排除Catalyst Center中WLC 9800的不保证数据故障

简介

本文档介绍当Catalyst Center未显示Catalyst 9800系列WLC的任何保证数据时如何进行故障排除。

先决条件

要求

Cisco 建议您了解以下主题：

• Catalyst Center磁悬浮命令行界面的使用
• 基本Linux基础
• Catalyst Center和Catalyst 9800平台上的证书知识

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Catalyst Center设备第2代和第3代，版本2.3.7.7及更高版本
• Catalyst 9800系列无线LAN控制器(WLC)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

注意：虽然本文档是基于2.3.7.9编写的，但3.1.X版本中也有此功能。

注意：Catalyst 9800 WLC必须已由Catalyst Center发现并分配到站点，且必须运行兼容的Cisco IOS® XE版本。有关互操作性的详细信息，请参阅Catalyst Center兼容性列表。

背景信息

在站点分配时，Catalyst Center会将遥测配置推送到SNMP和Syslog配置之上的9800。

注意：此示例来自Catalyst 9800-CL云无线LAN控制器。使用物理Catalyst 9800系列设备时，某些详细信息可能会有所不同；X.X.X.X是Catalyst Center企业接口的虚拟IP(VIP)地址，Y.Y.Y.Y是WLC的管理IP地址。

crypto pki trustpoint sdn-network-infra-iwan
 enrollment pkcs12
 revocation-check crl
 rsakeypair sdn-network-infra-iwan

crypto pki trustpoint DNAC-CA
 enrollment mode ra
 enrollment terminal
 usage ssl-client
 revocation-check crl none
 source interface GigabitEthernet1

crypto pki certificate chain sdn-network-infra-iwan
 certificate 14CFB79EFB61506E
  3082037D 30820265 A0030201 02020814 CFB79EFB 61506E30 0D06092A 864886F7 
  <snip>
        quit

 certificate ca 7C773F9320DC6166
  30820323 3082020B A0030201 0202087C 773F9320 DC616630 0D06092A 864886F7 
  <snip>
        quit

crypto pki certificate chain DNAC-CA
 certificate ca 113070AFD2D12EA443A8858FF1272F2A
  30820396 3082027E A0030201 02021011 3070AFD2 D12EA443 A8858FF1 272F2A30 
  <snip>
        quit

telemetry ietf subscription 1011
 encoding encode-tdl
 filter tdl-uri /services;serviceName=ewlc/wlan_config
 source-address Y.Y.Y.Y
 stream native
 update-policy on-change
 receiver ip address X.X.X.X 25103 protocol tls-native profile sdn-network-infra-iwan

telemetry ietf subscription 1012
<snip - many different "telemetry ietf subscription" sections - which ones depends on 
Cisco IOS® version and Catalyst Center version>

network-assurance enable
network-assurance icap server port 32626
network-assurance url https://X.X.X.X
network-assurance na-certificate PROTOCOL_HTTP X.X.X.X /ca/ pem

排除Catalyst Center中WLC中的无保证数据故障

使用WLC360中的保证“故障排除”机器推理引擎(MRE)工具

转到WLC360页。在运行状况旁边，用户将看到蓝色文本“Troubleshoot”。

单击它并运行“机器推理引擎”。

允许推理引擎运行至完成。

检查“结论”选项卡以查看可能的问题。如果收到“结论”中没有任何问题的完整信息，请跳至本文档的入站数据验证部分。

如果您没有看到此“Troubleshoot”链接，则可以在GUI的Tools > Network Reasoner页面上手动运行此工具。查找“保证遥测分析”工作流程。

结论:设备连接

四。评估的数据和核实

首先，转到资产页面，并确保使用WLC的无线管理IP地址管理有问题的WLC。

对于9800设备：show wireless interface summary

对于9800-CL:show ip interfaces brief  | i GigabitEthernet2
注意：假设用户遵循了部署指南，网址为https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/technical-reference/c9800-cl-dg.html#Introduction

现在，转到Catalyst Center的Inventory页。

这表明Catalyst Center和此设备之间存在连接问题。

要排除故障和检查的项目

IP 连通性

从主菜单转至System > Settings页。然后，在左侧横幅上，转至“Trust & Privacy”部分，选择“IP Access Control”。另一种方法是使用全局搜索并搜索“IP Access Control”

请确保此处的设置允许连接到相关设备。接下来，验证是否可以通过ICMP到达终端设备。要执行此操作，请登录到Catalyst Center的CLI并发出命令“ping [IP_Address]”，如以下输出所示。

下一个要检查的项目是来自Catalyst Center CLI的“traceroute”命令的输出。

接下来，使用命令“ip -s link show”验证Catalyst Center上不存在链路问题 | grep enterprise -A 4英寸

如果接口度量看上去可接受，则下一步是从连接的两端执行数据包捕获(PCAP)。本指南建议在有问题的设备上执行第一组PCAP。在本例中，此处的两个设备是9800和带VIP的Catalyst Center。如果做不到，请尽可能靠近设备运行PCAP。

如果数据包被发送到网络，但未通过有线基础设施，则请调查有线网络是否存在异步路由、防火墙、NAT和ACL等阻止数据包的行为。解决这些问题后，请重新运行保证“故障排除” MRE。

结论:设备“当前不由Catalyst Center管理”

从今天的2.3.7.10开始，工作流程输出可以声明联系TAC。在联系TAC或确定TAC案例是否为正确的立即行动过程之前，可以执行一些操作。  首先进入Inventory（资产）页面，找到有问题的设备；  主菜单>调配>资产。  以下是错误配置的SSH密码的示例

接下来要检查的项目是“Reachability”状态不显示“Unreachable”。 如果它显示“无法访问”或“未知”，请在联系TAC之前转至本指南的“设备连接或凭据故障”部分。如果它显示“Ping可访问”或“可访问”，则可以继续对Catalyst Center使用的凭据进行故障排除。  为此，请单击您要检查的设备左侧的方框，如图所示。此框会变为蓝色并带有蓝色复选标记。

然后单击“Actions”、“Inventory”，最后单击“Edit Device”，如下所示：

此操作将打开一个新窗口，使您可以“验证”此配置。有关示例，请参阅此屏幕截图。  

注意：在此页面上，“Username”将以明文显示，但“Passwords”不会显示。相反，Catalyst Center会将密码显示为“NO!$DATA!$”。

这是正确凭证的外观。  参见SNMP和无效凭证，参见CLI和Netconf。

注意：无线接入点(AP)不会以这种方式进行管理。所有AP数据都将通过WLC。

CLI(SSH)访问对于所有设备都是必需的。

对于所有设备，具有最低只读访问权限的SNMP是必需的。

9800(基于Cisco IOS® XE)WLC必须使用Netconf。Netconf将为基于Cisco IOS® XE的交换机提供额外的监控，例如PoE控制面板，因此是可选的。AireOS或基于Cisco IOS®的设备不使用Netconf。 

在更正所有问题并再次运行“Validate”选项后，可以看到以下内容：

解决错误后，请单击左下角的“Update”按钮。完成此操作后，Catalyst Center会将此设备排队以进行“同步”。 如果队列为空，则“同步”将立即启动，如下所示。

完成此操作后，请返回到“Troubleshoot”MRE输出，查看是否需要解决其他问题。如果未显示其他内容，请等待15-20分钟，以查看最新信息。如果在此时间后信息未更新，请联系TAC寻求进一步帮助。

结论:“DNAC-CA(swim)证书”问题

这里有一些可能性：

• 该证书适用于其他Catalyst Center
• 设备上的“当前日期/时间”不在有效范围内 
• 证书已被替换，设备正在使用较旧的证书。

请查看MRE指示的是哪一个。从这里，我们可以转到9800，并运行几个命令以查看问题是由哪个问题导致的。首先要确定设备使用的时间和日期，请运行show clock命令。

然后，运行show crypto pki certificates DNAC-CA以上拉DNAC-CA证书的详细信息。

首先，将“开始日期”和“结束日期”与设备认为的当前日期和时间进行比较。如果结论表明证书不匹配，则将在浏览器上拉出证书信息。序列号必须匹配。这是来自Chrome的匹配证书序列号示例。

结论:“sdn-network-infra-iwan证书的序列号”问题

首先，检验设备上的日期是否正确

然后，使用show crypto pki certificates sdn-network-infra-iwan上拉sdn-network-infra-iwan证书详细信息

为此，请验证有效日期是否在该设备所认为的日期之内。

接下来转到Catalyst Center并验证证书序列号是否匹配。

转至Main Menu > System > Settings页面。在该页面上找到“设备证书”页面。在该页面上，向下过滤到有问题的设备，并检查“证书序列号”是否匹配。

如果不匹配，请验证设备是否预期位于此处，并且不是由另一个Catalyst Center群集管理。如果最近出现故障或证书尚未过期，请联系TAC进行进一步的根本原因分析（如果需要）。否则，请转到“Inventory”页面，确保设备已通过“Reachable”和“Managed”绿色复选标记访问。如果此页面存在问题，请转至结论：本指南中“当前未由Catalyst Center管理”的设备并完成说明。

如果所有内容均为绿色且完全受管，请执行强制遥测更新，请参阅执行“强制”遥测更新部分。

入站数据验证

通过转至System > System 360 > Monitor导航到Grafana。这将为Grafana打开一个新屏幕

然后，点击左列中的放大镜，然后键入Device Processor，进入Assurance - Device Processor控制面板

在“每5分钟接收WLC方案”表中，选中“内存”编号。此数字与发送流量的Catalyst 9800(Cisco IOS® XE)WLC的数量匹配。

执行“强制”遥测更新

转到Inventory，然后选择Update Telemetry Settings，如下所示。