此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文档包括用户使用CX云代理时可能会遇到的常见问题和故障排除方案。
A. 是,对于某些特定部署方案,重定向至cloudfront.net 是预期的. O如果在端口443上为这些FQDN启用了重定向,应允许非绑定访问。
A.是
A. OVA和VHD
A. 对于OVA
对于VHD
A.是,检测到IP配置期间的IP地址分配。但是,不支持将来CX云代理预期的IP地址更改。建议客户在其DHCP环境中为CX云代理保留IP。
A.否,仅支持IPV4。
A.是,验证IP地址语法和重复IP地址分配。
答:OVA部署取决于网络复制数据的速度。IP配置(包括Kubernetes和容器创建)大约需要8-10分钟。
A.部署OVA的主机必须满足作为CX门户设置的一部分提供的要求。CX Cloud Agent在硬件上运行VMware/Virtual box的情况下接受测试,该硬件配置有Intel Xeon E5处理器,且vCPU与CPU的比例设置为2:1。如果使用性能较低的处理器CPU或较大的比率,性能可能会下降。
A.否,只能在CX云代理未注册时生成配对代码。
答:当CX云代理和Cisco Catalyst Center在客户环境中的同一个LAN/WAN网络中时,带宽不是限制因素。对于5000台设备的资产收集以及Cisco Catalyst Center代理连接的13000个接入点,所需的最低网络带宽为2.7Mb/秒。如果为第2级见解收集系统日志,则最低要求带宽为3.5 Mb/秒涵盖5000台设备,其中13000个无线接入点用于库存,5000台设备系统日志和2000台设备用于扫描-所有这些设备都从CX云代理并行运行。
A.可以从本地VM登录使用以下两条路径访问代理VM的Syslog:
/var/log/syslog.1(通过cxcadmin和cxcroot登录访问)
/var/log/syslog(使用root访问)
A.此处显示的是列出的CX云代理的已发布版本集:
其中A是分布在3-5年的长期释放。
A.要查找并升级到最新的CX云代理,请执行以下操作:
A. cxcadmin。
A.口令是在网络配置过程中设置的。
A. CX云代理不提供特定选项来重置密码,但可以使用Linux命令来重置cxcadmin的密码。
A.密码策略是:
A.要确认SSH的可达性,请执行以下操作:
Iptables -A OUTPUT -p tcp -m tcp —dport 22 -j接受
要在CX云代理中禁用上面启用的SSH端口,请执行以下操作:
iptables -L输出—line-number | grep dpt | grep ssh | awk“{print $1}”
iptables -L OUTPUT <行号>
A.要确认SNMP可达性,请执行以下操作:
iptables -A输出-p udp -m udp —dport 161 -j接受
iptables -A输出-p udp -m udp —dport 161 -j接受
snmpwalk -v2c -c cisco IPADDRESS
要在CX云代理中禁用上面启用的SNMP端口,请执行以下操作:
iptables -L输出—line-number | grep dpt | grep ssh | awk“{print $1}”
iptables -L OUTPUT <行号2数字>
iptables -L OUTPUT <行号1数字>
A.要设置Grub口令,请执行以下操作:
A.密码将在90天后过期。
A.是,该帐户在连续五(5)次失败尝试后被禁用。锁定时间为 30 分钟。
A.要生成口令,请执行以下操作:
A.是,但要使用主机名,用户必须在网络配置期间提供域名服务器(DNS) IP。
A.支持以下密码:
A.登录:
A.是,它们作为“var/logs/audit/audit.log”文件的一部分记录。
A.如果CX云代理空闲五(5)分钟,则会发生SSH会话超时。
A.提供以下端口:
美洲地区 |
欧洲、中东和非洲 |
亚太地区 |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud |
agent.emea.csco.cloud |
agent.apjc.csco.cloud |
ng.acs.agent.us.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
注意:除了列出的域外,当EMEA或APJC客户重新安装CX云代理时,客户防火墙中必须允许agent.us.csco.cloud域。
成功重新安装后,不再需要agent.us.csco.cloud域。
注意:请确保端口443上必须允许返回流量。
Inbound port
:对于CX云代理的本地管理,必须可以访问514(系统日志)和22 (ssh)。客户必须允许其防火墙中的端口443从CX云接收数据。答:Cisco Catalyst Center是管理客户端网络设备的云代理。CX云代理从已配置的Cisco Catalyst Center收集设备资产信息,并上传CX云的资产视图中可用的资产信息。
答:在“第0天- CX云代理”设置期间,用户可以从CX云门户添加Cisco Catalyst Center详细信息。在第N天运营期间,用户可以从Admin Settings > Data Source
添加其他Cisco Catalyst中心。
答:可以添加十(10)个Cisco Catalyst Center集群或20个Cisco Catalyst Center非集群。
A.要从CX云代理中删除已连接的Cisco Catalyst中心,请联系技术支持中心(TAC),从CX云门户提交支持案例。
A.用户角色可以是管理员或观察员。
A.从CX云代理控制台执行cxcli agent modifyController命令:
在Cisco Catalyst Center凭证更新期间,如有任何问题,请联系支持部门。
答:所有数据,包括CX云代理连接控制器(例如,Cisco Catalyst Center)和直接连接的资产(例如,通过种子文件、IP范围)的凭证,使用AES-256进行加密,并存储在CX云代理数据库中,该数据库使用安全的用户ID和密码进行保护。
A.是,CX云代理无法处理更大子网IP范围的发现操作。Cisco建议使用最小的子网范围,IP地址限制为10,000个。
答:思科建议不要使用公有IP子网,原因如下:
如果仅将公共IP子网分配给客户组织并通过客户网络进行设置,则可以使用该IP子网。
答:只有在客户网络发生变化时(例如,在网络中添加或删除设备后),才应执行重新发现操作。
A.工作流程如下:
A.基于TLS 1.2的HTTPS用于Cisco Catalyst Center和CX云代理之间的通信。
答: CX云代理从Cisco Catalyst Center收集有关网络设备的数据,并使用Cisco Catalyst Center命令运行程序界面与终端设备对话并执行CLI命令(show命令)。 不执行配置更改命令。
A.
A.有关详细信息,请参阅本文档。
答: CX云代理通过TLS 1.2协议将资产数据上传到思科后端服务器。
A.根据用户定义的计划触发收集,并将其上传到思科后端。
答:是,管理中心>数据源中提供了一个选项可以修改计划信息。
A.超时分类如下:
A.在扫描过程中,动态确定需要在扫描设备上执行的命令。命令集可以随时间变化,即使对于同一设备(而不是控制诊断扫描)也是如此。
A.扫描结果在思科后端存储和分析。
A.否,重复项将被过滤,以便只提取唯一设备。
A.设备扫描完全停止并标记为不成功。
A.同时执行多个诊断扫描可能会减慢扫描过程,并可能导致扫描失败。思科建议安排诊断扫描或启动按需扫描,这些扫描应至少间隔6-7小时,这样它们就不会重叠。
A.应用日志、Pod状态、Cisco Catalyst Center详细信息、审核日志、系统详细信息和硬件详细信息。
A.输出示例:
system_details":{
"os_details":{
"containerRuntimeVersion":"docker://19.3.12",
"内核版本":"5.4.0-47-generic",
"kubeProxyVersion":"v1.15.12",
"库贝莱版本":"v1.15.12",
"计算机ID":"81edd7df1c1145e7bcc1ab4fe778615f",
"操作系统":"linux",
"osImage":"Ubuntu 20.04.1 LTS",
"systemUUID":"42002151-4131-2ad8-4443-8682911bdadb"
},
"hardware_details":{
"total_cpu":"8",
"cpu_utilization":"12.5%",
"总内存":"16007MB",
"可用内存":"9994MB",
"硬盘大小":"214G",
"free_hdd_size":"202G"
}
}
}
答:通过CX云代理,运行状况服务(可服务性)将数据流传输到思科后端。
A. CX云代理的运行状况数据日志保留策略在后端为120天。
A.
问题:无法访问已配置的IP。
解决方案:使用配置的IP执行ssh。如果连接超时,可能原因是IP配置错误。在这种情况下,请通过配置有效的 IP 重新安装。这可以通过门户完成,在Admin Center
页面中提供了重新安装选项。
问题:如何在注册后验证服务是否启动并正常运行?
解决方案:按照以下步骤确认Pod已启动并正在运行:
Pod可以处于任何状态(正在运行、初始化或容器创建)。20分钟后,Pod必须处于运行状态。
如果状态未运行或Pod正在初始化,请使用kubectl describe pod <podname>命令检查Pod描述。
输出中将包含有关Pod状态的信息。
问题:如何验证是否在客户代理上禁用了SSL拦截器?
解决方案:执行此处所示的curl命令以验证服务器证书部分。 响应包含concsoweb服务器的证书详细信息。
curl -v —header 'Authorization: Basic xxxxxx' https://concsoweb-prd.cisco.com/
* 服务器证书:
* 主题:C=US;ST=California;L=San Jose;O=Cisco Systems, Inc.;CN=concsoweb-prd.cisco.com
* 开始日期:2月16日11:55:11 2021 GMT
* 到期日期:2月16日12:05:00 2022 GMT
* subjectAltName:主机“concsoweb-prd.cisco.com”与证书的“concsoweb-prd.cisco.com”匹配
* 颁发机构:C=US;O=HydrantID (Avalanche Cloud Corporation);CN=HydrantID SSL CA G3
* SSL证书验证正常。
> GET / HTTP/1.1
问题: kubectl命令失败,并显示错误“The connection to the server X.X.X.X:6443 was refused - do you specify the right host or port”(与服务器X.X.X.X:6443的连接被拒绝-您指定的主机或端口是否正确)
解决方案:
问题:如何获取命令/设备的收集故障的详细信息?
解决方案:
问题: kubectl command not working with error "[authentication.go:64] Unable to authenticate the request due to an error: [x509: certificate has expired or is not yet valid, x509: certificate has expired or is not yet valid]"
解决方案:以cxcroot用户身份运行此处显示的命令
rm /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3
kubectl —insecure-skip-tls-verify=true delete secret -n kube-system k3s-serving
systemctl restart k3
收集失败原因可能是控制器中添加的控制器或设备出现了任何限制或问题。
此处显示的表包含收集过程中在收集微服务下看到的使用案例的错误代码段。
使用案例 |
收集微服务中的日志片段 |
如果未在Cisco Catalyst Center中找到请求的设备 |
{ |
如果从Cisco Catalyst Center无法访问请求的设备 |
{ |
如果从Cisco Catalyst Center无法访问请求的设备 |
{ |
如果请求的命令在设备中不可用 |
{ |
如果请求的设备没有SSHv2,并且Cisco Catalyst Center尝试使用SSHv2连接设备 |
{ |
如果在收集微服务中禁用了命令 |
{ |
如果Command Runner Task失败,并且Cisco Catalyst Center未返回任务URL |
{ |
如果在Cisco Catalyst Center中创建Command Runner任务失败 |
{ |
如果收集微服务没有收到来自Cisco Catalyst Center的Command Runner请求的响应 |
{ |
如果Cisco Catalyst Center未在配置的超时时间内完成任务(在收集微服务中,每个命令需要5分钟) |
{ |
如果Command Runner Task失败,并且Cisco Catalyst Center提交的任务的文件ID为空 |
{ |
如果Command Runner任务失败,并且Cisco Catalyst Center未返回文件ID标记 |
{ |
如果设备不符合执行命令运行器的条件 |
{ |
如果为用户禁用了命令运行器 |
{ |
扫描失败和原因可能来自列出的任何组件。
用户从门户启动扫描时,有时会出现“失败:内部服务器错误”(failed: Internal server error)。
此问题的原因是列出的组件之一
要查看日志,请执行以下操作:
下表显示在收集微服务日志和可服务性微服务日志下由于组件问题/限制而出现的错误片段。
使用案例 |
收集微服务中的日志片段 |
设备可以访问和受支持,但在该设备上执行的命令在收集微服务上以块形式列出 |
{ |
如果扫描设备不可用。 在存在同步问题的情况下发生,如门户、诊断扫描、CX组件和Cisco Catalyst Center |
找不到id为02eb08be-b13f-4d25-9d63-eaf4e882f71a的设备 |
如果尝试进行扫描的设备处于忙碌状态(在某种情况下),则同一设备是其他作业的一部分,并且没有为该设备处理Cisco Catalyst Center的并行请求 |
其他会话中的命令运行程序已在查询所有请求的设备。请尝试其他设备 |
如果不支持对设备进行扫描 |
请求的设备不在资产中,请尝试使用资产中可用的其他设备 |
如果尝试扫描的设备无法访问 |
“执行命令时出错: show udi\n连接到设备时出错[主机:x.x.x.x:22]没有到主机的路由:没有到主机的路由 |
如果无法从云代理访问Cisco Catalyst Center,或者云代理的收集微服务未从Cisco Catalyst Center接收对Command Runner请求的响应 |
{ |
使用案例 |
控制点代理微服务中的日志片段 |
如果扫描请求缺少计划详细信息 |
未能执行请求 |
如果扫描请求缺少设备详细信息 |
未能创建扫描策略。请求中没有有效设备 |
如果与 CPA 之间的连接断开 |
未能执行请求 |
如果请求的扫描设备在诊断扫描中不可用 |
无法提交请求进行扫描。原因= {\"message\":\"未找到主机名=x.x.x.x'的设备\"} |
版本 | 发布日期 | 备注 |
---|---|---|
3.0 |
26-Sep-2024 |
更新了文档,以反映Cisco DNA Center名称更改为Cisco Catalyst Center。 |
2.0 |
25-Jul-2024 |
为v2.4增加了新的问答 |
1.0 |
31-Oct-2022 |
初始版本 |