Configuración y resolución de problemas de espacios DNA y Catalyst 9800 o controlador inalámbrico integrado (EWC) con conexión directa

Introducción

En lugar de Mobility Express, la última serie 9000 de puntos de acceso de Cisco (9115, 9117, 9120, 9130) pueden ejecutar imágenes de controlador inalámbrico integrado (EWC). EWC se basa en el código WLC Cisco 9800 y permite que uno de los puntos de acceso actúe como controlador para hasta 100 otros AP. 

EWC o Catalyst 9800 pueden conectarse a la nube de DNA Spaces de 3 maneras diferentes:

1. Conexión directa
2. Vía el conector de espacios de ADN
3. Mediante el dispositivo Cisco Connected Mobile Xperience (CMX) in situ o VM

La integración con espacios de ADN se soporta en cada versión de EWC. Este artículo cubrirá la configuración y resolución de problemas de Conexión Directa solamente para el EWC en un Catalyst AP y el 9800, ya que el procedimiento es idéntico.

Importante: La conexión directa solo se recomienda para implementaciones de hasta 50 clientes. Para los más grandes, use DNA Spaces Connector.

Prerequisites

Componentes Utilizados

• Imagen de controlador inalámbrico integrado versión 17.1.1s o Catalyst 9800-L con 16.12.1
  
• 9115 AP
• DNA Spaces nube

Los pasos descritos en este artículo suponen que el EWC o 9800 ya se ha implementado y tiene una interfaz web y SSH en funcionamiento.

Configurar

Diagrama de la red

Configure el controlador

DNA Spaces nubes nodos y el controlador se comunican a través del protocolo HTTPS. En esta configuración de prueba, el controlador se ha colocado detrás de una NAT con acceso completo a Internet.

Instalar certificado raíz

Antes de configurar el controlador, se debe descargar un certificado raíz de DigiCert. SSH en el controlador y ejecute:

WLC# conf t
Enter configuration commands, one per line. End with CNTL/Z.
WLC(config)# ip name-server <DNS ip>
WLC(config)# ip domain-lookup
WLC(config)# crypto pki trustpool import url https://www.cisco.com/security/pki/trs/ios.p7b
Reading file from http://www.cisco.com/security/pki/trs/ios.p7b
Loading http://www.cisco.com/security/pki/trs/ios.p7b !!!
% PEM files import succeeded.

EWC tiene DNS configurado de forma predeterminada mediante servidores DNS de Cisco, pero será un paso obligatorio para un controlador 9800.

Para verificar que se ha instalado el certificado, ejecute:

EWC(config)#do show crypto pki trustpool | s DigiCert Global Root CA
cn=DigiCert Global Root CA
cn=DigiCert Global Root CA

Configurar mediante interfaz web

Antes de que el controlador se pueda conectar a los espacios de ADN, es necesario configurar los servidores NTP y DNS y tener al menos un AP unido.

Abra la interfaz web del EWC y navegue hasta Administration > Time. Asegúrese de que el WLC esté sincronizado con un servidor NTP. De forma predeterminada, EWC está preconfigurado para utilizar servidores NTP ciscome.pool.ntp.org. En el caso de 9800, puede utilizar el mismo NTP o su servidor NTP preferido:

Navegue hasta Administración > DNS y verifique que se haya agregado el servidor DNS. De forma predeterminada, EWC está preconfigurado para utilizar los servidores Cisco Open DNS:

En Configuration > Wireless > Access Points, verifique que se haya unido al menos un AP. Este AP puede ser el mismo en el que se ejecuta EWC:

En la nube de DNA Spaces, navegue de la página de inicio a Setup > Wireless Networks > Connect WLC/Catalyst 9800 directamente. Haga clic en Ver token:

Pestaña Switch a Cisco Catalyst 9800. Copie el token y la URL:

En la interfaz web del WLC, navegue hasta Configuration > Services > Cloud Services > DNA Spaces. Pegue URL y token de autenticación. Si se está utilizando el proxy HTTP, especifique su dirección IP y su puerto.

Verifique que la conexión se haya establecido correctamente en Monitoring > Wireless > NMSP. El estado del servicio debe mostrar una flecha verde:

Salte el siguiente capítulo y vaya a "Importar controladores a la jerarquía de ubicación".

Configuración mediante CLI

Verifique que NTP esté configurado y sincronizado:

EWC#show ntp associations

  address     	ref clock   	st   when   poll reach  delay  offset   disp
*~45.87.76.3  	193.79.237.14	2	638   1024   377 10.919  -4.315  1.072
+~194.78.244.172  172.16.200.253   2	646   1024   377 15.947  -2.967  1.084
+~91.121.216.238  193.190.230.66   2	856   1024   377  8.863  -3.910  1.036
 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

Los nuevos servidores NTP se pueden agregar usando el comando ntp server <ntp_ip_addr>.

Verifique que los servidores DNS se hayan configurado:

EWC#show ip name-servers
208.67.222.222
208.67.220.220

Los nuevos servidores DNS se pueden agregar mediante el comando ip name-server <dns_ip>.

Para confirmar que el AP se ha unido:

EWC#show ap status
AP Name    Status     Mode    Country
--------------------------------------
9115       Enabled    Local   BE

Como se mencionó anteriormente, acceda a la nube de DNA Spaces, navegue hasta Setup > Wireless Networks > Connect WLC/Catalyst 9800 directamente y haga clic en View Token:

Pestaña Switch a Cisco Catalyst 9800. Copie el token y la URL:

Ejecute los siguientes comandos:

CL-9800-01(config)#no nmsp cloud-services enable
CL-9800-01(config)#nmsp cloud-services server url [URL]
CL-9800-01(config)#nmsp cloud-services server token [TOKEN]
CL-9800-01(config)#nmsp cloud-services enable
CL-9800-01(config)#exit

Para verificar que la conexión con la nube de DNA Spaces se ha establecido correctamente, ejecute:

CL-9800-01#show nmsp cloud-services summary
CMX Cloud-Services Status
------------------------------------------------
Server : https://vasilijeperovic.dnaspaces.eu
CMX Service : Enabled
Connectivity : https: UP
Service Status : Active
Last IP Address : 63.33.127.190
Last Request Status : HTTP/2.0 200 OK
Heartbeat Status : OK

Importar EWC a la jerarquía de ubicaciones

Paso 1. El resto de la configuración se realizará en espacios de ADN. En Setup > Wireless Networks > Connect WLC/Catalyst 9800 Directamente, haga clic en Import Controllers.

Paso 2. Marque el botón de opción situado junto al nombre de su cuenta y haga clic en Next (Siguiente). Si ya ha agregado algunas ubicaciones, aparecerán en la siguiente lista:

Paso 3. Busque la dirección IP del controlador, active la casilla que aparece junto a ella y pulse Siguiente:

Paso 4. Puesto que no se ha agregado ninguna otra ubicación, haga clic en Finalizar:

Paso 5. Aparecerá un mensaje que indica que el WLC se ha importado correctamente en la jerarquía de ubicaciones:

Ahora que el WLC se ha conectado correctamente a la nube, puede comenzar a usar todas las demás funciones de espacios de ADN.

Nota: El tráfico NMSP siempre utiliza la interfaz de administración inalámbrica para comunicarse con los espacios DNA o CMX. Esto no se puede cambiar en la configuración del controlador 9800. El número de interfaz sería irrelevante, independientemente de cuál sea la interfaz asignada como interfaz de administración inalámbrica en el controlador 9800.

Organizar la jerarquía de ubicaciones en los espacios DNA de Cisco

Si se desea una nueva jerarquía de ubicación o si no se agregaron ubicaciones en el paso 4 de la sección Importar el controlador 9800 a Cisco DNA Spaces, puede configurarlas manualmente.

La jerarquía de ubicaciones es una de las características más importantes de los espacios de ADN, ya que se utiliza para la información de análisis y, en función de ella, se configuran las reglas de los portales cautivos. Cuanto más granular es la jerarquía de ubicación, más granular es el control que se tiene sobre las reglas del portal cautivo y sobre la información que se puede recuperar de los espacios de ADN.

La función de jerarquía de ubicaciones en los espacios DNA funciona de la misma manera que la jerarquía tradicional de Cisco Prime Infrastructure o Cisco CMX, pero el nombre es bastante diferente. Cuando el controlador se importa a la jerarquía de ubicación, representa el equivalente como el campus de la jerarquía tradicional; bajo el controlador, se pueden crear grupos equivalentes a edificios; luego, bajo los grupos, las redes se pueden configurar que sean equivalentes a los pisos, finalmente, bajo las redes, se pueden crear zonas que permanezcan en el mismo nivel que antes en la jerarquía de ubicación tradicional. En resumen, esta es la equivalencia:

Tabla 1. Equivalencia entre los niveles jerárquicos tradicionales con los niveles de espacios de ADN.

Jerarquía de espacios de ADN	Jerarquía tradicional
Controller (red inalámbrica)	Campus
Grupo	Edificio
Red	Piso
Zone (Zona)	Zone (Zona)

Paso 1. Configure un grupo. Los grupos organizan varias ubicaciones o zonas en función de la geolocalización, la marca o cualquier otro tipo de agrupación, según el negocio. Navegue hasta Jerarquía de ubicaciones, pase el ratón sobre el controlador inalámbrico existente y haga clic en Crear grupo.

Para cambiar el nombre del nivel de ubicación, pase el ratón por la red y haga clic en "Cambiar nombre".

Paso 2. Ingrese el nombre del grupo y seleccione la ubicación No configurada, ya que incluye todos los AP importados con el controlador, esos AP se mapearán luego a las redes y zonas según sea necesario. Haga clic en Add (Agregar).

Paso 3. Cree una red. Una red o ubicación se define en Cisco DNA Spaces como todos los puntos de acceso dentro de un edificio físico consolidado como una ubicación. Pase el ratón sobre el grupo y haga clic en Agregar red. 

Nota: Este es el nodo más importante de la jerarquía de ubicaciones, ya que desde aquí se generan datos empresariales y cálculos de análisis de ubicaciones.

Paso 4. Introduzca el nombre de la red y el prefijo del punto de acceso, haga clic en Buscar. Los espacios de ADN obtienen todos los AP asociados a ese controlador con ese prefijo y permite agregar los AP al piso. Sólo se puede introducir un prefijo.

Paso 5. En caso de que se necesiten más prefijos en la red. Haga clic en el nombre de la red, en la pestaña Información de ubicación haga clic en el botón Editar junto a Prefijo de puntos de acceso utilizado. 

Introduzca el nombre del prefijo, haga clic en +Agregar prefijo y Guardar. Repita para todos los prefijos según sea necesario, esto mapeará los APs a la red y permitirá asociar los APs a las zonas más adelante.

Paso 6. Crear una zona. Una zona es un conjunto de puntos de acceso dentro de una sección de un edificio/ubicación. Se puede definir en función de los departamentos de un edificio físico o de una organización. Pase el ratón sobre la red y seleccione Agregar zona.

Paso 7. Configure el nombre de zona y seleccione los AP para la zona, y haga clic en Agregar:

Solución de problemas comunes

Problemas comunes

La página de la interfaz web bajo Monitoring > Wireless > NMSP (o ejecutando el comando show nmsp cloud-services summary) generalmente mostrará suficiente información sobre la falla de conexión. Se pueden encontrar varios errores comunes en las capturas de pantalla siguientes:

1. Cuando no se configura DNS, aparece el mensaje de error "Error de transferencia (6): No se pudo resolver el nombre de host" aparece:

El certificado no se está instalando o NTP no se está configurando ambos resultan con el mensaje de error que dice: "Error de transferencia (60): El certificado de peer SSL o la clave remota SSH no estaban bien":

Rastreo radiactivo

EWC, como todos los demás controladores 9800, admite rastros radiactivos siempre activos. Para recopilarlos y ver por qué no se establece la conexión, es necesario saber a qué dirección IP de los espacios de ADN se dirige el EWC. Esto se puede encontrar en Monitor > Wireless > NMSP o a través de la CLI:

EWC#show nmsp status
NMSP Status
-----------

CMX IP Address      Active	Tx Echo Resp  Rx Echo Req   Tx Data 	Rx Data 	Transport
--------------------------------------------------------------------------------------------------
63.33.127.190       Active	0             0             38      	2       	HTTPS

El EWC en esta configuración de prueba se conecta a 63.33.127.190. Copie esta dirección IP y navegue hasta Troubleshooting > Radioactive Trace. Haga clic en Agregar, pegue la dirección IP y haga clic en Generar:

Seleccione Generar registros durante los últimos 10 minutos y haga clic en Aplicar. La habilitación de registros internos puede generar grandes cantidades de datos que podrían ser difíciles de analizar:

Nota: DNS, NTP y falta de certificado no generarán ningún rastro radiactivo

Ejemplo de un Seguimiento Radiactivo en un caso donde el Firewall está bloqueando el HTTPS:

2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (note): CMX [63.33.127.190]:[32]: closing
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Called 'is_ready'
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (info): CMX [63.33.127.190]:[32]: Processing connection event NMSP_APP_LBS_DOWN(201)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (info): Started or incremented transaction (TID: -1, ref count: 1, started: 0, abort: 0)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-enc] [11100]: (debug): Decoding control message structure
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-enc] [11100]: (debug): Control structure was successfully decoded from message
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (debug): Retrieving CMX entry: 32
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (ERR): CMX entry 32 not found
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (debug): CMX Pool processing NMSP message (id: event NMSP_APP_LBS_DOWN(201), length: 48, client: 0, CMX id: 32)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (info): Ending transaction (TID: -1, ref count: 1, started: 0, abort: 0)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (info): Ended transaction (TID: -1, ref count: 0, started: 0, abort: 0)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-client] [11100]: (debug): NMSP IPC sent message to NMSPd NMSP message (id: event NMSP_APP_LBS_DOWN(201), length: 48, client: 0, CMX id: 32) successfully
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (info): CMX [63.33.127.190]:[32]: successfully broadcasted IPC event NMSP_APP_LBS_DOWN(201)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (note): CMX [63.33.127.190]:[32]: down
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (debug): NMSP timer 0xab774af4: close
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Decrease reference count for https_con object: Now it's 1

Ejemplo de seguimiento radiactivo para una conexión correcta con la nube:

2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (note): Server did not reply to V2 method. Falling back to V1.
2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Cloud authentication 2 step failed, trying legacy mode
2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (note): Set connection status from HTTP_CON_AUTH_PROGRESS_2STEP to HTTP_CON_AUTH_IDLE
2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): tenant ID: vasilijeperovic
2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): hostname is: data.dnaspaces.eu
2020/02/24 18:53:20.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (note): Starting authentication V1 using Heartbeat URL https://data.dnaspaces.eu/api/config/v1/nmspconfig and Data URL https://data.dnaspaces.eu/networkdata
2020/02/24 18:53:20.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (note): Set connection status from HTTP_CON_AUTH_IDLE to HTTP_CON_AUTH_PROGRESS_1STEP
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): tenant ID: vasilijeperovic
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): hostname is: data.dnaspaces.eu
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Authenticator V1 get heartbeat host: https://data.dnaspaces.eu/api/config/v1/nmspconfig
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Authenticator V1 get access token: eyJ0eX[information omitted]rpmRq0g
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (debug): DNSs used for cloud services: 208.67.222.222,208.67.220.220
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Using nameservers: 208.67.222.222,208.67.220.220
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): IP resolution preference is set to IPv4
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Not using proxy for cloud services
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): Found bundle for host data.dnaspaces.eu: 0xab764f98 [can multiplex]
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): Re-using existing connection! (#0) with host data.dnaspaces.eu
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): Connected to data.dnaspaces.eu (63.33.127.190) port 443 (#0)
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): Using Stream ID: 3 (easy handle 0xab761440)
2020/02/24 18:53:21.636 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): POST /api/config/v1/nmspconfig/192.168.1.10?recordType=nmsp_hrbt_init&jwttoken=eeyJ0eX[information omitted]70%3A69%3A5a%3A74%3A8e%3A58 HTTP/2
Host: data.dnaspaces.eu
Accept: */*
Accept-Encoding: gzip

2020/02/24 18:53:21.665 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): We are completely uploaded and fine
HTTP/2 200