使用SNMP V2、V3和NetCONF的Prime基礎設施管理Catalyst 9800無線控制器系列

已更新: 2024 年 5 月 24 日
文件 ID:214286

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案介紹如何將Catalyst 9800系列無線控制器(C9800 WLC)與Prime基礎架構(3.x)整合。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • C9800 WLC
    • Prime基礎架構(PI)版本3.5
    • 簡易網路管理通訊協定(SNMP)

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • C9800 WLC
    • Cisco IOS XE直布羅陀版16.10.1到17.3

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    注意:Prime Infra 3.8僅支援17.x 9800 WLC。如果您嘗試使用Prime Infra 3.8管理16.12 WLC,則客戶端不會出現在Prime基礎設施上。

    設定

    為了使Prime基礎設施能夠配置、管理和監控Catalyst 9800系列無線區域網控制器,它需要能夠透過CLI、SNMP和Netconf訪問C9800。將C9800增加到Prime基礎設施時,需要指定telnet/SSH憑證以及SNMP社群字串、版本等。PI使用此資訊驗證可接通性並清點C9800 WLC。它還使用SNMP推送配置模板,並支援存取點(AP)和客戶端事件的陷阱。但是,為了讓PI收集AP和客戶端統計資訊,需要使用Netconf。Netconf在C9800 WLC上預設未啟用,且需要透過16.10.1版本上的CLI手動設定(16.11.1中提供GUI)。

    使用的連線埠

    C9800和Prime基礎設施之間的通訊使用不同的埠。

    • Prime Infra中的所有配置和模板都透過SNMP和CLI推送。這使用UDP埠161。
    • C9800 WLC本身的運行資料是透過SNMP獲取的。這使用UDP埠162。
    • AP和客戶端運行資料利用流遙測。


    Prime基礎設施到WLC:TCP埠830 - Prime Infra使用此功能將遙測配置推送到9800台裝置(使用Netconf)。
    WLC到Prime基礎設施:TCP埠20828(適用於Cisco® IOS XE 16.10和16.11)或20830(適用於Cisco IOS XE 16.12、17.x和更高版本)。

    注意:即使沒有要報告的遙測資料,也會每5秒傳送一次Keepalive。

    注意:如果Prime基礎設施和C9800之間存在防火牆,請確保打開這些埠以建立通訊。

    Cat 9800 WLC上的SNMPv2配置

    GUI:

    步驟 1.導航到 Administration > SNMP > Slide to Enable SNMP

    SNMP陷阱清單

    步驟 2.點選 Community Strings 並建立只讀和讀寫社群名稱。

    輸入SNMP社群

    CLI:

    (config)#snmp-server community <snmpv2-community-name> (optional)(config)# snmp-server location <site-location> (optional)(config)# snmp-server contact <contact-number>

    Cat 9800 WLC上的SNMPv3配置

    GUI:

    注意:從17.1 Cisco IOS XE開始,Web UI僅允許您建立只讀v3使用者。您需要運行CLI過程來建立讀/寫v3使用者。


    CLI:

    點選V3 users並建立使用者。選擇 authPrivSHAAES protocols,然後選擇長口令。 MD5DES/3DES 是不安全的協定,雖然它們仍然是9800的一個選項,但是它們不能被選擇,而且不再被完全測試。

    輸入SNMPv3使用者詳細資訊

    注意:SNMPv3使用者配置不會反映在運行配置上。只看到SNMPv3組配置。


    CLI:

    (config)#snmp-server view primeview iso included
    (config)#snmp-server group <v3-group-name> v3 auth write primeview (config)#snmp-server user <v3username> <v3-group-name> v3 auth {md5 | sha} <AUTHPASSWORD> priv {3des | aes | des} {optional for aes 128 | 192| 256} <PRIVACYPASSWORD> 9800#show snmp user User name: Nico Engine ID: 800000090300706D1535998C storage-type: nonvolatile active Authentication Protocol: SHA Privacy Protocol: AES128 Group-name: SnmpAuthPrivGroup

    Cat 9800 WLC上的Netconf配置

    GUI (從16.11開始):

    導航到 Administration > HTTP/HTTPS/Netconf

    在9800 GUI上啟用Netconf

    CLI:

    (config)#netconf-yang

    注意:如果在C9800上啟用了aaa new-model,則還需要配置:
    (config)#aaa authorization exec default <local or radius/tacacs group>
    (config)#aaa authentication login default <local or radius/tacacs group>
    C9800上的Netconf對aaa驗證登入和aaa授權exec均使用預設方法(您無法變更此方法)。如果要為SSH連線定義其他方法,可以在 line vty 命令列下定義。Netconf持續使用預設方法。

    注意:Prime基礎設施在將9800控制器增加到其資產中時,會覆蓋您配置的aaa authentication login default和aaa authorization exec default方法,並且僅在尚未在WLC上啟用Netconf時將其指向本地身份驗證。如果Prime基礎設施能夠使用Netconf登入,則不會更改配置。這意味著,如果您正在使用TACACS,則在將9800增加到Prime後您將無法訪問CLI。您可以稍後恢復這些配置命令,並使其指向TACACS(如果這是您的首選項)。

    附註圖示

    注意:NETCONF使用的信任點當前僅支援RSA金鑰。EC(橢圓曲線)金鑰尚不受支援,如果使用,它們會導致ncsshd進程崩潰。您可以使用以下命令「show logging process ncsshd internal start last 1 hours」驗證ncsshd進程使用的金鑰 | sec key name"。未來版本中會打開一個增強請求,以增加對EC金鑰的支援:思科漏洞ID CSCwk02600


    配置(Prime Infrastructure 3.5及更高版本)

    步驟 1.捕獲Catalyst 9800 WLC上配置的無線管理IP地址。

    GUI:

    導航到Configuration > Interface: Wireless

    9800-無線管理intf

    CLI:

    # show wireless interface summary


    步驟 2.擷取許可權15使用者身份證明並啟用密碼。

    GUI:

    導航到 Administration > User Administration

    9800-priv 15個使用者

    CLI:

    # show run | inc username # show run | inc enable


    步驟 3.獲取適用的SNMPv2社群字串和/或SNMPv3使用者。

    GUI:

    對於SNMPv2,請導航到Administration > SNMP > Community Strings

    9800-snmpv2-View


    對於SNMPv3,請導航到Administration > SNMP > V3 Users

    9800-snmpv3使用者檢視

    CLI:

    For SNMPv2 community strings # show run | sec snmp For SNMPv3 user # show user


    步驟 4.在Prime Infrastructure GUI上,導航到Configuration > Network: Network Devices,按一下旁邊的下拉框並選擇Add Device

    在Prime基礎設施上增加裝置

    步驟 5.在 Add Device 彈出窗口中,輸入用於與Prime基礎設施建立通訊的9800上的介面IP地址。

    在Prime基礎設施上增加裝置

    步驟 6.導航到SNMP 頁籤,然後提供C9800 WLC上配置的SNMPv2 Read-Only and Read-Write Community Strings 。

    增加裝置- SNMP設定

    步驟 7.如果使用SNMPv3,請從下拉選單中選擇v3並提供SNMPv3使用者名稱。從Auth-Type 下拉選單中選擇先前配置的身份驗證型別,然後從Privacy Type 下拉選單中選擇在C9800 WLC上配置的加密方法。

    輸入SNMPv3詳細資訊

    步驟 8.導航到Add Device的Telnet/SSH 頁籤,輸入許可權15使用者名稱和口令以及啟用口令。點選Verify Credentials 以確保CLI和SNMP憑證正常工作。然後按一下 Add

    增加裝置Telnet/SSH憑證

    驗證

    驗證遙測狀態

    步驟 1.驗證C9800上是否啟用了Netconf。

    #show run | inc netconf netconf-yang

    如果不存在,請輸入「Cat 9800 WLC上的NETCONF配置」部分。

    步驟 2.驗證從C9800到Prime的遙測連線。

    #show telemetry internal connection Telemetry connection Address Port Transport State Profile ------------------------------------------------------------------ x.x.x.x 20828 cntp-tcp Active

    注意: x.x.x.x是Prime基礎設施的IP地址,並且狀態必須為Active。如果狀態不是Active,請參閱故障排除部分。

    在17.9中,必須使用稍有不同的命令:

    9800-17-9-2#show telemetry connection all Telemetry connections Index Peer Address Port VRF Source Address State State Description ----- -------------------------- ----- --- -------------------------- ---------- -------------------- 0 10.48.39.25 25103 0 10.48.39.228 Active Connection up 9800-17-9-2#

    步驟 3.在Prime基礎設施上,導航至 Inventory > Network Devices > Device Type: Wireless Controller

    Prime基礎設施上的資產清單

    步驟 4.要檢視到Prime基礎設施的遙測連線的詳細資訊,請運行以下命令:

    #show telemetry internal protocol cntp-tcp manager x.x.x.x 20828 Telemetry protocol manager stats: Con str : x.x.x.x:20828:: Sockfd : 79 Protocol : cntp-tcp State : CNDP_STATE_CONNECTED Table id : 0 Wait Mask : Connection Retries : 0 Send Retries : 0 Pending events : 0 Source ip : <9800_IP_ADD> Bytes Sent : 1540271694 Msgs Sent : 1296530 Msgs Received : 0


    步驟 5.驗證來自C9800的遙測訂閱狀態,以及它們顯示為「有效」的事實。

    #show telemetry ietf subscription configured Telemetry subscription brief ID Type State Filter type ----------------------------------------------------- 68060586 Configured Valid transform-na 98468759 Configured Valid tdl-uri 520450489 Configured Valid transform-na 551293206 Configured Valid transform-na 657148953 Configured Valid transform-na 824003685 Configured Valid transform-na 996216912 Configured Valid transform-na 1072751042 Configured Valid tdl-uri 1183166899 Configured Valid transform-na 1516559804 Configured Valid transform-na 1944559252 Configured Valid transform-na 2006694178 Configured Valid transform-na


    第6步:可以按訂用ID檢視訂用統計資訊,也可以使用以下命令檢視所有訂用:

    #show telemetry internal subscription { all | id } stats Telemetry subscription stats: Subscription ID Connection Info Msgs Sent Msgs Drop Records Sent ------------------------------------------------------------------------------ 865925973 x.x.x.x:20828:: 2 0 2 634673555 x.x.x.x:20828:: 0 0 0 538584704 x.x.x.x:20828:: 0 0 0 1649750869 x.x.x.x:20828:: 1 0 2 750608483 x.x.x.x:20828:: 10 0 10 129958638 x.x.x.x:20828:: 10 0 10 1050262948 x.x.x.x:20828:: 1369 0 1369 209286788 x.x.x.x:20828:: 15 0 15 1040991478 x.x.x.x:20828:: 0 0 0 1775678906 x.x.x.x:20828:: 2888 0 2889 1613608097 x.x.x.x:20828:: 6 0 6 1202853917 x.x.x.x:20828:: 99 0 99 1331436193 x.x.x.x:20828:: 743 0 743 1988797793 x.x.x.x:20828:: 0 0 0 1885346452 x.x.x.x:20828:: 0 0 0 163905892 x.x.x.x:20828:: 1668 0 1668 1252125139 x.x.x.x:20828:: 13764 0 13764 2078345366 x.x.x.x:20828:: 13764 0 13764 239168021 x.x.x.x:20828:: 1668 0 1668 373185515 x.x.x.x:20828:: 9012 0 9012 635732050 x.x.x.x:20828:: 7284 0 7284 1275999538 x.x.x.x:20828:: 1236 0 1236 825464779 x.x.x.x:20828:: 1225711 0 1225780 169050560 x.x.x.x:20828:: 0 0 0 229901535 x.x.x.x:20828:: 372 0 372 592451065 x.x.x.x:20828:: 8 0 8 2130768585 x.x.x.x:20828:: 0 0 0


    疑難排解

    Prime基礎設施的故障排除

    • 檢查Prime基礎設施的第一件事是IP地址和介面。Prime Infrastructure不支援雙宿,也不在其第二個連線埠上偵聽遙測。
    • 您在Prime基礎設施中增加的WLC的IP地址必須是用作「無線管理介面」的IP地址。Prime基礎設施IP地址必須從控制器端的無線管理介面訪問。
    • 如果使用服務埠(裝置上的gig0/0)進行發現,則WLC和AP在資產中顯示為Managed狀態,但WLC和相關存取點的遙測不起作用。
    • 如果您看到Prime基礎設施的遙測狀態為「成功」,但AP計數為0,則可能是Prime基礎設施可以連線到埠830上的WLC,但控制器無法連線埠20830上的Prime基礎設施。
      •

    對於任何SNMP問題或裝置配置問題,請從Prime基礎設施收集以下日誌:

    cd /opt/CSCOlumos/logs/ [root@prime-tdl logs]# ncs-0-0.log Tdl.logs

    對於遙測/珊瑚問題,第一件事是檢查珊瑚狀態:

    shell cd /opt/CSCOlumos/coralinstances/coral2/coral/bin ./coral version 1 ./coral status 1 ./coral stats 1


    如果一切順利,請從prime coral logs資料夾收集這些日誌。

    注意:根據Prime基礎設施版本及其支援的Cisco IOS XE版本數量,Prime基礎設施上可以有數個Coral例項。有關更多詳細資訊,請檢視版本說明,例如:https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-7/release/notes/bk_Cisco_Prime_Infrastructure_3_7_0_Release_Notes.html

    步驟 1.

    cd /opt/CSCOlumos/coral/bin/ [root@prime-tdl bin]# ./coral attach 1 Attached to Coral instance 1 [pid=8511] Coral-1#cd /tmp/rp/trace/ Coral-1#ls Collect the “Prime_TDL_collector_R0-”* logs
    Coral-1# cd /tmp/rp/trace/ Coral-1# btdecode P* > coralbtlog.txt Coral-1# cat coralbtlog.txt


    也可以在以下目錄中找到這些日誌:

    * 解碼的跟蹤檔案在路徑中可用/opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
    *   ade# cd /opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk

    *   ade# cp coraltrace.txt /localdisk/defaultRepo


    步驟 2.要在調試模式下啟用Coral,需要在文 debug.conf 件中設定調試級別。

    從容器內進行以下操作:

    echo "rp:0:0:tdlcold:-e BINOS_BTRACE_LEVEL=DEBUG;" > /harddisk/debug.conf


    或者,在Prime 3.8上,Coral服務可以在容器外重新啟動,方法是使用:

    "sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"


    如果重新啟動沒有幫助,可以使用這些功能來清除珊瑚例項並順利啟動:

    sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral stop 1 sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral purge 1 sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral start 1


    重新啟動珊瑚,這是必須的。如果鍵入「Exit」,則可以離開coral例項,然後:

    ./coral/bin/coral restart 1

    注意:在Prime 3.8上,可以使用「sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1」在容器外部重新啟動Coral服務

    如果您需要解碼Coral記錄檔,您可以在Coral容器中解碼:

    btdecode Prime_TDL_collector_*.bin

    注意:啟用Coral的調試級別後,必須重新啟動Coral。

    Catalyst 9800 WLC上的故障排除

    要監控Prime Infra推送到C9800 WLC的配置,您可以運行EEM Applet。

    #config terminal #event manager applet catchall #event cli pattern ".*" sync no skip no #action 1 syslog msg "$_cli_msg"


    從WLC配置中刪除所有遙測訂閱

    有時您可能想要取消配置WLC上配置的所有遙測訂閱。這可以簡單地使用以下命令來完成:

    WLC#term shell WLC#function removeall() { for id in `sh run | grep telemetry | cut -f4 -d' '` do conf t no telemetry ietf subscription $id exit done } WLC#removeall


    要啟用跟蹤:

    # debug netconf-yang level debug


    若要驗證:

    WLC#show platform software trace level mdt-pubd chassis active R0 | inc Debug pubd Debug WLC#show platform software trace level ndbman chassis active R0 | inc Debug ndbmand Debug

          

    檢視追蹤輸出:

    show platform software trace message mdt-pubd chassis active R0 show platform software trace message ndbman chassis active R0


    檢查AP資訊的訂用ID

    按一下 DB Query。導航tohttps://<Prime_IP>/webacs/ncsDiag.do

    *從OWNINGENTITYID (如「%Controller_IP」和CLASSNAME='UnifiedAp') ewlcSubscription 中選擇。

    在WLC上:

    驗證訂用ID正在傳送資訊,且cntp計數器上沒有丟棄。

    show tel int sub all stats show telemetry internal protocol cntp-tcp connector counters drop show telemetry internal protocol cntp-tcp connector counters queue show telemetry internal protocol cntp-tcp connector counters rate show telemetry internal protocol cntp-tcp connector counters sub-rate show telemetry internal protocol cntp-tcp connector counters reset

    注意:9800 WLC支援17.6之前的100個遙測訂閱,17.6之後最多128個訂閱(因為最新版本的Catalyst Center可以使用超過100個訂閱。


    從PI遷移到Cisco Catalyst Center

    C9800不能同時由PI和Cisco Catalyst Center管理。如果計畫遷移到Catalyst Center作為網路管理解決方案,則需要在將C9800增加到Catalyst Center之前將其從Prime基礎設施中刪除。從PI 3.5刪除/刪除C9800時,PI在清點時推送到C9800的所有配置都不會回滾,需要手動從系統中刪除這些配置。具體來說,為C9800 WLC建立的用於發佈流遙測資料的訂閱通道不會被刪除。 

    要辨識此特定配置:

    #show run | sec telemetry


    要刪除此配置,請運行該命令的 no 形式:

    (config) # no telemetry ietf subscription <Subscription-Id> Repeat this CLI to remove each of the subscription identifiers. (config) # no telemetry transform <Transform-Name> Repeat this CLI to remove each of the transform names

    注意:如果同時使用Catalyst Center和Prime基礎設施管理9800控制器,Catalyst Center庫存合規性將由於Prime管理而預期失敗。

    在最新版本中,Prime Infrastructure和Catalyst Center都可能對WLC使用過多的遙測訂閱,以使兩台伺服器同時管理9800。因此,您無法同時使用Catalyst Center和Prime Infrastructure管理9800,也無法使用遙測和統計資料。因此,從PI遷移到Catalyst Center的速度必須儘可能快,因為只要Prime Infrastructure管理9800控制器,Catalyst Center就無法從9800獲得遙測資料。

    修訂記錄

    修訂 發佈日期 意見
    5.0
    24-May-2024
    已編輯,將思科DNA名稱替換為Catalyst Center。還新增了有關橢圓曲線金鑰的註記
    4.0
    01-Dec-2023
    根據樣式要求進行校對和更新。
    3.0
    08-Aug-2023
    由於遙測訂閱的限制,更改了目前不支援DNAC和PI以管理9800的宣告
    2.0
    27-Apr-2023
    IOS 17.9 CLI更改的小型更新
    1.0
    30-Aug-2021
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Sudha Katgeri
      Cisco TAC Engineer
    • Nicolas Darchis
      Cisco TAC Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品