Probleemoplossing zonder betrouwbaarheidsgegevens in WLC 9800 op Catalyst Center

Inleiding

Dit document beschrijft hoe u problemen kunt oplossen wanneer Cisco Catalyst Center geen Assurance-gegevens voor een Catalyst 9800 Series WLC toont.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Gebruik van de Catalyst Center maglev CLI
• Basic Linux foundation
• Kennis van certificaten op Catalyst Center en op het Catalyst 9800-platform

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Catalyst Center-applicatie van de eerste of tweede generatie met softwareversie 1.x of 2.x met Assurance-pakket
• Catalyst 9800 Series draadloze LAN-controller (WLC)

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Opmerking: hoewel dit document oorspronkelijk voor Catalyst Center 1.x is geschreven, is het grootste deel ervan geldig voor Catalyst Center 2.x.

Opmerking: de Catalyst 9800 WLC moet al door Catalyst Center worden ontdekt en aan een site worden toegewezen, en moet een compatibele Cisco IOS^® XE-versie uitvoeren. Raadpleeg voor meer informatie over interoperabiliteit de Catalyst Center Compatibility Matrix.

Achtergrondinformatie

Op het ogenblik van het ontdekkingsproces, duwt Catalyst Center de volgende configuratie aan WLC.

Opmerking: dit voorbeeld is van een Catalyst 9800-CL draadloze controller voor de cloud. Sommige details kunnen verschillen wanneer u een fysiek Catalyst 9800 Series apparaat gebruikt; X.X.X.X is het virtuele IP (VIP) adres van de Catalyst Center-ondernemingsinterface en Y.Y.Y.Y is het IP-adres voor beheer van de WLC.

crypto pki trustpoint sdn-network-infra-iwan
 enrollment pkcs12
 revocation-check crl
 rsakeypair sdn-network-infra-iwan

crypto pki trustpoint DNAC-CA
 enrollment mode ra
 enrollment terminal
 usage ssl-client
 revocation-check crl none
 source interface GigabitEthernet1

crypto pki certificate chain sdn-network-infra-iwan
 certificate 14CFB79EFB61506E
  3082037D 30820265 A0030201 02020814 CFB79EFB 61506E30 0D06092A 864886F7 
  <snip>
        quit

 certificate ca 7C773F9320DC6166
  30820323 3082020B A0030201 0202087C 773F9320 DC616630 0D06092A 864886F7 
  <snip>
        quit

crypto pki certificate chain DNAC-CA
 certificate ca 113070AFD2D12EA443A8858FF1272F2A
  30820396 3082027E A0030201 02021011 3070AFD2 D12EA443 A8858FF1 272F2A30 
  <snip>
        quit

telemetry ietf subscription 1011
 encoding encode-tdl
 filter tdl-uri /services;serviceName=ewlc/wlan_config
 source-address Y.Y.Y.Y
 stream native
 update-policy on-change
 receiver ip address X.X.X.X 25103 protocol tls-native profile sdn-network-infra-iwan

telemetry ietf subscription 1012
<snip - many different "telemetry ietf subscription" sections - which ones depends on 
Cisco IOS version and Catalyst Center version>

network-assurance enable
network-assurance icap server port 32626
network-assurance url https://X.X.X.X
network-assurance na-certificate PROTOCOL_HTTP X.X.X.X /ca/ pem

Probleemoplossing Geen betrouwbaarheidsgegevens van WLC op Catalyst Center

Stap 1. Controleer dat de WLC bereikbaar is en wordt beheerd in de Catalyst Center-inventaris.

Als de WLC niet in Beheerde status is, moet u de bereikbaarheid of provisioningkwestie oplossen voordat u doorgaat.

Tip: controleer de logbestanden inventaris-manager, spf-apparaat-manager en spf-service-manager om de fout te identificeren.

Stap 2. Controleer of Catalyst Center alle benodigde configuraties naar de WLC duwt.

Zorg ervoor dat de configuratie zoals vermeld in de sectie Achtergrondinformatie met deze opdrachten naar de WLC is geduwd:

show run | section crypto pki trustpoint DNAC-CA
show run | section crypto pki trustpoint sdn-network-infra-iwan
show run | section network-assurance
show run | section telemetry

Bekende problemen:

• Cisco bug-id CSCvs62939 - Cisco DNA Center drukt telemetrieconfiguratie na detectie niet naar 900 switches.
• Cisco bug-id CSCvt83104 - Wi-Fi-configuratie voor foutherstel als NetConf-kandidaat-datastore op het apparaat bestaat.
• Cisco bug-id CSCvt97081 - WLC DNAC-CA certificaatprovisioning mislukt voor apparaat ontdekt door DNS-naam.

Te verifiëren logbestanden:

• DNA-Wireless-Service - voor DNAC-CA-certificaat en telemetrieconfiguratie.
• Network-Design-Service - voor SDN-Network-infra-iwan-certificaat.

Stap 3. Controleer dat de benodigde certificaten op de WLC worden gemaakt.

Zorg ervoor dat de certificaten correct op WLC met deze opdrachten worden gemaakt:

show crypto pki certificates DNAC-CA
show crypto pki certificates sdn-network-infra-iwan

Bekende problemen en beperkingen:

• Cisco bug-id CSCvu03730 - eWLC is onbewaakt in Cisco DNA Center omdat het ISDN-netwerk-infra-iwan certificaat niet is geïnstalleerd (de basisoorzaak is dat het client-cert van de pki-broker is verlopen).
• Cisco bug-id CSCvr4560 - NEH: ondersteuning toevoegen voor CA-certificaten die na 2009 verlopen voor IOS-XE
• Cisco bug-id CSCwc9759 - ENH: ondersteuning toevoegen voor 8192-bits RSA-certificaathandtekening

Stap 4. Controleer de status van de telemetrieverbinding.

Zorg ervoor dat de telemetrieverbinding in de Actieve staat op WLC met dit bevel is:

wlc-01#show telemetry internal connection 
Telemetry connection

Address          Port   Transport   State          Profile
------------------------------------------------------------------
X.X.X.X       25103  tls-native  Active     sdn-network-infra-iwan

Of van Cisco IOS XE release 17.7 en hoger:

wlc-01#show telemetry connection all               
Telemetry connections

Index Peer Address               Port  VRF Source Address             State      State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
 9825 X.X.X.X                    25103 0   Y.Y.Y.Y                    Active     Connection up       

Het X.X.X.X IP-adres moet de Catalyst Center Enterprise-interface zijn. Als Catalyst Center is geconfigureerd met VIP’s, moet dit de VIP van de Enterprise-interface zijn. Als het IP-adres juist is en de status actief is, gaat u verder naar de volgende stap.

Als de staat Verbindt, dan is de beveiligde verbinding van het Hypertext Transfer Protocol (HTTPS) van WLC naar Catalyst Center niet tot stand gebracht. Er kunnen veel verschillende redenen voor zijn, de meest voorkomende zijn hieronder vermeld.

4.1. De VIP van Catalyst Center is niet bereikbaar vanuit de WLC of is in DOWN-status.

• Op één knooppunt met VIP gaat de VIP naar beneden wanneer de clusterinterface naar beneden gaat. Controleer of de clusterinterface is verbonden.
• Controleer of de WLC verbinding heeft met de Enterprise VIP (ICMP/ping).
• Controleer of Catalyst Center Enterprise VIP in de UP-staat is, met deze opdracht: ip a | grep en.
• Controleer of Catalyst Center Enterprise VIP correct is geconfigureerd met deze opdracht: etcdctl get /maglev/config/cluster/cluster_network.

4.2. De WLC is in Hoge Beschikbaarheid (Ha); de Verzekering werkt niet na failover.

Dit kan voorkomen als de HA niet wordt gevormd door het Catalyst Center. In dat geval: verwijder de WLC uit Inventory, breek de HA, ontdek beide WLC's, en laat Catalyst Center de HA vormen.

Opmerking: deze vereiste kan in latere versies van Catalyst Center worden gewijzigd.

4.3. Catalyst Center heeft het DNAC-CA trustpoint en certificaat niet gemaakt.

• Controleer Stap 2 en Stap 3 om dit probleem op te lossen.

4.4. Catalyst Center heeft het sdn-network-infra-iwan trustpoint en het certificaat niet gemaakt.

• Controleer Stap 2 en Stap 3 om dit probleem op te lossen.

4.5. Catalyst Center heeft de configuratie van Assurance niet gedrukt.

• Het commando show network-assurance summary toont Network-Assurance als Disabled:

DC9800-WLC#show network-assurance summary ---------------------------------------------------- Network-Assurance : Disabled Server Url : ICap Server Port Number : Sensor Backhaul SSID : Authentication : Unknown

• Zorg ervoor dat de WLC Device Controllability heeft ingeschakeld, zoals dit is vereist voor Catalyst Center om de configuratie te duwen. Apparaatbesturing kan worden ingeschakeld in het detectieproces of zodra de WLC op de inventaris staat en wordt beheerd door Catalyst Center. Ga naar de Inventory pagina. Kiezen Device > Actions > Inventory > Edit Device > Device Controllability > Enable.

4.6. Catalyst Center drukt de configuratie van het telemetrieabonnement niet uit.

• Zorg ervoor dat WLC de abonnementen met het show telemetry ietf subscription all bevel heeft.
• Als dit niet het geval is, controleer dan Stap 2 en Stap 3 om dit probleem op te lossen.

4.7. De TLS-handdruk tussen de WLC en Catalyst Center mislukt omdat het Catalyst Center-certificaat niet door de WLC kan worden gevalideerd.

Dit kan te wijten zijn aan vele redenen, de meest voorkomende zijn hier vermeld:

4.7.1. Het Catalyst Center-certificaat is verlopen of ingetrokken of bevat niet het Catalyst Center IP-adres in de alternatieve naam van het onderwerp (SAN).

• Zorg ervoor dat het certificaat overeenkomt met de beste praktijken die in de Catalyst Center Security Best Practices Guide zijn gespecificeerd.

4.7.2. De herroepingscontrole mislukt omdat de certificaatherroepingslijst (CRL) niet kan worden opgehaald.

• Er kunnen vele redenen voor de CRL-herwinning zijn om te falen; zoals een DNS-mislukking, firewallkwestie, connectiviteitskwestie tussen WLC en het CRL Distribution Point (CDP), of één van deze bekende kwesties:
  
  • Cisco bug-id CSCvr41793 - PKI: voor CRL-ophalen wordt geen HTTP-contentlengte gebruikt.
  • Cisco bug-id CSCvo03458 - PKI, herroepingscontrole crl none, werkt niet als CRL niet bereikbaar is.
  • Cisco bug-id CSCue73820 - PKI debugt niet duidelijk over fout bij parseren van CRL.
• Als tijdelijke oplossing, vorm revocation-check none onder DNAC-CA trustpoint.

4.7.3. Certificaatfout "De certificaatketen van de peer is te lang om te worden geverifieerd".

• Controleer de uitvoer van de show platform software trace message mdt-pubd chassis active R opdracht.
• Als dit verschijnt, "Peer certificate chain is too long to be verified" controleer dan:

  Cisco bug-id CSCvw09580 - 9800 WLC neemt de diepte van Cisco DNA Center-certificaatketens niet weg met 4 en meer.

• Om dit te verhelpen, importeert u het certificaat van de tussenliggende CA die het Catalyst Center-certificaat heeft afgegeven, in een trustpoint op de WLC met deze opdracht: echo | openssl s_client -connect <Catalyst Center IP>:443 -showcerts.

Opmerking: hiermee wordt een lijst van certificaten in de vertrouwensketen (PEM-gecodeerd) gegenereerd, zodat elk certificaat begint met -----BEGIN CERTIFICAAT-----. Verwijs naar de URL die in de sectie Workaround wordt vermeld en voer de stappen uit om het DNAC-CA certificaat te configureren, maar voer niet het root-CA certificaat in. Importeer in plaats daarvan het certificaat van de problematische CA.

4.7.4. WLC-certificaat verlopen.

• Wanneer de versie van Catalyst Center 1.3.3.7 of eerder is, kan het WLC-certificaat zijn verlopen. Wanneer de Catalyst Center-versie 1.3.3.8 of hoger is (maar niet 2.1.2.6 of hoger), kan dit nog steeds een probleem zijn als het certificaat is verlopen vóór de upgrade van versie 1.3.3.7 of eerder.
• Controleer de geldigheidseinddatum in de uitvoer van de show crypto pki certificates sdn-network-infra-iwan opdracht.

4.8. De Collector-Josex-service op Catalyst Center accepteert de aansluiting van de WLC niet omdat de inventaris-beheerder niet op de hoogte is gesteld van het nieuwe apparaat.

• Voer deze opdracht in op Catalyst Center CLI om de lijst met apparaten te controleren die bekend zijn bij osxe-Collector:

  curl -s http://collector-iosxe-db.assurance-backend.svc.cluster.local:8077/api/internal/device/data

• Om alleen de lijst van hostnamen en IP-adressen te krijgen, parse de uitvoer met jq met deze opdracht:

  Op Catalyst Center 1.3 en hoger:

  curl -s 'http://collector-iosxe-db.assurance-backend.svc.cluster.local:8077/api/internal/device/data' | jq '.devices[] | .hostName, .mgmtIp'

  Op Catalyst Center 1.3.1 en hoger:

  curl -shttp://collector-iosxe-db.assurance-backend.svc.cluster.local:8077/api/internal/device/data' | jq '.device[] | .hostName, .mgmtIp

• Als deze lijst de WLC niet bevat, start dan de Collector-iosxe service opnieuw en bevestig of dit het probleem oplost.
• Als een herstart van alleen Collector-iosxe niet helpt, kan een herstart van de Collector-Manager service helpen om dit probleem op te lossen.

  Tip: om een service opnieuw te starten, typt u magctl service restart -d  <service_name>.

• Als de uitvoer van de opdracht nog show telemetry internal connection steeds verbinding maakt, staart u de collector-iosxe logbestanden op de fout:

  Tip: om een logbestand op te slaan, voert u de magctl service logs -rf  <service_name> opdracht in. In dit geval, magctl service logs -rf collector-iosxe | lql..

  40 | 2021-04-29 08:09:15 | ERROR | pool-15-thread-1 | 121 | com.cisco.collector.ndp.common.KeyStoreManager | java.lang.IllegalArgumentException: Exception setting server keystore
        at java.util.Base64$Decoder.decode0(Base64.java:714)

• Als u deze fout ziet, opent u het certificaat dat is toegevoegd aan het Catalyst Center, zowel de .key- als .pem-bestanden (certificaatketen) in Kladblok++. In Kladblok++ navigeren naar View > Show Symbol > Show All Characters.
• Als je zoiets hebt:

  

  Vervolgens navigeren naar:

  

  En bewaar de certificaten.

• Voeg ze opnieuw toe aan het Catalyst Center en controleer als de show telemetry internal connection opdracht nu actief wordt weergegeven.

4.9. Gerelateerde gebreken:

• Cisco bug-id CSCvs78950 - WLC naar Wolverine cluster telemetrieverbinding in Connecting state.
• Cisco bug-id CSCvr98535 - Cisco DNA Center configureert geen HTTP-broninterface voor PKI - WLC-telemetrielevering blijft verbinden.

Stap 5. De telemetriestatus is actief, maar nog steeds zijn er geen gegevens te zien in Assurance.

Controleer de huidige status van de interne telemetrieverbinding met deze opdracht:

dna-9800#show telemetry internal connection 
Telemetry connection

Address          Port   Transport   State          Profile
------------------------------------------------------------------
X.X.X.X       25103  tls-native  Active         sdn-network-infra-iwan

Mogelijke defecten:

• Cisco bug-id CSCvu27838 - geen draadloze betrouwbaarheidsgegevens van 9300 met eWLC.
• Cisco bug-id CSCvu00173 - Assurance API-route niet geregistreerd na upgrade naar 1.3.3.4 (niet specifiek voor eWLC).

Tijdelijke oplossing

Als sommige of alle vereiste configuratie niet in WLC is, probeer dan te bepalen waarom de configuratie niet aanwezig is. Controleer de relevante logbestanden als er een overeenkomst voor een defect is. Daarna, overweeg deze opties als tijdelijke oplossing.

 Catalyst Center versie 2.x

Ga naar de Inventory pagina in de Catalyst Center GUI. Kies WLC > Actions > Telemetry > Update Telemetry Settings > Force Configuration Push > Next > Apply.daarna, wacht een tijdje tot de WLC het resynchronisatieproces voltooit. Controleer dat Catalyst Center de configuratie doordrukt die in het gedeelte Achtergrondinformatie van dit document wordt vermeld en controleer of de configuratie Assurance op de WLC aanwezig is met de show network-assurance summary opdracht.

 Catalyst Center versie 1.x

Dit kan ook voor Catalyst Center 2.x worden gebruikt als de vorige GUI-methode nog steeds niet het gewenste effect heeft.

• Het sdn-network-infra-iwan trustpoint en/of certificaat wordt gemist.

  Neem contact op met het Cisco Technical Assistance Center (TAC) om de Catalyst Center Assurance-certificaten en abonnementen handmatig te installeren.

• De configuratie van de netwerkbeveiliging is niet aanwezig.

  Zorg ervoor dat het VIP-adres van de Catalyst Center-onderneming vanuit de WLC kan worden bereikt. Configureer vervolgens de sectie handmatig zoals in het volgende voorbeeld:

  conf t
  network-assurance url https://X.X.X.X
  network-assurance icap server port 32626
  network-assurance enable
  network-assurance na-certificate PROTCOL_HTTP X.X.X.X /ca/ pem

  Opmerking: op de vijfde regel noteer de ruimte tussen X.X.X.X en /ca/ en ook de ruimte tussen /ca/ en pem.