MSE软件版本7.2虚拟设备配置和部署指南

简介

思科移动服务引擎(MSE)软件版本7.2增加了虚拟设备并支持VMware ESXi。本文档为将MSE虚拟设备添加到思科统一WLAN和运行情景感知服务和/或思科自适应无线入侵防御系统(wIPS)的用户提供配置和部署指南以及故障排除提示。 此外，本文档介绍MSE虚拟设备的系统要求，并提供MSE虚拟设备的一般部署指南。本文档不提供 MSE 和相关组件的配置细节。此信息在其他文件中提供；提供了参考。

有关环境感知移动服务配置和设计方面的文档列表，请参阅相关信息部分。本文档也不涉及 Adaptive wIPS 配置。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Cisco 3300系列移动服务引擎。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

背景信息

此图显示了包括思科移动服务引擎(MSE)的典型思科WLAN部署。 此部署还包括其他有线/无线网络客户端、RFID标签、非法接入点(AP)和客户端。MSE为位置和wIPS提供这些元素的可视性。在MSE软件版本7.2之前，仅物理设备限于MSE-3310和MSE-3350/3355。

系统要求

在VMware ESXi 4.1及更高版本上支持并测试MSE软件版本7.2虚拟设备。这些服务器配置已经过测试，建议作为指导。

• 思科统一计算系统(UCS)C200 M2机架式服务器

  • 两(2)个英特尔^?至强^?CPU E5506,2.13GHz

  • RAM（根据配置的级别）

  • 具有增强型RAID控制器的SAS驱动器（最少500 GB+）

• UCS C210 M2机架式服务器

  • 两(2)个Intel Xeon CPU E5640 @ 2.67GHz

  • RAM（根据配置的级别）

  • 具有增强型RAID控制器的SAS驱动器（最少500 GB+）

• UCS C250 M2机架式服务器

  • 两(2)个Intel Xeon CPU E5570 @ 2.93GHz

  • RAM（根据配置的级别）

  • 具有增强型RAID控制器的SAS驱动器（最少500 GB+）

• UCS C460 M2机架式服务器

  • 两(2)个Intel Xeon CPU E7-4830 @ 2.13GHz

  • RAM（根据配置的级别）

  • 具有增强型RAID控制器的SAS驱动器（最少500 GB+）

注意：  使用两(2)个四核处理器，其功能至少与上述处理器相同。

管理软件和VMware许可

Cisco MSE软件版本7.2虚拟设备支持ESX/ESXi 4.x及更高版本。

为了管理ESXi主机以及配置和部署虚拟设备，思科建议您在Windows XP或Windows 7 64位计算机上安装vCenter Server 4.x并获取vCenter企业版许可证。或者，如果您只有一台ESXi主机，则可以使用vSphere客户端来管理它。

资源需求

资源需求取决于要部署的许可证。下表列出了配置虚拟设备的不同级别：

主MSE	资源		支持的许可证（单独）
虚拟设备级别	总内存空间	CPU	CAS许可证	wIPS许可证
低	6G	2	2000	2000
标准	11G	8	18000	5000
高	20G	16	50000	10000

注意：仅运行一项服务时，CAS和wIPS许可证的建议限制是支持的最大限制。如果要在同一设备上同时运行两个服务，则应用共存限制。

设置ESXi主机

要在UCS或类似服务器上设置MSE虚拟设备，请完成以下步骤：

1. 确保您的计算机至少有500 GB以上的硬盘空间和带增强型RAID控制器的快速SAS驱动器。（为ESXi 5.0之前的版本创建Datastore时，使用至少4 MB的块大小。）

2. 安装ESXi。

   1. 插入ESXi 4.1或更高版本的安装磁盘，并从驱动器启动。

   2. 如果使用多个驱动器，请在配置为引导驱动器的驱动器中安装ESXi。默认用户名为root，密码为空（无密码）。

   注：如果选择了错误的驱动器进行安装，则可以使用Fedora Live CD重新格式化。

3. 配置IP地址。

   选择已启用且处于活动状态的网络适配器。如果主机连接到多个网络，则可能有多个网络适配器。在CIMC设置期间，您可以设置相同的IP地址；在启动过程中按F8以设置IP地址。此外，更改默认密码。

设置ESXi后，您可以使用Windows XP或Windows 7计算机，以及上面配置的IP地址和登录凭据，以便通过vSphere客户端连接到ESXi主机。

有关ESXi主机许可的信息，请参阅许可ESX 4.x、ESXi 4.x和vCenter Server 4.x 。

有关如何在ESXi上设置Datastore的信息，请参阅以下文章：

• 创建VMFS Datastore

• 增加VMFS数据存储

警告：  为ESXi 4.1创建Datastore时，使用至少4 MB的块大小。

安装MSE虚拟设备

MSE虚拟设备作为开放虚拟设备(OVA)映像分发，可使用vSphere客户端在ESXi主机上部署。有两个可用的OVA版本：一个版本用于演示映像，只需60GB的磁盘空间，另一个版本是通用生产映像。

生产映像可分发性假定ESXi主机datastore上至少有500 GB及以上的可用磁盘空间。OVA可通过vSphere客户端进行选择和部署。选择文件>部署OVF模板以部署模板。

根据网络速度，映像部署需要几分钟时间。部署后，您可以编辑虚拟机(VM)配置以配置设备；配置时应关闭VM。

配置MSE虚拟设备级别

本节中的表列出了可在虚拟设备上配置的级别以及相应的资源要求。将专用核心分配给设备，而不是超线程虚拟核心，因为如果您假设主机具有更多虚拟核心并且部署了更多设备，将影响性能。例如，在上述UCS C200中，有八(8)个物理核心可用，但有十六(16)个具有超线程的虚拟核心。不要假设有十六(16)个内核可用；仅分配八(8)个核心，以确保MSE在受压时能可靠地执行。

主MSE	资源			支持的许可证（单独）		支持的辅助MSE
虚拟设备级别	总内存空间	CPU		CAS许可证	wIPS许可证	虚拟设备	物理盒
低	6G	2		2000	2000	低+	Not Supported
标准	11G	8		18000	5000	标准+
高	20G	16		50000	10000	高+

设置MSE虚拟设备

部署和配置虚拟设备后，您就可以启动虚拟设备。当设备首次通电时，您需要输入默认登录凭证：root/password。

首次登录时，设备将开始配置MSE软件，并安装Oracle数据库。这是一个一次性且耗时的过程，至少需要30-40分钟。安装完成后，将再次显示登录提示。要继续配置设备，请参阅《Cisco 3355移动服务引擎入门指南》的“配置移动服务引擎”部分。

配置网络

默认情况下，虚拟机使用主机网络设置；因此，您无需在ESXi上配置VM适配器。但是，如果公共网络和专用网络都连接到主机，并且您希望虚拟机能够访问两者，则可以在vShpere客户端中配置虚拟机适配器。

在vSphere客户端中，选择主机，单击“Configuration（配置）”选项卡，然后单击“Networking（网络）”。您可以在虚拟交换机属性中查看物理适配器。

使用单独的适配器创建单独的交换机以隔离网络。然后，您可以根据需要将VM适配器分配到这些网络。

添加硬盘空间

如果需要，请向VM添加额外的磁盘容量并扩展分区。

注意： installDrive.sh脚本（位于/opt/mse/framework/bin目录中）检测新驱动器并重新分区现有分区，以便使用和扩展新驱动器。

在尝试重新分区磁盘空间之前，请确保备份VM（或至少备份MSE数据）。

要向虚拟机添加更多磁盘空间，请关闭虚拟机，转到虚拟机设置，然后添加额外的硬盘。

添加硬盘后，打开VM电源，登录设备，然后运行installDrive.sh脚本。脚本应装载并重新分区新添加的驱动器。如果添加了多个硬盘，请为每个新驱动器运行一次脚本。

地址块大小

对于5.0之前的ESXi版本，思科建议主机上的Datastore的块大小为4 MB或更大；否则，OVA的部署可能会失败。如果部署失败，您可以重新配置块大小。

要重新配置块大小，请转到ESX主机配置>存储>删除数据存储，然后将存储重新添加到块大小至少为4MB的新数据存储中。

VMware工具

如果VM引发以下错误，请右键单击vSphere客户端中的VM，然后选择Guest > Install/Upgrade VMware Tools以安装或升级VMware工具：

Guest OS cannot be shutdown because Vmware tools is not installed or running.

升级虚拟设备

配置虚拟设备后，应将其视为物理MSE框。每次要升级到最新MSE版本时，您无需部署新的OVA;您可以将适当的安装程序映像下载到设备，并按照物理设备的升级步骤进行升级。

许可虚拟设备

配置虚拟设备后，可以在评估模式（默认60天）下使用虚拟设备，无需许可设备。但是，如果计划部署永久许可证或使用高可用性(HA)等功能，则必须使用虚拟设备激活许可证激活虚拟设备。 您可以从虚拟设备(在设备上运行show csludi)或从Cisco Prime网络控制系统(NCS)MSE常规属性获取唯一设备标识符(UDI)，并使用此信息购买虚拟设备激活许可证和永久服务许可证。

此图像显示对虚拟设备的许可证中心UI的最近更改。

对于虚拟设备，MSE名称旁边的消息会清楚地指示是否激活它。此外，还有两个限制列：平台限制列列出此设备上该服务支持的最大许可证（取决于对VM的资源分配），而安装限制列列出设备上已安装或通过评估可用的实际许可证。

虚拟设备的高可用性

要使用HA功能，必须使用虚拟设备激活许可证激活主设备和辅助设备。

配置高可用性

您可以通过NCS上的主MSE设置HA配置。

激活辅助MSE

必须激活辅助设备。您可以使用UDI信息为辅助MSE请求激活许可证。在“HA配置”(HA Configuration)页面上，浏览许可证，然后单击保存。辅助MSE成功激活后，将设置HA。

停用辅助MSE

如果需要从辅助MSE中删除激活许可证，可以单击复选框，然后单击Save以停用辅助MSE。

ESXi 5.0上的虚拟设备

在ESXi 5.0上，块大小固定为1 MB，因为它支持大型虚拟机部署。为了能够为虚拟设备分配八(8)个以上的核心，必须升级虚拟硬件。要升级虚拟硬件，请选择MSE，然后选择“升级虚拟硬件”，如下图所示：

MSE控制台过程

1. 使用以下凭证登录控制台：root/password。

   首次启动时，MSE 会提示管理员启动设置脚本。

2. 在此提示符中输入yes。

   

   注意：如果MSE未提示设置，请输入以下命令：/opt/mse/setup/setup.sh。

3. 配置主机名：

   

4. 配置DNS域名：

   

5. 配置主HA角色：

   

6. 配置以太网接口参数：

   

7. 当系统提示输入eth1接口参数时，键入Skip以继续下一步，因为操作不需要第二个网卡。

   

   注意：配置的地址必须提供与此设备使用的透视WLC和WCS管理系统的IP连接。

8. 输入DNS服务器信息。要成功解析域，只需一个DNS服务器，请输入备用服务器以实现恢复能力。

   

9. 配置时区。思科建议您使用UTC（协调世界时）。

   如果纽约的默认时区不适用于您的环境，请浏览位置菜单以选择正确的时区。

   

10. 当系统提示配置将来的重新启动日期和时间时，键入Skip。

    

11. 配置远程系统日志服务器（如果适用）。

    

12. 配置网络时间协议(NTP)或系统时间。

    NTP是可选的，但可确保系统保持准确的系统时间。如果选择启用NTP，系统时间将从您选择的NTP服务器配置。否则，系统将提示您输入当前日期和时间。

    

13. 当提示配置登录标语时，键入Skip。

    

14. 启用本地控制台根登录。

    此参数用于启用/禁用对系统的本地控制台访问。应启用本地控制台根登录，以便进行本地故障排除。默认值为Skip。

    

15. 启用安全外壳(SSH)根登录。

    此参数用于启用/禁用对系统的远程控制台访问。应启用SSH根登录，以便进行远程故障排除。但是，公司安全策略可能要求禁用此选项。

    

16. 配置单用户模式和密码强度。

    无需这些配置参数；默认值为Skip。

    

17. 更改根密码。

    此步骤对确保系统安全至关重要。请务必选择由字母和数字组成的、不含字典单词的强口令。最小密码长度为八(8)个字符。默认凭证为根/密码。

    

18. 配置登录和密码相关参数：

    

19. 配置引导密码(Grub)密码。（可选）

    不需要此配置参数。默认值为Skip。

    

20. 配置NCS通信用户名。

    

21. 接受对配置的更改。

    

    此图显示了完成屏幕的示例：

    

22. 运行getserverinfo命令以验证配置。

    

将MSE VA添加到NCS

1. 登录到NCS，然后选择Services > Mobility Services Engines。

   

2. 从页面右侧的下拉列表中，选择添加移动服务引擎，然后单击开始。

   

3. 输入MSE的唯一设备名称、MSE设置期间之前配置的IP地址、支持联系人姓名。以及在MSE设置过程中配置的NCS用户名和密码。

   请勿更改默认用户名 admin。可以保留为默认值。

   

4. 单击 Next。

5. 单击Licensing，然后验证许可。在安装时，默认演示许可证足以进行测试。您可以在“许可”(Licensing)页面添加更多购买的许可证或删除许可证。

   

6. 单击 Next。

   

7. 在“选择移动服务”(Select Mobility Service)页面上，单击Cisco Tag Engine（自7.0MR起可用）单选按钮（用于客户端和RFID标签支持），或单击Partner Tag Engine（用于Aeroscout等）单选按钮。

8. 单击Wireless Intrusion Protection Service复选框以测试监控模式和增强本地模式功能的wIPS安全功能。

9. 单击 Next。

10. 选中要启用跟踪的元素的复选框，以及可用于历史报告的这些元素的历史记录参数的复选框。

    

11. 单击 Next。

    

12. 选中现有建筑和楼层的复选框，然后单击“同步”。

    同步后，“状态”(Status)列会更新，以显示初始网络设计已同步。

    

13. 完成同步后，单击“完成”。

    系统将显示一个对话框，其中显示MSE设置已保存。

    

14. 在NCS的主MSE页面上确认配置。

    

    确保同步其余的网络设计、控制器、有线交换机和事件组（如果可用）。

    注意：思科情景感知服务高度依赖于WLC、NCS和MSE之间的同步时钟。如果这三个系统都未指向同一NTP服务器，并且配置了相同的时区设置，则情景感知服务将无法正常运行。在尝试任何故障排除步骤之前，请确保情景感知系统的所有组件上的系统时钟相同。

15. 检查MSE和控制器通信以获取所选服务。

    验证MSE是否仅与所选服务的每个控制器通信；网络移动服务协议(NMSP)状态必须处于活动状态。

    此映像提供了密钥哈希未添加到WLC的示例。

    

    在WLC控制台上，使用show auth-list命令。

    以下示例从WLC控制台显示没有可用的位置服务器：

    

    要手动添加MSE并建立到WLC的NMSP连接，请完成以下步骤：

    1. 在MSE控制台上，运行cmdshell命令，然后运行show server-auth-info命令。

       此示例显示要用于添加到WLC的MAC地址和密钥哈希。

       

    2. 运行config auth-list add ssc <mac address> <MSE keyhash>命令，然后运行show auth-list。

       此示例显示MSE已添加到WLC（手动）。

       

    3. 在NCS上，确认NMSP连接显示“活动”。

       

命令行参考

WLC 命令

config location expiry ?
client         Timeout for clients
calibrating-client Timeout for calibrating clients
tags           Timeout for RFID tags
rogue-aps      Timeout for Rogue APs

show location ap-detect ?
all            Display all (client/rfid/rogue-ap/rogue-client) information
client         Display client information
rfid           Display rfid information
rogue-ap       Display rogue-ap information
rogue-client   Display rogue-client information
(Cisco Controller) >show location ap-detect client

show client summary 
Number of Clients................................ 7
MAC Address       AP Name           Status        WLAN/Guest-Lan Auth Protocol Port Wired
----------------- ----------------- ------------- -------------- ---- -------- ---- -----
00:0e:9b:a4:7b:7d AP6               Probing       N/A            No   802.11b  1    No
00:40:96:ad:51:0c AP6               Probing       N/A            No   802.11b  1    No
(Cisco Controller) >show location summary 
 Location Summary 
 Algorithm used:                 Average
 Client 
        RSSI expiry timeout:     5 sec
        Half life:               0 sec
        Notify Threshold:        0 db
 Calibrating Client 
        RSSI expiry timeout:     5 sec
        Half life:               0 sec
 Rogue AP 
        RSSI expiry timeout:     5 sec
        Half life:               0 sec
        Notify Threshold:        0 db
 RFID Tag 
        RSSI expiry timeout:     5 sec
        Half life:               0 sec
        Notify Threshold:        0 db

show rfid config 

RFID Tag data Collection......................... Enabled
RFID  timeout.................................... 1200 seconds
RFID mobility.................................... Oui:00:14:7e : Vendor:pango  State:Disabled

show rfid detail 
     
     

RFID address.....................................00:0c:cc:7b:77:3b
Vendor........................................... Aerosct
Last Heard....................................... 7 seconds ago
Packets Received................................. 40121
Bytes Received................................... 2567744
Detected Polling Interval........................ 30 seconds
Cisco Type.......................................

Content Header
=================
CCX Tag Version.................................. 1
Tx Power......................................... 18 dBm
Channel.......................................... 11
Reg Class........................................ 6
Burst Length..................................... 1

CCX Payload
===========
Last Sequence Control............................ 0
Payload length................................... 29
Payload Data Hex Dump
00 02 00 33 02 07 42 00 00 00 00 00 00 03 05 01
41 bc 80 00 04 07 00 0c cc 00 00 00 00 d

Nearby AP Statistics:

      demo-AP1260(slot 0, chan 11) 6 seconds .... -48 dBm

show location plm
Location Path Loss Configuration
Calibration Client : Enabled   , Radio: Uniband
Normal Clients : Disabled      , Burst Interval: 60

(Cisco Controller) >config location ?
plm            Configure Path Loss Measurement (CCX S60) messages
algorithm      Configures the algorithm used to average RSSI  and SNR values
notify-threshold Configure the LOCP notification threshold for RSSI measurements
rssi-half-life Configures half life when averaging two RSSI readings
expiry         Configure the timeout for RSSI values

config location expiry client ?
<seconds>      A value between 5 and 3600 seconds

config location rssi-half-life client ?
<seconds>      Time in seconds (0,1,2,5,10,20,30,60,90,120,180,300 sec)

show nmsp subscription summary 
Mobility Services Subscribed: 
Server IP                Services
---------                --------
172.19.32.122            RSSI, Info, Statistics, IDS

MSE 命令

运行以下命令以确定MSE服务的状态：

[root@MSE ~]# getserverinfo

运行以下命令以启动用于客户端跟踪的情景感知引擎：

[root@MSE ~]# /etc/init.d/msed start

运行以下命令以确定用于客户端跟踪的情景感知引擎的状态：

[root@MSE ~]# /etc/init.d/msed status

运行以下命令以停止用于客户端跟踪的情景感知引擎：

[root@MSE ~]# /etc/init.d/msed stop

运行以下命令以执行诊断：

[root@MSE ~]# rundiag

注意： rundiag 命令还可用于查看为客户端环境感知引擎获取许可证文件所需的MSE UDI信息。

相关信息

• MSE配置指南（虚拟和物理设备）
• MSE高可用性配置
• 思科WIPS部署指南
• 产品订购
• 技术支持和文档 - Cisco Systems