본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 LAN 자동화가 DNA(Digital Network Architecture) Center에서 예상한 대로 작동하지 않을 경우 문제를 진단하는 데 도움이 되는 LAN 자동화에 대한 개요를 제공합니다.
기고자: Alexandro Carrasquedo, Cisco TAC 엔지니어
PnP(Plug and Play) Agent: 컨피그레이션 없이 전원을 켜고 DNA Center에서 자동으로 구성할 인증서가 없는 새 디바이스입니다.
시드 디바이스: DNA Center가 이미 프로비저닝되었고 DHCP(Dynamic Host Configuration Protocol) 서버 역할을 하는 디바이스.
Cisco는 LAN 자동화 및 플러그 앤 플레이 솔루션에 대한 일반적인 지식을 보유하고 있는 것이 좋습니다.은(는) DNA Center 1.0을 기반으로 하지만 LAN 자동화에 대한 개요를 제공합니다. DNA Center 1.1 이상에도 동일한 개념이 적용됩니다.
LAN 자동화는 ISIS를 언더레이 라우팅 프로토콜로 사용하여 네트워크 디바이스를 구성하고 프로비저닝할 수 있는 제로 터치 구축 솔루션입니다.
LAN 자동화를 실행하기 전에 PnP 에이전트에 NVRAM에 로드된 인증서가 없는지 확인하십시오.
Edge1#dir nvram:*.cer Directory of nvram:/*.cer Directory of nvram:/ 4 -rw- 820 <no date> IOS-Self-Sig#1.cer 6 -rw- 763 <no date> kube-ca#468ACA.cer 7 -rw- 882 <no date> sdn-network-#616F.cer 8 -rw- 807 <no date> sdn-network-#4E13CA.cer 2097152 bytes total (2033494 bytes free) Edge1#delete nvram:*.cer
Provisioning(프로비저닝) > Devices(디바이스) > Device Inventory(디바이스 인벤토리) 페이지에 클레임되지 않은 디바이스가 없는지 확인합니다.
CSCvh68847 때문 일부 스택은 클레임되지 않은 상태를 벗어나지 못할 수 있으며 ERROR_STACK_UNSUPPORTED 오류 메시지가 표시될 수 있습니다.이 메시지는 LAN 자동화가 디바이스를 마치 단일 스위치인 것처럼 프로비저닝하도록 요청할 때 발생합니다.그러나 디바이스는 Catalyst 9300 스위치 스택이므로 LAN 자동화는 디바이스를 클레임할 수 없으며 디바이스는 클레임되지 않은 상태로 표시됩니다.마찬가지로, PnP는 스택이므로 디바이스를 클레임하지 않으므로 디바이스가 프로비저닝되지 않습니다.
DNA Center는 시드 디바이스를 DHCP 구성으로 프로비저닝합니다.시드 디바이스가 가져오는 IP 주소의 범위는 사이트에 대한 IP 주소 풀을 예약할 때 정의한 초기 풀의 세그먼트입니다.이 풀은 적어도 /25여야 합니다.
참고:이 풀은 3개의 세그먼트로 구분됩니다.
1. PnP 에이전트의 VLAN 1에 푸시되는 IP 주소.
2. PnP 에이전트의 Loopbac0으로 푸시되는 IP 주소.
3. 시드 또는 다른 패브릭 장치에 연결되는 링크에서 PnP 에이전트로 푸시되는 /30 IP 주소
DNA Center에서 PnP 에이전트를 프로비저닝하려면 시드 디바이스에서 수신하는 DHCP 컨피그레이션에 n 노드 클러스터가 있는 경우 DNA 센터 NIC(Enterprise-Facing Network Interface Card) 또는 VIP(Virtual IP) 주소의 IP 주소로 옵션 43이 정의되어 있어야 합니다.
PnP 에이전트가 부팅되면 컨피그레이션이 없습니다.따라서 모든 포트가 VLAN 1의 일부입니다. 따라서 디바이스는 DHCP 검색 메시지를 시드 디바이스로 전송합니다.시드 디바이스는 LAN 자동화 풀 내의 IP 주소를 제공하여 응답합니다.
이제 LAN 자동화의 초기 시퀀스를 이해했으므로 프로세스가 예상대로 작동하지 않으면 문제를 해결할 수 있습니다.
릴리스 1.2에는 더 이상 pnp 서비스가 없으므로 LAN 자동화를 트러블슈팅할 때 다음 서비스를 찾아야 합니다.
sudo tcpdump -i <DNA Center fabric's interface> host <PnP Agent ip address> -w /data/tmp/pnp_capture.pcap
*이 작업을 중지하려면 Ctrl+C를 사용하십시오.
이렇게 하면 pnp_capture.pcap 파일이 /data/tmp/에 저장됩니다.SCP(secure copy) 명령을 사용하여 DNA 센터에서 파일을 복사하거나 다음 명령을 사용하여 DNA 센터에서 파일을 읽어야 합니다.
$ sudo tcpdump -ttttnnr /data/tmp/pnp_capture.pcap [sudo] password for maglev: reading from file capture.pcap, link-type EN10MB (Ethernet) 2018-03-08 20:09:27.369544 IP 192.168.31.1 > 192.168.31.10: ICMP host 192.168.1.2 unreachable, length 36 2018-03-08 20:09:39.369175 IP 192.168.31.1 > 192.168.31.10: ICMP host 192.168.1.2 unreachable, length 36 2018-03-08 20:09:44.373056 ARP, Request who-has 192.168.31.1 tell 192.168.31.10, length 28 2018-03-08 20:09:44.374834 ARP, Reply 192.168.31.1 is-at 2c:31:24:cf:d0:62, length 46 2018-03-08 20:09:50.628539 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [S], seq 1113323684, win 29200, options [mss 1460,sackOK,TS val 274921400 ecr 0,nop,wscale 7], length 0 2018-03-08 20:09:50.630523 IP 192.168.31.1.22 > 192.168.31.10.57234: Flags [S.], seq 2270495802, ack 1113323685, win 4128, options [mss 1460], length 0 2018-03-08 20:09:50.630604 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [.], ack 1, win 29200, length 0 2018-03-08 20:09:50.631712 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [P.], seq 1:25, ack 1, win 29200, length 24
DNA Center에 있는 191바이트 이미지 파일로서 인증서를 사용하지 않고 HTTP(인증서 사용) 또는 HTTPS(인증서 사용)를 사용하여 DNA Center와 PnP 에이전트 간의 통신을 테스트하려는 경우
인증서의 SAN 필드를 확인하려면 다음을 수행할 수 있습니다.
서드파티 CA(Certificate Authority)가 있는 경우 DNA Center의 IP 주소와 VIP가 포함된 인증서를 제공해야 합니다.서드파티 CA가 없는 경우 DNA Center에서 인증서를 생성할 수 있습니다.이 프로세스를 안내하려면 Cisco TAC에 문의하십시오.
DNA Center는 기본적으로 TLS v1.2만 지원합니다.
이를 해결하려면 이 가이드에 따라 DNA Center에서 TLS v1을 사용하도록 설정하십시오.
이론적으로, Provisioning(프로비저닝) > Devices(디바이스) > Device Inventory(디바이스 인벤토리) 페이지에 클레임되지 않은 디바이스가 없어야 하지만, 이 페이지에서 클레임되지 않은 디바이스를 삭제한 후에도 디바이스가 여전히 https://<DNA Center ip>/mypnp에 표시되는 문제가 있었습니다.이 시나리오가 발생하여 PnP 로그에서 다음과 유사한 로그 또는 GUI에서 동일하다는 표시가 나타나면 디바이스가 PnP에서 클레임되지 않은 것으로 표시되지 않는지 확인합니다.
ERROR | qtp604107971-170 | | c.c.e.z.impl.ZtdHistoryServiceImpl | Device authentication status has changed to Error(PNP response com.cisco.enc.pnp.messages.PnpBackoffResponse is missing previously established authenticated session key) | address=192.168.31.10, sn=FCW212XXXXX
RCA 또는 PnP 로그가 있는 경우 클레임되지 않은 디바이스 메시지를 찾을 수 있습니다.
more pnp.log | egrep "(Received unclaimed notification|ZtdDeviceUnclaimedMessage)"
메시지가 없는 경우 클레임되지 않은 디바이스 알림이 DNA 센터에 도달하지 않으며 PnP는 이를 청구할 수 없습니다.
a.스택 케이블을 분리합니다.
b.각 멤버 스위치의 콘솔에 로그인합니다.
c. 인증서를 삭제합니다. # nvram 삭제:*.cer
d.flas vlan 데이터베이스를 삭제합니다.플래시:vlan.dat 삭제
e.스택 케이블을 다시 연결합니다.
7. 재부팅
8. 스위치가 스택으로 등록될 때까지 기다린 후 모든 구성원을 불러온 다음 초기 구성 대화 상자를 시작하십시오.
%INIT: waited 0 seconds for NVRAM to be available --- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]:
9. 시드 디바이스에 대한 업링크를 활성화합니다. # 종료 안 함
DNA Center에서는 다음 예와 같이 호스트 이름 및 일련 번호(호스트 이름, 일련 번호)가 있는 CSV 파일이 필요합니다.
스택 LAN 자동화의 경우 CSV 파일을 사용하여 한 행에 하나의 호스트 이름과 여러 개의 일련 번호를 입력할 수 있습니다.일련 번호는 쉼표로 구분해야 합니다.자세한 내용은 첨부된 CSV 파일을 참조하십시오.
다음 방법 중 하나로 PnP에 액세스합니다.
또는 https://<DNA Center IP>/networkpnp로 이동하여
인벤토리 오류는 LAN 자동화에 의해 요청되고 컨피그레이션을 수신한 후 디바이스가 인벤토리에 추가되었음을 의미합니다.이 오류는 일반적으로 컨피그레이션, 일부 라우팅 또는 CLI 자격 증명 문제로 인해 발생합니다.
LAN Automation을 통해 올바른 디바이스를 설정하려는 경우 기본 연결 프로토콜(SSH 또는 텔넷)을 사용하여 디바이스에서 루프백 0 인터페이스의 IP 주소에 원격으로 액세스합니다.
중간에 있는 디바이스가 DNAC와 PnP 에이전트 간 패킷의 Do Not Fragment(DF) 비트를 켜는 경우도 있습니다.이로 인해 1500바이트보다 큰 패킷(일반적으로 인증서를 포함하는 패킷)이 삭제되므로 LAN 자동화가 완료되지 않을 수 있습니다.DNA Center의 온보딩 로그에 표시되는 일반적인 로그 중 일부는 다음과 같습니다.
errorMessage=Failed to format the url for trustpoint
이 경우 DNA Center와 PnP 에이전트 간의 경로가 명령 시스템 mtu 9100을 사용하여 점보 프레임을 통과하도록 허용하는지 확인하는 것이 좋습니다.
Switch(config)# 시스템 mtu 9100