此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文档包含用户使用CX云代理时可能遇到的常见问题和故障排除场景。
A. 是,对于某些特定部署方案,重定向至cloudfront.net 是预期的. O如果在端口443上为这些FQDN启用了重定向,应允许无绑定访问。
A.是
A. OVA和VHD
A. 对于OVA
对于VHD
A.是,检测到IP配置期间的IP地址分配。但是,不支持将来CX云代理的IP地址更改。建议客户在其DHCP环境中为CX云代理保留IP。
A.否,仅支持IPV4。
A.是,IP地址语法和重复的IP地址分配已验证。
答:OVA部署取决于网络复制数据的速度。IP配置大约需要8-10分钟,包括创建Kubernetes和容器。
A.部署OVA的主机必须满足作为CX门户设置的一部分提供的要求。CX Cloud Agent在硬件上运行的VMware/Virtual机箱上进行了测试,该硬件配备Intel Xeon E5处理器,vCPU与CPU的比率设置为2:1。如果使用的处理器CPU功能较弱或占用的比例较大,性能可能会下降。
答:否,仅当未注册CX云代理时才能生成配对代码。
答:当CX云代理和Cisco DNA Center在客户环境中的同一个LAN/WAN网络中时,带宽不是限制条件。对于5000台设备的资产收集,最低网络带宽要求为2.7兆位/秒,对于座席到Cisco DNA Center的连接来说,此要求为13000个接入点。如果为第2级洞察收集系统日志,则最低所需带宽为3.5 Mbits/sec,可为5000台设备提供+13000个用于库存的接入点、5000台设备提供系统日志,并为2000台设备提供扫描支持 — 所有设备都从CX云代理并行运行。
A.可使用以下两条路径从本地VM登录访问Agent VM的系统日志:
/var/log/syslog.1(通过cxcadmin和cxcroot登录访问)
/var/log/syslog(使用根访问)
A.此处显示列出的CX云代理的已发布版本集:
其中A是长期释放,跨度为3-5年。
A.登录到CX云门户。导航到管理员设置>数据源。单击View Update并按照屏幕上的说明进行操作。
A. cxcadmin。
A.在网络配置期间设置密码。
A. CX云代理未提供特定选项来重置密码,但您可以使用Linux命令来重置cxcadmin的密码。
A.密码策略如下:
A.要确认SSH可达性,请执行以下操作:
Iptables -A OUTPUT -p tcp -m tcp —dport 22 -j ACCEPT
要在CX云代理中禁用以上启用的SSH端口,请执行以下操作:
iptables -L OUTPUT —line-number | grep dpt | grep ssh | awk“{print $1}”
iptables -L OUTPUT <行号>
A.要确认SNMP可达性,请执行以下操作:
iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT
iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT
snmpwalk -v2c -c cisco IPADDRESS
要在CX云代理中禁用以上启用的SNMP端口,请执行以下操作:
iptables -L OUTPUT —line-number | grep dpt | grep ssh | awk“{print $1}”
iptables -L OUTPUT <行号2数字>
iptables -L OUTPUT <行号1个数字>
A.要设置Grub密码,请执行以下操作:
A.密码将在90天后过期。
A.是,该帐户在连续五(5)次失败尝试后被禁用。锁定时间为 30 分钟。
A.要生成口令,请执行以下操作:
答:是,但要使用主机名,用户必须在网络配置过程中提供域名服务器(DNS)IP。
A.支持以下密码:
A.登录:
A.是,它们记录为“var/logs/audit/audit.log”文件的一部分。
答:如果CX云代理空闲五(5)分钟,则会发生SSH会话超时。
A.以下端口可用:
美洲地区 |
欧洲、中东和非洲 |
亚太地区 |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud |
agent.emea.csco.cloud |
agent.apjc.csco.cloud |
ng.acs.agent.us.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
注意:除了列出的域外,当EMEA或APJC客户重新安装CX云代理时,客户防火墙中必须允许agent.us.csco.cloud域。
成功重新安装后不再需要agent.us.csco.cloud域。
注:确保端口443上必须允许返回流量。
Inbound port
:对于CX云代理的本地管理,必须可以访问514(Syslog)和22(ssh)。客户必须允许其防火墙中的端口443从CX云接收数据。答:Cisco DNA Center是云代理,用于管理客户驻地网络设备。CX云代理从已配置的Cisco DNA中心收集设备资产信息,并上传CX云的资产视图中可用的资产信息。
答:在第0天 — CX云代理设置期间,用户可以从CX云门户添加Cisco DNA Center详细信息。在第N天运营期间,用户可以从以下位置添加其他思科DNA中心: Admin Settings > Data Source
.
答:可以添加十(10)个Cisco DNA Center集群或20个Cisco DNA Center非集群。
答:要从CX云代理中删除已连接的思科DNA中心,请联系技术支持中心(TAC),以从CX云门户提交支持案例。
A.用户角色可以是管理员或观察员。
A.从CX云代理控制台执行cxcli agent modifyController命令:
在Cisco DNA Center凭证更新期间,如有任何问题,请联系支持部门。
A.所有数据(包括CX云代理连接控制器(例如,Cisco DNA Center)和直接连接资产(例如,通过种子文件、IP范围)的凭证)都使用AES-256进行加密,并存储在CX云代理数据库中,CX云代理数据库使用安全的用户ID和密码进行保护。
A.通过TLS 1.2的HTTPS用于Cisco DNA Center和CX云代理之间的通信。
答:CX云代理从Cisco DNA Center收集有关网络设备的数据,并使用Cisco DNA Center命令runner界面与终端设备通信并执行CLI命令(show命令)。 不执行配置更改命令。
A.
A.有关详细信息,请参阅本文档。
A. CX云代理通过TLS 1.2协议将资产数据上传到思科后端服务器。
A.根据用户定义的计划触发收集,并将其上传到思科后端。
答是,Admin Settings > Data Sources中有一个选项可以修改计划信息。
A.超时划分如下:
A.扫描过程中动态确定需要在扫描设备上执行的命令。该组命令可以随时间而更改,即使对于同一设备也是如此(并且不能控制诊断扫描)。
A.扫描结果在思科后端存储并分析。
答:不,过滤重复项,以便仅提取唯一设备。
A.设备扫描完全停止并标记为不成功。
A.应用日志、Pod状态、Cisco DNA Center详细信息、审核日志、系统详细信息和硬件详细信息。
A.输出示例:
system_details":{
"os_details":{
"containerRuntimeVersion":"docker://19.3.12",
"内核版本":"5.4.0-47-generic",
"kubeProxyVersion":"v1.15.12",
"kubeletVersion":"v1.15.12",
"machineID":"81edd7df1c1145e7bcc1ab4fe778615f",
"操作系统":"linux",
"osImage":"Ubuntu 20.04.1 LTS",
"systemUUID":"42002151-4131-2ad8-4443-8682911bdadb"
},
"hardware_details":{
"total_cpu":"8",
"cpu_utilization":"12.5%",
"total_memory":"16007MB",
"free_memory":"9994MB",
"hdd_size":"214G",
"free_hdd_size":"202G"
}
}
}
A.使用CX云代理,运行状况服务(可维护性)将数据流传输到思科后端。
A. CX云代理在后端中的运行状况数据日志保留策略为120天。
A.
问题:无法访问已配置的IP。
解决方案:使用配置的IP执行ssh。如果连接超时,可能原因是IP配置错误。在这种情况下,请通过配置有效的 IP 重新安装。这可以通过门户完成,其中提供的重新安装选项位于 Admin Settings
页码.
问题:注册后如何验证服务是否启动并运行?
解决方案:按照以下步骤确认Pod已启动且正在运行:
Pod可以处于任何状态(运行、初始化或容器创建)。20分钟后,Pod必须处于运行状态。
如果状态未运行或Pod正在初始化,请使用kubectl describe pod <podname>命令检查Pod描述。
输出中将包含有关Pod状态的信息。
问题:如何验证客户代理上是否禁用了SSL拦截器?
解决方案:执行此处所示的curl命令以验证服务器证书部分。 响应包含concsoweb服务器的证书详细信息。
curl -v —header 'Authorization: Basic xxxxxx' https://concsoweb-prd.cisco.com/
*服务器证书:
*主题:C=US;ST=California;L=San Jose;O=思科系统公司;CN=concsoweb-prd.cisco.com
*开始日期:2016年2月16日11:55:11 2021 GMT
*到期日期:2月16日12:05:00 2022 GMT
* subjectAltName:主机“concsoweb-prd.cisco.com”与证书的“concsoweb-prd.cisco.com”匹配
*颁发机构:C=US;O=HydroantID(Avalanche Cloud Corporation);CN=HydroantID SSL CA G3
* SSL证书验证正常。
> GET / HTTP/1.1
问题:kubectl命令失败,并将错误显示为“The connection to the server X.X.X.X:6443 was refused - do you specify the right host or port”
解决方案:
问题:如何获取命令/设备的收集故障的详细信息?
解决方案:
kubectl get pods
并获取收集 Pod 名称。kubectl logs
获取命令/设备特定的详细信息。问题: kubectl命令不能工作,错误为“[authentication.go:64]由于以下错误无法验证请求: [x509:证书已过期或尚未生效,x509:证书已过期或尚未生效]”
解决方案:以cxcroot用户身份运行此处显示的命令
rm /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3
kubectl —insecure-skip-tls-verify=true delete secret -n kube-system k3s-serving
systemctl restart k3
收集失败原因可能是控制器中添加的控制器或设备出现了任何限制或问题。
此处显示的表包含收集过程中在“收集微服务”(Collection Microservice)下看到的使用案例的错误代码段。
使用案例 |
收集微服务中的日志片段 |
如果在 Cisco DNA Center 未找到请求的设备 |
{ |
如果无法从 Cisco DNA Center 访问请求的设备 |
{ |
如果无法从 Cisco DNA Center 访问请求的设备 |
{ |
如果请求的命令在设备中不可用 |
{ |
如果所请求的设备没有SSHv2,思科DNA中心会尝试使用SSHv2连接设备 |
{ |
如果在收集微服务中禁用了命令 |
{ |
如果命令运行器任务失败且 Cisco DNA Center 未返回任务 URL |
{ |
如果无法在 Cisco DNA Center 创建命令运行器任务 |
{ |
如果收集微服务没有收到来自Cisco DNA Center的命令运行程序请求的响应 |
{ |
如果 Cisco DNA Center 未在配置的超时(收集微服务中每个命令为 5 分钟)内完成任务 |
{ |
如果Command Runner Task失败,并且Cisco DNA Center提交的任务的文件ID为空 |
{ |
如果Command Runner Task失败,并且Cisco DNA Center未返回文件ID标记 |
{ |
如果设备不符合执行命令运行器的条件 |
{ |
如果为用户禁用了命令运行器 |
{ |
扫描失败和原因可能来自列出的任何组件。
用户从门户启动扫描时,有时会出现“failed: Internal server error”(失败:内部服务器错误)。
问题的原因是所列组件之一
要查看日志,请执行以下操作:
kubectl get pods
.kubectl logs
kubectl logs
kubectl logs
下表显示了由于组件问题/限制所导致的“收集微服务和可服务性微服务日志”下看到的错误片段。
使用案例 |
收集微服务中的日志片段 |
可以访问和支持设备,但在该设备上执行的命令在收集微服务上以块形式列出 |
{ |
如果用于扫描的设备不可用。 在入口、诊断扫描、CX组件和Cisco DNA Center等组件之间出现同步问题的情况下发生 |
未找到id为02eb08be-b13f-4d25-9d63-eaf4e882f71a的设备 |
如果尝试进行扫描的设备繁忙(在场景中),则同一设备是其他作业的一部分,并且不会处理来自Cisco DNA Center的设备的并行请求 |
其他会话中的命令运行程序已查询所有请求的设备。请尝试其他设备 |
如果不支持对设备进行扫描 |
请求的设备不在资产中,请尝试使用资产中可用的其他设备 |
如果尝试进行扫描的设备无法访问 |
"执行命令时出错: show udi\n连接到设备[Host: x.x.x.x:22]没有到主机的路由:没有到主机的路由 |
如果无法从 Cloud Agent 访问 Cisco DNA Center,或者 Cloud Agent 的收集微服务在 Cisco DNA Center 发出命令运行器请求时未收到任何响应 |
{ |
使用案例 |
控制点代理微服务中的日志片段 |
如果扫描请求缺少计划详细信息 |
未能执行请求 |
如果扫描请求缺少设备详细信息 |
无法创建扫描策略。请求中没有有效设备 |
如果与 CPA 之间的连接断开 |
未能执行请求 |
如果请求的扫描设备在诊断扫描中不可用 |
无法提交要扫描的请求。原因= {\"消息\":\"未找到主机名=x.x.x.x'的设备\"} |
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
31-Oct-2022 |
初始版本 |