نصائح وتلميحات أتمتة الشبكة المحلية (LAN) لمركز بنية الشبكة الرقمية (DNA)
المحتويات
المقدمة
يقدم هذا المستند نظرة عامة على التشغيل التلقائي لشبكة المنطقة المحلية (LAN) لمساعدتك في تشخيص المشاكل عندما لا يعمل التشغيل التلقائي لشبكة LAN كما هو متوقع في مركز بنية الشبكة الرقمية (DNA).
تمت المساهمة من قبل أليكساندرو كاراسكيدو، مهندس TAC من Cisco.
مسرد
عميل التوصيل والتشغيل (PnP): جهاز جديد قمت بتشغيله بدون تكوين وبدون شهادات سيتم تكوينها تلقائيا بواسطة مركز بنية الشبكة الرقمية.
الجهاز الأولي: الجهاز الذي قام مركز بنية الشبكة الرقمية (DNA) بتوفيره بالفعل والذي يعمل كخادم بروتوكول التكوين الديناميكي للمضيف (DHCP).
المتطلبات الأساسية
المتطلبات
توصي Cisco بشدة بأن تكون لديك معرفة عامة حول أتمتة الشبكة المحلية (LAN) وحل التوصيل والتشغيل. تقدم نظرة عامة على أتمتة الشبكة المحلية (LAN) على الرغم من أنها قائمة على مركز DNA Center 1.0، وينطبق نفس المفهوم على مركز DNA Center 1.1 وما بعده.
معلومات أساسية
إن أتمتة LAN هي حل نشر من دون لمس تقريبا يمكنك من تكوين أجهزة الشبكة وتوفيرها باستخدام ISIS كبروتوكول توجيه أساسي.
قبل البدء
قبل تشغيل أتمتة شبكة LAN، تأكد من أن عميل PnP الخاص بك ليس لديه أي شهادات تم تحميلها في ذاكرة NVRAM.
Edge1#dir nvram:*.cer
Directory of nvram:/*.cer
Directory of nvram:/
4 -rw- 820 <no date> IOS-Self-Sig#1.cer
6 -rw- 763 <no date> kube-ca#468ACA.cer
7 -rw- 882 <no date> sdn-network-#616F.cer
8 -rw- 807 <no date> sdn-network-#4E13CA.cer
2097152 bytes total (2033494 bytes free)
Edge1#delete nvram:*.cer
تأكد من عدم وجود أي أجهزة غير مطلوبة في صفحة إعداد > الأجهزة > جرد الأجهزة:
بسبب CSCvh68847 
، قد لا تترك بعض المكدسات حالة عدم المطالبة، وقد تتلقى رسالة خطأ ERROR_STACK_UNSUPPORTED. تحدث هذه الرسالة عندما يحاول أتمتة شبكة LAN المطالبة بالجهاز لضبط كما لو كان محولا واحدا. ومع ذلك، لأن الجهاز هو مكدس محول Catalyst 9300 switch، فلا يمكن أن يطالب التشغيل التلقائي لشبكة LAN الجهاز، ويظهر الجهاز كغير مطلوب. وبالمثل، لا يطالب PnP بالجهاز لأنه مكدس، لذلك لا يتم توفير الجهاز.
ما الخطوات التي يمر بها التشغيل التلقائي لشبكة LAN أثناء تشغيله؟
يوفر مركز بنية الشبكة الرقمية الجهاز الأولي مع تكوين DHCP. نطاق عناوين IP التي يحصل عليها الجهاز الأولي هو جزء من التجمع الأولي الذي قمت بتعريفه عند حجز تجمع عناوين IP لموقعك. لاحظ أن هذا التجمع يجب أن يكون /25 على الأقل.
لمركز بنية الشبكة الرقمية (DNA) لتوفير عملاء PnP لديك، يجب أن يكون لتكوين بروتوكول DHCP الذي يستلمه الجهاز الأولي الخيار 43 المحدد باستخدام عنوان IP الخاص ببطاقة واجهة الشبكة (NIC) لمركز بنية الشبكة (DNA) أو عنوان IP الظاهري (VIP)، إذا كان لديك مجموعة عقدة n.
عند تمهيد عملاء PnP، لا يكون لديهم تكوين. لذلك، كل ميناءهم جزء من VLAN 1. وبالتالي، ترسل الأجهزة رسائل اكتشاف DHCP إلى الجهاز الأولي. يستجيب الجهاز الأولي مع عرض عناوين IP داخل تجمع أتمتة الشبكة المحلية.
الآن بعد أن فهمت التسلسل الأولي من أتمتة LAN، يمكنك أستكشاف أخطاء العملية وإصلاحها إذا لم تكن تعمل كما هو متوقع.
رسم تخطيطي لاستكشاف الأخطاء وإصلاحها
السجلات ذات الصلة بأتمتة مركز DNA 1.1 LAN
- خدمة تنسيق الشبكة
- خدمة pnp
السجلات ذات الصلة بأتمتة مركز DNA 1.2 LAN
في الإصدار 1.2 لم تعد هناك خدمة PNP-Service وبالتالي تحتاج إلى البحث عن الخدمات التالية عند أستكشاف أخطاء التشغيل التلقائي لشبكة LAN وإصلاحها:
- تزامن شبكي
- تصميم الشبكة
- الاتصال-خدمة المدير
- خدمة الإلحاق (هذا هو المكافئ القديم لخدمة Pnp من 1. 1)
السجلات ذات الصلة بالبنية الأساسية للمفتاح العام (PKI) لمركز DNA 1.x
- APIC-em-PKI-broker-service
- APIC-em-jboss-ejbca
كيف يتم تشغيل تفريغ tcpdump الذي يظهر في المخطط الانسيابي؟
sudo tcpdump -i <DNA Center fabric's interface> host <PnP Agent ip address> -w /data/tmp/pnp_capture.pcap
*لإيقاف هذا الاستخدام Ctrl+C
يقوم هذا بتخزين ملف pnp_capture.pcap في /data/tmp/. أنت تحتاج أن ينسخ الملف من مركز DNA باستخدام أمر نسخة آمنة (SCP) أو أن تقرأ الملف من مركز DNA باستخدام الأمر التالي:
$ sudo tcpdump -ttttnnr /data/tmp/pnp_capture.pcap [sudo] password for maglev: reading from file capture.pcap, link-type EN10MB (Ethernet) 2018-03-08 20:09:27.369544 IP 192.168.31.1 > 192.168.31.10: ICMP host 192.168.1.2 unreachable, length 36 2018-03-08 20:09:39.369175 IP 192.168.31.1 > 192.168.31.10: ICMP host 192.168.1.2 unreachable, length 36 2018-03-08 20:09:44.373056 ARP, Request who-has 192.168.31.1 tell 192.168.31.10, length 28 2018-03-08 20:09:44.374834 ARP, Reply 192.168.31.1 is-at 2c:31:24:cf:d0:62, length 46 2018-03-08 20:09:50.628539 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [S], seq 1113323684, win 29200, options [mss 1460,sackOK,TS val 274921400 ecr 0,nop,wscale 7], length 0 2018-03-08 20:09:50.630523 IP 192.168.31.1.22 > 192.168.31.10.57234: Flags [S.], seq 2270495802, ack 1113323685, win 4128, options [mss 1460], length 0 2018-03-08 20:09:50.630604 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [.], ack 1, win 29200, length 0 2018-03-08 20:09:50.631712 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [P.], seq 1:25, ack 1, win 29200, length 24
ما هو ملف Bridge.png الذي تحاول نسخه؟
إنه ملف صورة بحجم 191 بايت تم تحديد موقعه في مركز بنية الشبكة الرقمية (DNA) الذي تريد نسخه باستخدام HTTP (بدون إستخدام الشهادات) أو HTTPS (باستخدام الشهادات) لاختبار الاتصال بين مركز بنية الشبكة الرقمية (DNA) ووكيل PnP الخاص بك.
يلتقط نموذج عندما لا يعمل اتصال طبقة مآخذ التوصيل الآمنة (SSL) كما هو متوقع (ملفات .pcap كاملة مرفقة بهذه المقالة)
شهادة غير صحيحة
السبب المحتمل:
- لا تحتوي شهادة مركز بنية الشبكة الرقمية على عنوان IP الصحيح في حقل "الاسم البديل للموضوع" (SAN).
للتحقق من حقول شبكة منطقة التخزين (SAN) في ترخيصك، يمكنك القيام بما يلي:
التحقق من الشهادة باستخدام مستعرض
التقاط العينة
القرار.
إذا كان لديك مرجع مصدق (CA) من جهة خارجية (مرجع مصدق)، فتأكد من إعطائك شهادة تحتوي على عناوين IP الخاصة بمركز DNA والشخصية المهمة فيه. إذا لم يكن لديك مرجع مصدق من جهة خارجية، فيمكن لمركز DNA إنشاء شهادة لك. يرجى الاتصال ب Cisco TAC لإرشادك خلال هذه العملية.
مركز بنية الشبكة الرقمية يعيد ضبط الاتصال
السبب المحتمل:
يدعم مركز بنية الشبكة الرقمية (DNA) الإصدار 1.2 من TLS فقط بشكل افتراضي.
لحل هذه المشكلة، قم بتمكين مركز بنية الشبكة الرقمية من إستخدام TLS v1 باتباع هذا الدليل
التقاط العينة
أوامر تصحيح الأخطاء المفيدة على وكيل PnP للمشاكل المتعلقة بالشهادة
- debug crypto pki transactions
- debug ssl openssl
- debug ssl openssl errores
- أخطاء debug ssl openssl
- debug crypto pki API
- debug crypto pki transactions
- debug ssl openssl msg
يفتقد الاستجابة مفتاح جلسة العمل المصدق عليه سابقا
من الناحية النظرية، لا يجب أن يكون لديك أجهزة لم يتم المطالبة بها في صفحة الإعداد > الأجهزة > جرد الأجهزة، ولكن كانت هناك مشاكل حيث، بعد حذف الأجهزة غير المطالب بها من هذه الصفحة، كانت الأجهزة لا تزال تظهر في https://<DNA Center IP>/MYPNP. إن يواجه أنت هذا سيناريو وأنت ترى سجل مماثل إلى التالي في PnP سجل مقياس سرعة أو مؤشر ال نفسه في ال gui، تأكدت أن الأداة لا يظهر بما أن يتطلب في PnP:
ERROR | qtp604107971-170 | | c.c.e.z.impl.ZtdHistoryServiceImpl | Device authentication status has changed to Error(PNP response com.cisco.enc.pnp.messages.PnpBackoffResponse is missing previously established authenticated session key) | address=192.168.31.10, sn=FCW212XXXXX
التحكم في التشغيل التلقائي للشبكة المحلية (LAN) ودمجها
- في مركز بنية الشبكة الرقمية (DNA) الإصدار 1.2 يجب أن يكون المكدس دائريا بالكامل (قد لا يعمل كبل مكدس واحد لمكدس مكون من عضوين).
- يجب المطالبة بجهاز المكدس بواسطة التشغيل التلقائي للشبكة المحلية (LAN) على الفور، أي أقل من 10 دقائق تقريبا.
- ما إن يتم ربطها إلى مركز بنية الشبكة الرقمية حتى تظهر غير مطالبة بها في PnP. يستخدم PNp الإطار الزمني الذي تبلغ مدته 10 دقائق لتحديد المكدس وبمجرد انتهاء صلاحيته، سيبقى في القسم غير المطالب به من التشغيل التلقائي لشبكة LAN.
إن يتلقى أنت ال RCA أو PnP سجل، أنت يستطيع بحثت عن أداة رسالة:
more pnp.log | egrep "(Received unclaimed notification|ZtdDeviceUnclaimedMessage)"
في حالة عدم وجود رسائل، لا تصل إخطارات الأجهزة غير المطالب بها إلى مركز DNA ولا يمكن ل PnP المطالبة بها.
كيفية إجراء أتمتة LAN على مكدس
- قم بإيقاف تشغيل الوصلات لجهاز (أجهزة) البذور.
- بدء التشغيل التلقائي لشبكة LAN على مركز بنية الشبكة الرقمية (DNA).
- احذف تكوين بدء التشغيل من المكدس. # مسح الكتابة
- قم بإزالة جميع الشهادات من ذاكرة NVRAM. # احذف NVRAM:*.cer
- أزلت ال vlan.dat مبرد. # احذف flash:vlan.dat
- من المحول الأساسي، احذف الشهادات الموجودة على المحول الاحتياطي. # حذف stby-nvram:*.cer
أ. افصل كبلات المكدس.
ب. قم بتسجيل الدخول إلى وحدة التحكم لكل محول عضو.
ج. حذف الشهادات. # حذف nvram:*.cer
د. محات ال flas vlan قاعدة معطيات. # احذف flash:vlan.dat
هـ. أعد توصيل كبلات المكدس.
7. إعادة التشغيل.
8. انتظر حتى يقوم المحول بالتسجيل كمكدس، ثم جلب جميع الأعضاء، وحاول بدء حوار التكوين الأولي.
%INIT: waited 0 seconds for NVRAM to be available
--- System Configuration Dialog ---
Would you like to enter the initial configuration dialog? [yes/no]:
9. قم بتمكين الوصلات لجهاز (أجهزة) البذور. # لم يتم إيقاف التشغيل
هل تريد تنسيق ملف خريطة اسم المضيف الذي يمكنني إستيراده إلى مهمة أتمتة شبكة LAN الخاصة بي؟
يتوقع مركز بنية الشبكة الرقمية (DNA) وجود ملف CSV باسم المضيف والرقم التسلسلي (اسم المضيف والرقم التسلسلي) كما هو موضح في المثال التالي:
بالنسبة لأتمتة شبكة LAN الخاصة بالمكدس، يسمح لك ملف CSV بإدخال اسم مضيف واحد وأرقام تسلسلية متعددة لكل صف. يجب فصل الأرقام التسلسلية بفواصل. راجع ملف CSV المرفق للمرجع.
أين ذهب /mypnp في 1.2؟
الوصول إلى PnP بإحدى الطرق التالية:
- من مستعرض الويب الخاص بك، أدخل https://<DNA Center IP>/NetworkPnp
- من الصفحة الرئيسية لمركز بنية الشبكة الرقمية، حدد أداة التوصيل والتشغيل للشبكة التالية:
أو عن طريق الذهاب إلى https://<DNA Center IP>/NetworkPNP
خطأ في المخزون
يعني خطأ المخزون أن الجهاز، بعد المطالبة به بواسطة أتمتة شبكة LAN واستلام التكوين الخاص به قد فشل، تتم إضافته إلى المخزون. عادة ما يحدث هذا الخطأ بسبب التكوين أو بعض التوجيه أو مشاكل بيانات اعتماد CLI.
للتحقق من أنك تحاول عرض الجهاز الصحيح من خلال التشغيل التلقائي لشبكة LAN، يمكنك الوصول عن بعد إلى عنوان IP الخاص بواجهة الاسترجاع 0 على الجهاز باستخدام بروتوكول الاتصال المفضل (SSH أو Telnet).
الاتصال موجود ولكن لا يتم دفع شهادات PKI بنجاح إلى عملاء PnP
هناك بعض المرات التي يمكن أن تقوم فيها الأجهزة الموجودة في المنتصف بتشغيل وحدات بت عدم تجزئة (DF) الحزم بين DNAC وعوامل PnP. قد يتسبب ذلك في تجاهل الحزم التي يزيد حجمها عن 1500 بايت، والتي تحتوي عادة على الشهادة، وبالتالي قد لا يكتمل أتمتة LAN. بعض السجلات الشائعة التي تظهر في سجلات ملحقة بمركز الحمض النووي هي:
errorMessage=Failed to format the url for trustpoint
الإجراء المقترح في هذه الحالة هو التأكد من أن المسار بين مركز بنية الشبكة الرقمية (DNA) وعوامل PnP يسمح بالإطارات كبيرة الحجم بالمرور من خلال إستخدام نظام الأوامر MTU 9100.
switch(config)# system mtu 9100
التعليقات