Software MSE versão 7.2 Virtual Appliance Configuration and Deployment Guide

Introduction

O software Cisco Mobility Services Engine (MSE) versão 7.2 adiciona dispositivo virtual e suporte para VMware ESXi. Este documento fornece as diretrizes de configuração e implementação, assim como dicas de troubleshooting, para os usuários que adicionam o mecanismo virtual de MSE a uma Cisco Unified WLAN e que executam Serviços Cientes de Contexto e/ou um Sistema de Prevenção de Intrusão Sem Fio Adaptável (wIPS) da Cisco. Além disso, este documento descreve os requisitos do sistema para o dispositivo virtual MSE e fornece diretrizes gerais de implantação para o dispositivo virtual MSE. Este documento não fornece detalhes de configuração para o MSE e componentes associados. Estas informações são fornecidas noutros documentos; são fornecidas referências.

Consulte a seção Informações Relacionadas para obter uma lista de documentos sobre a configuração e o projeto dos Serviços de Mobilidade com Reconhecimento de Contexto. A configuração wIPS adaptável também não é abordada neste documento.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no Cisco 3300 Series Mobility Services Engine.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Esta imagem mostra a implantação típica da Cisco WLAN que inclui o Cisco Mobility Services Engine (MSE). Essa implantação também inclui outros clientes de rede com/sem fio, etiquetas RFID e um ponto de acesso (AP) e cliente invasor. O MSE oferece visibilidade a esses elementos para localização e wIPS. Antes do software MSE versão 7.2, somente os dispositivos físicos eram limitados ao MSE-3310 e ao MSE-3350/3355.

Requisitos do sistema

O software MSE versão 7.2 Virtual Appliance é compatível e testado no VMware ESXi 4.1 e posterior. Essas configurações de servidor foram testadas e são recomendadas como diretriz.

• Servidor com montagem em rack Cisco Unified Computing System (UCS) C200 M2

  • Dois (2) Intel^? Xeon^? CPU E5506 a 2,13GHz

  • RAM (conforme o nível configurado)

  • Unidades SAS com controladores RAID avançados (mínimo de 500 GB+)

• Servidor com montagem em rack UCS C210 M2

  • Dois (2) CPU Intel Xeon E5640 a 2,67 GHz

  • RAM (conforme o nível configurado)

  • Unidades SAS com controladores RAID avançados (mínimo de 500 GB+)

• Servidor com montagem em rack UCS C250 M2

  • Dois (2) CPU Intel Xeon E5570 a 2,93 GHz

  • RAM (conforme o nível configurado)

  • Unidades SAS com controladores RAID avançados (mínimo de 500 GB+)

• Servidor com montagem em rack UCS C460 M2

  • Dois (2) CPU Intel Xeon E7-4830 a 2,13 GHz

  • RAM (conforme o nível configurado)

  • Unidades SAS com controladores RAID avançados (mínimo de 500 GB+)

Nota: use dois (2) processadores quad-core que sejam pelo menos tão poderosos quanto os mencionados acima.

Software de gerenciamento e licenciamento VMware

O dispositivo virtual Cisco MSE Software Release 7.2 oferece suporte ao ESX/ESXi 4.x e superior.

Para gerenciar hosts ESXi e para configurar e implantar os dispositivos virtuais, a Cisco recomenda que você instale o vCenter Server 4.x em uma máquina Windows XP ou Windows 7 de 64 bits e obtenha uma licença do vCenter Enterprise. Como alternativa, se você tiver apenas um host ESXi, poderá usar o cliente vSphere para gerenciá-lo.

Requisitos do recurso

Os requisitos de recursos dependem da licença que você deseja implantar. Esta tabela lista os diferentes níveis em que você pode configurar seu dispositivo virtual:

MSE principal	Recursos		Licença suportada (individualmente)
Nível do dispositivo virtual	Memória total	CPU	Licença CAS	Licença wIPS
Baixa	6 G	2	2000	2000
Padrão	11 G	8	18000	5000
Alto	20 G	16	50000	10000

Observação: os limites sugeridos listados para as licenças CAS e wIPS são limites máximos suportados quando apenas um serviço está em execução. Os limites de coexistência se aplicam se você deseja executar ambos os serviços no mesmo dispositivo.

Configurando o ESXi Host

Conclua estes passos para configurar um dispositivo virtual MSE em um UCS ou servidor semelhante:

1. Verifique se a sua máquina tem pelo menos 500 GB+ de espaço em disco rígido e unidades SAS rápidas com controladores RAID avançados. (Use um tamanho de bloco de pelo menos 4 MB ao criar datastores para versões anteriores ao ESXi 5.0.)

2. Instale o ESXi.

   1. Insira o disco de instalação do ESXi 4.1 ou posterior e inicialize a partir da unidade.

   2. Se você usar várias unidades, instale o ESXi na unidade configurada como a unidade de inicialização. O nome de usuário padrão é raiz e a senha está em branco (sem senha).

   Observação: se você escolher a unidade errada para a instalação, poderá reformatar usando um CD Fedora Live.

3. Configure o endereço IP.

   Escolha adaptadores de rede ativados e ativos. Você pode ter vários adaptadores de rede se o host estiver conectado a várias redes. Você pode definir o mesmo endereço IP durante a configuração do CIMC; pressione F8 durante a inicialização para definir o endereço IP. Além disso, altere a senha padrão.

Quando o ESXi estiver configurado, você poderá usar uma máquina Windows XP ou Windows 7, juntamente com o endereço IP e as credenciais de login configurados acima, para se conectar ao host ESXi através do cliente vSphere.

Consulte Licenciamento do ESX 4.x, ESXi 4.x e vCenter Server 4.x para obter informações sobre licenciamento do host ESXi.

Consulte estes artigos para obter informações sobre como configurar datastores no ESXi:

• Criar datastores VMFS

• Aumente os datastores VMFS

Aviso: use um tamanho de bloco de pelo menos 4 MB ao criar datastores para ESXi 4.1.

Instalação do MSE Virtual Appliance

O dispositivo virtual MSE é distribuído como uma imagem OVA (Open Virtual Appliance) que pode ser implantada em um host ESXi usando o cliente vSphere. Há duas versões OVA disponíveis: uma versão é para uma imagem de demonstração, que requer apenas 60 GB de espaço em disco, e a outra versão é uma imagem de produção genérica.

A imagem de produção distribuível pressupõe um mínimo de 500 GB e mais de espaço em disco disponível no armazenamento de dados do host ESXi. O OVA pode ser selecionado e implantado através do cliente vSphere. Escolha Arquivo > Implantar modelo OVF para implantar o modelo.

A implantação da imagem leva alguns minutos, dependendo da velocidade da rede. Depois de implantado, você pode editar a configuração da máquina virtual (VM) para configurar o dispositivo; a VM deve ser desligada quando configurada.

Configurando os níveis do MSE Virtual Appliance

A tabela nesta seção lista os níveis configuráveis no dispositivo virtual e os requisitos de recursos correspondentes. Alocar núcleos dedicados ao dispositivo e não os núcleos virtuais de hyper-threaded, pois isso afetará o desempenho se você assumir que o host tem mais núcleos virtuais e implantar mais dispositivos. Por exemplo, no UCS C200 mencionado acima, há oito (8) núcleos físicos disponíveis, mas dezesseis (16) núcleos virtuais com hyper-threading. Não suponha que 16 (dezesseis) núcleos estejam disponíveis; aloque somente oito (8) núcleos para garantir que o MSE tenha um desempenho confiável quando estiver estressado.

MSE principal	Recursos			Licença suportada (individualmente)		MSE secundário suportado
Nível do dispositivo virtual	Memória total	CPU		Licença CAS	Licença wIPS	Dispositivo virtual	Caixa física
Baixa	6 G	2		2000	2000	Baixo+	Not Supported
Padrão	11 G	8		18000	5000	Padrão+
Alto	20 G	16		50000	10000	Alto+

Configurando o MSE Virtual Appliance

Depois que o dispositivo virtual tiver sido implantado e configurado, você poderá ligá-lo. Quando o equipamento for ligado pela primeira vez, você precisará inserir as credenciais de login padrão: raiz/senha.

Quando você faz logon pela primeira vez, o aplicativo inicia a configuração do software MSE e também instala o banco de dados Oracle. Esse é um processo demorado e único, que levará pelo menos de 30 a 40 minutos. Quando a instalação estiver concluída, o prompt de login será exibido novamente. Consulte a seção Configuring the Mobility Services Engine do Cisco 3355 Mobility Services Engine Getting Started Guide para continuar a configuração do dispositivo.

Configurando a rede

Por padrão, as VMs usam as configurações de rede do host; portanto, você não precisa configurar os adaptadores VM no ESXi. No entanto, se você tiver redes públicas e privadas conectadas ao host e quiser que as VMs tenham acesso a ambos, você poderá configurar os adaptadores de VM no vShpere Client.

No vSphere Client, selecione o host, clique na guia Configuration e clique em Networking. Você pode ver os adaptadores físicos nas propriedades do Virtual Switch.

Crie switches separados com adaptadores separados para isolar as redes. Em seguida, você pode atribuir os adaptadores VM a essas redes conforme necessário.

Adicionando espaço em disco rígido

Se necessário, adicione capacidade de disco adicional à VM e expanda as partições.

Observação: o script installDrive.sh (localizado no diretório /opt/mse/framework/bin) detecta novas unidades e repartições existentes para usar e estender as novas unidades.

Certifique-se de fazer backup da VM (ou pelo menos dos dados MSE) antes de tentar fazer a repartição do espaço em disco.

Para adicionar mais espaço em disco à VM, desligue a VM, vá para as configurações da VM e adicione o disco rígido adicional.

Depois que o disco rígido tiver sido adicionado, ligue a VM, faça login no dispositivo e execute o script installDrive.sh. O script deve montar e reparticionar a unidade recém-adicionada. Se você adicionou vários discos rígidos, execute o script uma vez para cada nova unidade.

Tamanho do bloco

Para versões do ESXi anteriores à 5.0, a Cisco recomenda que o armazenamento de dados no host tenha um tamanho de bloco de 4 MB ou mais; caso contrário, a implantação do OVA poderá falhar. Se a implantação falhar, você poderá reconfigurar o tamanho do bloco.

Para reconfigurar o tamanho do bloco, vá para o ESX Host Configuration > Storage > Delete the datastores e adicione o armazenamento novamente aos novos datastores com um tamanho de bloco de pelo menos 4 MB.

Ferramentas VMware

Se a VM emitir o seguinte erro, clique com o botão direito do mouse na VM no vSphere Client e escolha Guest > Install/Upgrade VMware Tools para instalar ou atualizar as ferramentas da VMware:

Guest OS cannot be shutdown because Vmware tools is not installed or running.

Atualizando o Virtual Appliance

Depois de configurar o dispositivo virtual, ele deve ser tratado como uma caixa MSE física. Você não precisa implantar um novo OVA sempre que quiser atualizar para a versão mais recente do MSE; você pode fazer o download da imagem do instalador apropriada no dispositivo e seguir as etapas para atualizar como faria com um dispositivo físico.

Licenciamento do Virtual Appliance

Depois de configurar o dispositivo virtual, ele poderá ser usado no modo de avaliação (padrão, 60 dias) sem licenciar o dispositivo. No entanto, você deve ativar o dispositivo virtual usando uma licença de ativação do dispositivo virtual se planeja implantar licenças permanentes ou usar recursos como alta disponibilidade (HA). Você pode obter o UDI (Unique Device Identifier, Identificador de dispositivo exclusivo) do dispositivo virtual (executar show csldi no dispositivo) ou das propriedades gerais do Cisco Prime Network Control System (NCS) MSE e usar essas informações para comprar a licença de ativação do dispositivo virtual e as licenças de serviço permanente.

Esta imagem mostra alterações recentes na IU do Centro de Licenças para o dispositivo virtual.

Para o dispositivo virtual, uma mensagem ao lado do nome do MSE indica claramente se ele está ou não ativado. Além disso, há duas colunas de limite: a coluna Limite de plataforma lista a licença máxima suportada para esse serviço neste dispositivo (dependendo da alocação de recursos para a VM) e a coluna Limite instalado lista a licença real instalada ou que está disponível através de avaliação no dispositivo.

Alta disponibilidade no dispositivo virtual

Para usar o recurso HA, os dispositivos principal e secundário devem ser ativados com uma licença de ativação do dispositivo virtual.

Configurar alta disponibilidade

Você pode configurar a configuração de HA através do MSE principal no NCS.

Ativando o MSE secundário

O aplicativo secundário deve ser ativado. Você pode usar as informações de UDI para solicitar uma licença de ativação para o MSE secundário. Na página HA Configuration (Configuração de HA), procure a licença e clique em Save. O HA será configurado assim que o MSE secundário for ativado com êxito.

Desativando o MSE secundário

Caso precise excluir a licença de ativação do MSE secundário, você pode clicar na caixa de seleção e clicar em Salvar para desativar o MSE secundário.

Virtual Appliance no ESXi 5.0

No ESXi 5.0, o tamanho do bloco é fixo em 1 MB, pois ele suporta grandes implantações de VM. Para poder atribuir mais de oito (8) núcleos ao dispositivo virtual, você deve atualizar o hardware virtual. Para atualizar o hardware virtual, selecione o MSE e escolha Atualizar hardware virtual conforme mostrado nesta imagem:

Procedimento do console MSE

1. Faça login no console com estas credenciais: raiz/senha.

   Na inicialização inicial, o MSE solicita que o administrador inicie o script de configuração.

2. Digite yes para este prompt.

   

   Observação: se o MSE não solicitar a configuração, digite o seguinte comando: /opt/mse/setup/setup.sh.

3. Configure o nome do host:

   

4. Configure o nome de domínio DNS:

   

5. Configure a função principal de HA:

   

6. Configurar parâmetros de interface Ethernet:

   

7. Quando solicitado a fornecer os parâmetros da interface eth1, digite Skip para prosseguir para a próxima etapa, pois uma segunda placa de rede não é necessária para a operação.

   

   Observação: o endereço configurado deve fornecer conectividade IP à perspectiva do WLCs e do WCS Management System usados com este dispositivo.

8. Insira as informações dos servidores DNS. Somente um servidor DNS é necessário para uma resolução de domínio bem-sucedida. Insira servidores de backup para obter resiliência.

   

9. Configure o fuso horário. A Cisco recomenda que você use o UTC (hora universal coordenada).

   Se o fuso horário padrão de Nova York não for aplicável ao seu ambiente, navegue pelos menus de localização para selecionar o fuso horário correto.

   

10. Quando solicitado a configurar o dia e a hora da reinicialização futura, digite Ignorar.

    

11. Configure o servidor syslog remoto, se aplicável.

    

12. Configure o Network Time Protocol (NTP) ou a hora do sistema.

    O NTP é opcional, mas garante que o sistema mantenha um tempo de sistema preciso. Se você optar por ativar o NTP, a hora do sistema será configurada a partir dos servidores NTP selecionados. Caso contrário, você será solicitado a inserir a data e a hora atuais.

    

13. Quando solicitado a configurar o banner de login, digite Skip.

    

14. Ative o login raiz do console local.

    Esse parâmetro é usado para ativar/desativar o acesso do console local ao sistema. O login raiz do console local deve ser ativado para que a solução de problemas local possa ocorrer. O valor padrão é Ignorar.

    

15. Ative o login raiz do Shell Seguro (SSH).

    Este parâmetro é usado para ativar/desativar o acesso remoto ao console para o sistema. O login da raiz SSH deve ser ativado para que a solução remota de problemas possa ocorrer. No entanto, as políticas de segurança corporativa podem exigir que essa opção seja desativada.

    

16. Configure o modo de usuário único e a força da senha.

    Esses parâmetros de configuração não são necessários; o valor padrão é Ignorar.

    

17. Altere a senha raiz.

    Essa etapa é essencial para garantir a segurança do sistema. Escolha uma senha forte que consiste em letras e números sem palavras de dicionário. O comprimento mínimo da senha é de oito (8) caracteres. As credenciais padrão são raiz/senha.

    

18. Configurar parâmetros relacionados ao login e à senha:

    

19. Configure uma senha de inicialização (Grub). (Opcional)

    Este parâmetro de configuração não é obrigatório. O padrão é Ignorar.

    

20. Configure o nome de usuário da comunicação NCS.

    

21. Aceite a alteração na configuração.

    

    Esta imagem mostra um exemplo da tela de conclusão:

    

22. Execute o comando getserverinfo para verificar a configuração.

    

Adicionando MSE VA ao NCS

1. Faça login no NCS e escolha Services > Mobility Services Engines.

   

2. Na lista suspensa localizada no lado direito da página, escolha Add Mobility Services Engine e clique em Go.

   

3. Insira um nome de dispositivo exclusivo para o MSE, o endereço IP configurado anteriormente durante a configuração do MSE, um nome de contato para suporte. e o nome de usuário e a senha do NCS configurados durante a configuração do MSE.

   Não altere o nome de usuário do padrão de admin. Você pode deixar como padrão.

   

4. Clique em Next.

5. Clique em Licenciamento e verifique o licenciamento. Na instalação, a licença de demonstração padrão é suficiente para testes. Você pode adicionar mais licenças adquiridas ou remover licenças na página Licenciamento.

   

6. Clique em Next.

   

7. Na página Selecionar serviço de mobilidade, clique no botão de opção Cisco Tag Engine (disponível desde 7.0MR) (para suporte de marca de cliente e RFID) ou clique no botão de opção Partner Tag Engine (para Aeroscout, etc.).

8. Clique na caixa de seleção Wireless Intrusion Protection Service para testar o recurso de segurança wIPS do modo de monitor e os recursos do modo local avançado.

9. Clique em Next.

10. Marque as caixas de seleção dos elementos a serem ativados para rastreamento e dos parâmetros de histórico para que esses elementos estejam disponíveis para relatórios de histórico.

    

11. Clique em Next.

    

12. Marque as caixas de seleção do prédio e andar existentes e clique em Sincronizar.

    Depois de sincronizada, a coluna Status é atualizada para mostrar que o projeto de rede inicial foi sincronizado.

    

13. Quando a sincronização estiver concluída, clique em Done (Concluído).

    Uma caixa de diálogo é exibida indicando que as configurações de MSE foram salvas.

    

14. Confirme a configuração na página principal do MSE do NCS.

    

    Certifique-se de sincronizar o resto dos projetos de rede, controladores, switches com fio e grupos de eventos, conforme disponível.

    Observação: o serviço Cisco Context-Aware é altamente dependente de um relógio sincronizado entre a WLC, o NCS e o MSE. Se todos esses três sistemas não forem apontados para o mesmo servidor NTP e configurados com as mesmas configurações de fuso horário, o serviço sensível ao contexto não funcionará corretamente. Antes de tentar qualquer procedimento de solução de problemas, verifique se o relógio do sistema é o mesmo em todos os componentes do sistema sensível ao contexto.

15. Verifique a comunicação do MSE e do controlador para obter os serviços escolhidos.

    Verifique se o MSE está se comunicando com cada um dos controladores somente para o serviço escolhido; O status do Network Mobility Service Protocol (NMSP) deve estar ativo.

    Essa imagem fornece um exemplo de quando o hash de chave não é adicionado à WLC.

    

    No console WLC, use o comando show auth-list.

    O exemplo a seguir mostra no console da WLC que não há servidor de localização disponível:

    

    Para adicionar manualmente o MSE e estabelecer uma conexão NMSP à WLC, faça o seguinte:

    1. No console MSE, execute o comando cmdshell e, em seguida, o comando show server-auth-info.

       Este exemplo mostra o endereço MAC e o hash de chave a serem usados para adicionar à WLC.

       

    2. Execute o comando config auth-list add ssc <mac address> <MSE keyhash> e execute o show auth-list.

       Este exemplo mostra que o MSE foi adicionado à WLC (manualmente).

       

    3. No NCS, confirme se a conexão NMSP mostra Ative.

       

Referência de linha de comando

Comandos WLC

config location expiry ?
client         Timeout for clients
calibrating-client Timeout for calibrating clients
tags           Timeout for RFID tags
rogue-aps      Timeout for Rogue APs

show location ap-detect ?
all            Display all (client/rfid/rogue-ap/rogue-client) information
client         Display client information
rfid           Display rfid information
rogue-ap       Display rogue-ap information
rogue-client   Display rogue-client information
(Cisco Controller) >show location ap-detect client

show client summary 
Number of Clients................................ 7
MAC Address       AP Name           Status        WLAN/Guest-Lan Auth Protocol Port Wired
----------------- ----------------- ------------- -------------- ---- -------- ---- -----
00:0e:9b:a4:7b:7d AP6               Probing       N/A            No   802.11b  1    No
00:40:96:ad:51:0c AP6               Probing       N/A            No   802.11b  1    No
(Cisco Controller) >show location summary 
 Location Summary 
 Algorithm used:                 Average
 Client 
        RSSI expiry timeout:     5 sec
        Half life:               0 sec
        Notify Threshold:        0 db
 Calibrating Client 
        RSSI expiry timeout:     5 sec
        Half life:               0 sec
 Rogue AP 
        RSSI expiry timeout:     5 sec
        Half life:               0 sec
        Notify Threshold:        0 db
 RFID Tag 
        RSSI expiry timeout:     5 sec
        Half life:               0 sec
        Notify Threshold:        0 db

show rfid config 

RFID Tag data Collection......................... Enabled
RFID  timeout.................................... 1200 seconds
RFID mobility.................................... Oui:00:14:7e : Vendor:pango  State:Disabled

show rfid detail 
     
     

RFID address.....................................00:0c:cc:7b:77:3b
Vendor........................................... Aerosct
Last Heard....................................... 7 seconds ago
Packets Received................................. 40121
Bytes Received................................... 2567744
Detected Polling Interval........................ 30 seconds
Cisco Type.......................................

Content Header
=================
CCX Tag Version.................................. 1
Tx Power......................................... 18 dBm
Channel.......................................... 11
Reg Class........................................ 6
Burst Length..................................... 1

CCX Payload
===========
Last Sequence Control............................ 0
Payload length................................... 29
Payload Data Hex Dump
00 02 00 33 02 07 42 00 00 00 00 00 00 03 05 01
41 bc 80 00 04 07 00 0c cc 00 00 00 00 d

Nearby AP Statistics:

      demo-AP1260(slot 0, chan 11) 6 seconds .... -48 dBm

show location plm
Location Path Loss Configuration
Calibration Client : Enabled   , Radio: Uniband
Normal Clients : Disabled      , Burst Interval: 60

(Cisco Controller) >config location ?
plm            Configure Path Loss Measurement (CCX S60) messages
algorithm      Configures the algorithm used to average RSSI  and SNR values
notify-threshold Configure the LOCP notification threshold for RSSI measurements
rssi-half-life Configures half life when averaging two RSSI readings
expiry         Configure the timeout for RSSI values

config location expiry client ?
<seconds>      A value between 5 and 3600 seconds

config location rssi-half-life client ?
<seconds>      Time in seconds (0,1,2,5,10,20,30,60,90,120,180,300 sec)

show nmsp subscription summary 
Mobility Services Subscribed: 
Server IP                Services
---------                --------
172.19.32.122            RSSI, Info, Statistics, IDS

Comandos MSE

Execute este comando para determinar o status dos serviços MSE:

[root@MSE ~]# getserverinfo

Execute este comando para iniciar o mecanismo sensível ao contexto para rastreamento de cliente:

[root@MSE ~]# /etc/init.d/msed start

Execute este comando para determinar o status do mecanismo sensível ao contexto para rastreamento de cliente:

[root@MSE ~]# /etc/init.d/msed status

Execute este comando para interromper o mecanismo sensível ao contexto para rastreamento de cliente:

[root@MSE ~]# /etc/init.d/msed stop

Execute este comando para executar diagnósticos:

[root@MSE ~]# rundiag

Observação: o comando rundiag também pode ser usado para visualizar informações de MSE UDI necessárias para obter o arquivo de licença para o mecanismo contextual para clientes.

Informações Relacionadas

• Guia de configuração do MSE (Virtual and Physical Appliance)
• Configuração de alta disponibilidade do MSE
• Guia de implantação do Cisco WIPS
• Pedidos de produtos
• Suporte Técnico e Documentação - Cisco Systems