排除Catalyst Center中WLC 9800無保證資料故障

簡介

本檔案介紹當Catalyst Center未顯示Catalyst 9800系列WLC的任何保證資料時如何進行疑難排解。

必要條件

需求

思科建議您瞭解以下主題：

• Catalyst Center磁懸浮CLI的使用
• 基本Linux基礎
• Catalyst Center和Catalyst 9800平台上的證書知識

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Catalyst Center裝置第2代和第3代，版本2.3.7.7及更高版本
• Catalyst 9800系列無線LAN控制器(WLC)

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

附註：雖然本文是根據2.3.7.9編寫的。3.1.X版本中也提供了此功能。

附註：Catalyst 9800 WLC必須已由Catalyst Center發現並指派給站點，且必須運行相容的Cisco IOS® XE版本。有關互通性的更多詳細資訊，請參閱Catalyst中心相容性表。

背景資訊

在站點分配時，Catalyst Center會將遙測配置推送到SNMP和Syslog配置之上的9800。

附註：此範例來自Catalyst 9800-CL雲端無線LAN控制器。使用實體Catalyst 9800系列裝置時，某些詳細資訊可能會有所不同；X.X.X.X是Catalyst Center企業介面的虛擬IP(VIP)地址，而Y.Y.Y.Y是WLC的管理IP地址。

crypto pki trustpoint sdn-network-infra-iwan
 enrollment pkcs12
 revocation-check crl
 rsakeypair sdn-network-infra-iwan

crypto pki trustpoint DNAC-CA
 enrollment mode ra
 enrollment terminal
 usage ssl-client
 revocation-check crl none
 source interface GigabitEthernet1

crypto pki certificate chain sdn-network-infra-iwan
 certificate 14CFB79EFB61506E
  3082037D 30820265 A0030201 02020814 CFB79EFB 61506E30 0D06092A 864886F7 
  <snip>
        quit

 certificate ca 7C773F9320DC6166
  30820323 3082020B A0030201 0202087C 773F9320 DC616630 0D06092A 864886F7 
  <snip>
        quit

crypto pki certificate chain DNAC-CA
 certificate ca 113070AFD2D12EA443A8858FF1272F2A
  30820396 3082027E A0030201 02021011 3070AFD2 D12EA443 A8858FF1 272F2A30 
  <snip>
        quit

telemetry ietf subscription 1011
 encoding encode-tdl
 filter tdl-uri /services;serviceName=ewlc/wlan_config
 source-address Y.Y.Y.Y
 stream native
 update-policy on-change
 receiver ip address X.X.X.X 25103 protocol tls-native profile sdn-network-infra-iwan

telemetry ietf subscription 1012
<snip - many different "telemetry ietf subscription" sections - which ones depends on 
Cisco IOS® version and Catalyst Center version>

network-assurance enable
network-assurance icap server port 32626
network-assurance url https://X.X.X.X
network-assurance na-certificate PROTOCOL_HTTP X.X.X.X /ca/ pem

在Catalyst Center中排除來自WLC的無保證資料故障

使用WLC360中的保證「故障排除」機器推理引擎(MRE)工具

前往WLC360頁面。在運行狀況旁邊，使用者將看到藍色文本「Troubleshoot」。

按一下它並運行「機器推理引擎」。

允許推理引擎運行至完成。

檢查「Constinations」頁籤，檢視可能存在的問題。如果您收到「結論」中沒有任何問題的完整資訊，請跳至本文檔的入站資料驗證部分。

如果您沒有看到此「Troubleshoot」連結，則可以在GUI的Tools > Network Reasoner頁面上手動運行此工具。查詢「保證遙測分析」工作流程。

結論:裝置連線

評估的資料和核實

首先，前往清點頁面，確保使用WLC的無線管理IP位址管理問題中的WLC。

對於9800裝置：顯示無線介面摘要

對於9800-CL:show ip interfaces brief  | i GigabitEthernet2
附註：假設使用者遵循了部署指南，網址為https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/technical-reference/c9800-cl-dg.html#Introduction

現在，轉到Catalyst Center的Inventory頁。

這將驗證Catalyst Center與此裝置之間存在連線問題。

要排除故障和檢查的專案

IP連線

從主選單轉至System > Settings頁面。然後，在左側橫幅上，轉到「Trust & Privacy」部分，選擇「IP Access Control」。另一種方法是使用全域性搜尋並搜尋「IP Access Control」

請確保此處的設定允許連線到相關裝置。接下來，驗證是否可以通過ICMP到達終端裝置。若要執行此操作，請登入到Catalyst Center的CLI，然後發出命令「ping [IP_Address]」（如以下輸出所示）。

下一個要檢查的專案是Catalyst Center CLI中「traceroute」命令的輸出。

接下來，使用命令「ip -s link show」驗證Catalyst Center上是否沒有鏈路問題 | grep enterprise -A 4英寸

如果介面指標看起來可接受，則下一步是從連線的兩端執行封包擷取(PCAP)。本指南建議在相關裝置上執行第一組PCAP。在本範例中，此處的兩台裝置是9800和具備VIP的Catalyst Center。如果不可能，請儘可能靠近裝置運行PCAP。

如果將資料包傳送到網路，但未通過有線基礎架構，則請調查有線網路是否存在非同步路由、防火牆、NAT和阻止資料包的ACL等情況。解決這些問題後，請重新運行保證「Troubleshoot」 MRE。

結論:裝置「當前不由Catalyst Center管理」

從今天的2.3.7.10起，工作流程輸出可以通知聯絡TAC。在聯絡TAC或確定TAC案例是否為正確的立即行動之前，可以執行某些行動。  首先進入Inventory頁面並找到有問題的裝置；  主選單>設定>庫存。  以下是錯誤配置的SSH密碼的示例

接下來要檢查的專案是「Reachability」狀態不顯示「Unreachable」。 如果顯示「無法連線」或「未知」，請在聯絡TAC之前前往本指南的「裝置連線或憑證失敗」一節。如果顯示「Ping可連線」或「可連線」，則可以繼續排除Catalyst Center使用的憑證故障。  要執行此操作，請按一下您要調查的裝置左側的框，如圖所示。此框將變為藍色並帶有藍色複選標籤。

然後點選「Actions」、「Inventory」，最後點選「Edit Device」，如下所示：

此操作將開啟一個允許您「驗證」此配置的新視窗。有關示例，請參見此螢幕截圖。  

附註：在此頁面上，「使用者名稱」將以明文顯示，而「密碼」不會顯示。相反，Catalyst Center會將密碼顯示為「NO!$DATA!$」。

這是正確憑證的外觀的示例。  參見SNMP和無效憑證，參見CLI和Netconf。

附註：不會以這種方式管理無線接入點(AP)。所有AP資料都將通過WLC。

所有裝置必須使用CLI(SSH)訪問。

對於所有裝置，具有最低只讀訪問許可權的SNMP是強制性的。

9800(基於Cisco IOS® XE)WLC必須使用Netconf。Netconf將為基於Cisco IOS® XE的交換機提供額外的監控，例如PoE儀表板，因此是可選的。基於AireOS或Cisco IOS®的裝置不使用Netconf。 

在更正所有問題並再次運行「Validate」選項後，可以看到以下內容：

解決錯誤後，按一下左下方的「Update」按鈕。完成此操作後，Catalyst Center會將此裝置排隊以進行「同步」。 如果隊列為空，則「同步」將立即啟動，如下所示。

完成此操作後，請返回「Troubleshoot」MRE輸出，檢視是否需要解決其他問題。如果沒有其他資訊，請等待15-20分鐘以檢視最新資訊。如果之後資訊沒有更新，請聯絡TAC獲取進一步幫助。

結論:「DNAC-CA(swim)證書」問題

這裡存在一些可能性：

• 憑證適用於其他Catalyst Center
• 裝置上的「當前日期/時間」超出有效範圍 
• 證書已被替換，裝置正在使用較舊的證書。

請檢視MRE指示的哪一個。在此處，我們可以轉到9800並運行幾個命令以檢視問題是由哪個問題導致的。首先要確定裝置使用的時間和日期，請運行show clock命令。

然後，運行show crypto pki certificates DNAC-CA以上拉DNAC-CA證書的詳細資訊。

首先，將「開始日期」和「結束日期」與裝置所認為的當前日期和時間進行比較。如果結論表明證書不匹配，則將在瀏覽器上拉出證書資訊。序列號必須匹配。這是Chrome中一個匹配證書序列號的示例。

結論:「Serial Number of the sdn-network-infra-iwan certificate」問題

首先，檢驗裝置上的日期是否正確

然後，使用show crypto pki certificates sdn-network-infra-iwan調出sdn-network-infra-iwan證書詳細資訊

為此，請驗證這些有效期是否在裝置認為的日期之內。

接下來轉到Catalyst Center並驗證證書序列號是否匹配。

轉到Main Menu > System > Settings頁面。在該頁面上找到「Device Certificate」頁面。在該頁面上，向下篩選到相關裝置，然後檢查「憑證序列號」是否相符。

如果不匹配，請驗證裝置是否應該位於此處，並且不是由其他Catalyst Center群集管理。如果最近出現故障或證書尚未過期，請聯絡TAC進行進一步的根本原因分析（如果需要）。否則，請轉到「Inventory」頁面，確保裝置是「可訪問」和「受管」的，並帶有綠色複選標籤。如果此頁面上存在問題，請轉至結論：本指南中「當前不由Catalyst Center管理」的裝置並完成說明。

如果所有內容均為綠色且完全受管，則請執行強制遙測更新，請參閱執行「強制」遙測更新部分。

入站資料驗證

通過轉至System > System 360 > Monitor導航至Grafana。這將為Grafana開啟一個新螢幕

然後，按一下左欄中的放大鏡，然後鍵入Device Processor，進入Assurance - Device Processor控制面板

在「每5分鍾接收WLC架構」表中，檢查「內存」編號。此數字與傳送流量的Catalyst 9800(Cisco IOS® XE)WLC的數量相符。

執行「強制」遙測更新

轉到清單，然後選擇更新遙測設定，如下圖所示。