簡介
本檔案介紹如何將Catalyst 9800系列無線控制器(C9800 WLC)與Prime基礎架構(3.x)整合。
必要條件
需求
思科建議您瞭解以下主題:
- C9800 WLC
- Prime基礎架構(PI)版本3.5
- 簡易網路管理通訊協定(SNMP)
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- C9800 WLC
- Cisco IOS XE直布羅陀版16.10.1到17.3
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
注意:Prime Infra 3.8僅支援17.x 9800 WLC。如果您嘗試使用Prime Infra 3.8管理16.12 WLC,則客戶端不會出現在Prime基礎設施上。
設定
為了使Prime基礎設施能夠配置、管理和監控Catalyst 9800系列無線區域網控制器,它需要能夠透過CLI、SNMP和Netconf訪問C9800。將C9800增加到Prime基礎設施時,需要指定telnet/SSH憑證以及SNMP社群字串、版本等。PI使用此資訊驗證可接通性並清點C9800 WLC。它還使用SNMP推送配置模板,並支援存取點(AP)和客戶端事件的陷阱。但是,為了讓PI收集AP和客戶端統計資訊,需要使用Netconf。Netconf在C9800 WLC上預設未啟用,且需要透過16.10.1版本上的CLI手動設定(16.11.1中提供GUI)。
使用的連線埠
C9800和Prime基礎設施之間的通訊使用不同的埠。
- Prime Infra中的所有配置和模板都透過SNMP和CLI推送。這使用UDP埠161。
- C9800 WLC本身的運行資料是透過SNMP獲取的。這使用UDP埠162。
- AP和客戶端運行資料利用流遙測。
Prime基礎設施到WLC:TCP埠830 - Prime Infra使用此功能將遙測配置推送到9800台裝置(使用Netconf)。
WLC到Prime基礎設施:TCP埠20828(適用於Cisco® IOS XE 16.10和16.11)或20830(適用於Cisco IOS XE 16.12、17.x和更高版本)。
注意:即使沒有要報告的遙測資料,也會每5秒傳送一次Keepalive。
注意:如果Prime基礎設施和C9800之間存在防火牆,請確保打開這些埠以建立通訊。
Cat 9800 WLC上的SNMPv2配置
GUI:
步驟 1.導航到 Administration > SNMP > Slide to Enable SNMP。
![SNMP陷阱清單](/c/dam/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/214286-managing-catalyst-9800-wireless-controll-00.png)
步驟 2.點選 Community Strings 並建立只讀和讀寫社群名稱。
![輸入SNMP社群](/c/dam/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/214286-managing-catalyst-9800-wireless-controll-01.png)
CLI:
(config)#snmp-server community <snmpv2-community-name> (optional)(config)# snmp-server location <site-location> (optional)(config)# snmp-server contact <contact-number>
Cat 9800 WLC上的SNMPv3配置
GUI:
注意:從17.1 Cisco IOS XE開始,Web UI僅允許您建立只讀v3使用者。您需要運行CLI過程來建立讀/寫v3使用者。
CLI:
點選V3 users並建立使用者。選擇 authPriv、 SHA 和 AES protocols,然後選擇長口令。 MD5 和 DES/3DES 是不安全的協定,雖然它們仍然是9800的一個選項,但是它們不能被選擇,而且不再被完全測試。
![輸入SNMPv3使用者詳細資訊](/c/dam/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/214286-managing-catalyst-9800-wireless-controll-02.png)
注意:SNMPv3使用者配置不會反映在運行配置上。只看到SNMPv3組配置。
CLI:
(config)#snmp-server view primeview iso included
(config)#snmp-server group <v3-group-name> v3 auth write primeview (config)#snmp-server user <v3username> <v3-group-name> v3 auth {md5 | sha} <AUTHPASSWORD> priv {3des | aes | des} {optional for aes 128 | 192| 256} <PRIVACYPASSWORD> 9800#show snmp user User name: Nico Engine ID: 800000090300706D1535998C storage-type: nonvolatile active Authentication Protocol: SHA Privacy Protocol: AES128 Group-name: SnmpAuthPrivGroup
Cat 9800 WLC上的Netconf配置
GUI (從16.11開始):
導航到 Administration > HTTP/HTTPS/Netconf。
![在9800 GUI上啟用Netconf](/c/dam/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/214286-managing-catalyst-9800-wireless-controll-03.png)
CLI:
(config)#netconf-yang
注意:如果在C9800上啟用了aaa new-model,則還需要配置:
(config)#aaa authorization exec default <local or radius/tacacs group>
(config)#aaa authentication login default <local or radius/tacacs group>
C9800上的Netconf對aaa驗證登入和aaa授權exec均使用預設方法(您無法變更此方法)。如果要為SSH連線定義其他方法,可以在 line vty 命令列下定義。Netconf持續使用預設方法。
注意:Prime基礎設施在將9800控制器增加到其資產中時,會覆蓋您配置的aaa authentication login default和aaa authorization exec default方法,並且僅在尚未在WLC上啟用Netconf時將其指向本地身份驗證。如果Prime基礎設施能夠使用Netconf登入,則不會更改配置。這意味著,如果您正在使用TACACS,則在將9800增加到Prime後您將無法訪問CLI。您可以稍後恢復這些配置命令,並使其指向TACACS(如果這是您的首選項)。
注意:NETCONF使用的信任點當前僅支援RSA金鑰。EC(橢圓曲線)金鑰尚不受支援,如果使用,它們會導致ncsshd進程崩潰。您可以使用以下命令「show logging process ncsshd internal start last 1 hours」驗證ncsshd進程使用的金鑰 | sec key name"。未來版本中會打開一個增強請求,以增加對EC金鑰的支援:思科漏洞ID CSCwk02600。
配置(Prime Infrastructure 3.5及更高版本)
步驟 1.捕獲Catalyst 9800 WLC上配置的無線管理IP地址。
GUI:
導航到Configuration > Interface: Wireless。
![9800-無線管理intf](/c/dam/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/214286-managing-catalyst-9800-wireless-controll-04.png)
CLI:
# show wireless interface summary
步驟 2.擷取許可權15使用者身份證明並啟用密碼。
GUI:
導航到 Administration > User Administration。
![9800-priv 15個使用者](/c/dam/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/214286-managing-catalyst-9800-wireless-controll-05.png)
CLI:
# show run | inc username # show run | inc enable
步驟 3.獲取適用的SNMPv2社群字串和/或SNMPv3使用者。
GUI:
對於SNMPv2,請導航到Administration > SNMP > Community Strings。
![9800-snmpv2-View](/c/dam/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/214286-managing-catalyst-9800-wireless-controll-06.png)
對於SNMPv3,請導航到Administration > SNMP > V3 Users。
![9800-snmpv3使用者檢視](/c/dam/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/214286-managing-catalyst-9800-wireless-controll-07.png)
CLI:
For SNMPv2 community strings # show run | sec snmp For SNMPv3 user # show user
步驟 4.在Prime Infrastructure GUI上,導航到Configuration > Network: Network Devices,按一下+ 旁邊的下拉框並選擇Add Device。
![在Prime基礎設施上增加裝置](/c/dam/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/214286-managing-catalyst-9800-wireless-controll-08.png)
步驟 5.在 Add Device 彈出窗口中,輸入用於與Prime基礎設施建立通訊的9800上的介面IP地址。
![在Prime基礎設施上增加裝置](/c/dam/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/214286-managing-catalyst-9800-wireless-controll-09.png)
步驟 6.導航到SNMP 頁籤,然後提供C9800 WLC上配置的SNMPv2 Read-Only and Read-Write Community Strings 。
![增加裝置- SNMP設定](/c/dam/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/214286-managing-catalyst-9800-wireless-controll-10.png)
步驟 7.如果使用SNMPv3,請從下拉選單中選擇v3並提供SNMPv3使用者名稱。從Auth-Type 下拉選單中選擇先前配置的身份驗證型別,然後從Privacy Type 下拉選單中選擇在C9800 WLC上配置的加密方法。
![輸入SNMPv3詳細資訊](/c/dam/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/214286-managing-catalyst-9800-wireless-controll-11.png)
步驟 8.導航到Add Device的Telnet/SSH 頁籤,輸入許可權15使用者名稱和口令以及啟用口令。點選Verify Credentials 以確保CLI和SNMP憑證正常工作。然後按一下 Add。
![增加裝置Telnet/SSH憑證](/c/dam/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/214286-managing-catalyst-9800-wireless-controll-12.png)
驗證
驗證遙測狀態
步驟 1.驗證C9800上是否啟用了Netconf。
#show run | inc netconf netconf-yang
如果不存在,請輸入「Cat 9800 WLC上的NETCONF配置」部分。
步驟 2.驗證從C9800到Prime的遙測連線。
#show telemetry internal connection Telemetry connection Address Port Transport State Profile ------------------------------------------------------------------ x.x.x.x 20828 cntp-tcp Active
注意: x.x.x.x是Prime基礎設施的IP地址,並且狀態必須為Active。如果狀態不是Active,請參閱故障排除部分。
在17.9中,必須使用稍有不同的命令:
9800-17-9-2#show telemetry connection all Telemetry connections Index Peer Address Port VRF Source Address State State Description ----- -------------------------- ----- --- -------------------------- ---------- -------------------- 0 10.48.39.25 25103 0 10.48.39.228 Active Connection up 9800-17-9-2#
步驟 3.在Prime基礎設施上,導航至 Inventory > Network Devices > Device Type: Wireless Controller。
![Prime基礎設施上的資產清單](/c/dam/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/214286-managing-catalyst-9800-wireless-controll-13.png)
步驟 4.要檢視到Prime基礎設施的遙測連線的詳細資訊,請運行以下命令:
#show telemetry internal protocol cntp-tcp manager x.x.x.x 20828 Telemetry protocol manager stats: Con str : x.x.x.x:20828:: Sockfd : 79 Protocol : cntp-tcp State : CNDP_STATE_CONNECTED Table id : 0 Wait Mask : Connection Retries : 0 Send Retries : 0 Pending events : 0 Source ip : <9800_IP_ADD> Bytes Sent : 1540271694 Msgs Sent : 1296530 Msgs Received : 0
步驟 5.驗證來自C9800的遙測訂閱狀態,以及它們顯示為「有效」的事實。
#show telemetry ietf subscription configured Telemetry subscription brief ID Type State Filter type ----------------------------------------------------- 68060586 Configured Valid transform-na 98468759 Configured Valid tdl-uri 520450489 Configured Valid transform-na 551293206 Configured Valid transform-na 657148953 Configured Valid transform-na 824003685 Configured Valid transform-na 996216912 Configured Valid transform-na 1072751042 Configured Valid tdl-uri 1183166899 Configured Valid transform-na 1516559804 Configured Valid transform-na 1944559252 Configured Valid transform-na 2006694178 Configured Valid transform-na
第6步:可以按訂用ID檢視訂用統計資訊,也可以使用以下命令檢視所有訂用:
#show telemetry internal subscription { all | id } stats Telemetry subscription stats: Subscription ID Connection Info Msgs Sent Msgs Drop Records Sent ------------------------------------------------------------------------------ 865925973 x.x.x.x:20828:: 2 0 2 634673555 x.x.x.x:20828:: 0 0 0 538584704 x.x.x.x:20828:: 0 0 0 1649750869 x.x.x.x:20828:: 1 0 2 750608483 x.x.x.x:20828:: 10 0 10 129958638 x.x.x.x:20828:: 10 0 10 1050262948 x.x.x.x:20828:: 1369 0 1369 209286788 x.x.x.x:20828:: 15 0 15 1040991478 x.x.x.x:20828:: 0 0 0 1775678906 x.x.x.x:20828:: 2888 0 2889 1613608097 x.x.x.x:20828:: 6 0 6 1202853917 x.x.x.x:20828:: 99 0 99 1331436193 x.x.x.x:20828:: 743 0 743 1988797793 x.x.x.x:20828:: 0 0 0 1885346452 x.x.x.x:20828:: 0 0 0 163905892 x.x.x.x:20828:: 1668 0 1668 1252125139 x.x.x.x:20828:: 13764 0 13764 2078345366 x.x.x.x:20828:: 13764 0 13764 239168021 x.x.x.x:20828:: 1668 0 1668 373185515 x.x.x.x:20828:: 9012 0 9012 635732050 x.x.x.x:20828:: 7284 0 7284 1275999538 x.x.x.x:20828:: 1236 0 1236 825464779 x.x.x.x:20828:: 1225711 0 1225780 169050560 x.x.x.x:20828:: 0 0 0 229901535 x.x.x.x:20828:: 372 0 372 592451065 x.x.x.x:20828:: 8 0 8 2130768585 x.x.x.x:20828:: 0 0 0
疑難排解
Prime基礎設施的故障排除
- 檢查Prime基礎設施的第一件事是IP地址和介面。Prime Infrastructure不支援雙宿,也不在其第二個連線埠上偵聽遙測。
- 您在Prime基礎設施中增加的WLC的IP地址必須是用作「無線管理介面」的IP地址。Prime基礎設施IP地址必須從控制器端的無線管理介面訪問。
- 如果使用服務埠(裝置上的gig0/0)進行發現,則WLC和AP在資產中顯示為Managed狀態,但WLC和相關存取點的遙測不起作用。
- 如果您看到Prime基礎設施的遙測狀態為「成功」,但AP計數為0,則可能是Prime基礎設施可以連線到埠830上的WLC,但控制器無法連線埠20830上的Prime基礎設施。
對於任何SNMP問題或裝置配置問題,請從Prime基礎設施收集以下日誌:
cd /opt/CSCOlumos/logs/ [root@prime-tdl logs]# ncs-0-0.log Tdl.logs
對於遙測/珊瑚問題,第一件事是檢查珊瑚狀態:
shell cd /opt/CSCOlumos/coralinstances/coral2/coral/bin ./coral version 1 ./coral status 1 ./coral stats 1
如果一切順利,請從prime coral logs資料夾收集這些日誌。
注意:根據Prime基礎設施版本及其支援的Cisco IOS XE版本數量,Prime基礎設施上可以有數個Coral例項。有關更多詳細資訊,請檢視版本說明,例如:https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-7/release/notes/bk_Cisco_Prime_Infrastructure_3_7_0_Release_Notes.html
步驟 1.
cd /opt/CSCOlumos/coral/bin/ [root@prime-tdl bin]# ./coral attach 1 Attached to Coral instance 1 [pid=8511] Coral-1#cd /tmp/rp/trace/ Coral-1#ls Collect the “Prime_TDL_collector_R0-”* logs
Coral-1# cd /tmp/rp/trace/ Coral-1# btdecode P* > coralbtlog.txt Coral-1# cat coralbtlog.txt
也可以在以下目錄中找到這些日誌:
* 解碼的跟蹤檔案在路徑中可用/opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
* ade# cd /opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
* ade# cp coraltrace.txt /localdisk/defaultRepo
步驟 2.要在調試模式下啟用Coral,需要在文 debug.conf 件中設定調試級別。
從容器內進行以下操作:
echo "rp:0:0:tdlcold:-e BINOS_BTRACE_LEVEL=DEBUG;" > /harddisk/debug.conf
或者,在Prime 3.8上,Coral服務可以在容器外重新啟動,方法是使用:
"sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"
如果重新啟動沒有幫助,可以使用這些功能來清除珊瑚例項並順利啟動:
sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral stop 1 sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral purge 1 sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral start 1
重新啟動珊瑚,這是必須的。如果鍵入「Exit」,則可以離開coral例項,然後:
./coral/bin/coral restart 1
注意:在Prime 3.8上,可以使用「sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1」在容器外部重新啟動Coral服務
如果您需要解碼Coral記錄檔,您可以在Coral容器中解碼:
btdecode Prime_TDL_collector_*.bin
注意:啟用Coral的調試級別後,必須重新啟動Coral。
Catalyst 9800 WLC上的故障排除
要監控Prime Infra推送到C9800 WLC的配置,您可以運行EEM Applet。
#config terminal #event manager applet catchall #event cli pattern ".*" sync no skip no #action 1 syslog msg "$_cli_msg"
從WLC配置中刪除所有遙測訂閱
有時您可能想要取消配置WLC上配置的所有遙測訂閱。這可以簡單地使用以下命令來完成:
WLC#term shell WLC#function removeall() { for id in `sh run | grep telemetry | cut -f4 -d' '` do conf t no telemetry ietf subscription $id exit done } WLC#removeall
要啟用跟蹤:
# debug netconf-yang level debug
若要驗證:
WLC#show platform software trace level mdt-pubd chassis active R0 | inc Debug pubd Debug WLC#show platform software trace level ndbman chassis active R0 | inc Debug ndbmand Debug
檢視追蹤輸出:
show platform software trace message mdt-pubd chassis active R0 show platform software trace message ndbman chassis active R0
檢查AP資訊的訂用ID
按一下 DB Query。導航tohttps://<Prime_IP>/webacs/ncsDiag.do。
*從OWNINGENTITYID (如「%Controller_IP」和CLASSNAME='UnifiedAp') ewlcSubscription 中選擇。
在WLC上:
驗證訂用ID正在傳送資訊,且cntp計數器上沒有丟棄。
show tel int sub all stats show telemetry internal protocol cntp-tcp connector counters drop show telemetry internal protocol cntp-tcp connector counters queue show telemetry internal protocol cntp-tcp connector counters rate show telemetry internal protocol cntp-tcp connector counters sub-rate show telemetry internal protocol cntp-tcp connector counters reset
注意:9800 WLC支援17.6之前的100個遙測訂閱,17.6之後最多128個訂閱(因為最新版本的Catalyst Center可以使用超過100個訂閱。
從PI遷移到Cisco Catalyst Center
C9800不能同時由PI和Cisco Catalyst Center管理。如果計畫遷移到Catalyst Center作為網路管理解決方案,則需要在將C9800增加到Catalyst Center之前將其從Prime基礎設施中刪除。從PI 3.5刪除/刪除C9800時,PI在清點時推送到C9800的所有配置都不會回滾,需要手動從系統中刪除這些配置。具體來說,為C9800 WLC建立的用於發佈流遙測資料的訂閱通道不會被刪除。
要辨識此特定配置:
#show run | sec telemetry
要刪除此配置,請運行該命令的 no 形式:
(config) # no telemetry ietf subscription <Subscription-Id> Repeat this CLI to remove each of the subscription identifiers. (config) # no telemetry transform <Transform-Name> Repeat this CLI to remove each of the transform names
注意:如果同時使用Catalyst Center和Prime基礎設施管理9800控制器,Catalyst Center庫存合規性將由於Prime管理而預期失敗。
在最新版本中,Prime Infrastructure和Catalyst Center都可能對WLC使用過多的遙測訂閱,以使兩台伺服器同時管理9800。因此,您無法同時使用Catalyst Center和Prime Infrastructure管理9800,也無法使用遙測和統計資料。因此,從PI遷移到Catalyst Center的速度必須儘可能快,因為只要Prime Infrastructure管理9800控制器,Catalyst Center就無法從9800獲得遙測資料。