はじめに
このドキュメントでは、Catalyst 9800シリーズワイヤレスコントローラ(C9800 WLC)をPrime Infrastructure(3.x)と統合する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- C9800 WLC
- Prime Infrastructure(PI)バージョン3.5
- Simple Network Management Protocol(SNMP)
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- C9800 WLC
- Cisco IOS XE Gibraltar 16.10.1 ~ 17.3
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
注:Prime Infra 3.8は17.x 9800 WLCのみをサポートしています。Prime Infra 3.8で16.12 WLCを管理しようとすると、Prime Infrastructureにクライアントが表示されません。
設定
Prime InfrastructureがCatalyst 9800シリーズワイヤレスLANコントローラを設定、管理、および監視するには、CLI、SNMP、およびNetconfを介してC9800にアクセスできる必要があります。Prime InfrastructureにC9800を追加する場合は、telnet/SSHクレデンシャルと、SNMPコミュニティストリング、バージョンなどを指定する必要があります。PIはこの情報を使用して、到達可能性を確認し、C9800 WLCをインベントリします。また、SNMPを使用して設定テンプレートをプッシュし、アクセスポイント(AP)とクライアントイベントのトラップをサポートします。ただし、PIがAPおよびクライアントの統計情報を収集するには、Netconfが使用されます。NetconfはC9800 WLCではデフォルトで有効になっていないため、16.10.1リリース(16.11.1で使用可能なGUI)のCLIを使用して手動で設定する必要があります。
使用ポート
C9800とPrime Infrastructure間の通信では、異なるポートが使用されます。
- Prime Infraで使用可能なすべての設定とテンプレートは、SNMPおよびCLIを介してプッシュされます。UDPポート161を使用します。
- C9800 WLC自体の動作データは、SNMPを介して取得されます。UDPポート162を使用します。
- APとクライアントの運用データは、ストリーミングテレメトリを活用します。
Prime InfrastructureからWLC:TCPポート830:これは、Prime Infraがテレメトリ設定を9800デバイスにプッシュするために使用されます(Netconfを使用)。
WLCからPrime Infrastructure:TCPポート20828(Cisco® IOS XE 16.10および16.11)または20830(Cisco IOS XE 16.12、17.x以降)
注:レポートするテレメトリがない場合でも、キープアライブは5秒ごとに送信されます。
注:Prime InfrastructureとC9800の間にファイアウォールがある場合、通信を確立するためにこれらのポートを必ず開いてください。
Cat 9800 WLCでのSNMPv2の設定
GUI:
ステップ 1: Administration > SNMP > Slide to Enable SNMP
に移動します。
ステップ 2:Community Strings
をクリックして、Read-OnlyおよびRead-Writeコミュニティ名を作成します。
CLI:
(config)#snmp-server community <snmpv2-community-name>
(optional)(config)# snmp-server location <site-location>
(optional)(config)# snmp-server contact <contact-number>
Cat 9800 WLCでのSNMPv3の設定
GUI:
注:17.1 Cisco IOS XEのWeb UIでは、読み取り専用v3ユーザの作成のみが可能です。読み取り/書き込みv3ユーザを作成するには、CLIプロシージャを実行する必要があります。
CLI:
V3 users
をクリックして、ユーザを作成します。authPriv
、SHA
、およびAES protocols
を選択し、ロングパスワードを選択します。MD5
およびDES/3DES
は安全でないプロトコルであり、9800ではまだオプションですが、選択する必要はなく、十分にテストされていません。
注:SNMPv3ユーザ設定は、実行コンフィギュレーションには反映されません。SNMPv3グループの設定だけが表示されます。
CLI:
(config)#snmp-server view primeview iso included
(config)#snmp-server group <v3-group-name> v3 auth write primeview
(config)#snmp-server user <v3username> <v3-group-name> v3 auth {md5 | sha} <AUTHPASSWORD> priv {3des | aes | des} {optional for aes 128 | 192| 256} <PRIVACYPASSWORD>
9800#show snmp user
User name: Nico
Engine ID: 800000090300706D1535998C
storage-type: nonvolatile active
Authentication Protocol: SHA
Privacy Protocol: AES128
Group-name: SnmpAuthPrivGroup
Cat 9800 WLCでのNetconfの設定
GUI(16.11以降):
Administration > HTTP/HTTPS/Netconf
に移動します。
CLI:
(config)#netconf-yang
注意: aaa new-modelがC9800で有効になっている場合は、次も設定する必要があります。
(config)#aaa authorization exec default <localまたはradius/tacacs group>
(config)#aaa authentication login default <ローカルまたはradius/tacacsグループ>
C9800のNetconfは、aaa authentication loginとaaa authorization execの両方にデフォルトの方式を使用します(この方法は変更できません)。SSH接続に別の方式を定義する場合は、「line vty
」コマンドラインで定義できます。Netconfはデフォルトの方法を使用し続けます。
注意: Prime Infrastructureで9800コントローラをインベントリに追加すると、設定したaaa authentication login defaultおよびaaa authorization exec default方式が上書きされ、WLCでNetconfが有効になっていない場合にのみローカル認証がポイントされます。Prime InfrastructureがNetconfでログインできる場合、設定は変更されません。つまり、TACACSを使用している場合、Primeに9800を追加するとCLIアクセスが失われます。これらの設定コマンドは、後で元に戻して、必要に応じてTACACSをポイントするようにできます。
注:現在、NETCONFで使用されるトラストポイントではRSAキーのみがサポートされています。EC(楕円曲線)キーはまだサポートされておらず、ncsshdプロセスが使用されるとクラッシュします。ncsshdプロセスが使用しているキーを確認するには、コマンド「show logging process ncsshd internal start last 1 hours | sec key name」で確認できます。将来のリリースでECキーのサポートを追加するための機能拡張要求がオープンになっています(Cisco Bug ID CSCwk02600)。
設定(Prime Infrastructure 3.5以降)
ステップ 1:Catalyst 9800 WLCで設定されたワイヤレス管理IPアドレスをキャプチャします。
GUI:
Configuration > Interface: Wireless
に移動します。
CLI:
# show wireless interface summary
ステップ 2:特権15のユーザクレデンシャルをキャプチャして、パスワードを有効にします。
GUI:
Administration > User Administration
に移動します。
CLI:
# show run | inc username
# show run | inc enable
ステップ 3:必要に応じて、SNMPv2コミュニティストリングやSNMPv3ユーザを取得します。
GUI:
SNMPv2の場合は、Administration > SNMP > Community Strings
に移動します。
SNMPv3の場合は、Administration > SNMP > V3 Users
に移動します。
CLI:
For SNMPv2 community strings
# show run | sec snmp
For SNMPv3 user
# show user
ステップ 4:Prime InfrastructureのGUIで、Configuration > Network: Network Devices
に移動し、の横にあるドロップダウンをクリックし+
て、Add Device
を選択します。
ステップ 5:「Add Device
」ポップアップで、Prime Infrastructureとの通信を確立するために使用される9800のインターフェイスIPアドレスを入力します。
手順 6:「SNMP
」タブに移動し、C9800 WLC上で設定されている「SNMPv2 Read-Only and Read-Write Community Strings
」を指定します。
手順 7:SNMPv3を使用している場合は、ドロップダウンからv3
を選択し、SNMPv3のユーザ名を指定します。「Auth-Type
」ドロップダウンから先に設定した認証タイプに一致させ、「Privacy Type
」ドロップダウンからC9800 WLCで設定した暗号化方式を選択します。
ステップ 8:Add Device
のTelnet/SSH
タブに移動し、Enable Passwordとともに特権15のユーザ名とパスワードを入力します。「Verify Credentials
」をクリックして、CLIおよびSNMPクレデンシャルが正常に動作していることを確認します。次に、Add
をクリックします。
確認
テレメトリステータスの確認
ステップ 1:C9800でNetconfが有効になっていることを確認します。
#show run | inc netconf
netconf-yang
存在しない場合は、「Cat 9800 WLCでのNETCONFの設定」セクションを入力します。
ステップ 2:C9800からPrimeへのテレメトリ接続を確認します。
#show telemetry internal connection
Telemetry connection
Address Port Transport State Profile
------------------------------------------------------------------
x.x.x.x 20828 cntp-tcp Active
注:x.x.x.xはPrime InfrastructureのIPアドレスで、状態はActiveである必要があります。状態がアクティブでない場合は、「トラブルシューティング」の項を参照してください。
17.9では、少し異なるコマンドを使用する必要があります。
9800-17-9-2#show telemetry connection all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
0 10.48.39.25 25103 0 10.48.39.228 Active Connection up
9800-17-9-2#
ステップ 3:Prime Infrastructureで、Inventory > Network Devices > Device Type: Wireless Controller
に移動します。
ステップ 4:Prime Infrastructureへのテレメトリ接続の詳細を表示するには、次を実行します。
#show telemetry internal protocol cntp-tcp manager x.x.x.x 20828
Telemetry protocol manager stats:
Con str : x.x.x.x:20828::
Sockfd : 79
Protocol : cntp-tcp
State : CNDP_STATE_CONNECTED
Table id : 0
Wait Mask :
Connection Retries : 0
Send Retries : 0
Pending events : 0
Source ip : <9800_IP_ADD>
Bytes Sent : 1540271694
Msgs Sent : 1296530
Msgs Received : 0
17.9以降では、次に示す別のコマンドを使用する必要があります。
#show telemetry connection all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
----- -------------------------- ----- --- -------------------------- ---------- --------------------
1 172.16.0.4 25103 0 172.16.2.44 Active Connection up
C9800-Classic#show telemetry internal connection <Index> detail
Telemetry protocol manager stats:
Con str : 172.16.0.4:25103:0:172.16.2.44
Sockfd : 116
Protocol : tls-native
State : CNDP_STATE_CONNECTED
Table id : 0
Profile : sdn-network-infra-iwan
Version : TLSv1.2
Wait Mask :
Connection Retries : 0
Send Retries : 0
Pending events : 0
Session requests : 1
Session replies : 1
Source ip : 172.16.2.44
Bytes Sent : 49098323
Msgs Sent : 49918
Msgs Received : 0
Creation time: : Mon Sep 30 16:18:19:535
Last connected time: : Mon Sep 30 16:18:19:587
Last disconnect time: :
Last error: :
Connection flaps: : 0
Last flap Reason: :
Keep Alive Timeouts: : 0
Last Transport Error : No Error
ステップ 5:C9800からのテレメトリサブスクリプションのステータスと、「Valid」と表示されていることを確認します。
#show telemetry ietf subscription configured
Telemetry subscription brief
ID Type State Filter type
-----------------------------------------------------
68060586 Configured Valid transform-na
98468759 Configured Valid tdl-uri
520450489 Configured Valid transform-na
551293206 Configured Valid transform-na
657148953 Configured Valid transform-na
824003685 Configured Valid transform-na
996216912 Configured Valid transform-na
1072751042 Configured Valid tdl-uri
1183166899 Configured Valid transform-na
1516559804 Configured Valid transform-na
1944559252 Configured Valid transform-na
2006694178 Configured Valid transform-na
ステップ6:サブスクリプション統計は、サブスクリプションIDごとまたは次を使用してすべてのサブスクリプションについて表示できます。
#show telemetry internal subscription { all | id } stats
Telemetry subscription stats:
Subscription ID Connection Info Msgs Sent Msgs Drop Records Sent
------------------------------------------------------------------------------
865925973 x.x.x.x:20828:: 2 0 2
634673555 x.x.x.x:20828:: 0 0 0
538584704 x.x.x.x:20828:: 0 0 0
1649750869 x.x.x.x:20828:: 1 0 2
750608483 x.x.x.x:20828:: 10 0 10
129958638 x.x.x.x:20828:: 10 0 10
1050262948 x.x.x.x:20828:: 1369 0 1369
209286788 x.x.x.x:20828:: 15 0 15
1040991478 x.x.x.x:20828:: 0 0 0
1775678906 x.x.x.x:20828:: 2888 0 2889
1613608097 x.x.x.x:20828:: 6 0 6
1202853917 x.x.x.x:20828:: 99 0 99
1331436193 x.x.x.x:20828:: 743 0 743
1988797793 x.x.x.x:20828:: 0 0 0
1885346452 x.x.x.x:20828:: 0 0 0
163905892 x.x.x.x:20828:: 1668 0 1668
1252125139 x.x.x.x:20828:: 13764 0 13764
2078345366 x.x.x.x:20828:: 13764 0 13764
239168021 x.x.x.x:20828:: 1668 0 1668
373185515 x.x.x.x:20828:: 9012 0 9012
635732050 x.x.x.x:20828:: 7284 0 7284
1275999538 x.x.x.x:20828:: 1236 0 1236
825464779 x.x.x.x:20828:: 1225711 0 1225780
169050560 x.x.x.x:20828:: 0 0 0
229901535 x.x.x.x:20828:: 372 0 372
592451065 x.x.x.x:20828:: 8 0 8
2130768585 x.x.x.x:20828:: 0 0 0
トラブルシュート
Prime Infrastructureのトラブルシューティング
- Prime Infrastructureで最初に確認するのは、IPアドレスとインターフェイスです。Prime Infrastructureはデュアルホームをサポートせず、2番目のポートでテレメトリをリッスンしません。
- Prime Infrastructureに追加するWLCのIPアドレスは、「ワイヤレス管理インターフェイス」として使用するIPアドレスにする必要があります。Prime InfrastructureのIPアドレスは、コントローラ側のワイヤレス管理インターフェイスから到達可能である必要があります。
- 検出にサービスポート(アプライアンス上のgig0/0)を使用している場合、WLCとAPはインベントリで管理状態として表示されますが、WLCと関連付けられたアクセスポイントのテレメトリは機能しません。
- Prime Infrastructureでテレメトリステータスが「success」となっているにもかかわらずAPカウントが0の場合、Prime Infrastructureはポート830でWLCに到達できるものの、コントローラはポート20830でPrime Infrastructureに到達できない可能性があります。
SNMPの問題またはデバイス設定の問題の場合は、Prime Infrastructureから次のログを収集します。
cd /opt/CSCOlumos/logs/
[root@prime-tdl logs]# ncs-0-0.log
Tdl.logs
テレメトリやサンゴの問題の場合、最初にCoralのステータスを確認します。
shell
cd /opt/CSCOlumos/coralinstances/coral2/coral/bin
./coral version 1
./coral status 1
./coral stats 1
問題がなければ、これらのログをprime coral logsフォルダから収集します。
注:Prime InfrastructureのバージョンとサポートするCisco IOS XEバージョンの数によっては、Prime Infrastructureに複数のCoralインスタンスが存在する場合があります。詳細については、次のリリースノートを参照してください。https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-7/release/notes/bk_Cisco_Prime_Infrastructure_3_7_0_Release_Notes.html
ステップ 1:
cd /opt/CSCOlumos/coral/bin/
[root@prime-tdl bin]# ./coral attach 1
Attached to Coral instance 1 [pid=8511]
Coral-1#cd /tmp/rp/trace/
Coral-1#ls
Collect the “Prime_TDL_collector_R0-”* logs
Coral-1# cd /tmp/rp/trace/
Coral-1# btdecode P* > coralbtlog.txt
Coral-1# cat coralbtlog.txt
これらのログは、次のディレクトリにもあります。
* デコードされたトレースファイルはパスで使用できます/opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
* ade# cd /opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
* ade# cp coraltrace.txt /localdisk/defaultRepo
ステップ 2:デバッグモードでCoralを有効にするには、debug.conf
ファイルでデバッグレベルを設定する必要があります。
コンテナ内から次のいずれかを実行します。
echo "rp:0:0:tdlcold:-e BINOS_BTRACE_LEVEL=DEBUG;" > /harddisk/debug.conf
またはPrime 3.8では、次のコマンドを使用して、コンテナの外部でCoralサービスを再起動できます。
"sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"
再起動しても問題が解決しない場合は、次のコマンドを使用してサンゴのインスタンスを拭き取り、スムーズに起動できます。
sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral stop 1
sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral purge 1
sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral start 1
Coralを再起動します。これは必須です。「Exit」を入力すると、次のようにcoralインスタンスを終了できます。
./coral/bin/coral restart 1
注:Prime 3.8では、「sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1」を使用して、Coralサービスをコンテナの外部で再起動できます。
Coralログファイルをデコードする必要がある場合は、Coralコンテナ内で次のコマンドを使用してデコードできます。
btdecode Prime_TDL_collector_*.bin
注:Coralのデバッグレベルを有効にした後は、Coralの再起動が必要です。
Catalyst 9800 WLCのトラブルシューティング
Prime InfraからC9800 WLCにプッシュされた設定をモニタするには、EEMアプレットを実行します。
#config terminal
#event manager applet catchall
#event cli pattern ".*" sync no skip no
#action 1 syslog msg "$_cli_msg"
WLC設定からすべてのテレメトリサブスクリプションを削除する
WLCで設定されているすべてのテレメトリサブスクリプションを設定解除する場合があります。これは、次のコマンドを使用するだけで実行できます。
WLC#term shell
WLC#function removeall() {
for id in `sh run | grep telemetry | cut -f4 -d' '`
do
conf t
no telemetry ietf subscription $id
exit
done
}
WLC#removeall
トレースを有効にするには、次の手順を実行します。
# debug netconf-yang level debug
確認するには、次のコマンドを実行します。
WLC#show platform software trace level mdt-pubd chassis active R0 | inc Debug
pubd Debug
WLC#show platform software trace level ndbman chassis active R0 | inc Debug
ndbmand Debug
トレース出力を表示するには、次の手順を実行します。
show platform software trace message mdt-pubd chassis active R0
show platform software trace message ndbman chassis active R0
AP情報のサブスクリプションIDの確認
DB Query
をクリックします。tohttps://<Prime_IP>/webacs/ncsDiag.doに移動します。
*
を、'%Controller_IP'およびCLASSNAME='UnifiedAp'のようなOWNINGENTITYIDを指定するewlcSubscription
から選択します。
WLCから:
サブスクリプションIDが情報を送信しており、cntpカウンタでドロップが発生していないことを確認します。
show tel int sub all stats
show telemetry internal protocol cntp-tcp connector counters drop
show telemetry internal protocol cntp-tcp connector counters queue
show telemetry internal protocol cntp-tcp connector counters rate
show telemetry internal protocol cntp-tcp connector counters sub-rate
show telemetry internal protocol cntp-tcp connector counters reset
注:9800 WLCは、17.6より前のテレメトリサブスクリプションを100個、17.6より後のサブスクリプションを128個サポートします(Catalystセンターの最近のリリースでは100個を超えるサブスクリプションを使用できます)。
PIからCisco Catalyst Centerへの移行
C9800は、PIとCisco Catalyst Centerの両方で同時に管理することはできません。ネットワーク管理ソリューションとしてCatalyst Centerに移行する計画がある場合は、C9800をPrime Infrastructureから削除してからCatalyst Centerに追加する必要があります。C9800をPI 3.5から削除する場合、PIによってインベントリ時にC9800にプッシュされたすべての設定はロールバックされず、システムから手動で削除する必要があります。具体的には、ストリーミングテレメトリデータを公開するためにC9800 WLC用に確立されたサブスクリプションチャネルは削除されません。
この特定の設定を識別するには、次の手順を実行します。
#show run | sec telemetry
この設定を削除するには、次のコマンドのno
形式を使用します。
(config) # no telemetry ietf subscription <Subscription-Id>
Repeat this CLI to remove each of the subscription identifiers.
(config) # no telemetry transform <Transform-Name>
Repeat this CLI to remove each of the transform names
注:Catalyst CenterとPrime Infrastructureの両方を使用して9800コントローラを管理している場合、Prime管理が原因でCatalyst Centerのインベントリコンプライアンスに問題が発生します。
最近のリリースでは、Prime InfrastructureとCatalyst Centerの両方で、両方のサーバで9800を同時に管理するためにWLCのテレメトリサブスクリプションを多く使用する可能性があります。そのため、Catalyst CenterとPrime Infrastructureの両方を使用して9800を管理し、テレメトリと統計情報を機能させることはできません。したがって、PIからCatalyst Centerへの移行は、できるだけ速く行う必要があります。Prime Infrastructureが9800コントローラを管理している限り、Catalyst Centerは9800からのテレメトリデータを保持できないためです。