prime Infrastructure tot stand te brengen.

Stap 6. Navigeer naar het SNMP tabblad en geef de gegevens op die zijn SNMPv2 Read-Only and Read-Write Community Strings geconfigureerd op C9800 WLC.

Stap 7. Als u SNMPv3 gebruikt, kiest u in de vervolgkeuzelijst de v3SNMPv3-gebruikersnaam en geeft u deze op. Kies in de vervolgkeuzelijst Auth-Type het eerder geconfigureerde verificatietype en kies in de vervolgkeuzelijst de Privacy Type coderingsmethode die is geconfigureerd op C9800 WLC.

Stap 8. Navigeer naar het Telnet/SSH tabblad vanAdd Device, geef de Privilege 15 gebruikersnaam en wachtwoord op, samen met Wachtwoord inschakelen. Klik op Verify Credentials om ervoor te zorgen dat de CLI- en SNMP-referenties goed werken. Klik vervolgens op AddVertaling.

Verifiëren

Telemetriestatus controleren

Stap 1. Controleer of Netconf is ingeschakeld op C9800.

#show run | inc netconf
netconf-yang

Indien niet aanwezig, voert u de 'NETCONF-configuratie op de Cat 9800 WLC' sectie.

Stap 2. Controleer de telemetrieverbinding met Prime van de C9800.

#show telemetry internal connection
Telemetry connection

Address Port Transport State Profile
------------------------------------------------------------------
x.x.x.x 20828 cntp-tcp Active

Opmerking: x.x.x.x is het IP-adres van Prime Infrastructure en de status moet Actief zijn. Als de status niet actief is, raadpleegt u de sectie Problemen oplossen.

In 17.9 moet je een iets andere opdracht gebruiken:

9800-17-9-2#show telemetry connection all
Telemetry connections

Index Peer Address               Port  VRF Source Address             State      State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
    0 10.48.39.25                25103 0   10.48.39.228               Active     Connection up

9800-17-9-2#

Stap 3. Op Prime Infrastructure, navigeert u naar Inventory > Network Devices > Device Type: Wireless Controller.

Stap 4. Om de details van de telemetrieverbinding met Prime Infrastructure te bekijken, voert u dit uit:

#show telemetry internal protocol cntp-tcp manager x.x.x.x 20828
Telemetry protocol manager stats:

Con str                : x.x.x.x:20828::
Sockfd                 : 79
Protocol               : cntp-tcp
State                  : CNDP_STATE_CONNECTED
Table id               : 0
Wait Mask              :
Connection Retries     : 0
Send Retries           : 0
Pending events         : 0
Source ip              : <9800_IP_ADD>
Bytes Sent             : 1540271694
Msgs Sent              : 1296530
Msgs Received          : 0

In 17.9 of later moet u een ander commando gebruiken, het commando dat hieronder wordt afgebeeld.

#show telemetry connection all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
 1 172.16.0.4 25103 0 172.16.2.44 Active Connection up

C9800-Classic#show telemetry internal connection <Index> detail
Telemetry protocol manager stats:

Con str : 172.16.0.4:25103:0:172.16.2.44
Sockfd : 116
Protocol : tls-native
State : CNDP_STATE_CONNECTED
Table id : 0
Profile : sdn-network-infra-iwan
Version : TLSv1.2
Wait Mask :
Connection Retries : 0
Send Retries : 0
Pending events : 0
Session requests : 1
Session replies : 1
Source ip : 172.16.2.44
Bytes Sent : 49098323
Msgs Sent : 49918
Msgs Received : 0
Creation time: : Mon Sep 30 16:18:19:535
Last connected time: : Mon Sep 30 16:18:19:587
Last disconnect time: :
Last error: :
Connection flaps: : 0
Last flap Reason: :
Keep Alive Timeouts: : 0
Last Transport Error : No Error

Stap 5. Controleer de status van het telemetrie-abonnement van C9800 en het feit dat ze worden weergegeven als 'Geldig'.

#show telemetry ietf subscription configured
Telemetry subscription brief

ID Type State Filter type
-----------------------------------------------------
68060586 Configured Valid transform-na
98468759 Configured Valid tdl-uri
520450489 Configured Valid transform-na
551293206 Configured Valid transform-na
657148953 Configured Valid transform-na
824003685 Configured Valid transform-na
996216912 Configured Valid transform-na
1072751042 Configured Valid tdl-uri
1183166899 Configured Valid transform-na
1516559804 Configured Valid transform-na
1944559252 Configured Valid transform-na
2006694178 Configured Valid transform-na

Stap 6: De abonnementsstatistieken kunnen worden bekeken per abonnement-ID of voor alle abonnementen die deze gebruiken:

#show telemetry internal subscription { all | id } stats
Telemetry subscription stats:

Subscription ID  Connection Info            Msgs Sent  Msgs Drop  Records Sent
------------------------------------------------------------------------------
865925973        x.x.x.x:20828::      2          0          2
634673555        x.x.x.x:20828::      0          0          0
538584704        x.x.x.x:20828::      0          0          0
1649750869       x.x.x.x:20828::      1          0          2
750608483        x.x.x.x:20828::      10         0          10
129958638        x.x.x.x:20828::      10         0          10
1050262948       x.x.x.x:20828::      1369       0          1369
209286788        x.x.x.x:20828::      15         0          15
1040991478       x.x.x.x:20828::      0          0          0
1775678906       x.x.x.x:20828::      2888       0          2889
1613608097       x.x.x.x:20828::      6          0          6
1202853917       x.x.x.x:20828::      99         0          99
1331436193       x.x.x.x:20828::      743        0          743
1988797793       x.x.x.x:20828::      0          0          0
1885346452       x.x.x.x:20828::      0          0          0
163905892        x.x.x.x:20828::      1668       0          1668
1252125139       x.x.x.x:20828::      13764      0          13764
2078345366       x.x.x.x:20828::      13764      0          13764
239168021        x.x.x.x:20828::      1668       0          1668
373185515        x.x.x.x:20828::      9012       0          9012
635732050        x.x.x.x:20828::      7284       0          7284
1275999538       x.x.x.x:20828::      1236       0          1236
825464779        x.x.x.x:20828::      1225711    0          1225780
169050560        x.x.x.x:20828::      0          0          0
229901535        x.x.x.x:20828::      372        0          372
592451065        x.x.x.x:20828::      8          0          8
2130768585       x.x.x.x:20828::      0          0          0

Problemen oplossen

Problemen oplossen met Prime Infrastructure

• Het eerste dat u moet controleren op Prime-infrastructuur is het IP-adres en de interfaces. Prime Infrastructure ondersteunt geen dual-home en luistert niet naar telemetrie op de tweede poort.
• Het IP-adres van de WLC die u toevoegt in Prime Infrastructure moet het IP-adres zijn dat wordt gebruikt als de 'draadloze beheerinterface'. Het IP-adres van de primaire infrastructuur moet bereikbaar zijn via de beheerinterface voor draadloze verbindingen aan de controllerzijde.
• Als de Servicepoort (gig0/0 op toestellen) wordt gebruikt voor detectie, worden WLC en AP's weergegeven in de beheerde status in de inventaris, maar de telemetrie voor WLC en bijbehorende toegangspunten werkt niet.
• Als u de telemetriestatus ziet als een 'succes' op Prime Infrastructure, maar de AP-telling is 0, kan het zijn dat Prime Infrastructure de WLC op poort 830 kan bereiken, maar de controller kan de Prime Infrastructure op poort 20830 niet bereiken.

Voor SNMP-problemen of problemen met de apparaatconfiguratie kunt u deze logboeken van Prime Infrastructure verzamelen:

cd /opt/CSCOlumos/logs/

[root@prime-tdl logs]# ncs-0-0.log

Tdl.logs

Voor telemetrie / koraalproblemen is het eerste ding om de koraalstatus te controleren:

shell

cd /opt/CSCOlumos/coralinstances/coral2/coral/bin

./coral version 1

./coral status 1

./coral stats 1

Als alles goed is, verzamel deze logs uit de map prime coral logs.

Opmerking: Afhankelijk van de Prime Infrastructure-versie en de hoeveelheid Cisco IOS XE-versie die deze ondersteunt, kunnen er verschillende Coral-instanties op Prime Infrastructure zijn. Bekijk de releasenotities voor meer informatie, zoals: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-7/release/notes/bk_Cisco_Prime_Infrastructure_3_7_0_Release_Notes.html

Stap 1.

cd /opt/CSCOlumos/coral/bin/

[root@prime-tdl bin]# ./coral attach 1

Attached to Coral instance 1 [pid=8511]

Coral-1#cd /tmp/rp/trace/

Coral-1#ls

Collect the  “Prime_TDL_collector_R0-”* logs

Coral-1# cd /tmp/rp/trace/
Coral-1# btdecode P* > coralbtlog.txt
Coral-1# cat  coralbtlog.txt

Deze logs zijn ook te vinden in deze directory:

* De gedecodeerde traceringsbestanden zijn beschikbaar in het pad/opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
*   ade# cd /opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk

*   ade# cp coraltrace.txt /localdisk/defaultRepo

Stap 2. Om Coral in te schakelen in de debug-modus, moet het debug-niveau in het debug.conf bestand worden ingesteld.

Vanuit de container:

echo "rp:0:0:tdlcold:-e BINOS_BTRACE_LEVEL=DEBUG;" > /harddisk/debug.conf

Of op Prime 3.8 kan de Coral-service buiten de container opnieuw worden gestart met behulp van:

"sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"

Als de herstart niet helpt, kunnen deze worden gebruikt om de koraalinstantie af te vegen en soepel te starten:

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral stop 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral purge 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral start 1

Start Coral opnieuw op, dit is verplicht. U kunt de koraalinstantie verlaten als u 'Afsluiten' typt:

./coral/bin/coral restart 1

Opmerking: Op Prime 3.8 kan de Coral-service buiten de container opnieuw worden opgestart met 'sudo / opt / CSCOlumos / coral instances / coral2 / koraal / bin / koraal herstart 1'

Als u Coral-logbestanden moet decoderen, kunt u ze decoderen in de Coral-container met:

btdecode Prime_TDL_collector_*.bin

Opmerking: Na het inschakelen van debug-niveau van Coral, is het opnieuw starten van Coral verplicht.

Problemen oplossen met Catalyst 9800 WLC

Om de configuratie te controleren die Prime Infra naar de C9800 WLC heeft gepusht, kunt u een EEM-applet uitvoeren.

#config terminal
#event manager applet catchall
 #event cli pattern ".*" sync no skip no
 #action 1 syslog msg "$_cli_msg"

Alle Telemetry-abonnementen verwijderen uit de WLC-configuratie

Er kunnen momenten zijn waarop u alle telemetrie-abonnementen die op de WLC zijn geconfigureerd, wilt uitschakelen. Dit kan eenvoudig worden gedaan met deze opdrachten:

WLC#term shell
WLC#function removeall() {
for id in `sh run | grep telemetry | cut -f4 -d' '`
do
conf t
no telemetry ietf subscription $id
exit
done
}
WLC#removeall

Zo schakelt u sporen in:

# debug netconf-yang level debug

Zo verifieert u:

WLC#show platform software trace level mdt-pubd chassis active R0 | inc Debug

pubd                            Debug           

WLC#show platform software trace level ndbman chassis active R0 | inc Debug

ndbmand                         Debug     

U kunt als volgt de trace-uitgangen bekijken:

show platform software trace message mdt-pubd chassis active R0

show platform software trace message ndbman chassis active R0

Controleer op Abonnement-ID voor toegangsgegevens

Klik DB Queryop. Navigeer naar tohttps://<Prime_IP>/webacs/ncsDiag.do.

Kies *uit ewlcSubscription waar OWNINGENTITYID zoals '%Controller_IP' en CLASSNAME='UnifiedApp'.

Van WLC:

Controleer of de abonnement-ID informatie verzendt en geen druppels op de cntp-tellers laat vallen.

show tel int sub all stats

show telemetry internal protocol cntp-tcp connector counters drop

show telemetry internal protocol cntp-tcp connector counters queue

show telemetry internal protocol cntp-tcp connector counters rate

show telemetry internal protocol cntp-tcp connector counters sub-rate

show telemetry internal protocol cntp-tcp connector counters reset

Opmerking: De 9800 WLC ondersteunt 100 telemetrie-abonnementen vóór 17.6 en tot 128 abonnementen na 17.6 (omdat de recente release van Catalyst center meer dan 100 abonnementen kan gebruiken.

Migratie van PI naar Cisco Catalyst Center

C9800 kan niet tegelijkertijd worden beheerd door zowel PI als Cisco Catalyst Center. Als er een plan is om over te stappen naar Catalyst Center als netwerkbeheeroplossing, moet C9800 worden verwijderd uit Prime Infrastructure voordat het wordt toegevoegd aan Catalyst Center. Wanneer C9800 wordt verwijderd/verwijderd uit PI 3.5, wordt alle configuratie die op het moment van inventarisatie door PI naar C9800 is gepusht, niet teruggedraaid en moeten deze handmatig uit het systeem worden verwijderd. In het bijzonder worden de abonnementskanalen die zijn ingesteld voor C9800 WLC om streaming telemetriegegevens te publiceren, niet verwijderd. 

Om deze specifieke configuratie te identificeren:

#show run | sec telemetry

Als u deze configuratie wilt verwijderen, voert u het no volgende commando uit:

(config) # no telemetry ietf subscription <Subscription-Id>
Repeat this CLI to remove each of the subscription identifiers. 


(config) # no telemetry transform <Transform-Name>
Repeat this CLI to remove each of the transform names

Opmerking: als u de 9800-controller beheert met zowel Catalyst Center als Prime Infrastructure, zal de inventarisnaleving van Catalyst Center naar verwachting mislukken vanwege Prime-beheer.

In recente releases kunnen zowel Prime Infrastructure als Catalyst Center te veel telemetrie-abonnementen voor de WLC gebruiken voor beide servers om de 9800 tegelijkertijd te beheren. Je kunt de 9800 daarom niet beheren met zowel Catalyst Center als Prime Infrastructure en telemetrie en statistieken laten werken. Migratie van PI naar Catalyst Center moet daarom zo snel mogelijk gebeuren omdat Catalyst Center geen telemetriegegevens van de 9800 kan hebben zolang Prime Infrastructure de 9800-controller beheert.