配置DNA空间和Catalyst 9800或嵌入式无线控制器(EWC)并排除故障,使用直接连接
目录
简介
思科最新的9000系列接入点(9115、9117、9120、9130)可以运行嵌入式无线控制器(EWC)映像。EWC基于Cisco 9800 WLC代码,允许其中一个接入点充当最多100个其他AP的控制器。
EWC或Catalyst 9800可通过3种不同方式连接到DNA空间云:
- 直接连接
- 通过DNA空间连接器
- 通过思科互联移动体验(CMX)内部设备或虚拟机
每个版本的EWC都支持与DNA空间集成。本文将介绍Catalyst AP和9800上EWC的直接连接设置和故障排除,因为步骤相同。
先决条件
使用的组件
- 嵌入式无线控制器映像版本17.1.1s或使用16.12.1的Catalyst 9800-L
- 9115 AP
- DNA空间云
本文中概述的步骤假设EWC或9800已部署,并且具有工作的Web界面和SSH。
配置
网络图
配置控制器
DNA空间云节点和控制器正在通过HTTPS协议通信。在此测试设置中,控制器已置于具有完全互联网访问的NAT后面。
安装根证书
在配置控制器之前,需要下载DigiCert根证书。通过SSH连接到控制器并运行:
WLC# conf t Enter configuration commands, one per line. End with CNTL/Z.
WLC(config)# ip name-server <DNS ip>
WLC(config)# ip domain-lookup WLC(config)# crypto pki trustpool import url https://www.cisco.com/security/pki/trs/ios.p7b Reading file from http://www.cisco.com/security/pki/trs/ios.p7b Loading http://www.cisco.com/security/pki/trs/ios.p7b !!! % PEM files import succeeded.
默认情况下,EWC使用Cisco DNS服务器配置了DNS,但9800控制器需要执行此步骤。
要验证证书是否已安装,请运行:
EWC(config)#do show crypto pki trustpool | s DigiCert Global Root CA cn=DigiCert Global Root CA cn=DigiCert Global Root CA
通过Web界面配置
在控制器可以连接到DNA空间之前,需要设置NTP和DNS服务器,并且至少连接一个AP。
打开EWC的Web界面并导航至“管理”>“时间”。确保WLC与NTP服务器同步。 默认情况下,EWC已预配置为使用ciscome.pool.ntp.org NTP服务器。对于9800,您可以使用相同的NTP或首选NTP服务器:
导航至Administration > DNS,并验证是否已添加DNS服务器。默认情况下,EWC已预配置为使用Cisco Open DNS服务器:
在Configuration > Wireless > Access Points下,验证至少已加入一个AP。此AP可以与EWC运行的AP相同:
在DNA空间云上,从主页导航到Setup > Wireless Networks > Connect WLC/Catalyst 9800 Directly。单击View Token:
Switch(交换机)选项卡,切换到Cisco Catalyst 9800。复制令牌和URL:
在WLC Web界面中,导航至Configuration > Services > Cloud Services > DNA Spaces。粘贴URL和身份验证令牌。如果使用HTTP代理,请指定其IP地址和端口。
验证是否已在“监控”>“无线”>“NMSP”下成功建立连接。服务状态应显示绿色箭头:
跳过下一章,转到“将控制器导入位置层次结构”。
通过CLI进行配置
验证NTP是否已配置并同步:
EWC#show ntp associations address ref clock st when poll reach delay offset disp *~45.87.76.3 193.79.237.14 2 638 1024 377 10.919 -4.315 1.072 +~194.78.244.172 172.16.200.253 2 646 1024 377 15.947 -2.967 1.084 +~91.121.216.238 193.190.230.66 2 856 1024 377 8.863 -3.910 1.036 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured
可以使用ntp server <ntp_ip_addr>命令添加新的NTP服务器。
验证DNS服务器是否已配置:
EWC#show ip name-servers 208.67.222.222 208.67.220.220
可以使用ip name-server <dns_ip>命令添加新的DNS服务器。
要确认AP已加入,请执行以下操作:
EWC#show ap status AP Name Status Mode Country -------------------------------------- 9115 Enabled Local BE
如前所述,访问DNA空间云,导航至Setup > Wireless Networks > Connect WLC/Catalyst 9800 Directly,然后单击View Token:
Switch(交换机)选项卡,切换到Cisco Catalyst 9800。复制令牌和URL:
运行以下命令:
CL-9800-01(config)#no nmsp cloud-services enable CL-9800-01(config)#nmsp cloud-services server url [URL] CL-9800-01(config)#nmsp cloud-services server token [TOKEN] CL-9800-01(config)#nmsp cloud-services enable CL-9800-01(config)#exit
要验证与DNA空间云的连接是否已成功建立,请运行:
CL-9800-01#show nmsp cloud-services summary CMX Cloud-Services Status ------------------------------------------------ Server : https://vasilijeperovic.dnaspaces.eu CMX Service : Enabled Connectivity : https: UP Service Status : Active Last IP Address : 63.33.127.190 Last Request Status : HTTP/2.0 200 OK Heartbeat Status : OK
将EWC导入位置层次结构
步骤1.其余配置将在DNA空间中完成。在Setup > Wireless Networks > Connect WLC/Catalyst 9800 Directly下,单击Import Controllers。
步骤2.选中您的帐户名称旁边的单选按钮,然后点击Next。如果已添加了一些位置,它们将显示在以下列表中:
步骤3.查找您的控制器IP地址,选中其旁边的框,然后按Next:
步骤4.由于尚未添加其他位置,只需单击“完成”:
步骤5.系统将弹出提示,提示WLC已成功导入位置层次结构:
现在,WLC已成功连接到云,您可以开始使用所有其他DNA空间功能。
在思科DNA空间上组织位置层次结构
如果需要新的位置层次结构,或者如果在“将9800控制器导入到Cisco DNA空间”部分的步骤4中未添加任何位置,则可以手动配置它们。
位置层次结构是DNA空间最重要的功能之一,因为它用于分析信息,并基于它配置强制门户规则。位置层次结构的粒度越细,对强制网络门户的规则和可从DNA空间检索的信息的控制就越精细。
DNA空间上的位置层次结构功能与Cisco Prime基础设施或Cisco CMX的传统层次结构的工作方式相同,但命名方式截然不同。当控制器被导入到位置层次结构中时,它代表了传统层次结构中的等效园区;在控制器下,可以创建与建筑物等效的组;然后,在组下,可以配置与楼层等效的网络,最后,在网络下,可以创建与传统位置层次结构中使用的相同级别保持相同的区域。总之,这是等价的:
表1.传统层级与DNA空间级别的等价性。
| DNA空间层次 | 传统层次结构 |
| 控制器(无线网络) | 园区 |
| 组 | 建筑 |
| 网络 |
楼层 |
| 区域 |
区域 |
步骤1.配置组。组根据地理位置、品牌或任何其他类型的分组组织多个位置或区域,具体取决于业务。导航至位置层次结构,将鼠标悬停在现有无线控制器上,然后单击创建组。
要更改位置级别的名称,请将鼠标悬停在网络上,然后单击“重命名”。
步骤2.输入组名称并选择未配置位置,因为该位置包括随控制器导入的所有AP,这些AP将根据需要映射到网络和区域。单击 Add。
步骤3.创建网络。网络或位置在Cisco DNA空间中定义为物理建筑中作为位置整合的所有接入点。将鼠标悬停在组上,然后单击“添加网络”。
步骤4.输入网络名称和接入点前缀,单击Fetch。DNA空间使用该前缀获取与该控制器关联的所有AP,并允许将AP添加到楼层。只能输入一个前缀。
步骤5.在网络中需要更多前缀时。单击网络名称,在“位置信息”选项卡中单击“使用的接入点前缀”旁边的“编辑”按钮。
输入前缀名称,单击+添加前缀,然后保存。根据需要对所有前缀重复上述步骤,这会将AP映射到网络并允许稍后将AP关联到区域。
步骤6.创建区域。区域是大楼/位置部分内的接入点集合。它可以根据实体建筑或组织中的部门进行定义。将鼠标悬停在Network(网络)上,然后选择Add Zone(添加区域)。
步骤7.配置Zone Name并为区域选择AP,然后单击Add:
故障排除和常见问题
常见问题
通常,Monitoring > Wireless > NMSP(或运行show nmsp cloud-services summary命令)下的Web界面页面会显示有关连接故障的足够信息。以下屏幕截图中可找到几个常见错误:
1.未配置DNS时,出现错误消息“传输错误(6):无法解析主机名”显示:
未安装证书或NTP未配置都会导致错误消息:“传输错误(60):SSL对等证书或SSH远程密钥不正常":
放射性追踪
EWC与所有其他9800控制器一样,支持始终在线的放射性痕迹。为了收集它们并了解连接未建立的原因,需要知道EWC要访问的DNA空间IP地址。这可以在Monitor > Wireless > NMSP下或通过CLI找到:
EWC#show nmsp status NMSP Status ----------- CMX IP Address Active Tx Echo Resp Rx Echo Req Tx Data Rx Data Transport -------------------------------------------------------------------------------------------------- 63.33.127.190 Active 0 0 38 2 HTTPS
此测试设置中的EWC正在连接到63.33.127.190。请复制此IP地址并导航至“故障排除”>“放射性跟踪”。点击Add,粘贴IP地址,然后点击Generate:
选择生成过去10分钟的日志,然后点击应用。启用内部日志可生成可能难以分析的大量数据:
防火墙阻止HTTPS时的放射性跟踪示例:
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (note): CMX [63.33.127.190]:[32]: closing
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Called 'is_ready'
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (info): CMX [63.33.127.190]:[32]: Processing connection event NMSP_APP_LBS_DOWN(201)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (info): Started or incremented transaction (TID: -1, ref count: 1, started: 0, abort: 0)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-enc] [11100]: (debug): Decoding control message structure
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-enc] [11100]: (debug): Control structure was successfully decoded from message
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (debug): Retrieving CMX entry: 32
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (ERR): CMX entry 32 not found
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (debug): CMX Pool processing NMSP message (id: event NMSP_APP_LBS_DOWN(201), length: 48, client: 0, CMX id: 32)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (info): Ending transaction (TID: -1, ref count: 1, started: 0, abort: 0)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (info): Ended transaction (TID: -1, ref count: 0, started: 0, abort: 0)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-client] [11100]: (debug): NMSP IPC sent message to NMSPd NMSP message (id: event NMSP_APP_LBS_DOWN(201), length: 48, client: 0, CMX id: 32) successfully
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (info): CMX [63.33.127.190]:[32]: successfully broadcasted IPC event NMSP_APP_LBS_DOWN(201)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (note): CMX [63.33.127.190]:[32]: down
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (debug): NMSP timer 0xab774af4: close
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Decrease reference count for https_con object: Now it's 1
与云成功连接的放射性跟踪示例:
2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (note): Server did not reply to V2 method. Falling back to V1.
2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Cloud authentication 2 step failed, trying legacy mode
2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (note): Set connection status from HTTP_CON_AUTH_PROGRESS_2STEP to HTTP_CON_AUTH_IDLE
2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): tenant ID: vasilijeperovic
2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): hostname is: data.dnaspaces.eu
2020/02/24 18:53:20.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (note): Starting authentication V1 using Heartbeat URL https://data.dnaspaces.eu/api/config/v1/nmspconfig and Data URL https://data.dnaspaces.eu/networkdata
2020/02/24 18:53:20.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (note): Set connection status from HTTP_CON_AUTH_IDLE to HTTP_CON_AUTH_PROGRESS_1STEP
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): tenant ID: vasilijeperovic
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): hostname is: data.dnaspaces.eu
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Authenticator V1 get heartbeat host: https://data.dnaspaces.eu/api/config/v1/nmspconfig
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Authenticator V1 get access token: eyJ0eX[information omitted]rpmRq0g
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (debug): DNSs used for cloud services: 208.67.222.222,208.67.220.220
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Using nameservers: 208.67.222.222,208.67.220.220
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): IP resolution preference is set to IPv4
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Not using proxy for cloud services
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): Found bundle for host data.dnaspaces.eu: 0xab764f98 [can multiplex]
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): Re-using existing connection! (#0) with host data.dnaspaces.eu
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): Connected to data.dnaspaces.eu (63.33.127.190) port 443 (#0)
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): Using Stream ID: 3 (easy handle 0xab761440)
2020/02/24 18:53:21.636 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): POST /api/config/v1/nmspconfig/192.168.1.10?recordType=nmsp_hrbt_init&jwttoken=eeyJ0eX[information omitted]70%3A69%3A5a%3A74%3A8e%3A58 HTTP/2
Host: data.dnaspaces.eu
Accept: */*
Accept-Encoding: gzip
2020/02/24 18:53:21.665 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): We are completely uploaded and fine
HTTP/2 200
反馈