Gestione dei controller wireless Catalyst serie 9800 con Prime Infrastructure con SNMP V2 e V3 e NetCONF

Introduzione

Questo documento descrive come integrare i controller wireless Catalyst serie 9800 (C9800 WLC) con Prime Infrastructure (3.x).

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• C9800 WLC
• Prime Infrastructure (PI) versione 3.5
• Protocollo SNMP (Simple Network Management Protocol)

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• C9800 WLC
• Cisco IOS XE Gibraltar da 16.10.1 a 17.3

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Nota: Prime Infra 3.8 supporta solo WLC 17,x 9800. I client non vengono visualizzati su Prime Infrastructure se si tenta di gestire un WLC 16.12 con Prime Infra 3.8.

Configurazione

Per configurare, gestire e monitorare i controller LAN wireless Catalyst serie 9800, Prime Infrastructure deve essere in grado di accedere a C9800 tramite CLI, SNMP e Netconf. Quando si aggiunge C9800 a Prime Infrastructure, è necessario specificare le credenziali telnet/SSH, nonché la stringa della community SNMP, la versione e così via. PI utilizza queste informazioni per verificare la raggiungibilità e per inventariare il WLC C9800. Utilizza inoltre il protocollo SNMP per eseguire il push dei modelli di configurazione e supporta trap per gli eventi dei client e dei punti di accesso. Tuttavia, per consentire a PI di raccogliere le statistiche AP e client, Netconf viene utilizzato. Netconf non è abilitato per impostazione predefinita sul WLC C9800 e deve essere configurato manualmente tramite CLI nella versione 16.10.1 (GUI disponibile nella versione 16.11.1).

Porte usate

La comunicazione tra C9800 e Prime Infrastructure utilizza porte diverse.

• Tutte le configurazioni e i modelli disponibili in Prime Infra vengono distribuiti tramite SNMP e CLI. viene utilizzata la porta UDP 161.
• I dati operativi per il WLC C9800 si ottengono tramite SNMP. Viene utilizzata la porta UDP 162.
• I dati operativi dei client e dei punti di accesso sfruttano la telemetria in streaming.

Prime Infrastructure per WLC: porta TCP 830 - Utilizzata da Prime Infra per trasferire la configurazione della telemetria ai dispositivi 9800 (usando Netconf).
WLC su Prime Infrastructure: porta TCP 20828 (per Cisco® IOS XE 16.10 e 16.11) o 20830 (per Cisco IOS XE 16.12,17.x e versioni successive).

Nota: i pacchetti keepalive vengono inviati ogni 5 secondi anche in assenza di dati di telemetria da segnalare.

Nota: se esiste un firewall tra Prime Infrastructure e C9800, aprire queste porte per stabilire la comunicazione.

Configurazione SNMPv2 su Cat 9800 WLC

GUI:

Passaggio 1. Passare a Administration > SNMP > Slide to Enable SNMP.

Passaggio 2. Fare clic su Community Strings e creare un nome di community di sola lettura e un nome di community di lettura/scrittura.

CLI:

(config)#snmp-server community <snmpv2-community-name> 
(optional)(config)# snmp-server location <site-location>
(optional)(config)# snmp-server contact <contact-number>

Configurazione SNMPv3 su Cat 9800 WLC

GUI:

Nota: a partire dalla versione 17.1 di Cisco IOS XE, l'interfaccia utente Web consente solo di creare utenti v3 di sola lettura. Per creare un utente v3 in lettura/scrittura, è necessario eseguire la procedura CLI.

CLI:

Fare clic su V3 userse creare un utente. Scegliere authPriv, SHA e AES protocols, quindi le password lunghe. MD5 e DES/3DES sono protocolli non sicuri e sebbene rappresentino ancora un'opzione nel modello 9800, non devono essere selezionati e non sono più stati completamente testati.

Nota: la configurazione utente SNMPv3 non si riflette sulla configurazione in esecuzione. Viene visualizzata solo la configurazione del gruppo SNMPv3.

CLI:

(config)#snmp-server view primeview iso included
(config)#snmp-server group <v3-group-name> v3 auth write primeview 
(config)#snmp-server user <v3username> <v3-group-name> v3 auth {md5 | sha} <AUTHPASSWORD> priv {3des | aes | des} {optional for aes 128 | 192| 256} <PRIVACYPASSWORD>



9800#show snmp user

User name: Nico
Engine ID: 800000090300706D1535998C
storage-type: nonvolatile	 active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: SnmpAuthPrivGroup

Configurazione Netconf sul Cat 9800 WLC

Interfaccia grafica (a partire da 16,11):

Passare a Administration > HTTP/HTTPS/Netconf.

CLI:

(config)#netconf-yang

Attenzione: se su C9800 è abilitato un nuovo modello, è necessario configurare anche:
(config)#aaa authorization exec default <gruppo locale o radius/tacacs>
(config)#aaa authentication login default <gruppo locale o radius/tacacs>
Netconf su C9800 utilizza il metodo predefinito (e non può essere modificato) sia per l'accesso con autenticazione aaa che per l'esecuzione con autorizzazione aaa. Per definire un metodo diverso per le connessioni SSH, usare la riga di line vty comando. Netconf continua a utilizzare i metodi predefiniti.

Attenzione: Prime infrastructure, quando si aggiunge un controller 9800 al proprio inventario, sovrascrive l'impostazione predefinita di accesso con autenticazione aaa e i metodi predefiniti di esecuzione delle autorizzazioni aaa configurati e li indirizza all'autenticazione locale solo se Netconf non è già abilitato sul WLC. Se Prime Infrastructure è in grado di eseguire il login con Netconf, la configurazione non viene modificata. Ciò significa che, se si stava utilizzando TACACS, si perde l'accesso dalla CLI dopo aver aggiunto lo switch 9800 a Prime. È possibile ripristinare questi comandi di configurazione in un secondo momento e impostarli in modo che puntino a TACACS, se lo si desidera.

Configurazione (Prime Infrastructure 3.5 e versioni successive)

Passaggio 1. Acquisire l'indirizzo IP di gestione wireless configurato sul WLC di Catalyst 9800.

GUI:

Passare a Configuration > Interface: Wireless.

CLI:

# show wireless interface summary

Passaggio 2. Acquisire le credenziali utente con privilegi 15 e abilitare la password.

GUI:

Passare a Administration > User Administration.

CLI:

# show run | inc username
# show run | inc enable

Passaggio 3. Ottenere le stringhe della community SNMPv2 e/o l'utente SNMPv3, a seconda dei casi.

GUI:

Per SNMPv2, passare a Administration > SNMP > Community Strings.

Per SNMPv3, passare a Administration > SNMP > V3 Users.

CLI:

For SNMPv2 community strings
# show run | sec snmp 

For SNMPv3 user
# show user

Passaggio 4. Nell'interfaccia utente di Prime Infrastructure, selezionare Configuration > Network: Network Devices, fare clic sull'elenco a discesa + e scegliere Add Device.

Passaggio 5. Nel Add Device popup, immettere l'indirizzo ip dell'interfaccia su 9800 che viene utilizzato per stabilire la comunicazione con Prime Infrastructure.

Passaggio 6. Passare alla SNMP scheda e fornire SNMPv2 Read-Only and Read-Write Community Strings il file configurato sul WLC del C9800.

Passaggio 7. Se si utilizza SNMPv3, dall'elenco a discesa selezionare v3, e fornire il nome utente SNMPv3. Dall'Auth-Typeelenco a discesa corrisponde al tipo di autenticazione configurato in precedenza e dall'Privacy Typeelenco a discesa scegliere il metodo di crittografia configurato sul WLC del C9800.

Passaggio 8. Passare alla Telnet/SSH scheda diAdd Device, fornire il Privilegio 15 Nome utente e Password insieme a Abilita password. Fare clic su Verify Credentials per verificare il corretto funzionamento delle credenziali CLI e SNMP. Quindi fai clic su Add.

Verifica

Verifica stato telemetria

Passaggio 1. Verificare che Netconf sia abilitato su C9800.

#show run | inc netconf
netconf-yang

Se non è presente, immettere la sezione 'NETCONF configuration on the Cat 9800 WLC'.

Passaggio 2. Verificare la connessione telemetrica a Prime dal C9800.

#show telemetry internal connection
Telemetry connection

Address Port Transport State Profile
------------------------------------------------------------------
x.x.x.x 20828 cntp-tcp Active

Nota: x.x.x.x è l'indirizzo IP di Prime Infrastructure e lo stato deve essere Active. Se lo stato non è Attivo, consultare la sezione Risoluzione dei problemi.

Nella versione 17.9, è necessario utilizzare un comando leggermente diverso:

9800-17-9-2#show telemetry connection all
Telemetry connections

Index Peer Address               Port  VRF Source Address             State      State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
    0 10.48.39.25                25103 0   10.48.39.228               Active     Connection up

9800-17-9-2#

Passaggio 3. In Prime Infrastructure, passare a Inventory > Network Devices > Device Type: Wireless Controller.

Passaggio 4. Per visualizzare i dettagli della connessione telemetrica a Prime Infrastructure, eseguire quanto segue:

#show telemetry internal protocol cntp-tcp manager x.x.x.x 20828
Telemetry protocol manager stats:

Con str                : x.x.x.x:20828::
Sockfd                 : 79
Protocol               : cntp-tcp
State                  : CNDP_STATE_CONNECTED
Table id               : 0
Wait Mask              :
Connection Retries     : 0
Send Retries           : 0
Pending events         : 0
Source ip              : <9800_IP_ADD>
Bytes Sent             : 1540271694
Msgs Sent              : 1296530
Msgs Received          : 0

Nella versione 17.9 o successive è necessario utilizzare un comando diverso, quello illustrato di seguito.

#show telemetry connection all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
 1 172.16.0.4 25103 0 172.16.2.44 Active Connection up

C9800-Classic#show telemetry internal connection <Index> detail
Telemetry protocol manager stats:

Con str : 172.16.0.4:25103:0:172.16.2.44
Sockfd : 116
Protocol : tls-native
State : CNDP_STATE_CONNECTED
Table id : 0
Profile : sdn-network-infra-iwan
Version : TLSv1.2
Wait Mask :
Connection Retries : 0
Send Retries : 0
Pending events : 0
Session requests : 1
Session replies : 1
Source ip : 172.16.2.44
Bytes Sent : 49098323
Msgs Sent : 49918
Msgs Received : 0
Creation time: : Mon Sep 30 16:18:19:535
Last connected time: : Mon Sep 30 16:18:19:587
Last disconnect time: :
Last error: :
Connection flaps: : 0
Last flap Reason: :
Keep Alive Timeouts: : 0
Last Transport Error : No Error

Passaggio 5. Verificare lo stato della sottoscrizione alla telemetria da C9800 e il fatto che venga visualizzato come 'Valido'.

#show telemetry ietf subscription configured
Telemetry subscription brief

ID Type State Filter type
-----------------------------------------------------
68060586 Configured Valid transform-na
98468759 Configured Valid tdl-uri
520450489 Configured Valid transform-na
551293206 Configured Valid transform-na
657148953 Configured Valid transform-na
824003685 Configured Valid transform-na
996216912 Configured Valid transform-na
1072751042 Configured Valid tdl-uri
1183166899 Configured Valid transform-na
1516559804 Configured Valid transform-na
1944559252 Configured Valid transform-na
2006694178 Configured Valid transform-na

Passaggio 6: è possibile visualizzare le statistiche della sottoscrizione per ID sottoscrizione o per tutte le sottoscrizioni che utilizzano:

#show telemetry internal subscription { all | id } stats
Telemetry subscription stats:

Subscription ID  Connection Info            Msgs Sent  Msgs Drop  Records Sent
------------------------------------------------------------------------------
865925973        x.x.x.x:20828::      2          0          2
634673555        x.x.x.x:20828::      0          0          0
538584704        x.x.x.x:20828::      0          0          0
1649750869       x.x.x.x:20828::      1          0          2
750608483        x.x.x.x:20828::      10         0          10
129958638        x.x.x.x:20828::      10         0          10
1050262948       x.x.x.x:20828::      1369       0          1369
209286788        x.x.x.x:20828::      15         0          15
1040991478       x.x.x.x:20828::      0          0          0
1775678906       x.x.x.x:20828::      2888       0          2889
1613608097       x.x.x.x:20828::      6          0          6
1202853917       x.x.x.x:20828::      99         0          99
1331436193       x.x.x.x:20828::      743        0          743
1988797793       x.x.x.x:20828::      0          0          0
1885346452       x.x.x.x:20828::      0          0          0
163905892        x.x.x.x:20828::      1668       0          1668
1252125139       x.x.x.x:20828::      13764      0          13764
2078345366       x.x.x.x:20828::      13764      0          13764
239168021        x.x.x.x:20828::      1668       0          1668
373185515        x.x.x.x:20828::      9012       0          9012
635732050        x.x.x.x:20828::      7284       0          7284
1275999538       x.x.x.x:20828::      1236       0          1236
825464779        x.x.x.x:20828::      1225711    0          1225780
169050560        x.x.x.x:20828::      0          0          0
229901535        x.x.x.x:20828::      372        0          372
592451065        x.x.x.x:20828::      8          0          8
2130768585       x.x.x.x:20828::      0          0          0

Risoluzione dei problemi

Risoluzione dei problemi relativi a Prime Infrastructure

• Il primo controllo sull'infrastruttura Prime è sull'indirizzo IP e sulle interfacce. Prime Infrastructure non supporta la configurazione dual-home e non è in grado di ascoltare la telemetria sulla seconda porta.
• L'indirizzo IP del WLC aggiunto in Prime Infrastructure deve essere l'indirizzo IP usato come 'interfaccia di gestione wireless'. L'indirizzo IP dell'infrastruttura Prime deve essere raggiungibile dall'interfaccia di gestione wireless sul lato controller.
• Se si utilizza la porta di servizio (gig0/0 sugli accessori) per il rilevamento, i WLC e gli AP vengono visualizzati nello stato Gestito in Inventario, ma la telemetria per i WLC e i punti di accesso associati non funziona.
• Se lo stato della telemetria è un "successo" su Prime Infrastructure ma il numero AP è 0, è possibile che Prime Infrastructure possa raggiungere il WLC sulla porta 830 ma il controller non possa raggiungere nuovamente Prime Infrastructure sulla porta 20830.

Per qualsiasi problema di SNMP o di configurazione dei dispositivi, raccogliere questi registri da Prime Infrastructure:

cd /opt/CSCOlumos/logs/

[root@prime-tdl logs]# ncs-0-0.log

Tdl.logs

Per i problemi di telemetria/corallo, la prima cosa è controllare lo stato del corallo:

shell

cd /opt/CSCOlumos/coralinstances/coral2/coral/bin

./coral version 1

./coral status 1

./coral stats 1

Se tutto va bene, raccogliete questi log dalla cartella dei log del corallo primario.

Nota: a seconda della versione di Prime Infrastructure e della quantità di versioni di Cisco IOS XE supportate, possono esistere diverse istanze di Coral su Prime Infrastructure. Consultare le note sulle release per ulteriori dettagli, ad esempio: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-7/release/notes/bk_Cisco_Prime_Infrastructure_3_7_0_Release_Notes.html

Passaggio 1.

cd /opt/CSCOlumos/coral/bin/

[root@prime-tdl bin]# ./coral attach 1

Attached to Coral instance 1 [pid=8511]

Coral-1#cd /tmp/rp/trace/

Coral-1#ls

Collect the  “Prime_TDL_collector_R0-”* logs

Coral-1# cd /tmp/rp/trace/
Coral-1# btdecode P* > coralbtlog.txt
Coral-1# cat  coralbtlog.txt

Questi registri sono disponibili anche in questa directory:

* I file di traccia decodificati sono disponibili nel percorso/opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
*   ade# cd /opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk

*   ade# cp coraltrace.txt /localdisk/defaultRepo

Passaggio 2. Per abilitare Coral in modalità di debug, è necessario impostare il livello di debug nel debug.conf file.

Dall'interno del contenitore:

echo "rp:0:0:tdlcold:-e BINOS_BTRACE_LEVEL=DEBUG;" > /harddisk/debug.conf

Oppure, su Prime 3.8, il servizio Coral può essere riavviato all'esterno del container utilizzando:

"sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"

Se il riavvio non aiuta questi possono essere usati per pulire l'istanza del corallo e avviarlo senza problemi:

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral stop 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral purge 1

sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral start 1

Riavviare Coral, questo è obbligatorio. Se si digita 'Esci' è possibile uscire dall'istanza di corallo:

./coral/bin/coral restart 1

Nota: su Prime 3.8, il servizio Coral può essere riavviato all'esterno del contenitore utilizzando 'sudo /opt/CSCOlumos/coralinstance/coral2/coral/bin/coral restart 1'

Se è necessario decodificare i file di registro Coral, è possibile decodificarli all'interno del contenitore Coral con:

btdecode Prime_TDL_collector_*.bin

Nota: dopo aver abilitato il livello di debug di Coral, è necessario riavviare Coral.

Risoluzione dei problemi su Catalyst 9800 WLC

Per monitorare la configurazione trasferita da Prime Infra al WLC C9800, è possibile eseguire un'applet EEM.

#config terminal
#event manager applet catchall
 #event cli pattern ".*" sync no skip no
 #action 1 syslog msg "$_cli_msg"

Elimina tutta la sottoscrizione di telemetria dalla configurazione WLC

In alcuni casi può essere necessario annullare la configurazione di tutte le sottoscrizioni di telemetria configurate sul WLC. A tale scopo, è possibile usare semplicemente i seguenti comandi:

WLC#term shell
WLC#function removeall() {
for id in `sh run | grep telemetry | cut -f4 -d' '`
do
conf t
no telemetry ietf subscription $id
exit
done
}
WLC#removeall

Per abilitare le tracce:

# debug netconf-yang level debug

Per verificare:

WLC#show platform software trace level mdt-pubd chassis active R0 | inc Debug

pubd                            Debug           

WLC#show platform software trace level ndbman chassis active R0 | inc Debug

ndbmand                         Debug     

      

Per visualizzare gli output di traccia:

show platform software trace message mdt-pubd chassis active R0

show platform software trace message ndbman chassis active R0

Verifica ID sottoscrizione per informazioni AP

Fare clic su DB Query. Accedere a tohttps://<Prime_IP>/webacs/ncsDiag.do.

Scegliere *da ewlcSubscription cui OWNINGENTITYID, ad esempio '%Controller_IP' e CLASSNAME='UnifiedAp'.

Da WLC:

Verificare che l'ID sottoscrizione stia inviando informazioni e che non vi siano rilasci nei contatori cntp.

show tel int sub all stats

show telemetry internal protocol cntp-tcp connector counters drop

show telemetry internal protocol cntp-tcp connector counters queue

show telemetry internal protocol cntp-tcp connector counters rate

show telemetry internal protocol cntp-tcp connector counters sub-rate

show telemetry internal protocol cntp-tcp connector counters reset

Nota: il WLC 9800 supporta 100 sottoscrizioni di telemetria prima della 17.6 e fino a 128 sottoscrizioni dopo la 17.6 (la recente versione del Catalyst Center può utilizzare più di 100 sottoscrizioni).

Migrazione da IP a Cisco Catalyst Center

C9800 non può essere gestito contemporaneamente da IP e Cisco Catalyst Center. Se si prevede di passare a Catalyst Center come soluzione di gestione della rete, è necessario rimuovere C9800 da Prime Infrastructure prima di aggiungerlo a Catalyst Center. Quando C9800 viene rimosso/eliminato da PI 3.5, non viene eseguito il rollback di tutta la configurazione che è stata trasferita a C9800 al momento dell'inventario da PI e che deve essere eliminata manualmente dal sistema. In particolare, i canali di abbonamento stabiliti per C9800 WLC per pubblicare i dati di telemetria in streaming non vengono rimossi. 

Per identificare questa configurazione specifica:

#show run | sec telemetry

Per rimuovere questa configurazione, eseguire il comando nel no modo seguente:

(config) # no telemetry ietf subscription <Subscription-Id>
Repeat this CLI to remove each of the subscription identifiers. 


(config) # no telemetry transform <Transform-Name>
Repeat this CLI to remove each of the transform names

Nota: se si gestisce il controller 9800 sia con Catalyst Center che con Prime Infrastructure, la conformità dell'inventario di Catalyst Center non riesce in modo previsto a causa della gestione Prime.

Nelle versioni più recenti, sia Prime Infrastructure che Catalyst Center possono utilizzare troppi abbonamenti di telemetria per il WLC per entrambi i server per gestire contemporaneamente il 9800. Per questo motivo, non è possibile gestire lo switch 9800 con Catalyst Center e Prime Infrastructure e poiché questi prodotti funzionano correttamente, è necessario disporre di dati statistici e di telemetria. La migrazione da IP a Catalyst Center deve quindi avvenire il più rapidamente possibile perché Catalyst Center non è in grado di ricevere dati di telemetria dal 9800 finché Prime Infrastructure gestisce il controller 9800.