Gerenciando o Catalyst 9800 Wireless Controller Series com Prime Infrastructure usando SNMP v2 e SNMP v3 e NetCONF

Introduction

Este documento descreve como integrar os Catalyst 9800 Series Wireless Controllers (C9800 WLC) com Prime Infrastructure (3.x) que usa Simple Network Management Protocol e Netconf.  Os detalhes de configuração para SNMPv2 e SNMPv3 estão incluídos.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento geral sobre

• WLC C9800
• Prime Infrastructure Version (PI) 3.5
• SNMP

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• WLC C9800
• Cisco IOS-XE Gibraltar 16.10.1 a 17.3

Note: O Prime Infra 3.8 suporta apenas WLCs 17.x 9800. Os clientes não aparecerão na Prime Infrastructure se você tentar gerenciar uma WLC 16.12 com o Prime Infra 3.8

Configurar

Para que a Prime Infrastructure configure, gerencie e monitore os Catalyst 9800 Series Wireless LAN Controllers, ela precisa poder acessar o C9800 via CLI, SNMP e Netconf. Ao adicionar C9800 à infraestrutura Prime, as credenciais telnet/SSH, assim como a string de comunidade SNMP, versão etc., precisarão ser especificadas. A PI usa essas informações para verificar a acessibilidade e para inventariar o WLC C9800. Ele também usará o SNMP para enviar modelos de configuração, bem como armadilhas de suporte para eventos de AP e cliente. No entanto, para que a PI reúna estatísticas de access point (AP) e cliente, o Netconf é aproveitado. O Netconf não está habilitado por padrão no C9800 WLC e precisa ser configurado manualmente via CLI na versão 16.10.1 (GUI disponível em 16.11.1).

Portas usadas

A comunicação entre o C9800 e o Prime Infrastructure usa portas diferentes.

• Todas as configurações e modelos disponíveis no Prime Infra serão enviados via SNMP e CLI. Isso usa a porta UDP 161.
• Os dados operacionais para a própria WLC C9800 são obtidos através do SNMP. Isso usa a porta UDP 162
• O AP e os dados operacionais do cliente aproveitam a telemetria de transmissão.
  Infraestrutura principal para WLC: Porta TCP 830 - É usada pelo Prime Infra para enviar a configuração de telemetria para 9800 dispositivos (usando netconf)
  WLC para infraestrutura Prime: Porta TCP 20828 (para IOS-XE 16.10 e 16.11) ou 20830 (para IOS-XE 16.12.17.x e posterior) -

Note: Os keepalives são enviados a cada 5 segundos mesmo quando não há telemetria para relatar

Note: Caso haja um firewall entre o Prime Infrastructure e o C9800, abra essas portas para estabelecer a comunicação

Configuração do SNMPv2 na WLC Cat 9800

GUI:

Etapa 1. Navegue até Administration > SNMP > Slide to Enable SNMP (Administração > SNMP > Slide para Ativar SNMP)

Etapa 2. Clique em Community Strings e crie um nome de comunidade somente leitura e leitura e gravação

CLI:

(config)#snmp-server community <snmpv2-community-name> 
(optional)(config)# snmp-server location <site-location>
(optional)(config)# snmp-server contact <contact-number>

Configuração do SNMPv3 em WLC Cat 9800

GUI:

Note: A partir do IOS-XE 17.1, a IU da Web permitirá que você crie somente usuários v3 somente leitura. Você precisará seguir o procedimento CLI para criar um usuário do read-write v3.

CLI:

Clique em usuários V3. Crie um usuário, escolha os protocolos "authPriv", SHA e AES e escolha senhas longas. MD5 e DES/3DES são protocolos inseguros e, embora ainda sejam uma opção no 9800, eles não devem ser selecionados e não são mais testados completamente.

Note: A configuração do usuário SNMPv3 não é refletida na configuração atual. Somente a configuração do grupo SNMPv3 é exibida

CLI:

(config)#snmp-server view primeview iso included
(config)#snmp-server group <v3-group-name> v3 auth write primeview 
(config)#snmp-server user <v3username> <v3-group-name> v3 auth {md5 | sha} <AUTHPASSWORD> priv {3des | aes | des} {optional for aes 128 | 192| 256} <PRIVACYPASSWORD>



9800#show snmp user

User name: Nico
Engine ID: 800000090300706D1535998C
storage-type: nonvolatile	 active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: SnmpAuthPrivGroup

Configuração NETCONF na WLC Cat 9800

GUI (iniciando em 16.11):

Navegue até Administration > HTTP/HTTPS/NetConf

CLI:

(config)#netconf-yang

Caution: Se um novo modelo estiver ativado no C9800, você também precisará configurar
(config)#aaa authorization exec default <local ou radius/tacacs group>
(config)#aaa authentication login default <local ou radius/tacacs group>
O Netconf no C9800 usa o método padrão (e você não pode alterar isso) para o login de autenticação de aaa e para o aaa authorization exec. Caso deseje definir um método diferente para conexões SSH, você pode fazer isso na linha de comando "line vty". Netconf continuará usando os métodos padrão.

A infraestrutura Prime, ao adicionar um controlador 9800 a seu inventário, substituirá o padrão de login de autenticação de aaa e os métodos padrão de exec de autorização de aaa que você configurou e os apontará para a autenticação local somente caso o Netconf ainda não esteja habilitado na WLC. Se o Prime Infrastructure for capaz de fazer login com netconf, ele não alterará a configuração. Isso significa que, se você estiver usando TACACS, perderá o acesso CLI após adicionar o 9800 ao Prime. Você pode reverter esses comandos de configuração posteriormente e fazê-los apontar para TACACS se essa for sua preferência.

Configurar (Prime Infrastructure 3.5 e posterior)

Etapa 1. Capturar o endereço IP de gerenciamento sem fio configurado na WLC do Catalyst 9800

GUI:

Navegue até Configuration > Interface: Tecnologia Wireless

CLI:

# show wireless interface summary

Etapa 2. Capturar as credenciais de 15 usuários privilegiados, bem como habilitar senha

GUI:

Navegue até Administração > Administração do usuário

        

CLI:

# show run | inc username
# show run | inc enable

Etapa 3 Obtenha as strings de comunidade SNMPv2 e/ou o usuário SNMPv3 conforme aplicável

GUI:

Para SNMPv2, navegue para Administration > SNMP > Community Strings

Para SNMPv3, navegue para Administração > SNMP > Usuários V3

CLI:

For SNMPv2 community strings
# show run | sec snmp 

For SNMPv3 user
# show user

Etapa 4 Na GUI do Prime Infrastructure, navegue até clicar em Configuração > Rede: Dispositivos de rede > Clique na lista suspensa ao lado de + > Selecionar dispositivo

Etapa 5. No pop-up Adicionar dispositivo, insira o endereço ip da interface no 9800 que será usado para estabelecer comunicação com o Prime Infrastructure.

Etapa 6. Navegue até a guia SNMP e forneça séries de comunidade somente leitura e leitura-gravação SNMPv2 configuradas na WLC C9800

Passo 7. Se estiver usando SNMPv3, na lista suspensa selecione v3, forneça o nome de usuário SNMPv3. Na lista suspensa Auth-Type, corresponda ao tipo de autenticação configurado anteriormente e, na lista suspensa Privacy Type, selecione o método de criptografia configurado na WLC C9800

Etapa 8. Navegue até a guia Telnet/SSH de Add Device (Adicionar dispositivo), forneça o Nome de usuário e a Senha do privilégio 15 junto com Habilitar senha. Clique em Verificar credenciais para garantir que as credenciais de CLI e SNMP funcionem bem. Em seguida, clique em Adicionar

Verificar

Verificar o status da telemetria

Etapa 1. Verifique se o Netconf está habilitado no C9800:

#show run | inc netconf
netconf-yang

Se não estiver presente, siga a seção "Configuração NETCONF na WLC Cat 9800".

Etapa 2. Verifique a conexão de telemetria ao Prime a partir do C9800

#show telemetry internal connection
Telemetry connection

Address Port Transport State Profile
------------------------------------------------------------------
x.x.x.x 20828 cntp-tcp Active

Note: x.x.x.x é o endereço ip do Prime Infrastructure e o estado deve estar ativo. Se o estado não estiver Ativo, consulte a seção Solução de problemas

Etapa 3. Em Prime Infrastructure, navegue para Inventory > Network Devices > Device Type: (Inventário > Dispositivos de rede > Tipo de dispositivo) Controlador sem fio

Etapa 4. Para visualizar os detalhes da conexão de telemetria com a Prime Infrastructure, execute

#show telemetry internal protocol cntp-tcp manager x.x.x.x 20828
Telemetry protocol manager stats:

Con str                : x.x.x.x:20828::
Sockfd                 : 79
Protocol               : cntp-tcp
State                  : CNDP_STATE_CONNECTED
Table id               : 0
Wait Mask              :
Connection Retries     : 0
Send Retries           : 0
Pending events         : 0
Source ip              : <9800_IP_ADD>
Bytes Sent             : 1540271694
Msgs Sent              : 1296530
Msgs Received          : 0

Etapa 5. Verifique o status da assinatura de telemetria do C9800 e o fato de que eles são exibidos como "Válido"

#show telemetry ietf subscription configured
Telemetry subscription brief

ID Type State Filter type
-----------------------------------------------------
68060586 Configured Valid transform-na
98468759 Configured Valid tdl-uri
520450489 Configured Valid transform-na
551293206 Configured Valid transform-na
657148953 Configured Valid transform-na
824003685 Configured Valid transform-na
996216912 Configured Valid transform-na
1072751042 Configured Valid tdl-uri
1183166899 Configured Valid transform-na
1516559804 Configured Valid transform-na
1944559252 Configured Valid transform-na
2006694178 Configured Valid transform-na

Passo 6: As estatísticas de assinatura podem ser exibidas por ID de assinatura ou para todas as assinaturas usando

#show telemetry internal subscription { all | id } stats
Telemetry subscription stats:

Subscription ID  Connection Info            Msgs Sent  Msgs Drop  Records Sent
------------------------------------------------------------------------------
865925973        x.x.x.x:20828::      2          0          2
634673555        x.x.x.x:20828::      0          0          0
538584704        x.x.x.x:20828::      0          0          0
1649750869       x.x.x.x:20828::      1          0          2
750608483        x.x.x.x:20828::      10         0          10
129958638        x.x.x.x:20828::      10         0          10
1050262948       x.x.x.x:20828::      1369       0          1369
209286788        x.x.x.x:20828::      15         0          15
1040991478       x.x.x.x:20828::      0          0          0
1775678906       x.x.x.x:20828::      2888       0          2889
1613608097       x.x.x.x:20828::      6          0          6
1202853917       x.x.x.x:20828::      99         0          99
1331436193       x.x.x.x:20828::      743        0          743
1988797793       x.x.x.x:20828::      0          0          0
1885346452       x.x.x.x:20828::      0          0          0
163905892        x.x.x.x:20828::      1668       0          1668
1252125139       x.x.x.x:20828::      13764      0          13764
2078345366       x.x.x.x:20828::      13764      0          13764
239168021        x.x.x.x:20828::      1668       0          1668
373185515        x.x.x.x:20828::      9012       0          9012
635732050        x.x.x.x:20828::      7284       0          7284
1275999538       x.x.x.x:20828::      1236       0          1236
825464779        x.x.x.x:20828::      1225711    0          1225780
169050560        x.x.x.x:20828::      0          0          0
229901535        x.x.x.x:20828::      372        0          372
592451065        x.x.x.x:20828::      8          0          8
2130768585       x.x.x.x:20828::      0          0          0

Troubleshoot

Solução de problemas da Prime Infrastructure

• A primeira coisa a verificar na infraestrutura Prime é o endereço IP e as interfaces. O Prime Infrastructure não oferece suporte a dual-homed e não ouvirá telemetria em sua segunda porta.
• O endereço IP da WLC que você adiciona na Prime Infrastructure deve ser o endereço IP usado como "interface de gerenciamento sem fio". O endereço IP do Prime Infrastructure deve estar acessível a partir dessa interface de gerenciamento sem fio no lado do controlador.
• Se estiver usando a porta de serviço (gig0/0 em dispositivos) para descoberta, WLC e APs aparecerão no estado Gerenciado no Inventário, mas a telemetria para WLC e Pontos de Acesso associados não funcionará. 
• Se o status da telemetria for "bem-sucedido" na infraestrutura Prime, mas a contagem de APs for 0, pode ser que a infraestrutura Prime possa alcançar a WLC na porta 830, mas o controlador não possa alcançar a infraestrutura Prime na porta 20830.

Para quaisquer problemas de snmp ou de configuração do dispositivo, colete os seguintes registros da Prime Infrastructure

cd /opt/CSCOlumos/logs/

[root@prime-tdl logs]# ncs-0-0.log

Tdl.logs

Para problemas de telemetria/coral, a primeira coisa é verificar o status do coral:

shell

cd /opt/CSCOlumos/coralinstances/coral2/coral/bin

./coral version 1

./coral status 1

./coral stats 1

Se tudo estiver bem, colete os seguintes registros da pasta logs principais de coral

Note: Dependendo da versão do Prime Infrastructure e da quantidade de versão do IOS-XE suportada, pode haver várias instâncias de Coral na Prime Infrastructure. Verifique as notas das versões para obter mais detalhes, como: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-7/release/notes/bk_Cisco_Prime_Infrastructure_3_7_0_Release_Notes.html

Etapa 1.

cd /opt/CSCOlumos/coral/bin/

[root@prime-tdl bin]# ./coral attach 1

Attached to Coral instance 1 [pid=8511]

Coral-1#cd /tmp/rp/trace/

Coral-1#ls

Collect the  “Prime_TDL_collector_R0-”* logs

Coral-1# cd /tmp/rp/trace/
Coral-1# btdecode P* > coralbtlog.txt
Coral-1# cat  coralbtlog.txt

Esses registros também podem ser encontrados no diretório abaixo:

* Os arquivos de rastreamento decodificados estarão disponíveis no caminho

/opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk

* ade# cd /opt/CSCOlumos/coralinstance/coral2/coral/run/1/storage/harddisk

* ade# cp coraltrace.txt /localdisk/defaultRepo

Etapa 2. Para ativar o Coral no modo de depuração, o nível de depuração precisa ser definido no arquivo debug.conf.

De dentro do recipiente:

echo "rp:0:0:tdlcold:-e BINOS_BTRACE_LEVEL=DEBUG;" > /harddisk/debug.conf

ou no Prime 3.8, o serviço Coral pode ser reiniciado fora do contêiner usando

"sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"

Se a reinicialização não ajudar a usar a imagem abaixo para limpar a instância do coral e iniciá-la sem problemas:

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral stop 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral purge 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral start 1

Reiniciar Coral, é obrigatório. Você pode deixar a instância do coral digitando "Sair" e depois:

./coral/bin/coral restart 1

Note: No Prime 3.8, o serviço Coral pode ser reiniciado fora do contêiner usando "sudo /opt/CSCOlumos/coralinstance/coral2/coral/bin/coral restart 1"

Se precisar decodificar arquivos de log Coral, você poderá decodificá-los dentro do contêiner Coral com:

btdecode Prime_TDL_collector_*.bin

Note: Depois de ativar o nível de depuração de Coral, reiniciar Coral é obrigatório.

Solução de problemas no Catalyst 9800 WLC

Para monitorar a configuração que está sendo enviada pelo Prime Infra para a WLC C9800, você pode executar um applet EEM

#config terminal
#event manager applet catchall
 #event cli pattern ".*" sync no skip no
 #action 1 syslog msg "$_cli_msg"

Excluir toda a assinatura de telemetria da configuração da WLC

Pode haver momentos em que você deseja desconfigurar todas as assinaturas de telemetria configuradas na WLC. Isso pode ser feito simplesmente com os seguintes comandos:

WLC#term shell
WLC#function removeall() {
for id in `sh run | grep telemetry | cut -f4 -d' '`
do
conf t
no telemetry ietf subscription $id
exit
done
}
WLC#removeall

Para ativar rastreamentos

# debug netconf-yang level debug

Para verificar:

WLC#show platform software trace level mdt-pubd chassis active R0 | inc Debug

pubd                            Debug           

WLC#show platform software trace level ndbman chassis active R0 | inc Debug

ndbmand                         Debug     

      

Para exibir as saídas de rastreamento

show platform software trace message mdt-pubd chassis active R0

show platform software trace message ndbman chassis active R0

Verifique a ID de assinatura para obter informações de AP:

Clique em DB Query

Acesse: https://<Prime_IP>/webacs/ncsDiag.do

Selecione * na ewlcSubscription em que OWNINGENTITYID como '%Controller_IP' e CLASSNAME='UnifiedAp'

Da WLC

Verifique se a ID de assinatura está enviando informações e se não há descartes nos contadores cntp.

show tel int sub all stats

show telemetry internal protocol cntp-tcp connector counters drop

show telemetry internal protocol cntp-tcp connector counters queue

show telemetry internal protocol cntp-tcp connector counters rate

show telemetry internal protocol cntp-tcp connector counters sub-rate

show telemetry internal protocol cntp-tcp connector counters reset

Migração do PI para o DNA Center

O C9800 NÃO pode ser gerenciado simultaneamente pelo Prime Infrastructure (PI) e pelo DNA Center de forma de leitura-gravação (ter o DNAC apenas fazendo garantia e usando o Prime Infra para enviar modelos é aceitável, por exemplo). Portanto, se houver um plano para migrar para o DNAC como solução de gerenciamento de rede, o C9800 precisa ser removido do Prime Infrastructure antes de adicioná-lo ao DNA Center. Quando o C9800 é removido/excluído do PI 3.5, toda a configuração enviada para o C9800 no momento do inventário pelo PI NÃO é revertida e precisa ser excluída manualmente do sistema. Especificamente, os canais de assinatura estabelecidos para o C9800 WLC publicar dados de telemetria de transmissão não são removidos. 

Para identificar essa configuração específica,

#show run | sec telemetry

Para remover esta configuração, execute a forma "no" do comando:

(config) # no telemetry ietf subscription <Subscription-Id>
Repeat this CLI to remove each of the subscription identifiers. 


(config) # no telemetry transform <Transform-Name>
Repeat this CLI to remove each of the transform names

Note: Se você gerenciar o controlador 9800 com DNAC e Prime Infrastructure, a conformidade com o inventário do DNAC falhará de forma esperada devido ao Prime Management.