Introdução
Este documento descreve como integrar os Catalyst 9800 Series Wireless Controllers (C9800 WLC) com Prime Infrastructure (3.x).
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- WLC C9800
- Prime Infrastructure (PI) versão 3.5
- Simple Network Management Protocol
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- WLC C9800
- Cisco IOS XE Gibraltar 16.10.1 a 17.3
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Note: O Prime Infra 3.8 suporta apenas WLCs 17.x 9800. Os clientes não aparecem na Prime Infrastructure se você tentar gerenciar uma WLC 16.12 com Prime Infra 3.8.
Configurar
Para que a Prime Infrastructure configure, gerencie e monitore os Catalyst 9800 Series Wireless LAN Controllers, ela precisa ser capaz de acessar o C9800 via CLI, SNMP e Netconf. Quando você adiciona C9800 à Prime Infrastructure, é necessário especificar as credenciais de telnet/SSH, bem como a sequência de caracteres de comunidade SNMP, versão etc. A PI usa essas informações para verificar a acessibilidade e para fazer o inventário da WLC C9800. Ele também usa o SNMP para enviar modelos de configuração, bem como suporte a armadilhas para eventos de Ponto de Acesso (AP) e cliente. No entanto, para que o PI colete estatísticas de AP e Cliente, o Netconf é aproveitado. O Netconf não é ativado por padrão no C9800 WLC e precisa ser configurado manualmente via CLI na versão 16.10.1 (GUI disponível na versão 16.11.1).
Portas usadas
A comunicação entre o C9800 e a Prime Infrastructure usa portas diferentes.
- Todas as configurações e modelos disponíveis no Prime Infra são enviados via SNMP e CLI. Usa a porta UDP 161.
- Os dados operacionais da própria WLC C9800 são obtidos por SNMP. Usa a porta UDP 162.
- Os dados operacionais do AP e do cliente aproveitam a telemetria contínua.
Infraestrutura Prime para WLC: Porta TCP 830 - Usada pelo Prime Infra para enviar a configuração de telemetria para 9800 dispositivos (usando Netconf).
WLC para Prime Infrastructure: Porta TCP 20828 (para Cisco® IOS XE 16.10 e 16.11) ou 20830 (para Cisco IOS XE 16.12,17.x e posterior).
Note: Os keepalives são enviados a cada 5 segundos, mesmo quando não há telemetria para relatar.
Note: Caso haja um firewall entre a Prime Infrastructure e o C9800, abra essas portas para estabelecer a comunicação.
Configuração de SNMPv2 no WLC Cat 9800
GUI:
Etapa 1. Navegue até Administration > SNMP > Slide to Enable SNMP
.
Etapa 2. Clique em Community Strings
e crie um nome de comunidade Somente leitura e Leitura-gravação.
CLI:
(config)#snmp-server community <snmpv2-community-name>
(optional)(config)# snmp-server location <site-location>
(optional)(config)# snmp-server contact <contact-number>
Configuração de SNMPv3 no WLC Cat 9800
GUI:
Note: A partir do Cisco IOS XE 17.1, a interface do usuário da Web permite apenas que você crie usuários somente leitura da v3. Você precisa executar o procedimento CLI para criar um usuário de leitura-gravação v3.
CLI:
Clique em V3 users
e crie um usuário. Escolha authPriv
, SHA
e AES protocols
, e escolha senhas longas. MD5
e DES/3DES
são protocolos inseguros e, embora ainda sejam uma opção no 9800, eles não devem ser selecionados e não são mais totalmente testados.
Note: A configuração do usuário SNMPv3 não é refletida na configuração atual. Apenas a configuração do grupo SNMPv3 é exibida.
CLI:
(config)#snmp-server view primeview iso included
(config)#snmp-server group <v3-group-name> v3 auth write primeview
(config)#snmp-server user <v3username> <v3-group-name> v3 auth {md5 | sha} <AUTHPASSWORD> priv {3des | aes | des} {optional for aes 128 | 192| 256} <PRIVACYPASSWORD>
9800#show snmp user
User name: Nico
Engine ID: 800000090300706D1535998C
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: SnmpAuthPrivGroup
Configuração do Netconf no WLC Cat 9800
GUI (iniciando em 16.11):
Navegue até Administration > HTTP/HTTPS/Netconf
.
CLI:
(config)#netconf-yang
Caution: Se um novo modelo estiver ativado no C9800, você também precisará configurar:
(config)#aaa authorization exec default <local or radius/tacacs group>
(config)#aaa autenticação padrão de login <local ou radius/tacacs group>
O Netconf no C9800 usa o método padrão (e você não pode alterá-lo) tanto para o login de autenticação aaa quanto para o aaa authorization exec. Caso deseje definir um método diferente para conexões SSH, você pode fazê-lo na linha de line vty
comando. O Netconf continua usando os métodos padrão.
Caution: A infraestrutura Prime, ao adicionar um controlador 9800 ao seu inventário, substitui os métodos padrão aaa authentication login default e aaa authorization exec que você configurou e os direciona para a autenticação local somente se o Netconf ainda não estiver habilitado na WLC. Se o Prime Infrastructure puder fazer login com o Netconf, ele não alterará a configuração. Isso significa que, se estiver usando o TACACS, você perderá o acesso ao CLI depois de adicionar o 9800 ao Prime. Você pode reverter esses comandos de configuração posteriormente e fazê-los apontar para o TACACS, se essa for sua preferência.
Note: Somente as chaves RSA são suportadas atualmente no ponto confiável usado por NETCONF. As teclas EC (curva elíptica) ainda não são suportadas e fazem com que o processo ncsshd falhe se usado. Você pode verificar a chave que está sendo usada pelo processo ncsshd executando o comando "show logging process ncsshd internal start last 1 hours | sec key name" (nome da chave de segurança). Uma solicitação de aprimoramento está aberta para adicionar o suporte para chaves EC em versões futuras: ID de bug Cisco CSCwk02600
Configurar (Prime Infrastructure 3.5 e posterior)
Etapa 1. Capturar o endereço IP de gerenciamento sem fio configurado no Catalyst 9800 WLC.
GUI:
Navegue até Configuration > Interface: Wireless
.
CLI:
# show wireless interface summary
Etapa 2. Capture as credenciais de usuário do privilégio 15 e ative a senha.
GUI:
Navegue até Administration > User Administration
.
CLI:
# show run | inc username
# show run | inc enable
Etapa 3. Obter as séries de comunidade SNMPv2 e/ou o usuário SNMPv3, conforme aplicável.
GUI:
Para SNMPv2, navegue para Administration > SNMP > Community Strings
.
Para SNMPv3, navegue para Administration > SNMP > V3 Users
.
CLI:
For SNMPv2 community strings
# show run | sec snmp
For SNMPv3 user
# show user
Etapa 4. Na GUI do Prime Infrastructure, navegue até Configuration > Network: Network Devices
, clique na lista suspensa ao lado +
e escolha Add Device
.
Etapa 5. Na janela Add Device
pop-up, digite o endereço ip da interface no 9800 que é usado para estabelecer comunicação com a Prime Infrastructure.
Etapa 6. Navegue até a guia SNMP
e forneça SNMPv2 Read-Only and Read-Write Community Strings
as configurações no C9800 WLC.
Etapa 7. Se estiver usando o SNMPv3, na lista suspensa, escolha v3
e forneça o nome de usuário do SNMPv3. Auth-Type
No menu suspenso, corresponda ao tipo de autenticação configurado anteriormente e, no menu suspenso, escolha o método de criptografia configurado no C9800 WLCPrivacy Type
.
Etapa 8. Navegue até Telnet/SSH
a guia deAdd Device
, forneça o Privilégio 15 Nome de Usuário e Senha juntamente com Ativar Senha. Clique em Verify Credentials
para garantir que as credenciais de CLI e SNMP funcionem bem. Clique em Add
.
Verificar
Verificar o status da telemetria
Etapa 1. Verifique se o Netconf está ativado no C9800.
#show run | inc netconf
netconf-yang
Se não estiver presente, insira a seção 'NETCONF configuration on the Cat 9800 WLC'.
Etapa 2. Verifique a conexão de telemetria com Prime a partir do C9800.
#show telemetry internal connection
Telemetry connection
Address Port Transport State Profile
------------------------------------------------------------------
x.x.x.x 20828 cntp-tcp Active
Note: x.x.x.x é o endereço ip da infraestrutura principal e o estado deve ser Ativo. Se o estado não for Ativo, consulte a seção Solução de problemas.
Em 17.9, você deve usar um comando ligeiramente diferente:
9800-17-9-2#show telemetry connection all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
0 10.48.39.25 25103 0 10.48.39.228 Active Connection up
9800-17-9-2#
Etapa 3. Na Prime Infrastructure, navegue até Inventory > Network Devices > Device Type: Wireless Controller
.
Etapa 4. Para exibir os detalhes da conexão de telemetria com a Prime Infrastructure, execute este procedimento:
#show telemetry internal protocol cntp-tcp manager x.x.x.x 20828
Telemetry protocol manager stats:
Con str : x.x.x.x:20828::
Sockfd : 79
Protocol : cntp-tcp
State : CNDP_STATE_CONNECTED
Table id : 0
Wait Mask :
Connection Retries : 0
Send Retries : 0
Pending events : 0
Source ip : <9800_IP_ADD>
Bytes Sent : 1540271694
Msgs Sent : 1296530
Msgs Received : 0
No 17.9 ou posterior, você precisa usar um comando diferente, o descrito abaixo.
#show telemetry connection all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
1 172.16.0.4 25103 0 172.16.2.44 Active Connection up
C9800-Classic#show telemetry internal connection <Index> detail
Telemetry protocol manager stats:
Con str : 172.16.0.4:25103:0:172.16.2.44
Sockfd : 116
Protocol : tls-native
State : CNDP_STATE_CONNECTED
Table id : 0
Profile : sdn-network-infra-iwan
Version : TLSv1.2
Wait Mask :
Connection Retries : 0
Send Retries : 0
Pending events : 0
Session requests : 1
Session replies : 1
Source ip : 172.16.2.44
Bytes Sent : 49098323
Msgs Sent : 49918
Msgs Received : 0
Creation time: : Mon Sep 30 16:18:19:535
Last connected time: : Mon Sep 30 16:18:19:587
Last disconnect time: :
Last error: :
Connection flaps: : 0
Last flap Reason: :
Keep Alive Timeouts: : 0
Last Transport Error : No Error
Etapa 5. Verifique o status da assinatura de telemetria do C9800 e o fato de que eles são exibidos como 'Válidos'.
#show telemetry ietf subscription configured
Telemetry subscription brief
ID Type State Filter type
-----------------------------------------------------
68060586 Configured Valid transform-na
98468759 Configured Valid tdl-uri
520450489 Configured Valid transform-na
551293206 Configured Valid transform-na
657148953 Configured Valid transform-na
824003685 Configured Valid transform-na
996216912 Configured Valid transform-na
1072751042 Configured Valid tdl-uri
1183166899 Configured Valid transform-na
1516559804 Configured Valid transform-na
1944559252 Configured Valid transform-na
2006694178 Configured Valid transform-na
Passo 6: As estatísticas de assinatura podem ser exibidas por ID de assinatura ou para todas as assinaturas usando:
#show telemetry internal subscription { all | id } stats
Telemetry subscription stats:
Subscription ID Connection Info Msgs Sent Msgs Drop Records Sent
------------------------------------------------------------------------------
865925973 x.x.x.x:20828:: 2 0 2
634673555 x.x.x.x:20828:: 0 0 0
538584704 x.x.x.x:20828:: 0 0 0
1649750869 x.x.x.x:20828:: 1 0 2
750608483 x.x.x.x:20828:: 10 0 10
129958638 x.x.x.x:20828:: 10 0 10
1050262948 x.x.x.x:20828:: 1369 0 1369
209286788 x.x.x.x:20828:: 15 0 15
1040991478 x.x.x.x:20828:: 0 0 0
1775678906 x.x.x.x:20828:: 2888 0 2889
1613608097 x.x.x.x:20828:: 6 0 6
1202853917 x.x.x.x:20828:: 99 0 99
1331436193 x.x.x.x:20828:: 743 0 743
1988797793 x.x.x.x:20828:: 0 0 0
1885346452 x.x.x.x:20828:: 0 0 0
163905892 x.x.x.x:20828:: 1668 0 1668
1252125139 x.x.x.x:20828:: 13764 0 13764
2078345366 x.x.x.x:20828:: 13764 0 13764
239168021 x.x.x.x:20828:: 1668 0 1668
373185515 x.x.x.x:20828:: 9012 0 9012
635732050 x.x.x.x:20828:: 7284 0 7284
1275999538 x.x.x.x:20828:: 1236 0 1236
825464779 x.x.x.x:20828:: 1225711 0 1225780
169050560 x.x.x.x:20828:: 0 0 0
229901535 x.x.x.x:20828:: 372 0 372
592451065 x.x.x.x:20828:: 8 0 8
2130768585 x.x.x.x:20828:: 0 0 0
Troubleshooting
Solução de problemas na infraestrutura Prime
- A primeira coisa a verificar na infraestrutura Prime é o endereço IP e as interfaces. O Prime Infrastructure não suporta dual-home e não ouve a telemetria em sua segunda porta.
- O endereço IP da WLC que você adiciona à Prime Infrastructure deve ser o endereço IP usado como a 'interface de gerenciamento sem fio'. O endereço IP da infraestrutura Prime deve estar acessível a partir dessa interface de gerenciamento sem fio no lado do controlador.
- Se estiver usando a porta de serviço (gig0/0 em dispositivos) para descoberta, a WLC e os APs aparecerão no estado Gerenciado no Inventário, mas a telemetria para a WLC e os Pontos de acesso associados não funcionará.
- Se você vir que o status da telemetria é um 'sucesso' na Prime Infrastructure, mas a contagem de AP for 0, pode ser que a Prime Infrastructure possa alcançar a WLC na porta 830, mas o controlador não possa alcançar a Prime Infrastructure na porta 20830.
Para qualquer problema de SNMP ou de configuração de dispositivo, colete estes registros da Prime Infrastructure:
cd /opt/CSCOlumos/logs/
[root@prime-tdl logs]# ncs-0-0.log
Tdl.logs
Para questões de telemetria/coral, a primeira coisa a fazer é verificar o status do Coral:
shell
cd /opt/CSCOlumos/coralinstances/coral2/coral/bin
./coral version 1
./coral status 1
./coral stats 1
Se tudo estiver bem, colete esses logs na pasta prime coral logs.
Note: Dependendo da versão do Prime Infrastructure e da quantidade de versão do Cisco IOS XE que ele suporta, pode haver várias instâncias do Coral no Prime Infrastructure. Verifique as notas de versões para obter mais detalhes, como: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-7/release/notes/bk_Cisco_Prime_Infrastructure_3_7_0_Release_Notes.html
Etapa 1.
cd /opt/CSCOlumos/coral/bin/
[root@prime-tdl bin]# ./coral attach 1
Attached to Coral instance 1 [pid=8511]
Coral-1#cd /tmp/rp/trace/
Coral-1#ls
Collect the “Prime_TDL_collector_R0-”* logs
Coral-1# cd /tmp/rp/trace/
Coral-1# btdecode P* > coralbtlog.txt
Coral-1# cat coralbtlog.txt
Esses logs também podem ser encontrados neste diretório:
* Os arquivos de rastreamento decodificados estão disponíveis no caminho/opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
* ade# cd /opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
* ade# cp coraltrace.txt /localdisk/defaultRepo
Etapa 2. Para ativar o Coral no modo de depuração, o nível de depuração precisa ser definido no debug.conf
arquivo.
A partir do contentor:
echo "rp:0:0:tdlcold:-e BINOS_BTRACE_LEVEL=DEBUG;" > /harddisk/debug.conf
Ou no Prime 3.8, o serviço Coral pode ser reiniciado fora do contêiner usando:
"sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"
Se a reinicialização não ajudar, eles poderão ser usados para limpar a instância de coral e iniciá-la sem problemas:
sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral stop 1
sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral purge 1
sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral start 1
Reinicie Coral, isso é obrigatório. Você pode deixar a ocorrência de coral se digitar 'Exit' e:
./coral/bin/coral restart 1
Note: No Prime 3.8, o serviço Coral pode ser reiniciado fora do contêiner usando 'sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1'
Se precisar decodificar arquivos de log do Coral, você pode decodificá-los dentro do contêiner do Coral com:
btdecode Prime_TDL_collector_*.bin
Note: Após habilitar o nível de depuração do Coral, é obrigatório reiniciar o Coral.
Solução de problemas no Catalyst 9800 WLC
Para monitorar a configuração enviada pelo Prime Infra para a WLC C9800, você pode executar um applet EEM.
#config terminal
#event manager applet catchall
#event cli pattern ".*" sync no skip no
#action 1 syslog msg "$_cli_msg"
Excluir toda a assinatura de telemetria da configuração da WLC
Pode haver ocasiões em que você queira desconfigurar todas as assinaturas de telemetria configuradas no WLC. Isso pode ser feito simplesmente com estes comandos:
WLC#term shell
WLC#function removeall() {
for id in `sh run | grep telemetry | cut -f4 -d' '`
do
conf t
no telemetry ietf subscription $id
exit
done
}
WLC#removeall
Para ativar rastreamentos:
# debug netconf-yang level debug
Para verificar:
WLC#show platform software trace level mdt-pubd chassis active R0 | inc Debug
pubd Debug
WLC#show platform software trace level ndbman chassis active R0 | inc Debug
ndbmand Debug
Para exibir as saídas de rastreamento:
show platform software trace message mdt-pubd chassis active R0
show platform software trace message ndbman chassis active R0
Verificar ID de assinatura para informações de AP
Clique em DB Query
. Navegue até tohttps://<Prime_IP>/webacs/ncsDiag.do.
Escolha *
de onde ewlcSubscription
OWNINGENTITYID como '%Controller_IP' e CLASSNAME='UnifiedApp'.
Da WLC:
Verifique se a ID de assinatura está enviando informações e se não há descartes nos contadores cntp.
show tel int sub all stats
show telemetry internal protocol cntp-tcp connector counters drop
show telemetry internal protocol cntp-tcp connector counters queue
show telemetry internal protocol cntp-tcp connector counters rate
show telemetry internal protocol cntp-tcp connector counters sub-rate
show telemetry internal protocol cntp-tcp connector counters reset
Note: A WLC 9800 suporta 100 assinaturas de telemetria antes da versão 17.6 e até 128 assinaturas depois da versão 17.6 (como a versão recente do Catalyst Center pode usar mais de 100 assinaturas.
Migração do PI para o Cisco Catalyst Center
O C9800 não pode ser gerenciado simultaneamente pelo PI e pelo Cisco Catalyst Center. Se houver um plano para mudar para o Catalyst Center como uma solução de gerenciamento de rede, o C9800 precisa ser removido da Prime Infrastructure antes de ser adicionado ao Catalyst Center. Quando o C9800 é removido/excluído do PI 3.5, toda a configuração que foi enviada por push para o C9800 no momento do inventário pelo PI não é revertida e precisa ser manualmente excluída do sistema. Especificamente, os canais de assinatura estabelecidos para a WLC C9800 para publicar dados de telemetria de streaming não são removidos.
Para identificar essa configuração específica:
#show run | sec telemetry
Para remover essa configuração, execute a no
forma do comando:
(config) # no telemetry ietf subscription <Subscription-Id>
Repeat this CLI to remove each of the subscription identifiers.
(config) # no telemetry transform <Transform-Name>
Repeat this CLI to remove each of the transform names
Note: Se você gerencia o controlador 9800 com o Catalyst Center e a Prime Infrastructure, a conformidade de inventário do Catalyst Center falha de forma esperada devido ao gerenciamento Prime.
Em versões recentes, o Prime Infrastructure e o Catalyst Center podem usar muitas assinaturas de telemetria para a WLC para que ambos os servidores gerenciem o 9800 simultaneamente. Portanto, você não pode gerenciar o 9800 com o Catalyst Center e a Prime Infrastructure e tem telemetria e estatísticas funcionando. A migração do IP para o Catalyst Center deve, portanto, ocorrer o mais rápido possível, pois o Catalyst Center não pode ter dados de telemetria do 9800 enquanto a Prime Infrastructure estiver gerenciando o controlador 9800.