Configurar e solucionar problemas de espaços do DNA e Catalyst 9800 ou Controlador sem fio incorporado (EWC) com Direct Connect

Introduction

Em vez do Mobility Express, a última série 9000 de access points da Cisco (9115, 9117, 9120, 9130) são capazes de executar a imagem de EWC (Embedded Wireless Controller, controlador sem fio incorporado). O EWC é baseado no código do Cisco 9800 WLC e permite que um dos access points atue como controlador para até 100 outros APs. 

A EWC ou o Catalyst 9800 podem ser conectados à nuvem do DNA Spaces de três maneiras diferentes:

1. Conexão direta
2. Através do conector do DNA Spaces
3. Por meio do dispositivo no local ou da VM Cisco Connected Mobile Xperience (CMX)

A integração com espaços de ADN é suportada em todas as versões do CSE. Este artigo abordará a configuração e a solução de problemas da Conexão Direta somente para o EWC em um Catalyst AP e o 9800, pois o procedimento é idêntico.

Importante: A conexão direta é recomendada somente para implantações de até 50 clientes. Para os maiores, use o conector do DNA Spaces.

Prerequisites

Componentes Utilizados

• Imagem do controlador sem fio integrado versão 17.1.1s ou Catalyst 9800-L usando 16.12.1
  
• AP 9115
• Nuvem do DNA Spaces

As etapas descritas neste artigo pressupõem que o EWC ou 9800 já foi implementado e tem uma interface web e SSH funcionais.

Configurar

Diagrama de Rede

Configurar o controlador

Os nós de nuvem do DNA Spaces e o controlador estão se comunicando pelo protocolo HTTPS. Nessa configuração de teste, o controlador foi colocado atrás de um NAT com acesso total à Internet.

Instalar certificado raiz

Antes de configurar o controlador, é necessário fazer o download de um certificado raiz DigiCert. SSH no controlador e execute:

WLC# conf t
Enter configuration commands, one per line. End with CNTL/Z.
WLC(config)# ip name-server <DNS ip>
WLC(config)# ip domain-lookup
WLC(config)# crypto pki trustpool import url https://www.cisco.com/security/pki/trs/ios.p7b
Reading file from http://www.cisco.com/security/pki/trs/ios.p7b
Loading http://www.cisco.com/security/pki/trs/ios.p7b !!!
% PEM files import succeeded.

O EWC tem DNS configurado por padrão usando servidores Cisco DNS, mas será uma etapa necessária para um controlador 9800.

Para verificar se o certificado foi instalado, execute:

EWC(config)#do show crypto pki trustpool | s DigiCert Global Root CA
cn=DigiCert Global Root CA
cn=DigiCert Global Root CA

Configurar via interface da Web

Antes que o controlador possa ser conectado ao DNA Spaces, é necessário configurar servidores NTP e DNS e ter pelo menos um AP associado.

Abra a interface Web do EWC e navegue até Administration > Time. Verifique se a WLC está sincronizada com um servidor NTP. Por padrão, o EWC está pré-configurado para usar servidores NTP ciscome.pool.ntp.org. No caso do 9800, você pode usar o mesmo NTP ou seu servidor NTP preferido:

Navegue até Administration > DNS e verifique se o servidor DNS foi adicionado. Por padrão, o EWC está pré-configurado para usar servidores Cisco Open DNS:

Em Configuration > Wireless > Access Points, verifique se pelo menos um AP foi associado. Este AP pode ser o mesmo em que o CBE está a funcionar:

Na nuvem do DNA Spaces, navegue da página inicial para Setup > Wireless Networks > Connect WLC/Catalyst 9800 Diretamente. Clique em View Token:

Mude para o Cisco Catalyst 9800. Copie o token e a URL:

Na interface da Web da WLC, navegue até Configuration > Services > Cloud Services > DNA Spaces. Colar URL e token de autenticação. Se o proxy HTTP estiver sendo usado, especifique seu endereço IP e sua porta.

Verifique se a conexão foi estabelecida com êxito em Monitoring > Wireless > NMSP. Status do serviço deve mostrar a seta verde:

Ignore o próximo capítulo e vá para "Importar controladores para a hierarquia de local".

Configuração via CLI

Verifique se o NTP está configurado e sincronizado:

EWC#show ntp associations

  address     	ref clock   	st   when   poll reach  delay  offset   disp
*~45.87.76.3  	193.79.237.14	2	638   1024   377 10.919  -4.315  1.072
+~194.78.244.172  172.16.200.253   2	646   1024   377 15.947  -2.967  1.084
+~91.121.216.238  193.190.230.66   2	856   1024   377  8.863  -3.910  1.036
 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

Novos servidores NTP podem ser adicionados usando o comando ntp server <ntp_ip_addr>.

Verifique se os servidores DNS foram configurados:

EWC#show ip name-servers
208.67.222.222
208.67.220.220

Novos servidores DNS podem ser adicionados usando o comando ip name-server <dns_ip>.

Para confirmar que o AP foi associado:

EWC#show ap status
AP Name    Status     Mode    Country
--------------------------------------
9115       Enabled    Local   BE

Como mencionado anteriormente, acesse a nuvem do DNA Spaces, navegue para Setup > Wireless Networks > Connect WLC/Catalyst 9800 Diretamente e clique em View Token:

Mude para o Cisco Catalyst 9800. Copie o token e a URL:

Execute os seguintes comandos:

CL-9800-01(config)#no nmsp cloud-services enable
CL-9800-01(config)#nmsp cloud-services server url [URL]
CL-9800-01(config)#nmsp cloud-services server token [TOKEN]
CL-9800-01(config)#nmsp cloud-services enable
CL-9800-01(config)#exit

Para verificar se a conexão com a nuvem do DNA Spaces foi estabelecida com êxito, execute:

CL-9800-01#show nmsp cloud-services summary
CMX Cloud-Services Status
------------------------------------------------
Server : https://vasilijeperovic.dnaspaces.eu
CMX Service : Enabled
Connectivity : https: UP
Service Status : Active
Last IP Address : 63.33.127.190
Last Request Status : HTTP/2.0 200 OK
Heartbeat Status : OK

Importar o EWC para a hierarquia de locais

Etapa 1. O resto da configuração será feito em DNA Spaces. Em Setup > Wireless Networks > Connect WLC/Catalyst 9800 Directly, clique em Import Controllers.

Etapa 2. Marque o botão de opção ao lado do nome da sua conta e clique em Avançar. Se você já tiver alguns locais adicionados, eles aparecerão na lista abaixo:

Etapa 3. Localize o endereço IP do controlador, marque a caixa ao lado dele e pressione Avançar:

Etapa 4. Como nenhum outro local foi adicionado, clique em Concluir:

Etapa 5. O prompt informando que a WLC foi importada com êxito para a Hierarquia de local aparecerá:

Agora que a WLC foi conectada com êxito à nuvem, você pode começar a usar todos os outros recursos do DNA Spaces.

Note: O tráfego NMSP sempre usa a interface de gerenciamento sem fio para se comunicar com o DNA Spaces ou CMX. Isso não pode ser alterado na configuração do controlador 9800. O número da interface seria irrelevante, qualquer interface atribuída como uma Interface de gerenciamento sem fio no controlador 9800 será usada.

Organize a hierarquia de local nos Cisco DNA Spaces

Se uma nova hierarquia de local for desejada ou se nenhum local tiver sido adicionado na etapa 4 da seção Importar o controlador 9800 para o Cisco DNA Spaces, você poderá configurá-los manualmente.

A hierarquia de locais é um dos recursos mais importantes dos espaços do DNA, pois é usada para informações de análise e, com base nelas, as regras dos portais cativos são configuradas. Quanto mais granular é a hierarquia de localização, mais granular é o controle que se tem sobre as regras do portal cativo e sobre as informações que podem ser recuperadas do DNA Spaces.

O recurso de hierarquia de localização nos Espaços do DNA funciona da mesma forma que a hierarquia tradicional do Cisco Prime Infrastructure ou do Cisco CMX, mas o nome é bem diferente. Quando o controlador é importado para a hierarquia de locais, ele representa o equivalente como o campus da hierarquia tradicional; sob o controlo, podem ser criados grupos equivalentes aos edifícios; então, sob os grupos, as redes podem ser configuradas que sejam equivalentes a andares, finalmente, sob as redes, podem ser criadas zonas que permaneçam no mesmo nível que costumavam na hierarquia de locais tradicional. Resumindo, esta é a equivalência:

Tabela 1. Equivalência entre os níveis hierárquicos tradicionais e os níveis de espaços de DNA.

Hierarquia de Espaços do DNA	Hierarquia tradicional
Controlador (rede sem fio)	Campus
Grupo	Edifício
Rede	Andar
Zona	Zona

Etapa 1. Configurar um grupo. Os grupos organizam vários locais ou zonas com base na geolocalização, na marca ou em qualquer outro tipo de agrupamento, dependendo da empresa. Navegue até Hierarquia de local, passe o mouse sobre o controlador sem fio existente e clique em Criar grupo.

Para alterar o nome do nível de localização, passe o mouse sobre a rede e clique em "Renomear".

Etapa 2. Insira o nome do grupo e selecione o local não configurado, pois isso inclui todos os APs importados com o controlador; esses APs serão mapeados e, em seguida, para redes e zonas, conforme necessário. Clique em Add.

Etapa 3. Crie uma rede. Uma rede ou um local é definido no Cisco DNA Spaces como todos os pontos de acesso em um prédio físico consolidado como um local. Passe o mouse sobre o Grupo e clique em Adicionar rede. 

Note: Esse é o nó mais importante na Hierarquia de locais, pois os insights de negócios e os cálculos de análise de local são gerados a partir daqui.

Etapa 4. Insira o nome da rede e o prefixo do ponto de acesso e clique em Buscar. O DNA Spaces busca todos os APs associados a esse controlador com esse prefixo e permite adicionar os APs ao chão. Somente um prefixo pode ser inserido.

Etapa 5. Caso sejam necessários mais prefixos na rede. Clique no nome da rede, na guia Location Info (Informações do local), clique no botão Edit (Editar) ao lado de Access Points Prefix Used (Prefixo de pontos de acesso usado). 

Digite o nome do prefixo, clique em +Adicionar prefixo e Salvar. Repita para todos os prefixos conforme necessário, isso mapeará os APs para a rede e permitirá que o mapa associe os APs às zonas posteriormente.

Etapa 6. Crie uma zona. Uma zona é uma coleção de pontos de acesso dentro de uma seção de um prédio/local. Ela pode ser definida com base nos departamentos de um prédio físico ou de uma organização. Passe o mouse sobre a rede e selecione Adicionar zona.

Passo 7. Configure o nome da zona, selecione os APs para a zona e clique em Adicionar:

Solução de problemas e problemas comuns

Problemas comuns

A página da interface da Web em Monitoring > Wireless > NMSP (ou executando o comando show nmsp cloud-services summary) geralmente exibirá informações suficientes sobre a falha de conexão. Vários erros comuns podem ser encontrados nas capturas de tela abaixo:

1. Quando o DNS não está configurado, a mensagem de erro "Erro de transferência (6): Não foi possível resolver o nome do anfitrião" mostra:

O certificado não está sendo instalado ou o NTP não está sendo configurado resulta com a mensagem de erro dizendo: "Erro de transferência (60): O certificado de peer SSL ou a chave remota SSH não estava OK":

Rastreamento radioativo

A EWC, tal como todos os outros controladores 9800, suporta Rastreios Radioativos sempre ativos. A fim de as recolher e ver por que razão a ligação não está a ser estabelecida, é necessário saber a que endereço IP dos espaços de ADN está a chegar a CBI. Isso pode ser encontrado em Monitor > Wireless > NMSP ou através da CLI:

EWC#show nmsp status
NMSP Status
-----------

CMX IP Address      Active	Tx Echo Resp  Rx Echo Req   Tx Data 	Rx Data 	Transport
--------------------------------------------------------------------------------------------------
63.33.127.190       Active	0             0             38      	2       	HTTPS

O EWC nesta configuração de teste está se conectando a 63.33.127.190. Copie esse endereço IP e navegue até Troubleshooting > Radioative Trace. Clique em Adicionar, cole o endereço IP e clique em Gerar:

Selecione Gerar registros para os últimos 10 minutos e clique em Aplicar. A ativação de registros internos pode gerar grandes quantidades de dados que podem ser difíceis de analisar:

Observação: DNS, NTP e falta de certificado configurados incorretamente não gerarão nenhum Rastreamento Radioativo

Exemplo de um Rastreamento Radioativo em um caso em que o Firewall está bloqueando o HTTPS:

2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (note): CMX [63.33.127.190]:[32]: closing
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Called 'is_ready'
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (info): CMX [63.33.127.190]:[32]: Processing connection event NMSP_APP_LBS_DOWN(201)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (info): Started or incremented transaction (TID: -1, ref count: 1, started: 0, abort: 0)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-enc] [11100]: (debug): Decoding control message structure
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-enc] [11100]: (debug): Control structure was successfully decoded from message
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (debug): Retrieving CMX entry: 32
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (ERR): CMX entry 32 not found
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (debug): CMX Pool processing NMSP message (id: event NMSP_APP_LBS_DOWN(201), length: 48, client: 0, CMX id: 32)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (info): Ending transaction (TID: -1, ref count: 1, started: 0, abort: 0)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (info): Ended transaction (TID: -1, ref count: 0, started: 0, abort: 0)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-client] [11100]: (debug): NMSP IPC sent message to NMSPd NMSP message (id: event NMSP_APP_LBS_DOWN(201), length: 48, client: 0, CMX id: 32) successfully
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (info): CMX [63.33.127.190]:[32]: successfully broadcasted IPC event NMSP_APP_LBS_DOWN(201)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (note): CMX [63.33.127.190]:[32]: down
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (debug): NMSP timer 0xab774af4: close
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Decrease reference count for https_con object: Now it's 1

Exemplo de Rastreamento Radioativo para uma conexão bem-sucedida com a nuvem:

2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (note): Server did not reply to V2 method. Falling back to V1.
2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Cloud authentication 2 step failed, trying legacy mode
2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (note): Set connection status from HTTP_CON_AUTH_PROGRESS_2STEP to HTTP_CON_AUTH_IDLE
2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): tenant ID: vasilijeperovic
2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): hostname is: data.dnaspaces.eu
2020/02/24 18:53:20.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (note): Starting authentication V1 using Heartbeat URL https://data.dnaspaces.eu/api/config/v1/nmspconfig and Data URL https://data.dnaspaces.eu/networkdata
2020/02/24 18:53:20.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (note): Set connection status from HTTP_CON_AUTH_IDLE to HTTP_CON_AUTH_PROGRESS_1STEP
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): tenant ID: vasilijeperovic
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): hostname is: data.dnaspaces.eu
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Authenticator V1 get heartbeat host: https://data.dnaspaces.eu/api/config/v1/nmspconfig
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Authenticator V1 get access token: eyJ0eX[information omitted]rpmRq0g
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (debug): DNSs used for cloud services: 208.67.222.222,208.67.220.220
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Using nameservers: 208.67.222.222,208.67.220.220
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): IP resolution preference is set to IPv4
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Not using proxy for cloud services
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): Found bundle for host data.dnaspaces.eu: 0xab764f98 [can multiplex]
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): Re-using existing connection! (#0) with host data.dnaspaces.eu
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): Connected to data.dnaspaces.eu (63.33.127.190) port 443 (#0)
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): Using Stream ID: 3 (easy handle 0xab761440)
2020/02/24 18:53:21.636 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): POST /api/config/v1/nmspconfig/192.168.1.10?recordType=nmsp_hrbt_init&jwttoken=eeyJ0eX[information omitted]70%3A69%3A5a%3A74%3A8e%3A58 HTTP/2
Host: data.dnaspaces.eu
Accept: */*
Accept-Encoding: gzip

2020/02/24 18:53:21.665 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): We are completely uploaded and fine
HTTP/2 200