CX云代理常见问题和故障排除指南

简介

本文档包含用户使用CX云代理时可能遇到的常见问题和故障排除场景。

部署

问：在连接到CX Cloud后端域时，是否预期会将URL重定向到cloudfront.net?

答：是，对于某些特定部署方案，预计会重定向到cloudfront.net。如果在端口443上为这些FQDN启用了重定向，应允许非绑定访问。

问：使用“重新安装”选项，用户能否使用新的IP地址部署新的CX云代理？

A.是

问：安装可以使用哪些文件格式？

A. OVA和VHD

问：可以在哪个环境中部署可安装？

A.OVA

• VMWare ESXi版本5.5或更高版本
• Oracle Virtual Box 5.2.30或更高版本

对于VHD

• Windows虚拟机监控程序2012到2016

问： CX云代理能否在DHCP环境中检测IP地址？

A.是，检测到IP配置期间的IP地址分配。但是，不支持将来CX云代理的IP地址更改。建议客户在其DHCP环境中为CX云代理保留IP。

问： CX云代理是否同时支持IPv4和IPv6配置？

A.否，仅支持IPV4。

问：在IP配置过程中，是否验证了IP地址？

A.是,IP地址语法和重复的IP地址分配已验证。

问：OVA部署和IP配置需要多长时间？

答：OVA部署取决于网络复制数据的速度。IP配置大约需要8-10分钟，包括创建Kubernetes和容器。

问：任何硬件类型是否有任何限制？

A.部署OVA的主机必须满足作为CX门户设置的一部分提供的要求。CX Cloud Agent是在运行在Intel Xeon E5处理器硬件上的VMware/Virtual机箱上测试的，Intel Xeon E5处理器的vCPU比设置为2:1。如果使用的处理器CPU比功能更弱或更大，性能可能会下降。

配对代码能随时生成吗？

答：否，仅当未注册CX云代理时才能生成配对代码。

问：Cisco Catalyst Centers（适用于最多10个集群或20个非集群）和CX云代理之间的带宽要求是什么？

答：当CX云代理和Cisco Catalyst Center在客户环境中的同一个LAN/WAN网络中时，带宽不是限制因素。对于5000台设备的资产收集，最低网络带宽要求为2.7Mbit/秒，对于代理程序到Cisco Catalyst Center的连接来说，此要求为13000个接入点。如果为第2级洞察收集系统日志，则最低所需带宽为3.5 Mbits/sec，可为5000台设备提供+13000个用于库存的接入点、5000台设备提供系统日志，并为2000台设备提供扫描支持 — 所有设备都从CX云代理并行运行。

问：如何访问代理系统日志以监控CX云代理虚拟机(VM)?

A.可使用以下两条路径从本地VM登录访问Agent VM的系统日志：

/var/log/syslog.1（通过cxcadmin和cxcroot登录访问）

/var/log/syslog（使用根访问）

版本和补丁

问：为CX云代理的升级列出了哪些不同类型的版本?

A.此处显示列出的CX云代理的已发布版本集：

• A.x.0（其中 x 是最新的生产主功能版本，示例：1.3.0）
• A.x.y(其中A.x.0是强制升级和要启动的增量升级，x是最新生产主要功能版本，y是最新升级补丁程序，例如：1.3.1）
• A.x.y-z(其中A.x.0是必须启动的增量升级，x是最新生产主要功能版本，y是最新实时升级补丁，z是即时修复的即时补丁，时间跨度非常短，例如：1.3.1-1）

其中A是长期释放，跨度为3-5年。

问：在哪里可以找到最新发布的CX云代理版本，以及如何升级现有的CX云代理？

A.要找到并升级到最新的CX云代理，请执行以下操作：

1. 登录到CX云门户并导航到Admin Center。“数据源”窗口打开。
2. 选择CX Cloud Agent以打开详细信息视图，然后单击Software选项卡。
3. 从Choose a software version to upgrade to下拉列表中进行选择，然后单击Install Update。

身份验证和代理配置

问： CX云代理应用的默认用户是什么？

A. cxcadmin。

问：如何为默认用户设置密码？

A.在网络配置期间设置密码。

问：是否有0天后重置密码的选项？

A. CX云代理未提供特定选项来重置密码，但您可以使用Linux命令来重置cxcadmin的密码。

问：配置CX云代理的密码策略是什么？

A.密码策略如下：

• 最大老化时间（长度）设置为90天
• 最短使用期限（长度）设置为8天
• 最大长度为127个字符
• 必须至少包含一个大写和一个小写字符
• 必须至少包含一个特殊字符(例如，!$%^&*()_+|~-=\'{}[]:";'<>?,/)
• 不允许使用以下字符
• 特殊的8位字符(例如，¬ å£、√A √´、√¥、√¬ø、√ü)
• 空格
• 不得是最近使用的最后10个密码
• 不得包含正则表达式
• 不得含有下列词语或衍生物：cisco、sanjose和sanfran

问：如何确认安全外壳(SSH)可以从CX云代理访问设备？

A.要确认SSH可达性，请执行以下操作：

1. 以cxcroot用户身份登录。
2. 执行以下命令以启用Iptables中的SSH端口：

     Iptables -A OUTPUT -p tcp -m tcp —dport 22 -j ACCEPT

3. 执行以下命令以确认SSH可达性：

     ssh user@ip-address：端口

要在CX云代理中禁用以上启用的SSH端口，请执行以下操作：

1. 执行以下命令获取iptables中启用的SSH端口的线路号：

     iptables -L OUTPUT —line-number | grep dpt | grep ssh | awk“{print $1}”

2. 执行以下命令删除获得的线路编号：

     iptables -L OUTPUT <行号>

问：如何确认从CX云代理到设备的SNMP可访问性？

A.要确认SNMP可达性，请执行以下操作：

1. 以cxcroot用户身份登录。
2. 执行以下命令以启用Iptables中的SNMP端口：

      iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT

      iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT

3. 执行以下snmpwalk/snmpget命令以确认SNMP可达性：

      snmpwalk -v2c -c cisco IPADDRESS

要在CX云代理中禁用以上启用的SNMP端口，请执行以下操作：

1. 执行以下命令获取启用的SNMP端口的线路号（两个线路号作为响应生成）：

iptables -L OUTPUT —line-number | grep dpt | grep ssh | awk“{print $1}”

2. 执行以下命令以删除行号（按降序排列）:

iptables -L OUTPUT <行号2编号>

iptables -L OUTPUT <Line number 1 Number>

问：如何设置Grub密码？

A.要设置Grub密码，请执行以下操作：

1. 以cxcroot身份运行.ssh并提供令牌[请与支持团队联系以获取cxcroot令牌]。
2. 执行sudo su，以提供相同的令牌。
3. 执行grub-mkpasswd-pbkdf2命令并设置Grub密码。系统将输出所提供密码的散列，请复制该内容。
4. vi 到文件 /etc/grub.d/00_header。 
5. 导航到文件末尾，将散列输出替换为content password_pbkdf2根*****，使用在步骤3中获取的密码的已获取散列。
6. 使用命令：wq！保存文件。
7. 执行update-grub命令。

问： cxcadmin密码的到期期限是多长？

A.密码将在90天后过期。

问：在连续不成功的登录尝试后，系统是否禁用该帐户？

A.是，该帐户在连续五(5)次失败尝试后被禁用。锁定时间为 30 分钟。

问：如何生成口令？

A.要生成口令，请执行以下操作：

1. 运行.ssh并以cxcadmin用户身份登录。
2. 执行remoteaccount cleanup -f命令。
3. 执行remoteaccount create命令。

问：代理主机是否同时支持主机名和IP?

答：是，但要使用主机名，用户必须在网络配置过程中提供域名服务器(DNS)IP。

Secure Shell (SSH)

问： ssh shell支持哪些密码？

A.支持以下密码：

• chacha20-poly1305@openssh.com
• aes256-gcm@openssh.com
• aes128-gcm@openssh.com
• aes256-ctr
• aes192-ctr
• aes128-ctr

问：如何登录到控制台？

A.登录：

1. 以cxcadmin用户身份登录
2. 提供cxcadmin密码

问：是否记录了SSH登录？

A.是，它们作为“var/logs/audit/audit.log”的一部分登录。文件

问：空闲会话超时是多少？

答：如果CX云代理空闲五(5)分钟，则会发生SSH会话超时。

端口和服务

问： CX云代理上哪些端口保持打开状态？

A.以下端口可用：

• 出站端口：部署的CX云代理可以连接到HTTPS端口443上表所示的思科后端，也可以通过代理将数据发送到思科，如下表所示。部署的CX云代理可以连接到HTTPS端口443上的Cisco Catalyst Center。

注意：除了列出的域外，当EMEA或APJC客户重新安装CX云代理时，客户防火墙中必须允许agent.us.csco.cloud域。
成功重新安装后不再需要agent.us.csco.cloud域。

注意：确保在端口443上必须允许返回流量。

• Inbound port:对于CX云代理的本地管理，必须可以访问514(Syslog)和22(ssh)。客户必须允许其防火墙中的端口443从CX云接收数据。

与Cisco Catalyst Center和其他资产的CX云代理连接

问：Cisco Catalyst Center与CX云代理的用途和关系是什么？

A.  Cisco Catalyst Center是云代理，用于管理客户驻地网络设备。CX云代理从已配置的Cisco Catalyst Center收集设备资产信息，并上传CX云的资产视图中可用的资产信息。

问：用户可以在何处提供有关CX云代理的Cisco Catalyst Center详细信息？

答：在第0天 — CX云代理设置期间，用户可以从CX云门户添加Cisco Catalyst Center详细信息。在第N天运营期间，用户可以从添加额外的Cisco Catalyst中心Admin Settings > Data Source。

问：可以添加多少个Cisco Catalyst中心？

答：可以添加十(10)个Cisco Catalyst Center集群或20个Cisco Catalyst Center非集群。

问：如何从CX云代理中删除已连接的Cisco Catalyst Center? 

答.要从CX云代理中删除已连接的Cisco Catalyst Center，请联系技术支持中心(TAC)，从CX云门户提交支持案例。

问： Cisco Catalyst Center用户可担任什么角色？

A.用户角色可以是管理员或观察员。

问：由于连接的Cisco Catalyst Center凭证发生更改，CX云代理中如何反映修改?

A.从CX云代理控制台执行cxcli agent modifyController命令：

    在Cisco Catalyst Center凭证更新期间出现任何问题，请联系支持部门。

问：Cisco Catalyst Center和种子文件资产详细信息如何存储在CX云代理中？

A.所有数据，包括CX云代理连接控制器(例如，Cisco Catalyst Center)和直接连接资产(例如，通过种子文件、IP范围)的凭证，都使用AES-256进行加密，并存储在CX云代理数据库中，CX云代理数据库使用安全的用户ID和密码进行保护。

问：添加其他资产时，输入IP范围是否存在任何限制？

A.是，CX云代理无法处理更大子网IP范围的发现操作。Cisco建议使用最小的子网范围，限制为10,000个IP地址。

问：公共子网能否用于集群和服务自定义子网的CX云代理v2.4部署？

答：出于以下原因，思科建议不要使用公有IP子网：

• 存在安全风险:公有IP地址将群集和服务暴露在互联网中，增加了未经授权的访问、攻击和潜在数据泄露的风险。
• IP地址冲突:使用公有IP子网可能会导致IP冲突，尤其是当同一IP地址被分配到Internet的其他地方时，会导致连接问题和意外行为。
• 网络配置的复杂性:处理公有IP地址时，网络策略、防火墙规则和路由的管理会变得更加复杂。这可能会导致配置错误和增加维护开销。

如果公有IP子网仅分配给客户组织并通过客户网络进行设置，则可以使用公有IP子网。

问：重新发现操作的启动频率如何？

答：只有在客户网络发生变化时（例如，在网络中添加或删除设备后），才应执行重新发现操作。

问：上传种子文件时，添加“其他资产作为数据源”的工作流程是什么？

A.工作流程如下：

1. 将种子文件上传到CX云。
2. 种子文件临时存储在Cisco Cloud AWS S3存储桶中（启用SSE加密）。
3. 种子文件被推送到CX云代理，种子文件将从S3存储桶中删除
4. CX云代理处理种子文件条目并使用AES 256密钥加密凭证（此密钥对于每个CX云代理是唯一的）。 这些加密凭据存储在CX云代理数据库中。
5. 处理种子文件条目后，将从CX云代理中删除种子文件。

问：从CX云代理访问Cisco Catalyst Center API时使用哪种加密？

A.基于TLS 1.2的HTTPS用于Cisco Catalyst Center和CX云代理之间的通信。

问：CX云代理在集成的Cisco Catalyst Center云代理上执行哪些操作？

答： CX云代理从Cisco Catalyst Center收集有关网络设备的数据，并使用Cisco Catalyst Center命令运行程序界面与终端设备通信并执行CLI命令（show命令）。不执行任何配置更改命令。

问：从Cisco Catalyst Center收集哪些默认数据并上传到后端？

A. 

• 网络实体
• 模块
• show version
• config
• 设备映像信息
• 标签

问：从Cisco Catalyst Center收集并上传到思科后端的数据还有哪些？

A.有关详细信息，请参阅本文档。 

问：如何将库存数据上传到后端？

A. CX云代理通过TLS 1.2协议将资产数据上传到思科后端服务器。

问：库存上传的频率是多少？

A.根据用户定义的计划触发收集，并将其上传到思科后端。 

问：用户能否重新计划库存？

答：是，在管理中心>数据源中有一个选项可以修改计划信息。

问：Cisco Catalyst Center和Cloud Agent之间的连接何时超时？

A.超时划分如下：

• 对于初始连接，超时最大为300秒。如果在Cisco Catalyst Center和Cloud Agent之间最多五(5)分钟内未建立连接，则连接终止。
• 对于周期性的典型连接或更新：响应超时为 1800 秒。如果未收到响应或者在30分钟内无法读取，连接将终止。

问：使用CX代理时，业务关键服务(BCS)和生命周期服务(LCS)报告是否包括Catalyst Center管理的所有设备？

A.不，有一个已知的限制。当CX代理连接到Catalyst Center并配置为BCS和LCS时，报告可能未完全覆盖Catalyst Center管理的设备，从而导致报告不完整。

CX Cloud Agent 使用的诊断扫描

问：设备上执行了哪些扫描命令？

A.  在扫描过程中，动态确定需要在扫描设备上执行的命令。该组命令可以随时间而更改，即使对于同一设备也是如此（并且不能控制诊断扫描）。

问：扫描结果存储在哪里？

A.扫描结果在思科后端存储并分析。

问：插入Cisco Catalyst Center源时，Cisco Catalyst Center中的重复项（按主机名或IP）是否添加到诊断扫描中？

答：不，过滤重复项，以便仅提取唯一设备。

问：当其中一个命令扫描失败时，会出现什么情况？

A.设备扫描完全停止并标记为不成功。

问：当多个扫描重叠时会发生什么情况？

A.同时执行多个诊断扫描可能会减慢扫描过程并可能导致扫描失败。思科建议安排诊断扫描或启动按需扫描，这些扫描应至少与资产收集计划相隔6-7小时，这样它们就不会重叠。

CX Cloud Agent 系统日志

问：哪些运行状况信息会发送到CX云门户？

A.应用日志、Pod状态、Cisco Catalyst Center详细信息、审核日志、系统详细信息和硬件详细信息。

问：收集了哪些系统详细信息和硬件详细信息？

A.输出示例： 

system_details":{
"os_details":{
"containerRuntimeVersion":"docker://19.3.12",
"内核版本":"5.4.0-47-generic",
"kubeProxyVersion":"v1.15.12",
"kubeletVersion":"v1.15.12",
"machineID":"81edd7df1c1145e7bcc1ab4fe778615f",
"操作系统":"linux",
"osImage":"Ubuntu 20.04.1 LTS",
"systemUUID":"42002151-4131-2ad8-4443-8682911bdadb"
},
"hardware_details":{
"total_cpu":"8",
"cpu_utilization":"12.5%",
"total_memory":"16007MB",
"free_memory":"9994MB",
"hdd_size":"214G",
"free_hdd_size":"202G"
}
}
}

问：如何将运行状况数据发送到后端？

A.使用CX云代理，运行状况服务（可维护性）将数据流传输到思科后端。

问：后端的CX云代理运行状况数据日志保留策略是什么？

A. CX云代理在后端中的运行状况数据日志保留策略为120天。

问：有哪些类型的上传可用？

A. 

1. 库存上传
2. 系统日志上传
3. 代理运行状况上传，包括运行状况上传
   1. 服务运行状况 — 每五(5)分钟
   2. Podlog — 每一(1)小时
   3. 审核日志 — 每一(1)小时

故障排除

问题：无法访问已配置的 IP。

解决方案：使用配置的 IP 执行 ssh。如果连接超时，可能原因是IP配置错误。在这种情况下，请通过配置有效的 IP 重新安装。可通过门户使用页面中提供的重新安装选项执行此Admin Center操作。

问题：如何在注册后验证服务是否启动并运行？

解决方案：按照以下步骤确认Pod已启动并正在运行：

1. 通过SSH连接到已配置的IP作为cxcadmin
2. 提供密码
3. 执行kubectl get pods命令

Pod可以处于任何状态（运行、初始化或容器创建）。 20分钟后，Pod必须处于运行状态。

如果状态未运行或Pod正在初始化，请使用kubectl describe pod <podname>命令检查Pod描述。

输出中将包含有关Pod状态的信息。

问题：如何验证客户代理是否禁用了SSL拦截器？
解决方案：执行此处显示的curl命令以验证服务器证书部分。响应包含concsoweb服务器的证书详细信息。

curl -v —header '授权：Basic xxxxxx' https://concsoweb-prd.cisco.com/

*服务器证书：

*主题：C =美国；ST=加利福尼亚；L=圣荷西；O=思科系统公司；CN=concsoweb-prd.cisco.com

*开始日期：2月16日11:55:11 2021格林尼治标准时

*到期日期：2月16日12:05:00 2022格林尼治标准时

* subjectAltName:主机“concsoweb-prd.cisco.com”与证书的“concsoweb-prd.cisco.com”匹配

*颁发者：C =美国；O=HydrantID(Avalanche Cloud Corporation);CN=HydrantID SSL CA G3

* SSL证书验证正常。

> GET / HTTP/1.1

问题：kubectl命令失败，错误显示为“The connection to the server X.X.X.X:6443 was refused - do you specify the right host or port”
解决方案：

• 请验证资源的可用性。[示例：CPU、内存]。
• 等待 Kubernetes 服务启动.

问题：如何获取命令/设备收集失败的详细信息?

解决方案：

• 执行kubectl get pod并获取集合pod名称。
• 执行kubectl logs <collectionPodName>以获取命令/设备特定的详细信息。

问题：kubectl 命令未执行，并提示错误“[authentication.go:64] 无法对请求进行身份验证，错误：[x509：证书已过期或无效，x509：证书已过期或无效]”

解决方案：以cxcroot用户身份运行此处显示的命令

rm /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3
kubectl —insecure-skip-tls-verify=true delete secret -n kube-system k3s-serving
systemctl restart k3

收集失败响应

收集失败原因可能是控制器中添加的控制器或设备出现了任何限制或问题。

此处显示的表包含收集过程中在“收集微服务”(Collection Microservice)下看到的使用案例的错误代码段。

诊断扫描失败响应

扫描失败和原因可能来自列出的任何组件。

当用户从门户启动扫描时，有时会出现以下情况：“failed:内部服务器错误”。

问题的原因是所列组件之一

• 控制点
• 网络数据网关
• 连接器
• 诊断扫描
• CX Cloud Agent 微服务 [devicemanager, collection]
• 思科Catalyst中心
• APIX
• Mashery
• Ping 访问
• IRONBANK
• IRONBANK GW
• 大数据代理(BDB) 

要查看日志，请执行以下操作：

1. 登录到CX云代理控制台。
2. 执行kubectl get pod。 
3. 获取集合、连接器及可维护性的Pod名称。
4. 验证收集、连接器和可维护性微服务日志。

• 执行kubectl logs <collectionpodname>  
• 执行kubectl logs <connector>
• 执行kubectl logs <servicability>

下表显示了由于组件问题/限制所导致的“收集微服务和可服务性微服务日志”下看到的错误片段。