使用SNMP V2、V3和NetCONF的Prime基礎設施管理Catalyst 9800無線控制器系列

下載選項

  • PDF     (2.2 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (2.0 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (1.2 MB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2024 年 10 月 7 日
文件 ID:214286

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案介紹如何將Catalyst 9800系列無線控制器(C9800 WLC)與Prime基礎架構(3.x)整合。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • C9800 WLC
    • Prime基礎架構(PI)版本3.5
    • 簡易網路管理通訊協定(SNMP)

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • C9800 WLC
    • Cisco IOS XE直布羅陀版16.10.1到17.3

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    注意:Prime Infra 3.8僅支援17.x 9800 WLC。如果您嘗試使用Prime Infra 3.8管理16.12 WLC,則客戶端不會出現在Prime基礎設施上。

    設定

    為了使Prime基礎設施能夠配置、管理和監控Catalyst 9800系列無線區域網控制器,它需要能夠透過CLI、SNMP和Netconf訪問C9800。將C9800增加到Prime基礎設施時,需要指定telnet/SSH憑證以及SNMP社群字串、版本等。PI使用此資訊驗證可接通性並清點C9800 WLC。它還使用SNMP推送配置模板,並支援存取點(AP)和客戶端事件的陷阱。但是,為了讓PI收集AP和客戶端統計資訊,需要使用Netconf。Netconf在C9800 WLC上預設未啟用,且需要透過16.10.1版本上的CLI手動設定(16.11.1中提供GUI)。

    使用的連線埠

    C9800和Prime基礎設施之間的通訊使用不同的埠。

    • Prime Infra中的所有配置和模板都透過SNMP和CLI推送。這使用UDP埠161。
    • C9800 WLC本身的運行資料是透過SNMP獲取的。這使用UDP埠162。
    • AP和客戶端運行資料利用流遙測。


    Prime基礎設施到WLC:TCP埠830 - Prime Infra使用此功能將遙測配置推送到9800台裝置(使用Netconf)。
    WLC到Prime基礎設施:TCP埠20828(適用於Cisco® IOS XE 16.10和16.11)或20830(適用於Cisco IOS XE 16.12、17.x和更高版本)。

    注意:即使沒有要報告的遙測資料,也會每5秒傳送一次Keepalive。

    注意:如果Prime基礎設施和C9800之間存在防火牆,請確保打開這些埠以建立通訊。

    Cat 9800 WLC上的SNMPv2配置

    GUI:

    步驟 1.導航到 Administration > SNMP > Slide to Enable SNMP

    List of SNMP Traps

    步驟 2.按一下Community Strings並建立只讀和讀寫社群名稱。

    Enter a SNMP Community

    CLI:

    (config)#snmp-server community <snmpv2-community-name> 
(optional)(config)# snmp-server location <site-location>
(optional)(config)# snmp-server contact <contact-number>

    Cat 9800 WLC上的SNMPv3配置

    GUI:

    注意:從17.1 Cisco IOS XE開始,Web UI僅允許您建立只讀v3使用者。您需要運行CLI過程來建立讀/寫v3使用者。


    CLI:

    點選V3 users並建立使用者。選擇authPrivSHAAES protocols,然後選擇長口令。MD5DES/3DES是不安全的協定,雖然它們在9800中仍然有效,但不能再選擇和完全測試。

    Enter SNMPv3 User Details

    注意:SNMPv3使用者配置不會反映在運行配置上。只看到SNMPv3組配置。


    CLI:

    (config)#snmp-server view primeview iso included
    (config)#snmp-server group <v3-group-name> v3 auth write primeview 
(config)#snmp-server user <v3username> <v3-group-name> v3 auth {md5 | sha} <AUTHPASSWORD> priv {3des | aes | des} {optional for aes 128 | 192| 256} <PRIVACYPASSWORD>



9800#show snmp user

User name: Nico
Engine ID: 800000090300706D1535998C
storage-type: nonvolatile	 active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: SnmpAuthPrivGroup

    Cat 9800 WLC上的Netconf配置

    GUI (從16.11開始):

    導航到Administration > HTTP/HTTPS/Netconf

    Enable Netconf on 9800 GUI

    CLI:

    (config)#netconf-yang

    注意:如果在C9800上啟用了aaa new-model,則還需要配置:
    (config)#aaa authorization exec default <local or radius/tacacs group>
    (config)#aaa authentication login default <local or radius/tacacs group>
    C9800上的Netconf對aaa驗證登入和aaa授權exec均使用預設方法(您無法變更此方法)。如果您想為SSH連線定義不同的方法,可以在line vty命令列下定義。Netconf持續使用預設方法。

    注意:Prime基礎設施在將9800控制器增加到其資產中時,會覆蓋您配置的aaa authentication login default和aaa authorization exec default方法,並且僅在尚未在WLC上啟用Netconf時將其指向本地身份驗證。如果Prime基礎設施能夠使用Netconf登入,則不會更改配置。這意味著,如果您正在使用TACACS,則在將9800增加到Prime後您將無法訪問CLI。您可以稍後恢復這些配置命令,並使其指向TACACS(如果這是您的首選項)。

    note-icon

    注意:NETCONF使用的信任點當前僅支援RSA金鑰。EC(橢圓曲線)金鑰尚不受支援,如果使用,它們會導致ncsshd進程崩潰。您可以檢驗執行命令「show logging process ncsshd internal start last 1 hours的ncsshd進程使用的金鑰 | sec key name"。未來版本中會打開一個增強請求,以增加對EC金鑰的支援:思科漏洞ID CSCwk02600


    配置(Prime Infrastructure 3.5及更高版本)

    步驟 1.捕獲Catalyst 9800 WLC上配置的無線管理IP地址。

    GUI:

    導航到Configuration > Interface: Wireless

    9800-Wireless mgmt intf

    CLI:

    # show wireless interface summary


    步驟 2.擷取許可權15使用者身份證明並啟用密碼。

    GUI:

    導航到Administration > User Administration

    9800-priv 15 User

    CLI:

    # show run | inc username
# show run | inc enable


    步驟 3.獲取適用的SNMPv2社群字串和/或SNMPv3使用者。

    GUI:

    對於SNMPv2,請導航到Administration > SNMP > Community Strings

    9800-snmpv2-View


    對於SNMPv3,請導航到Administration > SNMP > V3 Users

    9800-snmpv3 User View

    CLI:

    For SNMPv2 community strings
# show run | sec snmp 

For SNMPv3 user
# show user


    步驟 4.在Prime Infrastructure GUI上,導航到Configuration > Network: Network Devices,按一下旁邊的下拉框並選擇Add Device

    Add a Device on Prime Infrastructure

    步驟 5.在Add Device彈出窗口中,輸入用來建立與Prime基礎設施通訊的9800的介面IP地址。

    Add a Device on Prime Infrastructure

    步驟 6.導航到SNMP頁籤,然後提供C9800 WLC上配置的SNMPv2 Read-Only and Read-Write Community Strings

    Add Devices - SNMP Settings

    步驟 7.如果使用SNMPv3,請從下拉選單中選擇v3並提供SNMPv3使用者名稱。從Auth-Type下拉選單中選擇匹配先前配置的身份驗證型別,並且從Privacy Type下拉選單中選擇在C9800 WLC上配置的加密方法。

    Enter SNMPv3 Details

    步驟 8.導航到Add DeviceTelnet/SSH頁籤,輸入許可權15使用者名稱和口令以及啟用口令。點選Verify Credentials,確保CLI和SNMP憑證正常工作。然後按一下Add

    Add Device Telnet/SSH Credentials

    驗證

    驗證遙測狀態

    步驟 1.驗證C9800上是否啟用了Netconf。

    #show run | inc netconf
netconf-yang

    如果不存在,請輸入「Cat 9800 WLC上的NETCONF配置」部分。

    步驟 2.驗證從C9800到Prime的遙測連線。

    #show telemetry internal connection
Telemetry connection

Address Port Transport State Profile
------------------------------------------------------------------
x.x.x.x 20828 cntp-tcp Active

    注意: x.x.x.x是Prime基礎設施的IP地址,並且狀態必須為Active。如果狀態不是Active,請參閱故障排除部分。

    在17.9中,必須使用稍有不同的命令:

    9800-17-9-2#show telemetry connection all
Telemetry connections

Index Peer Address               Port  VRF Source Address             State      State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
    0 10.48.39.25                25103 0   10.48.39.228               Active     Connection up

9800-17-9-2#

    步驟 3.在Prime基礎設施上,導航至Inventory > Network Devices > Device Type: Wireless Controller

    Inventory List on Prime Infrastructure

    步驟 4.要檢視到Prime基礎設施的遙測連線的詳細資訊,請運行以下命令:

    #show telemetry internal protocol cntp-tcp manager x.x.x.x 20828
Telemetry protocol manager stats:

Con str                : x.x.x.x:20828::
Sockfd                 : 79
Protocol               : cntp-tcp
State                  : CNDP_STATE_CONNECTED
Table id               : 0
Wait Mask              :
Connection Retries     : 0
Send Retries           : 0
Pending events         : 0
Source ip              : <9800_IP_ADD>
Bytes Sent             : 1540271694
Msgs Sent              : 1296530
Msgs Received          : 0

    在17.9或更新版本中,您需要使用不同的指令,如下圖所示。

    #show telemetry connection all
    Telemetry connections
    Index Peer Address Port VRF Source Address State State Description
    ----- -------------------------- ----- --- -------------------------- ---------- --------------------
     1 172.16.0.4 25103 0 172.16.2.44 Active Connection up

    C9800-Classic#show telemetry internal connection <Index> detail
    Telemetry protocol manager stats:

    Con str : 172.16.0.4:25103:0:172.16.2.44
    Sockfd : 116
    Protocol : tls-native
    State : CNDP_STATE_CONNECTED
    Table id : 0
    Profile : sdn-network-infra-iwan
    Version : TLSv1.2
    Wait Mask :
    Connection Retries : 0
    Send Retries : 0
    Pending events : 0
    Session requests : 1
    Session replies : 1
    Source ip : 172.16.2.44
    Bytes Sent : 49098323
    Msgs Sent : 49918
    Msgs Received : 0
    Creation time: : Mon Sep 30 16:18:19:535
    Last connected time: : Mon Sep 30 16:18:19:587
    Last disconnect time: :
    Last error: :
    Connection flaps: : 0
    Last flap Reason: :
    Keep Alive Timeouts: : 0
    Last Transport Error : No Error


    步驟 5.驗證來自C9800的遙測訂閱狀態,以及它們顯示為「有效」的事實。

    #show telemetry ietf subscription configured
Telemetry subscription brief

ID Type State Filter type
-----------------------------------------------------
68060586 Configured Valid transform-na
98468759 Configured Valid tdl-uri
520450489 Configured Valid transform-na
551293206 Configured Valid transform-na
657148953 Configured Valid transform-na
824003685 Configured Valid transform-na
996216912 Configured Valid transform-na
1072751042 Configured Valid tdl-uri
1183166899 Configured Valid transform-na
1516559804 Configured Valid transform-na
1944559252 Configured Valid transform-na
2006694178 Configured Valid transform-na


    第6步:可以按訂用ID檢視訂用統計資訊,也可以使用以下命令檢視所有訂用:

    #show telemetry internal subscription { all | id } stats
Telemetry subscription stats:

Subscription ID  Connection Info            Msgs Sent  Msgs Drop  Records Sent
------------------------------------------------------------------------------
865925973        x.x.x.x:20828::      2          0          2
634673555        x.x.x.x:20828::      0          0          0
538584704        x.x.x.x:20828::      0          0          0
1649750869       x.x.x.x:20828::      1          0          2
750608483        x.x.x.x:20828::      10         0          10
129958638        x.x.x.x:20828::      10         0          10
1050262948       x.x.x.x:20828::      1369       0          1369
209286788        x.x.x.x:20828::      15         0          15
1040991478       x.x.x.x:20828::      0          0          0
1775678906       x.x.x.x:20828::      2888       0          2889
1613608097       x.x.x.x:20828::      6          0          6
1202853917       x.x.x.x:20828::      99         0          99
1331436193       x.x.x.x:20828::      743        0          743
1988797793       x.x.x.x:20828::      0          0          0
1885346452       x.x.x.x:20828::      0          0          0
163905892        x.x.x.x:20828::      1668       0          1668
1252125139       x.x.x.x:20828::      13764      0          13764
2078345366       x.x.x.x:20828::      13764      0          13764
239168021        x.x.x.x:20828::      1668       0          1668
373185515        x.x.x.x:20828::      9012       0          9012
635732050        x.x.x.x:20828::      7284       0          7284
1275999538       x.x.x.x:20828::      1236       0          1236
825464779        x.x.x.x:20828::      1225711    0          1225780
169050560        x.x.x.x:20828::      0          0          0
229901535        x.x.x.x:20828::      372        0          372
592451065        x.x.x.x:20828::      8          0          8
2130768585       x.x.x.x:20828::      0          0          0


    疑難排解

    Prime基礎設施的故障排除

    • 檢查Prime基礎設施的第一件事是IP地址和介面。Prime Infrastructure不支援雙宿,也不在其第二個連線埠上偵聽遙測。
    • 您在Prime基礎設施中增加的WLC的IP地址必須是用作「無線管理介面」的IP地址。Prime基礎設施IP地址必須從控制器端的無線管理介面訪問。
    • 如果使用服務埠(裝置上的gig0/0)進行發現,則WLC和AP在資產中顯示為Managed狀態,但WLC和相關存取點的遙測不起作用。
    • 如果您看到Prime基礎設施的遙測狀態為「成功」,但AP計數為0,則可能是Prime基礎設施可以連線到埠830上的WLC,但控制器無法連線埠20830上的Prime基礎設施。

    對於任何SNMP問題或裝置配置問題,請從Prime基礎設施收集以下日誌:

    cd /opt/CSCOlumos/logs/

[root@prime-tdl logs]# ncs-0-0.log

Tdl.logs

    對於遙測/珊瑚問題,第一件事是檢查珊瑚狀態:

    shell

cd /opt/CSCOlumos/coralinstances/coral2/coral/bin

./coral version 1

./coral status 1

./coral stats 1


    如果一切順利,請從prime coral logs資料夾收集這些日誌。

    注意:根據Prime基礎設施版本及其支援的Cisco IOS XE版本數量,Prime基礎設施上可以有數個Coral例項。有關更多詳細資訊,請檢視版本說明,例如:https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-7/release/notes/bk_Cisco_Prime_Infrastructure_3_7_0_Release_Notes.html

    步驟 1.

    cd /opt/CSCOlumos/coral/bin/

[root@prime-tdl bin]# ./coral attach 1

Attached to Coral instance 1 [pid=8511]

Coral-1#cd /tmp/rp/trace/

Coral-1#ls

Collect the  “Prime_TDL_collector_R0-”* logs
    Coral-1# cd /tmp/rp/trace/
Coral-1# btdecode P* > coralbtlog.txt
Coral-1# cat  coralbtlog.txt


    也可以在以下目錄中找到這些日誌:

    * 解碼的跟蹤檔案在路徑中可用/opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
    *   ade# cd /opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk

    *   ade# cp coraltrace.txt /localdisk/defaultRepo


    步驟 2.要在調試模式下啟用珊瑚,需要在檔案debug.conf中設定調試級別。

    從容器內進行以下操作:

    echo "rp:0:0:tdlcold:-e BINOS_BTRACE_LEVEL=DEBUG;" > /harddisk/debug.conf


    或者,在Prime 3.8上,Coral服務可以在容器外重新啟動,方法是使用:

    "sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"


    如果重新啟動沒有幫助,可以使用這些功能來清除珊瑚例項並順利啟動:

    sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral stop 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral purge 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral start 1


    重新啟動珊瑚,這是必須的。如果鍵入「Exit」,則可以離開coral例項,然後:

    ./coral/bin/coral restart 1

    注意:在Prime 3.8上,可以使用「sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1」在容器外部重新啟動Coral服務

    如果您需要解碼Coral記錄檔,您可以在Coral容器中解碼:

    btdecode Prime_TDL_collector_*.bin

    注意:啟用Coral的調試級別後,必須重新啟動Coral。

    Catalyst 9800 WLC上的故障排除

    要監控Prime Infra推送到C9800 WLC的配置,您可以運行EEM Applet。

    #config terminal
#event manager applet catchall
 #event cli pattern ".*" sync no skip no
 #action 1 syslog msg "$_cli_msg"


    從WLC配置中刪除所有遙測訂閱

    有時您可能想要取消配置WLC上配置的所有遙測訂閱。這可以簡單地使用以下命令來完成:

    WLC#term shell
WLC#function removeall() {
for id in `sh run | grep telemetry | cut -f4 -d' '`
do
conf t
no telemetry ietf subscription $id
exit
done
}
WLC#removeall


    要啟用跟蹤:

    # debug netconf-yang level debug


    若要驗證:

    WLC#show platform software trace level mdt-pubd chassis active R0 | inc Debug

pubd                            Debug           

WLC#show platform software trace level ndbman chassis active R0 | inc Debug

ndbmand                         Debug

          

    檢視追蹤輸出:

    show platform software trace message mdt-pubd chassis active R0

show platform software trace message ndbman chassis active R0


    檢查AP資訊的訂用ID

    按一下DB Query。導航tohttps://<Prime_IP>/webacs/ncsDiag.do

    *從OWNINGENTITYID(類似於「%Controller_IP」和CLASSNAME='UnifiedAp')的ewlcSubscription中選擇。

    在WLC上:

    驗證訂用ID正在傳送資訊,且cntp計數器上沒有丟棄。

    show tel int sub all stats

show telemetry internal protocol cntp-tcp connector counters drop

show telemetry internal protocol cntp-tcp connector counters queue

show telemetry internal protocol cntp-tcp connector counters rate

show telemetry internal protocol cntp-tcp connector counters sub-rate

show telemetry internal protocol cntp-tcp connector counters reset

    注意:9800 WLC支援17.6之前的100個遙測訂閱,17.6之後最多128個訂閱(因為最新版本的Catalyst Center可以使用超過100個訂閱。


    從PI遷移到Cisco Catalyst Center

    C9800不能同時由PI和Cisco Catalyst Center管理。如果計畫遷移到Catalyst Center作為網路管理解決方案,則需要在將C9800增加到Catalyst Center之前將其從Prime基礎設施中刪除。從PI 3.5刪除/刪除C9800時,PI在清點時推送到C9800的所有配置都不會回滾,需要手動從系統中刪除這些配置。具體來說,為C9800 WLC建立的用於發佈流遙測資料的訂閱通道不會被刪除。 

    要辨識此特定配置:

    #show run | sec telemetry


    要刪除此配置,請運行命令的no形式:

    (config) # no telemetry ietf subscription <Subscription-Id>
Repeat this CLI to remove each of the subscription identifiers. 


(config) # no telemetry transform <Transform-Name>
Repeat this CLI to remove each of the transform names

    注意:如果同時使用Catalyst Center和Prime基礎設施管理9800控制器,Catalyst Center庫存合規性將由於Prime管理而預期失敗。

    在最新版本中,Prime Infrastructure和Catalyst Center都可能對WLC使用過多的遙測訂閱,以使兩台伺服器同時管理9800。因此,您無法同時使用Catalyst Center和Prime Infrastructure管理9800,也無法使用遙測和統計資料。因此,從PI遷移到Catalyst Center的速度必須儘可能快,因為只要Prime Infrastructure管理9800控制器,Catalyst Center就無法從9800獲得遙測資料。

    修訂記錄

    修訂 發佈日期 意見
    6.0
    07-Oct-2024
    已修正部分指令
    5.0
    24-May-2024
    已編輯,將思科DNA名稱替換為Catalyst Center。還新增了有關橢圓曲線金鑰的註記
    4.0
    01-Dec-2023
    根據樣式要求進行校對和更新。
    3.0
    08-Aug-2023
    由於遙測訂閱的限制,更改了目前不支援DNAC和PI以管理9800的宣告
    2.0
    27-Apr-2023
    IOS 17.9 CLI更改的小型更新
    1.0
    30-Aug-2021
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Sudha Katgeri
      Cisco TAC Engineer
    • Nicolas Darchis
      Cisco TAC Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品