CX雲代理常見問題和故障排除指南
下載選項
無偏見用語
本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
關於此翻譯
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
目錄
簡介
本文檔包括使用者使用CX雲代理時可能遇到的常見問題和故障排除方案。
部署
問:連線到CX Cloud後端域時,是否將URL重定向到cloudfront.net是預期行為?
A. 是,對於某些特定部署方案,重定向至cloudfront.net 是預期的. O在啟用這些FQDN的埠443上的重定向的情況下,應允許未繫結訪問。
問:使用「重新安裝」選項,使用者是否可以使用新的IP地址部署新的CX雲代理?
A.是
問:可以使用哪些檔案格式進行安裝?
A.OVA和VHD
問:可以在哪個環境中部署可安裝軟體?
A. 對於OVA
- VMWare ESXi版本5.5或更高版本
- Oracle Virtual Box 5.2.30或更高版本
適用於VHD
- Windows虛擬機器監控程式2012至2016
問: CX雲代理能否在DHCP環境中檢測IP地址?
A.是,檢測到IP配置期間的IP地址分配。但是,不支援將來CX雲代理的IP地址更改。建議客戶在其DHCP環境中為CX雲代理保留IP。
問: CX雲代理是否同時支援IPv4和IPv6配置?
A.否,僅支援IPV4。
問:在IP配置過程中,是否驗證了IP地址?
A.是,驗證IP地址語法和重複IP地址分配。
問:OVA部署和IP配置需要多長時間?
答:OVA部署取決於網路複製資料的速度。IP配置大約需要8-10分鐘,包括Kubernetes和容器建立。
問:任何硬體型別都有任何限制嗎?
A.部署OVA的主機必須滿足作為CX門戶設定的一部分提供的要求。CX Cloud Agent在硬體上運行的VMware/Virtual機箱上進行了測試,該硬體具有vCPU比2:1的Intel Xeon E5處理器。如果使用效能較低的處理器CPU或較大的比率,效能可能會下降。
可以隨時生成配對代碼嗎?
答:否,僅當未註冊CX雲代理時才能生成配對代碼。
問:思科DNA中心(最多10個集群或20個非集群)與CX雲代理之間的頻寬要求是什麼?
答:當CX雲代理和Cisco DNA中心位於客戶環境中的同一個LAN/WAN網路時,頻寬不是限制條件。對於5000台裝置的資產收集,最低要求網路頻寬為2.7Mbit/秒,對於代理程式到Cisco DNA Center連線的13000個接入點。13000如果為第2級見解收集系統日誌,則對於5000台裝置,最低所需頻寬為3.5 Mbits/秒,其中5000台裝置為清單收集無線接入點,5000台裝置為系統日誌,2000台裝置為掃描收集無線接入點 — 所有裝置都從CX雲代理並行運行。
問:代理程式如何運行 是否可以訪問以監視CX雲代理虛擬機器(VM)?
A.可以使用以下兩條路徑從本地VM登入訪問Agent VM的Syslogs:
/var/log/syslog.1(通過cxcadmin和cxcroot登入訪問)
/var/log/syslog(使用根目錄訪問)
版本與修補程式
問:為CX雲代理的升級列出了哪些不同型別的版本?
A.此處顯示列出的CX雲代理的已發佈版本集:
- A.x.0(其中 x 是最新生產主要功能版本,例如:1.3.0)
- A.x.y(其中A.x.0是強制性的,需要啟動增量升級, x是最新生產主要功能版本, y是最新升級補丁已啟動,例如:1.3.1)
- A.x.y-z(其中A.x.0是必須啟動的增量升級, x是最新生產主要功能版本, y是最新啟用的升級補丁程式, z是即時修復的現場補丁程式,時間跨度非常短,例如:1.3.1-1)
其中A是長期版本,分佈於3到5年。
問:在哪裡可以找到最新發行的CX雲代理版本,以及如何升級現有的CX雲代理?
A.登入到CX雲門戶。導航到Admin Settings>Data Sources。按一下View Update,然後按照螢幕上的說明進行操作。
驗證與 Proxy 組態
問: CX雲代理應用程式的預設使用者是什麼?
A. cxcadmin。
問:如何為預設使用者設定密碼?
A.在網路配置期間設定密碼。
問:是否有0天後重置密碼的選項?
A. CX雲代理未提供特定選項來重置密碼,但您可以使用Linux命令來重置cxcadmin的密碼。
問:配置CX雲代理的密碼策略是什麼?
A.密碼策略為:
- 最大使用期限(長度)設定為90天
- 最短使用期限(長度)設定為8天
- 最大長度為127個字元
- 必須至少包括一個大寫和一個小寫字元
- 必須至少包含一個特殊字元(例如,!$%^&*()_+|~-=\'{}[]:";'<>?,/)
- 不允許使用以下字元
- 特殊的8位字元(例如¬£、√å√´、√¥、√¬ø、√ü)
- Spaces
- 不能是最近使用的最後10個密碼
- 不得包含正規表示式
- 不得包含以下單詞或衍生工具:cisco、sanjose和sanfran
問:如何確認安全外殼(SSH)可以從CX雲代理連線到裝置?
A.確認SSH可達性:
- 以cxcroot使用者身份登入。
- 執行以下命令以啟用Iptables中的SSH埠:
Iptables -A OUTPUT -p tcp -m tcp —dport 22 -j ACCEPT
- 執行以下命令以確認SSH可達性:
要在CX雲代理中禁用以上啟用的SSH埠,請執行以下操作:
- 執行以下命令,獲取iptables中啟用的SSH埠的行號:
iptables -L OUTPUT —line-number | grep dpt | grep ssh | awk「{print $1}」
- 執行以下命令刪除獲得的行號:
iptables -L OUTPUT <行號>
問:如何確認從CX雲代理到裝置的SNMP可訪問性?
A.確認SNMP可達性:
- 以cxcroot使用者身份登入。
- 執行以下命令啟用Iptables中的SNMP埠:
iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT
iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT
- 執行以下snmpwalk/snmpget命令以確認SNMP可達性:
snmpwalk -v2c -c cisco IPADDRESS
要在CX雲代理中禁用以上啟用的SNMP埠,請執行以下操作:
- 執行以下命令以獲取已啟用的SNMP埠的行號(生成兩個行號作為響應):
iptables -L OUTPUT —line-number | grep dpt | grep ssh | awk「{print $1}」
- 執行以下命令以刪除行號(按降序排列):
iptables -L OUTPUT <行號2個數字>
iptables -L OUTPUT <行號1個數字>
如何設定Grub密碼?
A.設定Grub密碼:
- 以cxcroot身份運行.ssh並提供令牌[請與支援團隊聯絡以獲取cxcroot令牌]。
- 執行sudo su以提供相同的令牌。
- 執行grub-mkpasswd-pbkdf2命令並設定Grub密碼。將列印提供之密碼的雜湊,複製該內容。
- vi to the file /etc/grub.d/00_header。
- 導航到檔案末尾,用步驟3中獲取的密碼的已獲取雜湊替換雜湊輸出,後跟內容password_pbkdf2根文*****。
- 使用命令:wq!儲存檔案。
- 執行update-grub命令。
cxcadmin 密碼的過期時間是多少?
A.密碼將在90天後過期。
問:在連續嘗試登入失敗後,系統是否禁用該帳戶?
A.是,該帳戶在連續五(5)次失敗嘗試後被禁用。鎖定期間為 30 分鐘。
如何產生密碼短語?
A.生成密碼短語:
- 運行.ssh並以cxcadmin使用者身份登入
- 執行remoteaccount cleanup -f命令
- 執行remoteaccount create命令
問:代理主機是否同時支援主機名和IP?
答:是,但是要使用主機名,使用者必須在網路配置期間提供域名伺服器(DNS)IP。
安全殼層 SSH
問: ssh shell支援哪些密碼?
A.支持以下密碼:
- chacha20-poly1305@openssh.com
- aes256-gcm@openssh.com
- aes128-gcm@openssh.com
- aes256-ctr
- aes192-ctr
- aes128-ctr
問:如何登入控制檯?
A.登入:
- 以cxcadmin使用者身份登入
- 提供cxcadmin密碼
問:是否記錄了SSH登入?
A.是,它們記錄為「var/logs/audit/audit.log」文件的一部分。
問:什麼是空閒會話超時?
A.如果CX雲代理空閒五(5)分鐘,則會發生SSH會話超時。
連接埠與服務
問: CX雲代理上的哪些埠保持開啟狀態?
A.以下埠可用:
- 出站端口:部署的CX雲代理可以連線到Cisco後端(如HTTPS埠443上的表所示),也可以通過代理將資料傳送到思科(如下表所示)。部署的 CX Cloud Agent 可以在 HTTPS 連接埠 443 連線至 Cisco DNA 中心.
| 美洲 |
歐洲、中東和非洲 |
亞太地區、日本及中國 |
| cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
| api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
| agent.us.csco.cloud |
agent.emea.csco.cloud |
agent.apjc.csco.cloud |
| ng.acs.agent.us.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
注意:除了列出的域外,當EMEA或APJC客戶重新安裝CX雲代理時,客戶防火牆中必須允許agent.us.csco.cloud域。
成功重新安裝後,不再需要agent.us.csco.cloud域。
註:確保埠443上必須允許返回流量。
Inbound port:對於CX雲代理的本地管理,必須可以訪問514(Syslog)和22(ssh)。客戶必須允許其防火牆中的埠443從CX雲接收資料。
CX Cloud Agent 與 Cisco DNA 中心的連線
問:Cisco DNA Center與CX雲代理的用途和關係是什麼?
A. Cisco DNA Center是管理客戶駐地網路裝置的雲代理。CX雲代理從已配置的Cisco DNA中心收集裝置清單資訊,並上傳CX雲的資產檢視中可用的清單資訊。
問:使用者可以在何處提供有關CX雲代理的Cisco DNA Center詳細資訊?
A.在第0天 — CX雲代理設定期間,使用者可以從CX雲門戶新增Cisco DNA Center詳細資訊。在第N天運營期間,使用者可以從以下位置新增其他思科DNA中心: Admin Settings > Data Source.
問:可以新增多少個思科DNA中心?
答:可以新增十(10)個Cisco DNA Center集群或20個Cisco DNA Center非集群。
問:如何從CX雲代理中刪除已連線的Cisco DNA中心?
A.若要從CX雲代理中刪除已連線的Cisco DNA中心,請聯絡技術支援中心(TAC),從CX雲門戶開啟支援案例。
問:Cisco DNA Center使用者可以扮演什麼角色?
A.使用者角色可以是admin或observer。
問:由於連接的DNA中心憑據發生變化,CX雲代理中如何反映修改?
A.從CX雲代理控制台執行cxcli agent modifyController命令:
在Cisco DNA Center憑證更新期間,如有任何問題,請聯絡支援人員。
問:Cisco DNA Center和種子檔案資產詳細資訊如何儲存在CX雲代理中?
A.所有資料(包括CX Cloud Agent連線的控制器(例如Cisco DNA Center)和直連資產(例如,通過種子檔案、IP範圍)的憑證)都使用AES-256進行加密,並儲存在CX Cloud Agent資料庫中,CX Cloud Agent資料庫使用安全的使用者ID和密碼進行保護。
問:從CX雲代理訪問Cisco DNA Center API時使用哪種加密?
A. HTTPS over TLS 1.2用於Cisco DNA Center和CX雲代理之間的通訊。
問:CX雲代理在整合的Cisco DNA中心雲代理上執行哪些操作?
A. CX雲代理從Cisco DNA中心收集有關網路裝置的資料,並使用Cisco DNA Center命令runner介面與終端裝置對話並執行CLI命令(show命令)。 未執行任何設定變更命令。
問:從思科DNA中心收集哪些預設資料並上傳到後端?
A.
- 網路實體
- 模組
- 顯示版本
- 設定
- 裝置影像資訊
- 標記
問:從Cisco DNA Center收集並上傳到Cisco後端的其他資料是什麼?
A.如需詳細資訊,請參閱本檔案。
問:如何將庫存資料上傳到後端?
A. CX雲代理通過TLS 1.2協定將清單資料上傳到思科後端伺服器。
問:清單上傳頻率是多少?
A.收集根據使用者定義的計畫觸發,並上傳到思科後端。
問:使用者能否重新計畫庫存?
答是,Admin Settings > Data Sources中有一個選項可以修改計畫資訊。
問:Cisco DNA Center和雲代理之間的連線何時超時?
A.超時分類如下:
- 對於初始連線,超時時間最長300秒。如果在最多五(5)分鐘內未在Cisco DNA Center和雲代理之間建立連線,則連線終止。
- 對於循環、典型或更新:響應超時為1800秒。如果未收到響應或者在30分鐘內無法讀取,連線將終止。
CX Cloud Agent 使用的診斷掃描
問:在裝置上執行了哪些掃描命令?
A.在掃描過程中,動態確定需要在掃描裝置上執行的命令。即使對於同一裝置(而不是對診斷掃描進行控制),命令集也可能會隨著時間而變化。
問:掃描結果在哪裡儲存和描述?
A.掃描的結果儲存在思科後端並加以分析。
問:Cisco DNA Center中的重複項(按主機名或IP劃分)是否在Cisco DNA Center源插入時新增到診斷掃描中?
A.否,過濾重複項,以便僅提取唯一裝置。
如果其中一個命令掃描失敗,會出現什麼情況?
A.裝置掃描完全停止並標籤為不成功。
CX Cloud Agent 系統日誌
問:向CX雲門戶傳送了哪些運行狀況資訊?
A.應用日誌、Pod狀態、Cisco DNA Center詳細資訊、稽核日誌、系統詳細資訊和硬體詳細資訊。
問:收集了哪些系統詳細資訊和硬體詳細資訊?
A.輸出範例:
system_details":{
"os_details":{
"containerRuntimeVersion":"docker://19.3.12",
"kernelVersion":"5.4.0-47-generic",
"kubeProxyVersion":"v1.15.12",
"kubeletVersion":"v1.15.12",
"machineID":"81edd7df1c1145e7bcc1ab4fe778615f",
"作業系統":"linux",
"osImage":"Ubuntu 20.04.1 LTS",
"systemUUID":"42002151-4131-2ad8-4443-8682911bdadb"
},
"hardware_details":{
"total_cpu":"8",
"cpu_utilization":"12.5%",
"total_memory":"16007MB",
"free_memory":"9994MB",
"hdd_size":"214G",
"free_hdd_size":"202G"
}
}
}
問:如何向後端傳送健康資料?
A.藉助CX雲代理,運行狀況服務(可服務性)將資料流傳輸到思科後端。
問:後端的CX雲代理運行狀況資料日誌保留策略是什麼?
A.後端的CX雲代理運行狀況資料日誌保留策略為120天。
問:有哪些型別的上傳可用?
A.
- 庫存上傳
- 系統日誌上傳
- 代理運行狀況上傳,包括運行狀況上傳
- 服務運行狀況 — 每五(5)分鐘
- Podlog — 每一(1)小時
- 稽核日誌 — 每一(1)小時
疑難排解
問題:無法訪問配置的IP。
解決方案:使用配置的IP執行ssh。如果連線超時,可能原因是IP配置錯誤。在這種情況下,可設定有效 IP 來重新安裝。這可以通過門戶完成,其中提供了重新安裝選項。 Admin Settings頁面。
問題:註冊後,如何驗證服務是否啟動並運行?
解決方案:按照以下步驟確認電源盒已啟動並正在運行:
- 通過ssh連線到已配置的IP(cxcadmin)
- 提供密碼
- 執行kubectl get pods命令
Pod可以處於任何狀態(「正在運行」、「正在初始化」或「正在建立容器」)。20分鐘後,Pod必須處於「正在運行」狀態。
如果狀態未運行或Pod 正在初始化,請使用kubectl describe pod <podname>命令檢查Pod描述。
輸出將包含有關Pod狀態的資訊。
問題:如何驗證客戶代理上是否禁用了SSL攔截器?
解決方案:執行此處顯示的curl命令以驗證伺服器證書部分。 響應包含concsoweb伺服器的證書詳細資訊。
curl -v —header 'Authorization: Basic xxxxxx' https://concsoweb-prd.cisco.com/
*伺服器證書:
*主題:C=US;ST=California;L=San Jose;O=Cisco Systems, Inc.;CN=concsoweb-prd.cisco.com
*開始日期:2月16日11:55:11 2021 GMT
*到期日期:2月16日12:05:00 2022 GMT
* subjectAltName:主機「concsoweb-prd.cisco.com」與證書的「concsoweb-prd.cisco.com」匹配
*發行商:C=US;O=HydrantID(Avalanche Cloud Corporation);CN=HydrantID SSL CA G3
* SSL證書驗證正常。
> GET/HTTP/1.1
問題:kubectl命令失敗,並將錯誤顯示為「The connection to the server X.X.X.X:6443 was rejected - dy you specify the right host or port(與伺服器X.X.X.X:6443的連線被拒絕 — 您指定了正確的主機或埠嗎)」
解決方案:
- 驗證資源可用性。[示例:CPU、記憶體]。
- 等待 Kubernetes 服務開始.
問題:如何獲取命令/裝置的收集失敗的詳細資訊?
解決方案:
- 執行
kubectl get pods並取得收集 Pod 名稱。 - 執行
kubectl logs以取得命令/裝置特定詳細資料。
問題: kubectl命令無法正常工作,錯誤為「[authentication.go:64]由於以下錯誤無法驗證請求: [x509:證書已過期或尚未生效, x509:證書已過期或尚未生效]」
解決方案:以cxcroot使用者身份運行此處顯示的命令
rm /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3
kubectl —insecure-skip-tls-verify=true delete secret -n kube-system k3s-serving
systemctl restart k3
收集失敗回應
收集失敗的原因可能是任何限制,或已新增控制器或控制器中出現的裝置問題。
此處顯示的表包含收集過程中在收集微服務下可見的使用案例的錯誤片段。
| 使用案例 |
收集微服務中的記錄程式碼片段 |
| 如果在 Cisco DNA 中心找不到要求的裝置 |
{ |
| 如果無法從 Cisco DNA 中心連線要求的裝置 |
{ |
| 如果無法從 Cisco DNA 中心連線要求的裝置 |
{ |
| 如果請求的命令在裝置中不可用 |
{ |
| 如果請求的裝置沒有SSHv2,思科DNA中心嘗試將裝置連線到SSHv2 |
{ |
| 如果命令在收集微服務中已停用 |
{ |
| 如果命令執行器任務失敗,而且 Cisco DNA 中心未傳回任務 URL |
{ |
| 如果無法在 Cisco DNA 中心建立命令執行器任務 |
{ |
| 如果收集微服務沒有收到來自Cisco DNA Center的命令運行程式請求的響應 |
{ |
| 如果 Cisco DNA 中心沒有在設定的逾時時間內完成任務(收集微服務中的每個命令為 5 分鐘) |
{ |
| 如果Command Runner任務失敗,並且由Cisco DNA Center提交的任務的檔案ID為空 |
{ |
| 如果Command Runner Task失敗,並且Cisco DNA Center未返回檔案ID標籤 |
{ |
| 如果裝置不符合命令執行器執行的資格 |
{ |
| 如果使用者的命令執行器已停用 |
{ |
診斷掃描失敗回應
掃描失敗及其原因可能來自列出的任何元件。
當使用者從門戶啟動掃描時,有時會導致「失敗:內部伺服器錯誤」。
問題的原因是列出的元件之一
- 控制點
- 網路資料閘道
- 聯結器
- 診斷掃描
- CX Cloud Agent 微服務 [devicemanager, collection]
- Cisco DNA 中心
- APIX
- Mashery
- Ping 存取
- IRONBANK
- IRONBANK GW
- 大資料代理(BDB)
要檢視日誌,請執行以下操作:
- 登入到CX雲代理控制檯。
- 執行
kubectl get pods. - 獲取集合、聯結器及可維護性的Pod名稱。
- 驗證收集、聯結器和服務性微服務日誌。
- 執行
kubectl logs - 執行
kubectl logs - 執行
kubectl logs
下表顯示了由於元件問題/約束而出現的在收集微服務和可服務性微服務日誌下顯示的錯誤片段。
| 使用案例 |
收集微服務中的記錄程式碼片段 |
| 可以訪問和支援該裝置,但在該裝置上執行的命令在收集微服務上以塊形式列出 |
{ |
| 如果用於掃描的裝置不可用。 在入口、診斷掃描、CX元件和Cisco DNA Center等元件之間出現同步問題的情況下發生 |
未找到id為02eb08be-b13f-4d25-9d63-eaf4e882f71a的裝置 |
| 如果嘗試掃描的裝置忙(在某種情況下),則同一裝置是其他作業的一部分,並且不會從Cisco DNA Center處理裝置的並行請求 |
其他會話中的命令運行程式已查詢所有請求的裝置。請嘗試其他裝置 |
| 如果裝置不支援掃描 |
請求的裝置不在清單中,請嘗試使用清單中可用的其他裝置 |
| 如果嘗試掃描的裝置無法訪問 |
"執行命令時出錯: show udi\n連線到裝置時出錯[主機: x.x.x.x:22]。沒有通往主機的路由:沒有通往主機的路由 |
| 如果無法從 Cloud Agent 連線 Cisco DNA 中心,或 Cloud Agent 的收集微服務未從 Cisco DNA 中心收到命令執行器要求的回應 |
{ |
| 使用案例 |
控制點代理微服務中的記錄程式碼片段 |
| 如果掃描要求缺少排程詳細資料 |
未能執行請求 |
| 如果掃描要求缺少裝置詳細資料 |
無法建立掃描策略。請求中沒有有效的裝置 |
| 如果 CPA 和連線之間的連線無法運作 |
未能執行請求 |
| 如果掃描的要求裝置在診斷掃描中無法使用 |
無法提交要掃描的請求。原因= {\"消息\":\"未找到主機名=x.x.x.x'的裝置\"} |
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
31-Oct-2022 |
初始版本 |
意見