Gerencie o Catalyst 9800 Wireless Controller Series com Prime Infrastructure com SNMP V2 e V3 e NetCONF

Introdução

Este documento descreve como integrar os Catalyst 9800 Series Wireless Controllers (C9800 WLC) com Prime Infrastructure (3.x).

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• WLC C9800
• Prime Infrastructure (PI) versão 3.5
• Simple Network Management Protocol

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• WLC C9800
• Cisco IOS XE Gibraltar 16.10.1 a 17.3

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Observação: o Prime Infra 3.8 suporta apenas WLCs 17.x 9800. Os clientes não aparecem na Prime Infrastructure se você tentar gerenciar uma WLC 16.12 com Prime Infra 3.8.

Configurar

Para que a Prime Infrastructure configure, gerencie e monitore os Catalyst 9800 Series Wireless LAN Controllers, ela precisa ser capaz de acessar o C9800 via CLI, SNMP e Netconf. Quando você adiciona C9800 à Prime Infrastructure, é necessário especificar as credenciais de telnet/SSH, bem como a sequência de caracteres de comunidade SNMP, versão etc. A PI usa essas informações para verificar a acessibilidade e para fazer o inventário da WLC C9800. Ele também usa o SNMP para enviar modelos de configuração, bem como suporte a armadilhas para eventos de Ponto de Acesso (AP) e cliente. No entanto, para que o PI colete estatísticas de AP e Cliente, o Netconf é aproveitado. O Netconf não é ativado por padrão no C9800 WLC e precisa ser configurado manualmente via CLI na versão 16.10.1 (GUI disponível na versão 16.11.1).

Portas usadas

A comunicação entre o C9800 e a Prime Infrastructure usa portas diferentes.

• Todas as configurações e modelos disponíveis no Prime Infra são enviados via SNMP e CLI. Usa a porta UDP 161.
• Os dados operacionais da própria WLC C9800 são obtidos por SNMP. Usa a porta UDP 162.
• Os dados operacionais do AP e do cliente aproveitam a telemetria contínua.

Prime Infrastructure para WLC: porta TCP 830 - usada pelo Prime Infra para enviar a configuração de telemetria para 9.800 dispositivos (usando Netconf).
WLC para Prime Infrastructure: porta TCP 20828 (para Cisco® IOS XE 16.10 e 16.11) ou 20830 (para Cisco IOS XE 16.12,17.x e posterior).

Observação: os keepalives são enviados a cada 5 segundos mesmo quando não há telemetria para relatar.

Observação: caso haja um firewall entre a Prime Infrastructure e o C9800, abra essas portas para estabelecer a comunicação.

Configuração de SNMPv2 no WLC Cat 9800

GUI:

Etapa 1. Navegue até Administration > SNMP > Slide to Enable SNMP.

Etapa 2. Clique em Community Strings e crie um nome de comunidade somente leitura e leitura-gravação.

CLI:

(config)#snmp-server community <snmpv2-community-name> 
(optional)(config)# snmp-server location <site-location>
(optional)(config)# snmp-server contact <contact-number>

Configuração de SNMPv3 no WLC Cat 9800

GUI:

Observação: a partir do Cisco IOS XE 17.1, a interface do usuário da Web permite apenas que você crie usuários v3 somente leitura. Você precisa executar o procedimento CLI para criar um usuário de leitura-gravação v3.

CLI:

Clique em V3 userse crie um usuário. Escolha authPriv, SHA e AES protocols, e escolha senhas longas. MD5 e DES/3DES são protocolos não seguros e, embora ainda sejam uma opção no 9800, eles não devem ser selecionados e não são mais totalmente testados.

Observação: a configuração de usuário SNMPv3 não é refletida na configuração atual. Apenas a configuração do grupo SNMPv3 é exibida.

CLI:

(config)#snmp-server view primeview iso included
(config)#snmp-server group <v3-group-name> v3 auth write primeview 
(config)#snmp-server user <v3username> <v3-group-name> v3 auth {md5 | sha} <AUTHPASSWORD> priv {3des | aes | des} {optional for aes 128 | 192| 256} <PRIVACYPASSWORD>



9800#show snmp user

User name: Nico
Engine ID: 800000090300706D1535998C
storage-type: nonvolatile	 active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: SnmpAuthPrivGroup

Configuração do Netconf no WLC Cat 9800

GUI (iniciando em 16.11):

Navegue até Administration > HTTP/HTTPS/Netconf.

CLI:

(config)#netconf-yang

Cuidado: se aaa new-model estiver habilitado no C9800, você também precisará configurar:
(config)#aaa authorization exec default <local or radius/tacacs group>
(config)#aaa autenticação padrão de login <local ou radius/tacacs group>
O Netconf no C9800 usa o método padrão (e você não pode alterá-lo) tanto para o login de autenticação aaa quanto para o aaa authorization exec. Caso deseje definir um método diferente para conexões SSH, você pode fazê-lo na linha de line vty comando. O Netconf continua usando os métodos padrão.

Cuidado: a infraestrutura principal, ao adicionar um controlador 9800 ao seu inventário, substitui os métodos padrão de login de autenticação aaa e de execução de autorização aaa configurados por você e os direciona para a autenticação local somente se o Netconf ainda não estiver habilitado na WLC. Se o Prime Infrastructure puder fazer login com o Netconf, ele não alterará a configuração. Isso significa que, se estiver usando o TACACS, você perderá o acesso ao CLI depois de adicionar o 9800 ao Prime. Você pode reverter esses comandos de configuração posteriormente e fazê-los apontar para o TACACS, se essa for sua preferência.

Configurar (Prime Infrastructure 3.5 e posterior)

Etapa 1. Capture o endereço IP de gerenciamento sem fio configurado no Catalyst 9800 WLC.

GUI:

Navegue até Configuration > Interface: Wireless.

CLI:

# show wireless interface summary

Etapa 2. Capture as credenciais de usuário do privilégio 15 e habilite a senha.

GUI:

Navegue até Administration > User Administration.

CLI:

# show run | inc username
# show run | inc enable

Etapa 3. Obtenha as séries de comunidade SNMPv2 e/ou o usuário SNMPv3 conforme aplicável.

GUI:

Para SNMPv2, navegue para Administration > SNMP > Community Strings.

Para SNMPv3, navegue para Administration > SNMP > V3 Users.

CLI:

For SNMPv2 community strings
# show run | sec snmp 

For SNMPv3 user
# show user

Etapa 4. Na Prime Infrastructure GUI, navegue até Configuration > Network: Network Devices, clique na lista suspensa ao lado + e escolha Add Device.

Etapa 5. Na janela pop-up, Add Device insira o endereço ip da interface no 9800 que é usado para estabelecer comunicação com a Prime Infrastructure.

Etapa 6. Navegue até a guia SNMP e forneça SNMPv2 Read-Only and Read-Write Community Strings as configurações no C9800 WLC.

Passo 7. Se estiver usando SNMPv3, na lista suspensa, escolha v3e forneça o nome de usuário do SNMPv3.  Auth-Type No menu suspenso, corresponda ao tipo de autenticação configurado anteriormente e, no menu suspenso, escolha o método de criptografia configurado no C9800 WLCPrivacy Type.

Etapa 8. Navegue até Telnet/SSH a guia deAdd Device, forneça o Nome de usuário e a Senha do Privilégio 15 juntamente com Ativar senha. Clique em Verify Credentials para garantir que as credenciais de CLI e SNMP funcionem bem. Clique em Add.

Verificar

Verificar o status da telemetria

Etapa 1. Verifique se o Netconf está ativado no C9800.

#show run | inc netconf
netconf-yang

Se não estiver presente, insira a seção 'NETCONF configuration on the Cat 9800 WLC'.

Etapa 2. Verifique a conexão de telemetria com Prime do C9800.

#show telemetry internal connection
Telemetry connection

Address Port Transport State Profile
------------------------------------------------------------------
x.x.x.x 20828 cntp-tcp Active

Observação: x.x.x.x é o endereço ip da Prime Infrastructure e o estado deve ser Ativo. Se o estado não for Ativo, consulte a seção Solução de problemas.

Em 17.9, você deve usar um comando ligeiramente diferente:

9800-17-9-2#show telemetry connection all
Telemetry connections

Index Peer Address               Port  VRF Source Address             State      State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
    0 10.48.39.25                25103 0   10.48.39.228               Active     Connection up

9800-17-9-2#

Etapa 3. Em Prime Infrastructure, navegue até Inventory > Network Devices > Device Type: Wireless Controller.

Etapa 4. Para exibir os detalhes da conexão de telemetria com a Prime Infrastructure, execute este procedimento:

#show telemetry internal protocol cntp-tcp manager x.x.x.x 20828
Telemetry protocol manager stats:

Con str                : x.x.x.x:20828::
Sockfd                 : 79
Protocol               : cntp-tcp
State                  : CNDP_STATE_CONNECTED
Table id               : 0
Wait Mask              :
Connection Retries     : 0
Send Retries           : 0
Pending events         : 0
Source ip              : <9800_IP_ADD>
Bytes Sent             : 1540271694
Msgs Sent              : 1296530
Msgs Received          : 0

No 17.9 ou posterior, você precisa usar um comando diferente, o descrito abaixo.

#show telemetry connection all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
 1 172.16.0.4 25103 0 172.16.2.44 Active Connection up

C9800-Classic#show telemetry internal connection <Index> detail
Telemetry protocol manager stats:

Con str : 172.16.0.4:25103:0:172.16.2.44
Sockfd : 116
Protocol : tls-native
State : CNDP_STATE_CONNECTED
Table id : 0
Profile : sdn-network-infra-iwan
Version : TLSv1.2
Wait Mask :
Connection Retries : 0
Send Retries : 0
Pending events : 0
Session requests : 1
Session replies : 1
Source ip : 172.16.2.44
Bytes Sent : 49098323
Msgs Sent : 49918
Msgs Received : 0
Creation time: : Mon Sep 30 16:18:19:535
Last connected time: : Mon Sep 30 16:18:19:587
Last disconnect time: :
Last error: :
Connection flaps: : 0
Last flap Reason: :
Keep Alive Timeouts: : 0
Last Transport Error : No Error

Etapa 5. Verifique o status da assinatura de telemetria do C9800 e o fato de que eles são exibidos como 'Válidos'.

#show telemetry ietf subscription configured
Telemetry subscription brief

ID Type State Filter type
-----------------------------------------------------
68060586 Configured Valid transform-na
98468759 Configured Valid tdl-uri
520450489 Configured Valid transform-na
551293206 Configured Valid transform-na
657148953 Configured Valid transform-na
824003685 Configured Valid transform-na
996216912 Configured Valid transform-na
1072751042 Configured Valid tdl-uri
1183166899 Configured Valid transform-na
1516559804 Configured Valid transform-na
1944559252 Configured Valid transform-na
2006694178 Configured Valid transform-na

Etapa 6: As estatísticas de assinatura podem ser exibidas por ID de assinatura ou para todas as assinaturas usando:

#show telemetry internal subscription { all | id } stats
Telemetry subscription stats:

Subscription ID  Connection Info            Msgs Sent  Msgs Drop  Records Sent
------------------------------------------------------------------------------
865925973        x.x.x.x:20828::      2          0          2
634673555        x.x.x.x:20828::      0          0          0
538584704        x.x.x.x:20828::      0          0          0
1649750869       x.x.x.x:20828::      1          0          2
750608483        x.x.x.x:20828::      10         0          10
129958638        x.x.x.x:20828::      10         0          10
1050262948       x.x.x.x:20828::      1369       0          1369
209286788        x.x.x.x:20828::      15         0          15
1040991478       x.x.x.x:20828::      0          0          0
1775678906       x.x.x.x:20828::      2888       0          2889
1613608097       x.x.x.x:20828::      6          0          6
1202853917       x.x.x.x:20828::      99         0          99
1331436193       x.x.x.x:20828::      743        0          743
1988797793       x.x.x.x:20828::      0          0          0
1885346452       x.x.x.x:20828::      0          0          0
163905892        x.x.x.x:20828::      1668       0          1668
1252125139       x.x.x.x:20828::      13764      0          13764
2078345366       x.x.x.x:20828::      13764      0          13764
239168021        x.x.x.x:20828::      1668       0          1668
373185515        x.x.x.x:20828::      9012       0          9012
635732050        x.x.x.x:20828::      7284       0          7284
1275999538       x.x.x.x:20828::      1236       0          1236
825464779        x.x.x.x:20828::      1225711    0          1225780
169050560        x.x.x.x:20828::      0          0          0
229901535        x.x.x.x:20828::      372        0          372
592451065        x.x.x.x:20828::      8          0          8
2130768585       x.x.x.x:20828::      0          0          0

Troubleshooting

Solução de problemas na infraestrutura Prime

• A primeira coisa a verificar na infraestrutura Prime é o endereço IP e as interfaces. O Prime Infrastructure não suporta dual-home e não ouve a telemetria em sua segunda porta.
• O endereço IP da WLC que você adiciona à Prime Infrastructure deve ser o endereço IP usado como a 'interface de gerenciamento sem fio'. O endereço IP da infraestrutura Prime deve estar acessível a partir dessa interface de gerenciamento sem fio no lado do controlador.
• Se estiver usando a porta de serviço (gig0/0 em dispositivos) para descoberta, a WLC e os APs aparecerão no estado Gerenciado no Inventário, mas a telemetria para a WLC e os Pontos de acesso associados não funcionará.
• Se você vir que o status da telemetria é um 'sucesso' na Prime Infrastructure, mas a contagem de AP for 0, pode ser que a Prime Infrastructure possa alcançar a WLC na porta 830, mas o controlador não possa alcançar a Prime Infrastructure na porta 20830.

Para qualquer problema de SNMP ou de configuração de dispositivo, colete estes registros da Prime Infrastructure:

cd /opt/CSCOlumos/logs/

[root@prime-tdl logs]# ncs-0-0.log

Tdl.logs

Para questões de telemetria/coral, a primeira coisa a fazer é verificar o status do Coral:

shell

cd /opt/CSCOlumos/coralinstances/coral2/coral/bin

./coral version 1

./coral status 1

./coral stats 1

Se tudo estiver bem, colete esses logs na pasta prime coral logs.

Observação: dependendo da versão do Prime Infrastructure e da quantidade de versão do Cisco IOS XE que ele suporta, pode haver várias instâncias do Coral no Prime Infrastructure. Verifique as notas de versões para obter mais detalhes, como: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-7/release/notes/bk_Cisco_Prime_Infrastructure_3_7_0_Release_Notes.html

Etapa 1.

cd /opt/CSCOlumos/coral/bin/

[root@prime-tdl bin]# ./coral attach 1

Attached to Coral instance 1 [pid=8511]

Coral-1#cd /tmp/rp/trace/

Coral-1#ls

Collect the  “Prime_TDL_collector_R0-”* logs

Coral-1# cd /tmp/rp/trace/
Coral-1# btdecode P* > coralbtlog.txt
Coral-1# cat  coralbtlog.txt

Esses logs também podem ser encontrados neste diretório:

* Os arquivos de rastreamento decodificados estão disponíveis no caminho/opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
*   ade# cd /opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk

*   ade# cp coraltrace.txt /localdisk/defaultRepo

Etapa 2. Para ativar o Coral no modo de depuração, o nível de depuração precisa ser definido no debug.conf arquivo.

A partir do contentor:

echo "rp:0:0:tdlcold:-e BINOS_BTRACE_LEVEL=DEBUG;" > /harddisk/debug.conf

Ou no Prime 3.8, o serviço Coral pode ser reiniciado fora do contêiner usando:

"sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"

Se a reinicialização não ajudar, eles poderão ser usados para limpar a instância de coral e iniciá-la sem problemas:

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral stop 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral purge 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral start 1

Reinicie Coral, isso é obrigatório. Você pode deixar a ocorrência de coral se digitar 'Exit' e:

./coral/bin/coral restart 1

Observação: no Prime 3.8, o serviço Coral pode ser reiniciado fora do contêiner usando 'sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1'

Se precisar decodificar arquivos de log do Coral, você pode decodificá-los dentro do contêiner do Coral com:

btdecode Prime_TDL_collector_*.bin

Observação: depois de habilitar o nível de depuração do Coral, é obrigatório reiniciar o Coral.

Solução de problemas no Catalyst 9800 WLC

Para monitorar a configuração enviada pelo Prime Infra para a WLC C9800, você pode executar um applet EEM.

#config terminal
#event manager applet catchall
 #event cli pattern ".*" sync no skip no
 #action 1 syslog msg "$_cli_msg"

Excluir toda a assinatura de telemetria da configuração da WLC

Pode haver ocasiões em que você queira desconfigurar todas as assinaturas de telemetria configuradas no WLC. Isso pode ser feito simplesmente com estes comandos:

WLC#term shell
WLC#function removeall() {
for id in `sh run | grep telemetry | cut -f4 -d' '`
do
conf t
no telemetry ietf subscription $id
exit
done
}
WLC#removeall

Para ativar rastreamentos:

# debug netconf-yang level debug

Para verificar:

WLC#show platform software trace level mdt-pubd chassis active R0 | inc Debug

pubd                            Debug           

WLC#show platform software trace level ndbman chassis active R0 | inc Debug

ndbmand                         Debug     

      

Para exibir as saídas de rastreamento:

show platform software trace message mdt-pubd chassis active R0

show platform software trace message ndbman chassis active R0

Verificar ID de assinatura para informações de AP

Clique em DB Query. Navegue até tohttps://<Prime_IP>/webacs/ncsDiag.do.

Escolha *de onde ewlcSubscription OWNINGENTITYID como '%Controller_IP' e CLASSNAME='UnifiedApp'.

Da WLC:

Verifique se a ID de assinatura está enviando informações e se não há descartes nos contadores cntp.

show tel int sub all stats

show telemetry internal protocol cntp-tcp connector counters drop

show telemetry internal protocol cntp-tcp connector counters queue

show telemetry internal protocol cntp-tcp connector counters rate

show telemetry internal protocol cntp-tcp connector counters sub-rate

show telemetry internal protocol cntp-tcp connector counters reset

Observação: a WLC 9800 suporta 100 assinaturas de telemetria antes da versão 17.6 e até 128 assinaturas depois da versão 17.6 (como a versão recente do Catalyst Center, pode usar mais de 100 assinaturas.

Migração do PI para o Cisco Catalyst Center

O C9800 não pode ser gerenciado simultaneamente pelo PI e pelo Cisco Catalyst Center. Se houver um plano para mudar para o Catalyst Center como uma solução de gerenciamento de rede, o C9800 precisa ser removido da Prime Infrastructure antes de ser adicionado ao Catalyst Center. Quando o C9800 é removido/excluído do PI 3.5, toda a configuração que foi enviada por push para o C9800 no momento do inventário pelo PI não é revertida e precisa ser manualmente excluída do sistema. Especificamente, os canais de assinatura estabelecidos para a WLC C9800 para publicar dados de telemetria de streaming não são removidos. 

Para identificar essa configuração específica:

#show run | sec telemetry

Para remover essa configuração, execute a no forma do comando:

(config) # no telemetry ietf subscription <Subscription-Id>
Repeat this CLI to remove each of the subscription identifiers. 


(config) # no telemetry transform <Transform-Name>
Repeat this CLI to remove each of the transform names

Observação: se você gerencia o controlador 9800 com o Catalyst Center e a Prime Infrastructure, a conformidade de inventário do Catalyst Center falha de forma esperada devido ao gerenciamento Prime.

Em versões recentes, o Prime Infrastructure e o Catalyst Center podem usar muitas assinaturas de telemetria para a WLC para que ambos os servidores gerenciem o 9800 simultaneamente. Portanto, você não pode gerenciar o 9800 com o Catalyst Center e a Prime Infrastructure e tem telemetria e estatísticas funcionando. A migração do IP para o Catalyst Center deve, portanto, ocorrer o mais rápido possível, pois o Catalyst Center não pode ter dados de telemetria do 9800 enquanto a Prime Infrastructure estiver gerenciando o controlador 9800.