Solucionar problemas de dicas e truques de automação de LAN para o Digital Network Architecture (DNA) Center

Introdução

Este documento descreve uma visão geral da automação de rede local (LAN) para ajudá-lo a diagnosticar problemas quando a automação de LAN não funciona como esperado no Digital Network Architecture (DNA) Center.

Contribuição de Alexandro Carrasbrinquedo, engenheiro do Cisco TAC.

Glosário

Agente Plug and Play (PnP):Novo dispositivo que você acabou de ligar sem configuração e sem certificados que serão configurados automaticamente pelo DNA Center.

Dispositivo semente: dispositivo que o DNA Center já provisionou e que atua como o servidor DHCP. 

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha um conhecimento geral de automação de LAN e da solução Plug and Play. fornece uma visão geral da automação de LAN, embora ela se baseie no DNA Center 1.0, o mesmo conceito se aplica ao DNA Center 1.1 e superior.

Informações de Apoio

A automação da LAN é uma solução de implantação praticamente automatizada que permite configurar e provisionar seus dispositivos de rede com o uso do ISIS como protocolo de roteamento subjacente.

Antes de Começar

Antes de executar o LAN Automation, certifique-se de que o seu agente PnP não tenha certificados carregados na NVRAM.

Edge1#dir nvram:*.cer 
Directory of nvram:/*.cer

Directory of nvram:/

    4  -rw-         820                    <no date>  IOS-Self-Sig#1.cer
    6  -rw-         763                    <no date>  kube-ca#468ACA.cer
    7  -rw-         882                    <no date>  sdn-network-#616F.cer
    8  -rw-         807                    <no date>  sdn-network-#4E13CA.cer
2097152 bytes total (2033494 bytes free)
Edge1#delete nvram:*.cer

Certifique-se de que não haja nenhum dispositivo não solicitado na página Provisionamento > Dispositivos > Inventário de dispositivos:

Por causa do CSCvh68847 , algumas pilhas podem não deixar o estado não reivindicado e você pode receber uma mensagem de erro ERROR_STACK_UNSUPPORTED. Essa mensagem acontece quando a automação da LAN tenta solicitar que o dispositivo provisione como se fosse um único switch. No entanto, como o dispositivo é uma pilha de switches Catalyst 9300, a automação da LAN não pode reivindicar o dispositivo, e o dispositivo aparece como não reivindicado. Da mesma forma, o PnP não reivindica o dispositivo porque é uma pilha, portanto, o dispositivo não é provisionado.

Quais são as etapas pelas quais a LAN Automation passa enquanto é executada?

O DNA Center provisiona o dispositivo semente com a configuração DHCP. O escopo de endereços IP que o dispositivo semente obtém é um segmento do pool inicial que você definiu quando reservou o pool de endereços IP para seu site. Observe que esse pool deve ser pelo menos /25.

Note: Esse pool é dividido em 3 segmentos:
1. Os endereços IP que são enviados para a VLAN 1 em seus agentes PnP.
2. Os endereços IP que são enviados para Loopback0 em seus agentes PnP.
3. Os endereços IP /30 que são enviados aos agentes PnP no link que se conecta ao seed ou a outros dispositivos de estrutura.

Para que o DNA Center provisione seus agentes PnP, a configuração DHCP que o dispositivo de seed recebe deve ter a opção 43 definida com o endereço IP da NIC (Network Interface Card, placa de interface de rede) corporativa do DNA Center ou o endereço VIP (Virtual IP, IP virtual), se você tiver um cluster de n nós.

Quando os agentes PnP são inicializados, eles não têm configuração. Portanto, todas as suas portas são parte da VLAN 1. Consequentemente, os dispositivos enviam mensagens de descoberta DHCP ao dispositivo semente. O dispositivo semente responde com uma oferta dos endereços IP dentro do pool de automação da LAN.

Agora que você compreende a sequência inicial da automação da LAN, é possível solucionar o problema do processo se ele não estiver funcionando conforme esperado.

Diagrama de solução de problemas

Registros relevantes do DNA Center 1.1 LAN Automation

• network-orchestration-service
• pnp-service

Registros relevantes do DNA Center 1.2 LAN Automation

Na versão 1.2, não há mais um serviço pnp, portanto, você precisa procurar os seguintes serviços quando estiver solucionando problemas de automação de LAN:

• orquestração de rede
• projeto de rede
• connection-manager-service
• onboarding-service (esse é o equivalente antigo do serviço pnp de 1.1)

Registros relevantes da infraestrutura de chave pública (PKI) do DNA Center 1.x

• apic-em-pki-broker-service
• apic-em-jboss-ejbca

Como executar o tcpdump mostrado no fluxograma?

sudo tcpdump -i <DNA Center fabric's interface> host <PnP Agent ip address> -w /data/tmp/pnp_capture.pcap

*Para parar, use CTRL+C 

Armazena o arquivo pnp_capture.pcap em /data/tmp/. Você precisa copiar o arquivo do DNA Center usando o comando SCP (cópia segura) ou ler o arquivo do DNA Center usando o seguinte comando:

$ sudo tcpdump -ttttnnr /data/tmp/pnp_capture.pcap
[sudo] password for maglev: 
reading from file capture.pcap, link-type EN10MB (Ethernet)
2018-03-08 20:09:27.369544 IP 192.168.31.1 > 192.168.31.10: ICMP host 192.168.1.2 unreachable, length 36
2018-03-08 20:09:39.369175 IP 192.168.31.1 > 192.168.31.10: ICMP host 192.168.1.2 unreachable, length 36
2018-03-08 20:09:44.373056 ARP, Request who-has 192.168.31.1 tell 192.168.31.10, length 28
2018-03-08 20:09:44.374834 ARP, Reply 192.168.31.1 is-at 2c:31:24:cf:d0:62, length 46
2018-03-08 20:09:50.628539 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [S], seq 1113323684, win 29200, options [mss 1460,sackOK,TS val 274921400 ecr 0,nop,wscale 7], length 0
2018-03-08 20:09:50.630523 IP 192.168.31.1.22 > 192.168.31.10.57234: Flags [S.], seq 2270495802, ack 1113323685, win 4128, options [mss 1460], length 0
2018-03-08 20:09:50.630604 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [.], ack 1, win 29200, length 0
2018-03-08 20:09:50.631712 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [P.], seq 1:25, ack 1, win 29200, length 24

O que é esse arquivo bridge.png que você está tentando copiar?

É um arquivo de imagem de 191 bytes localizado no DNA Center que deve ser copiado usando HTTP (sem usar certificados) ou HTTPS (usando certificados) para testar a comunicação entre o DNA Center e o seu Agente PnP. 

Capturas de amostra quando a comunicação SSL (Secure Sockets Layer) não está funcionando conforme esperado (arquivos .pcap completos anexados a este artigo)

Certificado inválido 

Possível causa:

• O certificado do DNA Center não tem o endereço IP correto no campo Nome alternativo do assunto (SAN).

Para verificar os campos SAN no certificado, você pode fazer o seguinte:

Verificar o certificado usando um navegador

Captura de amostra

Resolução.

Se você tiver uma CA (Certificate Authority, Autoridade de certificação) de terceiros, certifique-se de que ela forneça um certificado com os endereços IP do DNA Center e o VIP contido. Se você não tiver uma CA de terceiros, o DNA Center poderá gerar um certificado para você. Entre em contato com o TAC da Cisco para orientá-lo durante esse processo.

O DNA Center redefine a conexão

Possível causa:

Por padrão, o DNA Center oferece suporte apenas ao TLS v1.2.

Para solucionar esse problema, habilite o DNA Center para usar o TLS v1 seguindo este guia

Captura de amostra

Comandos de depuração úteis no Agente PnP para problemas relacionados ao certificado

• debug crypto pki transactions
• debug ssl openssl
• debug ssl openssl errores
• debug ssl openssl errors
• debug crypto pki API
• debug crypto pki transactions
• debug ssl openssl msg

A resposta está sem a chave de sessão autenticada estabelecida anteriormente

Teoricamente, você não deve ter dispositivos não reivindicados na página Provisionamento > Dispositivos > Inventário de dispositivos, mas houve problemas em que, após excluir os dispositivos não reivindicados dessa página, os dispositivos ainda estavam sendo exibidos em https://<DNA Center ip>/mypnp. Se você encontrar esse cenário e vir um log semelhante ao seguinte nos logs PnP ou uma indicação do mesmo na GUI, certifique-se de que o dispositivo não apareça como não reivindicado no PnP: 

ERROR | qtp604107971-170 | | c.c.e.z.impl.ZtdHistoryServiceImpl | Device authentication status has changed to Error(PNP response com.cisco.enc.pnp.messages.PnpBackoffResponse is missing previously established authenticated session key) | address=192.168.31.10, sn=FCW212XXXXX

Pontos fortes da automação e do empilhamento de LAN

• No DNA Center 1.2, a pilha precisa ter um anel completo (um cabo de pilha para uma pilha de 2 membros pode não funcionar).
• O dispositivo de pilha precisa ser solicitado pela automação da LAN imediatamente, aproximadamente menos de 10 minutos.
• Depois de conectado ao DNA Center, aparece como Não reivindicado no PnP.  O PnP usa a janela de tempo de 10 minutos para a determinação da pilha e, uma vez expirada, permanecerá na seção não reivindicada da Automação da LAN.

Se você tiver os registros RCA ou PnP, poderá procurar mensagens de dispositivo não solicitadas:

more pnp.log | egrep "(Received unclaimed notification|ZtdDeviceUnclaimedMessage)"

Se não houver mensagens, as notificações de dispositivos não solicitados não estão chegando ao DNA Center e o PnP não pode solicitá-las.

Como fazer a automação da LAN em uma pilha

1. Desative os uplinks para os dispositivos de seed.
2. Inicie a automação da LAN no DNA Center.
3. Exclua a configuração de inicialização da pilha. # write erase
4. Remova todos os certificados da NVRAM. # delete nvram:*.cer
5. Remova o arquivo vlan.dat. # delete flash:vlan.dat
6. No switch principal, exclua os certificados no switch em standby. # delete stby-nvram:*.cer

     a. Desconecte os cabos da pilha.

     b. Faça login no console de cada switch membro.

     c. Exclua os certificados. # delete nvram:*.cer

     d. Exclua o banco de dados de vlan flash. # delete flash:vlan.dat

     e. Reconecte os cabos da pilha.

  7. Reinicialize.

  8. Aguarde até que o switch se registre como uma pilha, ative todos os membros e tente iniciar o diálogo de configuração inicial.

%INIT: waited 0 seconds for NVRAM to be available


         --- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]:  

  9. Ative os uplinks para o(s) dispositivo(s) de seed. # no shutdown

Formato do arquivo de mapa de nome de host que posso importar para a minha tarefa de Automação de LAN?

O DNA Center espera um arquivo CSV com o nome do host e o número de série (nome do host, número de série), conforme mostrado no exemplo a seguir:

Para a automação de pilha da LAN, o arquivo CSV permite que você insira um nome de host e vários números de série por linha. Os números de série precisam ser separados por vírgulas. Consulte o arquivo CSV anexado para obter referência.

Onde /mypnp foi na versão 1.2?

Acesse o PnP de uma das seguintes maneiras:

• No navegador da Web, digite https://<DNA Center IP>/networkpnp
• Na página inicial do DNA Center, selecione a seguinte ferramenta Plug and Play de rede:

Ou acesse https://<DNA Center IP>/networkpnp

 Erro de inventário

O erro de inventário significa que o dispositivo, depois de ser solicitado pela automação da LAN e receber sua configuração, falhou, ao ser adicionado ao inventário. Esse erro geralmente ocorre devido a problemas de configuração, de roteamento ou de credenciais CLI.

Para verificar se você está tentando ativar o dispositivo correto por meio da LAN Automation, acesse remotamente o endereço IP da interface de loopback 0 no dispositivo usando o protocolo de conexão preferencial (SSH ou Telnet).

A conectividade existe, mas os certificados PKI não são enviados com êxito aos Agentes PnP

Em alguns momentos, os dispositivos do meio podem ativar o bit Do not Fragment (DF) dos pacotes entre o DNAC e os agentes PnP. Isso pode fazer com que os pacotes maiores que 1500 bytes, geralmente os pacotes que contêm o certificado, sejam descartados e, portanto, a automação de LAN pode não ser concluída. Alguns dos registros comuns que são vistos nos registros de integração do DNA Center são:

errorMessage=Failed to format the url for trustpoint

A ação sugerida neste caso é garantir que o caminho entre o DNA Center e os agentes PnP permita que quadros jumbo passem usando o sistema de comando mtu 9100.

Switch(config)# system mtu 9100