本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
本文檔包括使用者使用CX雲代理時可能遇到的常見問題和故障排除方案。
A. 是,對於某些特定部署方案,重定向至cloudfront.net 是預期的. O在啟用這些FQDN的埠443上的重定向的情況下,應允許未繫結訪問。
A.是
A.OVA和VHD
A. 對於OVA
適用於VHD
A.是,檢測到IP配置期間的IP地址分配。但是,不支援將來CX雲代理的IP地址更改。建議客戶在其DHCP環境中為CX雲代理保留IP。
A.否,僅支援IPV4。
A.是,驗證IP地址語法和重複IP地址分配。
答:OVA部署取決於網路複製資料的速度。IP配置大約需要8-10分鐘,包括Kubernetes和容器建立。
A.部署OVA的主機必須滿足作為CX門戶設定的一部分提供的要求。CX Cloud Agent在硬體上運行的VMware/Virtual機箱上進行了測試,該硬體具有vCPU比2:1的Intel Xeon E5處理器。如果使用效能較低的處理器CPU或較大的比率,效能可能會下降。
答:否,僅當未註冊CX雲代理時才能生成配對代碼。
答:當CX雲代理和Cisco DNA中心位於客戶環境中的同一個LAN/WAN網路時,頻寬不是限制條件。對於5000台裝置的資產收集,最低要求網路頻寬為2.7Mbit/秒,對於代理程式到Cisco DNA Center連線的13000個接入點。13000如果為第2級見解收集系統日誌,則對於5000台裝置,最低所需頻寬為3.5 Mbits/秒,其中5000台裝置為清單收集無線接入點,5000台裝置為系統日誌,2000台裝置為掃描收集無線接入點 — 所有裝置都從CX雲代理並行運行。
A.可以使用以下兩條路徑從本地VM登入訪問Agent VM的Syslogs:
/var/log/syslog.1(通過cxcadmin和cxcroot登入訪問)
/var/log/syslog(使用根目錄訪問)
A.此處顯示列出的CX雲代理的已發佈版本集:
其中A是長期版本,分佈於3到5年。
A.登入到CX雲門戶。導航到Admin Settings>Data Sources。按一下View Update,然後按照螢幕上的說明進行操作。
A. cxcadmin。
A.在網路配置期間設定密碼。
A. CX雲代理未提供特定選項來重置密碼,但您可以使用Linux命令來重置cxcadmin的密碼。
A.密碼策略為:
A.確認SSH可達性:
Iptables -A OUTPUT -p tcp -m tcp —dport 22 -j ACCEPT
要在CX雲代理中禁用以上啟用的SSH埠,請執行以下操作:
iptables -L OUTPUT —line-number | grep dpt | grep ssh | awk「{print $1}」
iptables -L OUTPUT <行號>
A.確認SNMP可達性:
iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT
iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT
snmpwalk -v2c -c cisco IPADDRESS
要在CX雲代理中禁用以上啟用的SNMP埠,請執行以下操作:
iptables -L OUTPUT —line-number | grep dpt | grep ssh | awk「{print $1}」
iptables -L OUTPUT <行號2個數字>
iptables -L OUTPUT <行號1個數字>
A.設定Grub密碼:
A.密碼將在90天後過期。
A.是,該帳戶在連續五(5)次失敗嘗試後被禁用。鎖定期間為 30 分鐘。
A.生成密碼短語:
答:是,但是要使用主機名,使用者必須在網路配置期間提供域名伺服器(DNS)IP。
A.支持以下密碼:
A.登入:
A.是,它們記錄為「var/logs/audit/audit.log」文件的一部分。
A.如果CX雲代理空閒五(5)分鐘,則會發生SSH會話超時。
A.以下埠可用:
美洲 |
歐洲、中東和非洲 |
亞太地區、日本及中國 |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud |
agent.emea.csco.cloud |
agent.apjc.csco.cloud |
ng.acs.agent.us.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
注意:除了列出的域外,當EMEA或APJC客戶重新安裝CX雲代理時,客戶防火牆中必須允許agent.us.csco.cloud域。
成功重新安裝後,不再需要agent.us.csco.cloud域。
註:確保埠443上必須允許返回流量。
Inbound port
:對於CX雲代理的本地管理,必須可以訪問514(Syslog)和22(ssh)。客戶必須允許其防火牆中的埠443從CX雲接收資料。A. Cisco DNA Center是管理客戶駐地網路裝置的雲代理。CX雲代理從已配置的Cisco DNA中心收集裝置清單資訊,並上傳CX雲的資產檢視中可用的清單資訊。
A.在第0天 — CX雲代理設定期間,使用者可以從CX雲門戶新增Cisco DNA Center詳細資訊。在第N天運營期間,使用者可以從以下位置新增其他思科DNA中心: Admin Settings > Data Source
.
答:可以新增十(10)個Cisco DNA Center集群或20個Cisco DNA Center非集群。
A.若要從CX雲代理中刪除已連線的Cisco DNA中心,請聯絡技術支援中心(TAC),從CX雲門戶開啟支援案例。
A.使用者角色可以是admin或observer。
A.從CX雲代理控制台執行cxcli agent modifyController命令:
在Cisco DNA Center憑證更新期間,如有任何問題,請聯絡支援人員。
A.所有資料(包括CX Cloud Agent連線的控制器(例如Cisco DNA Center)和直連資產(例如,通過種子檔案、IP範圍)的憑證)都使用AES-256進行加密,並儲存在CX Cloud Agent資料庫中,CX Cloud Agent資料庫使用安全的使用者ID和密碼進行保護。
A. HTTPS over TLS 1.2用於Cisco DNA Center和CX雲代理之間的通訊。
A. CX雲代理從Cisco DNA中心收集有關網路裝置的資料,並使用Cisco DNA Center命令runner介面與終端裝置對話並執行CLI命令(show命令)。 未執行任何設定變更命令。
A.
A.如需詳細資訊,請參閱本檔案。
A. CX雲代理通過TLS 1.2協定將清單資料上傳到思科後端伺服器。
A.收集根據使用者定義的計畫觸發,並上傳到思科後端。
答是,Admin Settings > Data Sources中有一個選項可以修改計畫資訊。
A.超時分類如下:
A.在掃描過程中,動態確定需要在掃描裝置上執行的命令。即使對於同一裝置(而不是對診斷掃描進行控制),命令集也可能會隨著時間而變化。
A.掃描的結果儲存在思科後端並加以分析。
A.否,過濾重複項,以便僅提取唯一裝置。
A.裝置掃描完全停止並標籤為不成功。
A.應用日誌、Pod狀態、Cisco DNA Center詳細資訊、稽核日誌、系統詳細資訊和硬體詳細資訊。
A.輸出範例:
system_details":{
"os_details":{
"containerRuntimeVersion":"docker://19.3.12",
"kernelVersion":"5.4.0-47-generic",
"kubeProxyVersion":"v1.15.12",
"kubeletVersion":"v1.15.12",
"machineID":"81edd7df1c1145e7bcc1ab4fe778615f",
"作業系統":"linux",
"osImage":"Ubuntu 20.04.1 LTS",
"systemUUID":"42002151-4131-2ad8-4443-8682911bdadb"
},
"hardware_details":{
"total_cpu":"8",
"cpu_utilization":"12.5%",
"total_memory":"16007MB",
"free_memory":"9994MB",
"hdd_size":"214G",
"free_hdd_size":"202G"
}
}
}
A.藉助CX雲代理,運行狀況服務(可服務性)將資料流傳輸到思科後端。
A.後端的CX雲代理運行狀況資料日誌保留策略為120天。
A.
問題:無法訪問配置的IP。
解決方案:使用配置的IP執行ssh。如果連線超時,可能原因是IP配置錯誤。在這種情況下,可設定有效 IP 來重新安裝。這可以通過門戶完成,其中提供了重新安裝選項。 Admin Settings
頁面。
問題:註冊後,如何驗證服務是否啟動並運行?
解決方案:按照以下步驟確認電源盒已啟動並正在運行:
Pod可以處於任何狀態(「正在運行」、「正在初始化」或「正在建立容器」)。20分鐘後,Pod必須處於「正在運行」狀態。
如果狀態未運行或Pod 正在初始化,請使用kubectl describe pod <podname>命令檢查Pod描述。
輸出將包含有關Pod狀態的資訊。
問題:如何驗證客戶代理上是否禁用了SSL攔截器?
解決方案:執行此處顯示的curl命令以驗證伺服器證書部分。 響應包含concsoweb伺服器的證書詳細資訊。
curl -v —header 'Authorization: Basic xxxxxx' https://concsoweb-prd.cisco.com/
*伺服器證書:
*主題:C=US;ST=California;L=San Jose;O=Cisco Systems, Inc.;CN=concsoweb-prd.cisco.com
*開始日期:2月16日11:55:11 2021 GMT
*到期日期:2月16日12:05:00 2022 GMT
* subjectAltName:主機「concsoweb-prd.cisco.com」與證書的「concsoweb-prd.cisco.com」匹配
*發行商:C=US;O=HydrantID(Avalanche Cloud Corporation);CN=HydrantID SSL CA G3
* SSL證書驗證正常。
> GET/HTTP/1.1
問題:kubectl命令失敗,並將錯誤顯示為「The connection to the server X.X.X.X:6443 was rejected - dy you specify the right host or port(與伺服器X.X.X.X:6443的連線被拒絕 — 您指定了正確的主機或埠嗎)」
解決方案:
問題:如何獲取命令/裝置的收集失敗的詳細資訊?
解決方案:
kubectl get pods
並取得收集 Pod 名稱。kubectl logs
以取得命令/裝置特定詳細資料。問題: kubectl命令無法正常工作,錯誤為「[authentication.go:64]由於以下錯誤無法驗證請求: [x509:證書已過期或尚未生效, x509:證書已過期或尚未生效]」
解決方案:以cxcroot使用者身份運行此處顯示的命令
rm /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3
kubectl —insecure-skip-tls-verify=true delete secret -n kube-system k3s-serving
systemctl restart k3
收集失敗的原因可能是任何限制,或已新增控制器或控制器中出現的裝置問題。
此處顯示的表包含收集過程中在收集微服務下可見的使用案例的錯誤片段。
使用案例 |
收集微服務中的記錄程式碼片段 |
如果在 Cisco DNA 中心找不到要求的裝置 |
{ |
如果無法從 Cisco DNA 中心連線要求的裝置 |
{ |
如果無法從 Cisco DNA 中心連線要求的裝置 |
{ |
如果請求的命令在裝置中不可用 |
{ |
如果請求的裝置沒有SSHv2,思科DNA中心嘗試將裝置連線到SSHv2 |
{ |
如果命令在收集微服務中已停用 |
{ |
如果命令執行器任務失敗,而且 Cisco DNA 中心未傳回任務 URL |
{ |
如果無法在 Cisco DNA 中心建立命令執行器任務 |
{ |
如果收集微服務沒有收到來自Cisco DNA Center的命令運行程式請求的響應 |
{ |
如果 Cisco DNA 中心沒有在設定的逾時時間內完成任務(收集微服務中的每個命令為 5 分鐘) |
{ |
如果Command Runner任務失敗,並且由Cisco DNA Center提交的任務的檔案ID為空 |
{ |
如果Command Runner Task失敗,並且Cisco DNA Center未返回檔案ID標籤 |
{ |
如果裝置不符合命令執行器執行的資格 |
{ |
如果使用者的命令執行器已停用 |
{ |
掃描失敗及其原因可能來自列出的任何元件。
當使用者從門戶啟動掃描時,有時會導致「失敗:內部伺服器錯誤」。
問題的原因是列出的元件之一
要檢視日誌,請執行以下操作:
kubectl get pods
.kubectl logs
kubectl logs
kubectl logs
下表顯示了由於元件問題/約束而出現的在收集微服務和可服務性微服務日誌下顯示的錯誤片段。
使用案例 |
收集微服務中的記錄程式碼片段 |
可以訪問和支援該裝置,但在該裝置上執行的命令在收集微服務上以塊形式列出 |
{ |
如果用於掃描的裝置不可用。 在入口、診斷掃描、CX元件和Cisco DNA Center等元件之間出現同步問題的情況下發生 |
未找到id為02eb08be-b13f-4d25-9d63-eaf4e882f71a的裝置 |
如果嘗試掃描的裝置忙(在某種情況下),則同一裝置是其他作業的一部分,並且不會從Cisco DNA Center處理裝置的並行請求 |
其他會話中的命令運行程式已查詢所有請求的裝置。請嘗試其他裝置 |
如果裝置不支援掃描 |
請求的裝置不在清單中,請嘗試使用清單中可用的其他裝置 |
如果嘗試掃描的裝置無法訪問 |
"執行命令時出錯: show udi\n連線到裝置時出錯[主機: x.x.x.x:22]。沒有通往主機的路由:沒有通往主機的路由 |
如果無法從 Cloud Agent 連線 Cisco DNA 中心,或 Cloud Agent 的收集微服務未從 Cisco DNA 中心收到命令執行器要求的回應 |
{ |
使用案例 |
控制點代理微服務中的記錄程式碼片段 |
如果掃描要求缺少排程詳細資料 |
未能執行請求 |
如果掃描要求缺少裝置詳細資料 |
無法建立掃描策略。請求中沒有有效的裝置 |
如果 CPA 和連線之間的連線無法運作 |
未能執行請求 |
如果掃描的要求裝置在診斷掃描中無法使用 |
無法提交要掃描的請求。原因= {\"消息\":\"未找到主機名=x.x.x.x'的裝置\"} |
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
31-Oct-2022 |
初始版本 |