CX云代理常见问题和故障排除指南

简介

本文档包含用户使用CX云代理时可能遇到的常见问题和故障排除场景。

部署

问：在连接到CX Cloud后端域时，是否预期会将URL重定向到cloudfront.net?

A. 是，对于某些特定部署方案，重定向至cloudfront.net 是预期的. O如果在端口443上为这些FQDN启用了重定向，应允许无绑定访问。

问：使用“重新安装”选项，用户能否使用新的IP地址部署新的CX云代理？

A.是

问：安装可以使用哪些文件格式？

A. OVA和VHD

问：可以在哪个环境中部署可安装？

A. 对于OVA

• VMWare ESXi版本5.5或更高版本
• Oracle Virtual Box 5.2.30或更高版本

对于VHD

• Windows虚拟机监控程序2012到2016

问： CX云代理能否在DHCP环境中检测IP地址？

A.是，检测到IP配置期间的IP地址分配。但是，不支持将来CX云代理的IP地址更改。建议客户在其DHCP环境中为CX云代理保留IP。

问： CX云代理是否同时支持IPv4和IPv6配置？

A.否，仅支持IPV4。

问：在IP配置过程中，是否验证了IP地址？

A.是,IP地址语法和重复的IP地址分配已验证。

问：OVA部署和IP配置需要多长时间？

答：OVA部署取决于网络复制数据的速度。IP配置大约需要8-10分钟，包括创建Kubernetes和容器。

问：任何硬件类型是否有任何限制？

A.部署OVA的主机必须满足作为CX门户设置的一部分提供的要求。CX Cloud Agent在硬件上运行的VMware/Virtual机箱上进行了测试，该硬件配备Intel Xeon E5处理器，vCPU与CPU的比率设置为2:1。如果使用的处理器CPU功能较弱或占用的比例较大，性能可能会下降。

配对代码能随时生成吗？

答：否，仅当未注册CX云代理时才能生成配对代码。

问：思科DNA中心（最多10个集群或20个非集群）与CX云代理之间的带宽要求是什么？

答：当CX云代理和Cisco DNA Center在客户环境中的同一个LAN/WAN网络中时，带宽不是限制条件。对于5000台设备的资产收集，最低网络带宽要求为2.7兆位/秒，对于座席到Cisco DNA Center的连接来说，此要求为13000个接入点。如果为第2级洞察收集系统日志，则最低所需带宽为3.5 Mbits/sec，可为5000台设备提供+13000个用于库存的接入点、5000台设备提供系统日志，并为2000台设备提供扫描支持 — 所有设备都从CX云代理并行运行。

问：代理如何使用syslog 是否可以访问以监控CX云代理虚拟机(VM)?

A.可使用以下两条路径从本地VM登录访问Agent VM的系统日志：

/var/log/syslog.1（通过cxcadmin和cxcroot登录访问）

/var/log/syslog（使用根访问）

版本和补丁

问：为CX云代理的升级列出了哪些不同类型的版本?

A.此处显示列出的CX云代理的已发布版本集：

• A.x.0（其中 x 是最新的生产主功能版本，示例：1.3.0）
• A.x.y（其中A.x.0是强制升级和要启动的增量升级，x是最新的生产主要功能版本，y是最新的升级补丁程序，例如：1.3.1）
• A.x.y-z（其中A.x.0是必须启动的增量升级，x是最新生产主要功能版本，y是最新实时升级补丁，z是即时修复的即时补丁，时间跨度非常短，例如：1.3.1-1）

其中A是长期释放，跨度为3-5年。

问：在哪里可以找到最新发布的CX云代理版本，以及如何升级现有的CX云代理？

A.登录到CX云门户。导航到管理员设置>数据源。单击View Update并按照屏幕上的说明进行操作。

身份验证和代理配置

问： CX云代理应用的默认用户是什么？

A. cxcadmin。

问：如何为默认用户设置密码？

A.在网络配置期间设置密码。

问：是否有0天后重置密码的选项？

A. CX云代理未提供特定选项来重置密码，但您可以使用Linux命令来重置cxcadmin的密码。

问：配置CX云代理的密码策略是什么？

A.密码策略如下：

• 最大老化时间（长度）设置为90天
• 最短使用期限（长度）设置为8天
• 最大长度为127个字符
• 必须至少包含一个大写和一个小写字符
• 必须至少包含一个特殊字符(例如，!$%^&*()_+|~-=\'{}[]:";'<>?,/)
• 不允许使用以下字符
• 特殊的8位字符(例如，¬ å£、√A √´、√¥、√¬ø、√ü)
• 空格
• 不得是最近使用的最后10个密码
• 不得包含正则表达式
• 不得包含以下词语或衍生工具：cisco、sanjose和sanfran

问：如何确认安全外壳(SSH)可以从CX云代理访问设备？

A.要确认SSH可达性，请执行以下操作：

1. 以cxcroot用户身份登录。
2. 执行以下命令以启用Iptables中的SSH端口：

     Iptables -A OUTPUT -p tcp -m tcp —dport 22 -j ACCEPT

3. 执行以下命令以确认SSH可达性：

     ssh user@ip-address：端口

要在CX云代理中禁用以上启用的SSH端口，请执行以下操作：

1. 执行以下命令获取iptables中启用的SSH端口的线路号：

     iptables -L OUTPUT —line-number | grep dpt | grep ssh | awk“{print $1}”

2. 执行以下命令删除获得的线路编号：

     iptables -L OUTPUT <行号>

问：如何确认从CX云代理到设备的SNMP可访问性？

A.要确认SNMP可达性，请执行以下操作：

1. 以cxcroot用户身份登录。
2. 执行以下命令以启用Iptables中的SNMP端口：

      iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT

      iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT

3. 执行以下snmpwalk/snmpget命令以确认SNMP可达性：

      snmpwalk -v2c -c cisco IPADDRESS

要在CX云代理中禁用以上启用的SNMP端口，请执行以下操作：

1. 执行以下命令获取启用的SNMP端口的线路号（两个线路号作为响应生成）：

iptables -L OUTPUT —line-number | grep dpt | grep ssh | awk“{print $1}”

2. 执行以下命令以删除行号（按降序排列）:

iptables -L OUTPUT <行号2数字>

iptables -L OUTPUT <行号1个数字>

问：如何设置Grub密码？

A.要设置Grub密码，请执行以下操作：

1. 以cxcroot身份运行.ssh并提供令牌[请与支持团队联系以获取cxcroot令牌]。
2. 执行sudo su，以提供相同的令牌。
3. 执行grub-mkpasswd-pbkdf2命令并设置Grub密码。系统将输出所提供密码的散列，请复制该内容。
4. vi 到文件 /etc/grub.d/00_header。 
5. 导航到文件末尾，将散列输出替换为content password_pbkdf2根*****，使用在步骤3中获取的密码的已获取散列。
6. 使用命令：wq！保存文件。
7. 执行update-grub命令。

问： cxcadmin密码的到期期限是多长？

A.密码将在90天后过期。

问：在连续不成功的登录尝试后，系统是否禁用该帐户？

A.是，该帐户在连续五(5)次失败尝试后被禁用。锁定时间为 30 分钟。

问：如何生成口令？

A.要生成口令，请执行以下操作：

1. 运行.ssh并以cxcadmin用户身份登录
2. 执行remoteaccount cleanup -f命令
3. 执行remoteaccount create命令

问：代理主机是否同时支持主机名和IP?

答：是，但要使用主机名，用户必须在网络配置过程中提供域名服务器(DNS)IP。

Secure Shell (SSH)

问： ssh shell支持哪些密码？

A.支持以下密码：

• chacha20-poly1305@openssh.com
• aes256-gcm@openssh.com
• aes128-gcm@openssh.com
• aes256-ctr
• aes192-ctr
• aes128-ctr

问：如何登录到控制台？

A.登录：

1. 以cxcadmin用户身份登录
2. 提供cxcadmin密码

问：是否记录了SSH登录？

A.是，它们记录为“var/logs/audit/audit.log”文件的一部分。

问：空闲会话超时是多少？

答：如果CX云代理空闲五(5)分钟，则会发生SSH会话超时。

端口和服务

问： CX云代理上哪些端口保持打开状态？

A.以下端口可用：

• 出站端口：部署的CX云代理可以连接到HTTPS端口443上的表中所示的思科后端，也可以通过代理将数据发送到思科，如下表所示。部署的 CX Cloud Agent 可以通过 HTTPS 端口 443 连接到 Cisco DNA Center.

美洲地区	欧洲、中东和非洲	亚太地区
cloudsso.cisco.com	cloudsso.cisco.com	cloudsso.cisco.com
api-cx.cisco.com	api-cx.cisco.com	api-cx.cisco.com
agent.us.csco.cloud	agent.emea.csco.cloud	agent.apjc.csco.cloud
ng.acs.agent.us.csco.cloud	ng.acs.agent.emea.csco.cloud	ng.acs.agent.apjc.csco.cloud

注意：除了列出的域外，当EMEA或APJC客户重新安装CX云代理时，客户防火墙中必须允许agent.us.csco.cloud域。
成功重新安装后不再需要agent.us.csco.cloud域。

注：确保端口443上必须允许返回流量。

• Inbound port：对于CX云代理的本地管理，必须可以访问514(Syslog)和22(ssh)。客户必须允许其防火墙中的端口443从CX云接收数据。

CX Cloud Agent 与 Cisco DNA Center 的连接

问：思科DNA中心与CX云代理的用途和关系是什么？

答:Cisco DNA Center是云代理，用于管理客户驻地网络设备。CX云代理从已配置的Cisco DNA中心收集设备资产信息，并上传CX云的资产视图中可用的资产信息。

问：用户可以在何处提供有关CX云代理的Cisco DNA Center详细信息？

答：在第0天 — CX云代理设置期间，用户可以从CX云门户添加Cisco DNA Center详细信息。在第N天运营期间，用户可以从以下位置添加其他思科DNA中心： Admin Settings > Data Source.

问：可以添加多少个Cisco DNA中心？

答：可以添加十(10)个Cisco DNA Center集群或20个Cisco DNA Center非集群。

问：如何从CX云代理中删除已连接的Cisco DNA Center? 

答：要从CX云代理中删除已连接的思科DNA中心，请联系技术支持中心(TAC)，以从CX云门户提交支持案例。

问：思科DNA Center用户可以扮演什么角色？

A.用户角色可以是管理员或观察员。

问：由于连接DNA Center凭证发生更改，CX云代理中如何反映修改?

A.从CX云代理控制台执行cxcli agent modifyController命令：

    在Cisco DNA Center凭证更新期间，如有任何问题，请联系支持部门。

问：Cisco DNA Center和种子文件资产详细信息如何存储在CX云代理中？

A.所有数据(包括CX云代理连接控制器(例如，Cisco DNA Center)和直接连接资产(例如，通过种子文件、IP范围)的凭证)都使用AES-256进行加密，并存储在CX云代理数据库中，CX云代理数据库使用安全的用户ID和密码进行保护。

问：从CX云代理访问Cisco DNA Center API时使用了哪种加密？

A.通过TLS 1.2的HTTPS用于Cisco DNA Center和CX云代理之间的通信。

问：CX云代理在集成的Cisco DNA Center云代理上执行哪些操作？

答:CX云代理从Cisco DNA Center收集有关网络设备的数据，并使用Cisco DNA Center命令runner界面与终端设备通信并执行CLI命令（show命令）。 不执行配置更改命令。

问：从思科DNA中心收集哪些默认数据并上传到后端？

A. 

• 网络实体
• 模块
• show version
• config
• 设备映像信息
• 标签

问：从Cisco DNA Center收集并上传到思科后端的其他数据有哪些？

A.有关详细信息，请参阅本文档。 

问：如何将库存数据上传到后端？

A. CX云代理通过TLS 1.2协议将资产数据上传到思科后端服务器。

问：库存上传的频率是多少？

A.根据用户定义的计划触发收集，并将其上传到思科后端。 

问：用户能否重新计划库存？

答是，Admin Settings > Data Sources中有一个选项可以修改计划信息。

问：Cisco DNA Center和云代理之间的连接何时超时？

A.超时划分如下：

• 对于初始连接，超时最大为300秒。如果思科DNA中心和云代理之间最多五(5)分钟内未建立连接，则连接终止。
• 对于循环、典型或更新：响应超时为1800秒。如果未收到响应或者在30分钟内无法读取，连接将终止。

CX Cloud Agent 使用的诊断扫描

问：设备上执行了哪些扫描命令？

A.扫描过程中动态确定需要在扫描设备上执行的命令。该组命令可以随时间而更改，即使对于同一设备也是如此（并且不能控制诊断扫描）。

问：扫描结果存储在哪里？

A.扫描结果在思科后端存储并分析。

问：插入Cisco DNA Center源时，Cisco DNA Center中的重复项（按主机名或IP）是否已添加到诊断扫描中？

答：不，过滤重复项，以便仅提取唯一设备。

问：当其中一个命令扫描失败时，会出现什么情况？

A.设备扫描完全停止并标记为不成功。

CX Cloud Agent 系统日志

问：哪些运行状况信息会发送到CX云门户？

A.应用日志、Pod状态、Cisco DNA Center详细信息、审核日志、系统详细信息和硬件详细信息。

问：收集了哪些系统详细信息和硬件详细信息？

A.输出示例： 

system_details":{
"os_details":{
"containerRuntimeVersion":"docker://19.3.12",
"内核版本":"5.4.0-47-generic",
"kubeProxyVersion":"v1.15.12",
"kubeletVersion":"v1.15.12",
"machineID":"81edd7df1c1145e7bcc1ab4fe778615f",
"操作系统":"linux",
"osImage":"Ubuntu 20.04.1 LTS",
"systemUUID":"42002151-4131-2ad8-4443-8682911bdadb"
},
"hardware_details":{
"total_cpu":"8",
"cpu_utilization":"12.5%",
"total_memory":"16007MB",
"free_memory":"9994MB",
"hdd_size":"214G",
"free_hdd_size":"202G"
}
}
}

问：如何将运行状况数据发送到后端？

A.使用CX云代理，运行状况服务（可维护性）将数据流传输到思科后端。

问：后端的CX云代理运行状况数据日志保留策略是什么？

A. CX云代理在后端中的运行状况数据日志保留策略为120天。

问：有哪些类型的上传可用？

A. 

1. 库存上传
2. 系统日志上传
3. 代理运行状况上传，包括运行状况上传
   1. 服务运行状况 — 每五(5)分钟
   2. Podlog — 每一(1)小时
   3. 审核日志 — 每一(1)小时

故障排除

问题：无法访问已配置的IP。

解决方案：使用配置的IP执行ssh。如果连接超时，可能原因是IP配置错误。在这种情况下，请通过配置有效的 IP 重新安装。这可以通过门户完成，其中提供的重新安装选项位于 Admin Settings 页码.

问题：注册后如何验证服务是否启动并运行？

解决方案：按照以下步骤确认Pod已启动且正在运行：

1. 通过SSH连接到已配置的IP作为cxcadmin
2. 提供密码
3. 执行kubectl get pods命令

Pod可以处于任何状态（运行、初始化或容器创建）。20分钟后，Pod必须处于运行状态。

如果状态未运行或Pod正在初始化，请使用kubectl describe pod <podname>命令检查Pod描述。

输出中将包含有关Pod状态的信息。

问题：如何验证客户代理上是否禁用了SSL拦截器？
解决方案：执行此处所示的curl命令以验证服务器证书部分。 响应包含concsoweb服务器的证书详细信息。

curl -v —header 'Authorization: Basic xxxxxx' https://concsoweb-prd.cisco.com/

*服务器证书：

*主题：C=US;ST=California;L=San Jose;O=思科系统公司；CN=concsoweb-prd.cisco.com

*开始日期：2016年2月16日11:55:11 2021 GMT

*到期日期：2月16日12:05:00 2022 GMT

* subjectAltName：主机“concsoweb-prd.cisco.com”与证书的“concsoweb-prd.cisco.com”匹配

*颁发机构：C=US;O=HydroantID(Avalanche Cloud Corporation);CN=HydroantID SSL CA G3

* SSL证书验证正常。

> GET / HTTP/1.1

问题：kubectl命令失败，并将错误显示为“The connection to the server X.X.X.X:6443 was refused - do you specify the right host or port”
解决方案：

• 请验证资源的可用性。[示例：CPU、内存]。
• 等待 Kubernetes 服务启动.

问题：如何获取命令/设备的收集故障的详细信息？

解决方案：

• 执行 kubectl get pods 并获取收集 Pod 名称。
• 执行 kubectl logs 获取命令/设备特定的详细信息。

问题： kubectl命令不能工作，错误为“[authentication.go:64]由于以下错误无法验证请求： [x509：证书已过期或尚未生效，x509：证书已过期或尚未生效]”

解决方案：以cxcroot用户身份运行此处显示的命令

rm /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3
kubectl —insecure-skip-tls-verify=true delete secret -n kube-system k3s-serving
systemctl restart k3

收集失败响应

收集失败原因可能是控制器中添加的控制器或设备出现了任何限制或问题。

此处显示的表包含收集过程中在“收集微服务”(Collection Microservice)下看到的使用案例的错误代码段。

使用案例	收集微服务中的日志片段
如果在 Cisco DNA Center 未找到请求的设备	{   "命令":"显示版本",   "状态": "失败",   "命令响应": "",   "errorMessage": " No device found with id 02eb08be-b13f-4d25-9d63-eaf4e882f71a " }
如果无法从 Cisco DNA Center 访问请求的设备	{   "命令":"显示版本",   "状态": "失败",   "命令响应": "",   "errorMessage": "执行命令时出错： show version\n连接到设备时出错[主机： 172.21.137.221:22]没有到主机的路由：没有到主机的路由" }
如果无法从 Cisco DNA Center 访问请求的设备	{   "命令":"显示版本",   "状态": "失败",   "命令响应": "",   "errorMessage": "执行命令时出错：show version\n连接到设备[主机：X.X.X.X]连接超时：/X.X.X.X:22：连接超时：/X.X.X.X:22" }
如果请求的命令在设备中不可用	{   "命令":"show run-config",   "状态":"成功",   "commandResponse": "执行命令时出错：show run-config\n\n show run-config\n^\n%在\u0027^\u0027标记处检测到无效输入。\n\nXXCT5760#",   "错误消息": "" }
如果所请求的设备没有SSHv2，思科DNA中心会尝试使用SSHv2连接设备	{   "命令":"显示版本",   "状态": "失败",   "命令响应": "",   "errorMessage": "执行命令时出错： show version\nSSH2 channel closed ：远程方使用不兼容的协议，它与SSH-2不兼容。" }
如果在收集微服务中禁用了命令	{   "命令":"配置寻呼禁用",   "状态":"Command_Disabled",   "commandResponse": "命令集合已禁用",   "错误消息": "" }
如果命令运行器任务失败且 Cisco DNA Center 未返回任务 URL	{   "命令":"显示版本",   "状态": "失败",   "命令响应": "",   "errorMessage": "命令runner任务对设备%s失败。任务URL为空。" }
如果无法在 Cisco DNA Center 创建命令运行器任务	{   "命令":"显示版本",   "状态": "失败",   "命令响应": "",   "errorMessage": "命令runner任务对设备%s失败，请求URL: %s。没有任务详细信息。” }
如果收集微服务没有收到来自Cisco DNA Center的命令运行程序请求的响应	{   "命令":"显示版本",   "状态": "失败",   "命令响应": "",   "errorMessage": "命令runner任务对设备%s失败，请求URL: %s。" }
如果 Cisco DNA Center 未在配置的超时（收集微服务中每个命令为 5 分钟）内完成任务	{   "命令":"显示版本",   "状态": "失败",   "命令响应": "",   "错误消息":"操作超时。命令runner任务对设备%s失败，RequestURL: %s。没有进度详细信息。” }
如果Command Runner Task失败，并且Cisco DNA Center提交的任务的文件ID为空	{   "命令":"显示版本",   "状态": "失败",   "命令响应": "",   "errorMessage": "命令runner任务对设备%s失败，请求URL: %s。文件ID为空。" }
如果Command Runner Task失败，并且Cisco DNA Center未返回文件ID标记	{   "命令":"显示版本",   "状态": "失败",   "命令响应": "",   "errorMessage": "命令runner任务对设备%s失败，请求URL: %s。没有文件ID详细信息。" }
如果设备不符合执行命令运行器的条件	{     "命令":"配置寻呼禁用",     "状态": "失败",     "命令响应": "",     "errorMessage": "请求的设备不在资产中，请尝试使用资产中的其他设备"   }
如果为用户禁用了命令运行器	{ "命令":"显示版本", "状态": "失败", "命令响应": "", "错误消息": "{\"消息\":\"角色没有访问API\"}\n的有效权限" }

诊断扫描失败响应

扫描失败和原因可能来自列出的任何组件。

用户从门户启动扫描时，有时会出现“failed: Internal server error”（失败：内部服务器错误）。

问题的原因是所列组件之一

• 控制点
• 网络数据网关
• 连接器
• 诊断扫描
• CX Cloud Agent 微服务 [devicemanager, collection]
• Cisco DNA Center
• APIX
• Mashery
• Ping 访问
• IRONBANK
• IRONBANK GW
• 大数据代理(BDB) 

要查看日志，请执行以下操作：

1. 登录到CX云代理控制台。
2. 执行 kubectl get pods .
3. 获取集合、连接器及可维护性的Pod名称。
4. 验证收集、连接器和可维护性微服务日志。

• 执行  kubectl logs
• 执行 kubectl logs
• 执行 kubectl logs

下表显示了由于组件问题/限制所导致的“收集微服务和可服务性微服务日志”下看到的错误片段。

使用案例	收集微服务中的日志片段
可以访问和支持设备，但在该设备上执行的命令在收集微服务上以块形式列出	{   "命令":"配置寻呼禁用",   "状态":"Command_Disabled",   "commandResponse": "命令集合已禁用", }
如果用于扫描的设备不可用。 在入口、诊断扫描、CX组件和Cisco DNA Center等组件之间出现同步问题的情况下发生	未找到id为02eb08be-b13f-4d25-9d63-eaf4e882f71a的设备
如果尝试进行扫描的设备繁忙（在场景中），则同一设备是其他作业的一部分，并且不会处理来自Cisco DNA Center的设备的并行请求	其他会话中的命令运行程序已查询所有请求的设备。请尝试其他设备
如果不支持对设备进行扫描	请求的设备不在资产中，请尝试使用资产中可用的其他设备
如果尝试进行扫描的设备无法访问	"执行命令时出错： show udi\n连接到设备[Host: x.x.x.x:22]没有到主机的路由：没有到主机的路由
如果无法从 Cloud Agent 访问 Cisco DNA Center，或者 Cloud Agent 的收集微服务在 Cisco DNA Center 发出命令运行器请求时未收到任何响应	{   "命令":"显示版本",   "状态": "失败",   "命令响应": "",   "errorMessage": "命令runner任务对设备%s失败，请求URL: %s。" }

使用案例	控制点代理微服务中的日志片段
如果扫描请求缺少计划详细信息	未能执行请求 {"message":"23502：列\"schedule\"中的空值违反了非null约束"}
如果扫描请求缺少设备详细信息	无法创建扫描策略。请求中没有有效设备
如果与 CPA 之间的连接断开	未能执行请求
如果请求的扫描设备在诊断扫描中不可用	无法提交要扫描的请求。原因= {\"消息\":\"未找到主机名=x.x.x.x'的设备\"}