Introducción
Este documento describe cómo integrar los controladores inalámbricos Catalyst serie 9800 (C9800 WLC) con Prime Infrastructure (3.x).
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- WLC para C9800
- Prime Infrastructure (PI) versión 3.5
- ‘Protocolo de administración de red simple (SNMP)
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- WLC para C9800
- Cisco IOS XE Gibraltar 16.10.1 a 17.3
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Nota: Prime Infra 3.8 sólo admite WLC 17.x 9800. Los clientes no aparecen en Prime Infrastructure si intenta administrar un WLC 16.12 con Prime Infra 3.8.
Configurar
Para que Prime Infrastructure configure, administre y supervise los controladores de LAN inalámbrica de Catalyst serie 9800, debe poder acceder a C9800 a través de CLI, SNMP y Netconf. Al agregar C9800 a Prime Infrastructure, es necesario especificar las credenciales de Telnet/SSH, así como la cadena de comunidad SNMP, la versión, etc. PI utiliza esta información para verificar el alcance y para inventariar el WLC C9800. También utiliza SNMP para insertar plantillas de configuración y admitir capturas para eventos de cliente y puntos de acceso (AP). Sin embargo, para que PI recopile estadísticas de AP y clientes, Netconf es aprovechado. Netconf no está habilitado de forma predeterminada en el WLC C9800 y debe configurarse manualmente mediante CLI en la versión 16.10.1 (la GUI está disponible en 16.11.1).
Puertos utilizados
La comunicación entre C9800 y Prime Infrastructure utiliza puertos diferentes.
- Todas las configuraciones y plantillas disponibles en Prime Infra se envían a través de SNMP y CLI. Utiliza el puerto UDP 161.
- Los datos operativos para el WLC C9800 se obtienen a través de SNMP. Utiliza el puerto UDP 162.
- Los datos operativos de AP y cliente aprovechan la telemetría de streaming.
Prime Infrastructure a WLC: puerto TCP 830. Prime Infra lo utiliza para enviar la configuración de telemetría a los dispositivos 9800 (mediante Netconf).
WLC a Prime Infrastructure: puerto TCP 20828 (para Cisco® IOS XE 16.10 y 16.11) o 20830 (para Cisco IOS XE 16.12, 17.x y versiones posteriores).
Nota: Las señales de mantenimiento se envían cada 5 segundos incluso cuando no hay telemetría para notificar.
Nota: en caso de que haya un firewall entre Prime Infrastructure y C9800, asegúrese de abrir estos puertos para establecer la comunicación.
Configuración de SNMPv2 en el WLC Cat 9800
GUI:
Paso 1. Vaya a . Administration > SNMP > Slide to Enable SNMP
Paso 2. Haga clic en Community Strings
y cree un nombre de comunidad de sólo lectura y de lectura y escritura.
CLI:
(config)#snmp-server community <snmpv2-community-name>
(optional)(config)# snmp-server location <site-location>
(optional)(config)# snmp-server contact <contact-number>
Configuración de SNMPv3 en el WLC Cat 9800
GUI:
Nota: a partir de la versión 17.1 de Cisco IOS XE, la interfaz de usuario web solo permite crear usuarios v3 de solo lectura. Debe ejecutar el procedimiento CLI para crear un usuario v3 de lectura y escritura.
CLI:
Haga clic en V3 users
y cree un usuario. Elija authPriv
, SHA
y AES protocols
, y elija contraseñas largas. MD5
y DES/3DES
son protocolos inseguros y, aunque siguen siendo una opción en el 9800, no deben seleccionarse y ya no están completamente probados.
Nota: La configuración de usuario SNMPv3 no se refleja en la configuración en ejecución. Sólo se ve la configuración de grupo SNMPv3.
CLI:
(config)#snmp-server view primeview iso included
(config)#snmp-server group <v3-group-name> v3 auth write primeview
(config)#snmp-server user <v3username> <v3-group-name> v3 auth {md5 | sha} <AUTHPASSWORD> priv {3des | aes | des} {optional for aes 128 | 192| 256} <PRIVACYPASSWORD>
9800#show snmp user
User name: Nico
Engine ID: 800000090300706D1535998C
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: SnmpAuthPrivGroup
Configuración de Netconf en el WLC Cat 9800
GUI (a partir del 16.11):
Vaya a .Administration > HTTP/HTTPS/Netconf
CLI:
(config)#netconf-yang
Precaución: si aaa new-model está habilitado en C9800, también debe configurar:
(config)#aaa authorization exec default <local or radius/tacacs group>
(config)#aaa authentication login default <local or radius/tacacs group>
Netconf en C9800 utiliza el método predeterminado (y no puede cambiarlo) tanto para el login de autenticación aaa como para aaa authorization exec. En caso de que desee definir un método diferente para las conexiones SSH, puede hacerlo bajo la línea de line vty
comandos. Netconf sigue utilizando los métodos predeterminados.
Precaución: la infraestructura Prime, al agregar un controlador 9800 a su inventario, sobrescribe los métodos predeterminados de autenticación de aaa y los métodos predeterminados de exec de autorización de aaa que configuró y los señala a la autenticación local solamente en caso de que Netconf no esté ya habilitado en el WLC. Si Prime Infrastructure puede iniciar sesión con Netconf, no cambia la configuración. Esto significa que, si estaba utilizando TACACS, perderá el acceso CLI después de agregar el 9800 a Prime. Puede revertir esos comandos de configuración después y hacer que apunten a TACACS si esa es su preferencia.
Nota: Actualmente sólo se admiten las claves RSA en el punto de confianza utilizado por NETCONF. Las claves EC (Elliptic Curve) aún no se soportan y hacen que el proceso ncsshd se bloquee si se utiliza. Puede verificar la clave que está utilizando el proceso ncsshd ejecutando el comando "show logging process ncsshd internal start last 1 hours | sec key name". Una solicitud de mejora está abierta para agregar el soporte para las claves EC en futuras versiones: ID de bug de Cisco CSCwk02600
Configuración (Prime Infrastructure 3.5 y posterior)
Paso 1. Capture la dirección IP de administración inalámbrica configurada en el WLC de Catalyst 9800.
GUI:
Vaya a .Configuration > Interface: Wireless
CLI:
# show wireless interface summary
Paso 2. Capture las credenciales de privilegio de 15 usuarios y habilite la contraseña.
GUI:
Vaya a .Administration > User Administration
CLI:
# show run | inc username
# show run | inc enable
Paso 3. Obtenga las cadenas de comunidad SNMPv2 y/o el usuario SNMPv3 según corresponda.
GUI:
Para SNMPv2, vaya a Administration > SNMP > Community Strings
.
Para SNMPv3, vaya a Administration > SNMP > V3 Users
.
CLI:
For SNMPv2 community strings
# show run | sec snmp
For SNMPv3 user
# show user
Paso 4. En Prime Infrastructure GUI, vaya a Configuration > Network: Network Devices
, haga clic en el menú desplegable junto a +
y seleccione Add Device
.
Paso 5. En la ventana Add Device
emergente, ingrese la dirección IP de la interfaz en 9800 que se utiliza para establecer la comunicación con Prime Infrastructure.
Paso 6. Navegue hasta la SNMP
pestaña y proporcione el WLC SNMPv2 Read-Only and Read-Write Community Strings
configurado en C9800.
Paso 7. Si utiliza SNMPv3, en la lista desplegable seleccione v3
, y proporcione el nombre de usuario de SNMPv3. En la lista Auth-Type
desplegable, seleccione el tipo de autenticación configurado anteriormente y en la lista Privacy Type
desplegable elija el método de cifrado configurado en el WLC C9800.
Paso 8. Vaya a la Telnet/SSH
ficha deAdd Device
, proporcione el nombre de usuario y la contraseña de Privilege 15 junto con Enable Password (Activar contraseña). Haga clic en Verify Credentials
para asegurarse de que las credenciales de CLI y SNMP funcionan correctamente. Haga clic en Add
.
Verificación
Verificar estado de telemetría
Paso 1. Verifique que Netconf esté habilitado en C9800.
#show run | inc netconf
netconf-yang
Si no está presente, ingrese la sección 'NETCONF configuration on the Cat 9800 WLC'.
Paso 2. Verifique la conexión de telemetría a Prime desde el C9800.
#show telemetry internal connection
Telemetry connection
Address Port Transport State Profile
------------------------------------------------------------------
x.x.x.x 20828 cntp-tcp Active
Nota: x.x.x.x es la dirección IP de Prime Infrastructure y el estado debe ser Active. Si el estado no es Activo, consulte la sección Resolución de problemas.
En 17.9, debe utilizar un comando ligeramente diferente:
9800-17-9-2#show telemetry connection all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
0 10.48.39.25 25103 0 10.48.39.228 Active Connection up
9800-17-9-2#
Paso 3. En Prime Infrastructure, vaya a Inventory > Network Devices > Device Type: Wireless Controller
.
Paso 4. Para ver los detalles de la conexión de telemetría a Prime Infrastructure, ejecute lo siguiente:
#show telemetry internal protocol cntp-tcp manager x.x.x.x 20828
Telemetry protocol manager stats:
Con str : x.x.x.x:20828::
Sockfd : 79
Protocol : cntp-tcp
State : CNDP_STATE_CONNECTED
Table id : 0
Wait Mask :
Connection Retries : 0
Send Retries : 0
Pending events : 0
Source ip : <9800_IP_ADD>
Bytes Sent : 1540271694
Msgs Sent : 1296530
Msgs Received : 0
En la versión 17.9 o posterior, debe utilizar un comando diferente, el que se muestra a continuación.
#show telemetry connection all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
1 172.16.0.4 25103 0 172.16.2.44 Active Connection up
C9800-Classic#show telemetry internal connection <Index> detail
Telemetry protocol manager stats:
Con str : 172.16.0.4:25103:0:172.16.2.44
Sockfd : 116
Protocol : tls-native
State : CNDP_STATE_CONNECTED
Table id : 0
Profile : sdn-network-infra-iwan
Version : TLSv1.2
Wait Mask :
Connection Retries : 0
Send Retries : 0
Pending events : 0
Session requests : 1
Session replies : 1
Source ip : 172.16.2.44
Bytes Sent : 49098323
Msgs Sent : 49918
Msgs Received : 0
Creation time: : Mon Sep 30 16:18:19:535
Last connected time: : Mon Sep 30 16:18:19:587
Last disconnect time: :
Last error: :
Connection flaps: : 0
Last flap Reason: :
Keep Alive Timeouts: : 0
Last Transport Error : No Error
Paso 5. Verifique el estado de suscripción de telemetría de C9800 y el hecho de que se muestre como 'Válido'.
#show telemetry ietf subscription configured
Telemetry subscription brief
ID Type State Filter type
-----------------------------------------------------
68060586 Configured Valid transform-na
98468759 Configured Valid tdl-uri
520450489 Configured Valid transform-na
551293206 Configured Valid transform-na
657148953 Configured Valid transform-na
824003685 Configured Valid transform-na
996216912 Configured Valid transform-na
1072751042 Configured Valid tdl-uri
1183166899 Configured Valid transform-na
1516559804 Configured Valid transform-na
1944559252 Configured Valid transform-na
2006694178 Configured Valid transform-na
Paso 6: Las estadísticas de suscripción se pueden ver por ID de suscripción o para todas las suscripciones que utilicen:
#show telemetry internal subscription { all | id } stats
Telemetry subscription stats:
Subscription ID Connection Info Msgs Sent Msgs Drop Records Sent
------------------------------------------------------------------------------
865925973 x.x.x.x:20828:: 2 0 2
634673555 x.x.x.x:20828:: 0 0 0
538584704 x.x.x.x:20828:: 0 0 0
1649750869 x.x.x.x:20828:: 1 0 2
750608483 x.x.x.x:20828:: 10 0 10
129958638 x.x.x.x:20828:: 10 0 10
1050262948 x.x.x.x:20828:: 1369 0 1369
209286788 x.x.x.x:20828:: 15 0 15
1040991478 x.x.x.x:20828:: 0 0 0
1775678906 x.x.x.x:20828:: 2888 0 2889
1613608097 x.x.x.x:20828:: 6 0 6
1202853917 x.x.x.x:20828:: 99 0 99
1331436193 x.x.x.x:20828:: 743 0 743
1988797793 x.x.x.x:20828:: 0 0 0
1885346452 x.x.x.x:20828:: 0 0 0
163905892 x.x.x.x:20828:: 1668 0 1668
1252125139 x.x.x.x:20828:: 13764 0 13764
2078345366 x.x.x.x:20828:: 13764 0 13764
239168021 x.x.x.x:20828:: 1668 0 1668
373185515 x.x.x.x:20828:: 9012 0 9012
635732050 x.x.x.x:20828:: 7284 0 7284
1275999538 x.x.x.x:20828:: 1236 0 1236
825464779 x.x.x.x:20828:: 1225711 0 1225780
169050560 x.x.x.x:20828:: 0 0 0
229901535 x.x.x.x:20828:: 372 0 372
592451065 x.x.x.x:20828:: 8 0 8
2130768585 x.x.x.x:20828:: 0 0 0
Troubleshoot
Resolución de problemas en Prime Infrastructure
- Lo primero que se debe comprobar en la infraestructura Prime es la dirección IP y las interfaces. Prime Infrastructure no admite el modo de doble hogar y no escucha la telemetría de su segundo puerto.
- La dirección IP del WLC que usted agrega en Prime Infrastructure debe ser la dirección IP utilizada como la 'interfaz de administración inalámbrica'. La dirección IP de Prime Infrastructure debe ser accesible desde la interfaz de gestión inalámbrica del controlador.
- Si utiliza el puerto de servicio (gig0/0 en los dispositivos) para la detección, el WLC y los AP se muestran en el estado administrado en el inventario pero la telemetría para el WLC y los puntos de acceso asociados no funciona.
- Si ve que el estado de la telemetría es un 'éxito' en Prime Infrastructure pero el conteo de AP es 0, podría ser que Prime Infrastructure puede alcanzar el WLC en el puerto 830 pero el controlador no puede alcanzar de nuevo la Prime Infrastructure en el puerto 20830.
Para cualquier problema de SNMP o de configuración del dispositivo, recopile estos registros de Prime Infrastructure:
cd /opt/CSCOlumos/logs/
[root@prime-tdl logs]# ncs-0-0.log
Tdl.logs
Para problemas de telemetría/coral, lo primero es comprobar el estado del coral:
shell
cd /opt/CSCOlumos/coralinstances/coral2/coral/bin
./coral version 1
./coral status 1
./coral stats 1
Si todo está bien, recopile estos registros de la carpeta prime coral logs.
Nota: Dependiendo de la versión de Prime Infrastructure y de la cantidad de versión de Cisco IOS XE que admita, puede haber varias instancias de Coral en Prime Infrastructure. Consulte las notas de la versión para obtener más información, como: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-7/release/notes/bk_Cisco_Prime_Infrastructure_3_7_0_Release_Notes.html
Paso 1.
cd /opt/CSCOlumos/coral/bin/
[root@prime-tdl bin]# ./coral attach 1
Attached to Coral instance 1 [pid=8511]
Coral-1#cd /tmp/rp/trace/
Coral-1#ls
Collect the “Prime_TDL_collector_R0-”* logs
Coral-1# cd /tmp/rp/trace/
Coral-1# btdecode P* > coralbtlog.txt
Coral-1# cat coralbtlog.txt
Estos registros también se pueden encontrar en este directorio:
* Los archivos de seguimiento descodificados están disponibles en la ruta de acceso/opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
* ade# cd /opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
* ade# cp coraltrace.txt /localdisk/defaultRepo
Paso 2. Para habilitar Coral en modo de depuración, el nivel de depuración debe establecerse en el debug.conf
archivo.
Desde el interior del recipiente:
echo "rp:0:0:tdlcold:-e BINOS_BTRACE_LEVEL=DEBUG;" > /harddisk/debug.conf
O en Prime 3.8, el servicio de Coral se puede reiniciar fuera del contenedor mediante:
"sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"
Si el reinicio no ayuda, se pueden utilizar para limpiar la instancia de coral y comenzar sin problemas:
sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral stop 1
sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral purge 1
sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral start 1
Reinicie Coral, esto es obligatorio. Puede dejar la instancia de coral si escribe 'Exit' y, a continuación:
./coral/bin/coral restart 1
Nota: En Prime 3.8, el servicio Coral se puede reiniciar fuera del contenedor mediante 'sudo /opt/CSCOlumos/coralinstance/coral2/coral/bin/coral restart 1'
Si necesita descodificar los archivos de registro de Coral, puede descodificarlos dentro del contenedor de Coral con:
btdecode Prime_TDL_collector_*.bin
Nota: Después de habilitar el nivel de depuración de Coral, es obligatorio reiniciar Coral.
Resolución de problemas en Catalyst 9800 WLC
Para monitorear la configuración enviada por Prime Infra al WLC C9800, puede ejecutar un applet EEM.
#config terminal
#event manager applet catchall
#event cli pattern ".*" sync no skip no
#action 1 syslog msg "$_cli_msg"
Eliminar toda la suscripción de telemetría de la configuración del WLC
Puede haber ocasiones en que usted desea desconfigurar todas las suscripciones de telemetría configuradas en el WLC. Esto se puede hacer simplemente con estos comandos:
WLC#term shell
WLC#function removeall() {
for id in `sh run | grep telemetry | cut -f4 -d' '`
do
conf t
no telemetry ietf subscription $id
exit
done
}
WLC#removeall
Para activar seguimientos:
# debug netconf-yang level debug
Para verificar:
WLC#show platform software trace level mdt-pubd chassis active R0 | inc Debug
pubd Debug
WLC#show platform software trace level ndbman chassis active R0 | inc Debug
ndbmand Debug
Para ver los resultados de seguimiento:
show platform software trace message mdt-pubd chassis active R0
show platform software trace message ndbman chassis active R0
Comprobar ID de suscripción para información de AP
Haga clic en DB Query
. Vaya a tohttps://<Prime_IP>/webacs/ncsDiag.do.
Elija una *
de ewlcSubscription
las siguientes opciones: OWNINGENTITYID, como '%Controller_IP' y CLASSNAME='UnifiedApp'.
Desde el WLC:
Verifique que el ID de suscripción esté enviando información y que no haya caídas en los contadores cntp.
show tel int sub all stats
show telemetry internal protocol cntp-tcp connector counters drop
show telemetry internal protocol cntp-tcp connector counters queue
show telemetry internal protocol cntp-tcp connector counters rate
show telemetry internal protocol cntp-tcp connector counters sub-rate
show telemetry internal protocol cntp-tcp connector counters reset
Nota: El WLC 9800 admite 100 suscripciones de telemetría antes de la 17.6 y hasta 128 suscripciones después de la 17.6 (como la versión reciente de Catalyst Center puede utilizar más de 100 suscripciones).
Migración de PI a Cisco Catalyst Center
El C9800 no se puede administrar simultáneamente con PI y con Cisco Catalyst Center. Si existe un plan para migrar a Catalyst Center como solución de gestión de red, es necesario eliminar C9800 de Prime Infrastructure antes de agregarlo a Catalyst Center. Cuando se elimina/elimina C9800 de PI 3.5, toda la configuración que se enviaba a C9800 en el momento del inventario por PI no se deshace y debe eliminarse manualmente del sistema. Específicamente, los canales de suscripción establecidos para que el WLC C9800 publique datos de telemetría de transmisión no se eliminan.
Para identificar esta configuración específica:
#show run | sec telemetry
Para eliminar esta configuración, ejecute el no
formulario del comando:
(config) # no telemetry ietf subscription <Subscription-Id>
Repeat this CLI to remove each of the subscription identifiers.
(config) # no telemetry transform <Transform-Name>
Repeat this CLI to remove each of the transform names
Nota: Si gestiona el controlador 9800 con Catalyst Center y Prime Infrastructure, el cumplimiento de las normas de inventario de Catalyst Center fallará debido a la gestión de Prime.
En las versiones recientes, tanto Prime Infrastructure como Catalyst Center pueden utilizar demasiadas suscripciones de telemetría para el WLC para que ambos servidores administren el 9800 simultáneamente. Por lo tanto, no puede gestionar el 9800 con Catalyst Center y Prime Infrastructure y disponer de telemetría y estadísticas en funcionamiento. Por lo tanto, la migración de IP a Catalyst Center debe realizarse lo más rápido posible, ya que Catalyst Center no puede tener datos de telemetría desde el 9800 mientras Prime Infrastructure administre el controlador 9800.