Solução de problemas de integração do Umbrella Wireless Controller (9800)

Opções de download

  • PDF     (358.2 KB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:30 de setembro de 2025
ID do documento:225099

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como solucionar problemas de integração do controlador sem fio da série 9800 com o Umbrella.

    Overview

    Este artigo é uma continuação dos Switches Cisco Catalyst 9200 e Catalyst 9300 e serve como guia para a solução de problemas de registro, bem como o fluxo de trabalho entre o 9800 e o Cisco Umbrella.

    Fluxo de trabalho geral do Cisco Umbrella


    44153779835084415377983508

    1. O registro do controlador sem fio com o servidor Cisco Umbrella é um processo único e acontece em um túnel HTTPS seguro.

    2. Obtenha o registro API Token para dispositivo (9800) no Cisco Umbrella Dashboard.

    3. Aplique o token no 9800. Isso registra o dispositivo na conta do Cisco Umbrella. Em seguida, crie os perfis do Cisco Umbrella no 9800. Os perfis são enviados automaticamente para o Cisco Umbrella à medida que as identidades e a política são aplicadas por identidade.

    4. O tráfego do cliente sem fio flui para o servidor Cisco Umbrella.

    5. Um cliente sem fio envia uma solicitação DNS para o 9800.

    6. O 9800 rastreia o pacote DNS e o marca com um perfil de guarda-chuva Cisco. O perfil é a identidade do pacote que também reside no Cisco Umbrella.

    7. Esse pacote EDNS é redirecionado para o servidor de nuvem Cisco Umbrella para resolução de nomes.

    8. Em seguida, o Cisco Umbrella aplica uma política a ele, dependendo da identidade, e aplica regras de filtragem com base em categorias para garantir a conformidade organizacional.

    9. Dependendo das regras, ele retorna uma página bloqueada ou um endereço IP resolvido para o cliente para a solicitação DNS consultada.

    As etapas detalhadas para configurar o 9800 estão no Guia de configuração de segurança.

    Registro e importação de certificados

    1. Obtenha seu token de API no Umbrella Dashboard: Admin > Chaves de API > (criar) Dispositivos de Rede Herdados.
    2. Importe o certificado CA para o 9800 via CLI usando um destes métodos:
      Importar da URL
      Emita o comando e permita que o 9800 busque o certificado:  
      crypto pki trustpool import url http://www.cisco.com/security/pki/trs/ios.p7b

      Importar diretamente no terminal
      Copie e cole o certificado CA (consulte o anexo) usando o comando: 

      crypto pki trustpool import terminal
    3. Insira o token de API para a CLI 9800 usando o comando:  
      parameter-map type umbrella global 
      token XXXXXXXXXXXXXXXXXXXXXXXXXXXX

    Verificando a configuração do Cisco Umbrella

    Para visualizar os detalhes da configuração do Cisco Umbrella, use este comando:

    Device# show umbrella config
    Umbrella Configuration
    ========================
    Token: 5XXXXXXABXXXXXFXXXXXXXXXDXXXXXXXXXXXABXX
    API-KEY: NONE
    OrganizationID: xxxxxxx
    Local Domain Regex parameter-map name: dns_bypass
    DNSCrypt:Enabled 
    Public-key: B735:1140:206F:225D:3E2B:D822:D7FD:691E:A1C3:3CC8:D666:8D0C:BE04:BFAB:CA43:FB79
    UDP Timeout: 5 seconds
    Resolver address:
    1. 208.67.220.220 
    2. 208.67.222.222 
    3. 2620:119:53::53 
    4. 2620:119:35::35
    ewc1#show umbrella deviceid detailed 

    Device registration details 
    1.global
         Tag : global 
         Device-id : 010a2ed75e520fda 
         Description : Device Id recieved successfully 
         WAN interface : None 
    ewc1#show umbrella dnscrypt
       DNSCrypt: Enabled
       Public-key: B735:1140:206F:225D:3E2B:D822:D7FD:691E:A1C3:3CC8:D666:8D0C:BE04:BFAB:CA43:FB79
       Certificate Update Status:
            Last Successfull Attempt: 10:40:58 UTC Apr 8 2020
       Certificate Details:
           Certificate Magic     : DNSC
           Major Version         : 0x0001
           Minor Version         : 0x0000
           Query Magic           : 0x7163373861576F6F
           Serial Number         : 1574811744
           Start  Time           : 1574811744 (23:42:24 UTC Nov 26 2019)
           End Time              : 1606347744 (23:42:24 UTC Nov 25 2020)
           Server Public Key     : 88B4:E44B:35E9:64B4:90BD:DABA:E825:A24B:0415:A08B:E19D:7DDB:87A3:3CD7:7EDF:8E2F

           Client Secret Key Hash: E323:7E82:C0C2:1F0C:55AE:1473:862D:6D26:9607:B41D:3F51:F587:9482:8709:401E:2EC4
           Client Public key     : 8D52:4D73:CF69:4890:F130:2845:4CBE:A9CA:87AF:4CDA:FE17:C626:2F8A:1780:CD18:C855

           NM key Hash           : FAAD:4C16:6DA3:D6F3:655D:FF98:36B7:73E7:9D1C:21F5:A0E3:A083:17D7:C308:522E:722D

    Depuração e registro

    Para desabilitar o DNSCrypt, use este comando: 

    parameter-map type umbrella global > no dnscrypt

    Você pode ver este erro: "Não é possível importar o certificado usando a URL":

    crypto pki trustpool import urlhttp://www.cisco.com/security/pki/trs/ios.p7b

    % Error: failed to open file.

    % No certificates imported fromhttp://www.cisco.com/security/pki/trs/ios.p7b.

    Solução: 

    Copie e cole manualmente o certificado CA formatado pelo PEM deste local.

    Em seguida, ative os logs de depuração do registro do dispositivo:

    debug umbrella dnscrypt
    debug umbrella device-registration
    debug umbrella config
    term monitor
    note-icon

    Note: Pode haver casos em que vários 9800 podem ser atribuídos à mesma deviceId. Isso acontece no caso do 9800 virtual (controlador sem fio incorporado (WC)).

    Todos os WCs virtuais têm o mesmo endereço MAC codificado: "CC46D6CCCC" (em inglês).

    Exemplo de depuração do eWC A:

    Nov 2 19:21:18.903 Central: UMBRELLA-DEV-REG:Device registration process start: umbrella parameter-map global (tag: global): TCP socket created, connect state will be verified before sending out request
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Socket 0 event handler: event type = WRITE EVENT
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request invoked
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Get registration request info invoked
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Get registration request info: Found new queued request for umbrella parameter-map global (tag: global), status :REQ QUEUED 
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): status = 1
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request license mode = TOKEN
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): POST size = 238, JSON size = 174,actual size = 412 , uri_size = 18
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:
    Nov 2 19:21:18.915 Central: Dev reg json buffer :{"model":"B77A8731C7F4D6E92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9KZNYR9FRRQ"} and bytes: 141
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:
    Nov 2 19:21:18.915 Central: umbrella parameter-map name :global macAddr :cc46.d6cc.cccc 
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Build POST request invoked: post size = 238, size = 141
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Build POST request: hostname = api.opendns.com
    Nov 2 19:21:18.915 Central: UMBRELLA-DEV-REG:Build POST request: URI = /v3/networkdevices
    Nov 2 19:21:18.916 Central: UMBRELLA-DEV-REG:Build POST request done
    Nov 2 19:21:18.916 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request buffer length = 368
    Nov 2 19:21:18.916 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): Built request = POST /v3/networkdevices HTTP/1.1
    Host: api.opendns.com
    Authorization:OpenDNS,api_key="B0E16D19C32D42EC996B635X4X9005B9",token="B77A8731C7F4D6E92C07D7DCB68961470000A553"
    Content-Type: application/json
    Content-Length: 141

    {"model":"B77A7561C7F4ABC92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9KZNYR9FRRQ"}
    ----------------------------------------<OUTPUT OMITTED>----------------------------------------
    Nov 2 19:21:23.553 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 3, bytes = 256, resp: content-type: application/json
    x-envoy-upstream-service-time: 1462
    x-xss-protection: 1; mode=block
    x-ingress-point: mil1

    {"deviceId":"010a7859d0d39393","deviceKey":"B77A8731C7F4D6E92C07D7DCB68961470000A553-CC46D6CCCCCC-global","label":"global","seria
    Nov 2 19:21:23.553 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 4, bytes = 1
    78, resp: lNumber":"9KZNYR9FPPQ","phishing":1,"createdAt":1635877282,"originId":xxxxxxxx,"
    apiKey":"b0e16d19c32d42ec996b635x4x9005b9","deviceTypeId":1,"vendorId":51,"organizationId":xxxxx}

    Exemplo de depuração do eWC B:

    Nov 2 19:21:41.909 Central: UMBRELLA-DEV-REG:Device registration process start: umbrella parameter-map global (tag: global): TCP socket created, connect state will be verified before sending out request
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Socket 0 event handler: event type = WRITE EVENT
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request invoked
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Get registration request info invoked
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Get registration request info: Found new queued request for umbrella parameter-map global (tag: global), status :REQ QUEUED 
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): status = 1
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request license mode = TOKEN
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): POST size = 238, JSON size = 174,actual size = 412 , uri_size = 18
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:
    Nov 2 19:21:41.919 Central: Dev reg json buffer :{"model":"B77A7561C7F4ABC92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9BRCYQ9KDRU"} and bytes: 141
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:
    Nov 2 19:21:41.919 Central: umbrella parameter-map name :global macAddr :cc46.d6cc.cccc 
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request invoked: post size = 238, size = 141
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request: hostname = api.opendns.com
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request: URI = /v3/networkdevices
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Build POST request done
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): request buffer length = 368
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Send POST request for umbrella parameter-map global (tag: global): Built request = POST /v3/networkdevices HTTP/1.1
    Host: api.opendns.com
    Authorization:OpenDNS,api_key="B0E16D19C32D42EC996B635X4X9005B9",token="B77A8731C7F4D6E92C07D7DCB68961470000A553"
    Content-Type: application/json
    Content-Length: 141

    {"model":"B77A8731C7F4D6E92C07D7DCB68961470000A553","macAddress":"CC46D6CCCCCC","label":"global","tag":"global","serialNumber":"9BRCYQ8RDRU"}
    ----------------------------------------<OUTPUT OMITTED>----------------------------------------
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 3, bytes = 256, resp: content-type: application/json
    x-envoy-upstream-service-time: 1462
    x-xss-protection: 1; mode=block
    x-ingress-point: mil1

    {"deviceId":"010a7859d0d39393","deviceKey":"B77A8731C7F4D6E92C07D7DCB68961470000A553-CC46D6CCCCCC-global","label":"global","serialNumber":"9BRCYQ8RDRU"}
    Nov 2 19:21:41.919 Central: UMBRELLA-DEV-REG:Registration response: msg_part = 4, bytes = 1
    78, resp: lNumber":"9KZNYR9FPPQ","phishing":1,"createdAt":1635877282,"originId":573529511,"
    apiKey":"b0e16d19c32d42ec996b635x4x9005b9","deviceTypeId":1,"vendorId":51,"organizationId":xxxxx}

    Aqui, a solicitação POST contém o token de API (token de API de dispositivo legado do Cisco Umbrella Dashboard), a chave de API, o número do modelo (igual ao token de API), o endereço MAC da controladora Wireless LAN (WLC), o nome do mapa de parâmetros (tag) e o número de série do dispositivo.

    A ID do dispositivo é gerada usando o token de API, a chave de API, a marca e o endereço MAC. Como esses 9800 têm os mesmos valores para os itens acima, o mesmo ID de dispositivo é atribuído a ambos.

    Este é um comportamento esperado. Para corrigir esse problema, você deve criar um mapa de parâmetros personalizado em um ou ambos os 9800;

    parameter-map type umbrella <custom name>

    Ao criar um mapa de parâmetros personalizado "cpm", estamos criando uma nova marca que resulta em um ID de dispositivo diferente (deviceId).

    {"deviceId":"010a30f6275c92ce","deviceKey":"0DCDA24CDD6A92D714FE357539FDCAE80051BA0A-DD46D6BBCCCC-global","label":"global","serialNumber":"F222424Q4M8","phishing":1,"createdAt":1641192490,"originId":563829932,"apiKey":"b0e16d15c32d4e8c996b635afa9005b9","deviceTypeId":1,"vendorId":51,"organizationId":******}

    {"deviceId":"010a341b037ea6b9","deviceKey":"0DCDA24CDD6A92D714FE357539FDCAE80051BA0A-DD46D6BBCCCC-cpm","label":"global","serialNumber":"F222424Q4M8","phishing":1,"createdAt":1641825561,"originId":563829932,"apiKey":"b0e16d15c32d4e8c996b635afa9005b9","deviceTypeId":1,"vendorId":51,"organizationId":******}

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    30-Sep-2025
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos