DNA-ruimtes en Catalyst 9800 of ingesloten draadloze controller (EWC) met Direct Connect configureren en oplossen

Inleiding

In plaats van Mobility Express zijn de nieuwste 9000 Series access points (9115, 9117, 9120, 9130) van Cisco in staat om ingesloten draadloze controller (EWC)-afbeelding uit te voeren. EWC is gebaseerd op Cisco 9800 WLC-code en staat een van de access points toe om als controller te fungeren voor maximaal 100 andere AP’s. 

EWC of Catalyst 9800 kunnen op 3 verschillende manieren worden aangesloten op de DNA-spaswolk:

1. Direct Connection
2. Via DNA-ruimtes-connector
3. Via Cisco Connected Mobile Xperience (CMX) on-prem apparaat of VM

Integratie met DNA-ruimtes wordt ondersteund in elke versie van EWC. Dit artikel zal alleen betrekking hebben op installatie en het oplossen van problemen bij directe verbinding voor zowel de EWC op een Catalyst AP als de 9800, aangezien de procedure identiek is.

Belangrijk: Directe verbinding wordt alleen aanbevolen voor implementaties van maximaal 50 klanten. Gebruik voor alle grotere apparaten een DNA-spatieconnector.

Voorwaarden

Gebruikte componenten

• Ingesloten draadloze controller op versie 17.1.1s of Catalyst 9800-L met 16.12.1
  
• 9115 AP
• DNA-spaswolk

De in dit artikel beschreven stappen gaan ervan uit dat de EWC of 9800 reeds is ingezet en over een werkwebinterface en een SSH beschikt.

Configureren

Netwerkdiagram

De controller configureren

DNA-ruimtes maken cloudknooppunten en de controller communiceert via HTTPS-protocol. Bij deze testinstelling is de controller achter een NAT geplaatst met volledige internettoegang.

wortelcertificaat installeren

Alvorens de controller te configureren moet u een DigiCert root certificaat downloaden. SSH in de controller en voer:

WLC# conf t
Enter configuration commands, one per line. End with CNTL/Z.
WLC(config)# ip name-server <DNS ip>
WLC(config)# ip domain-lookup
WLC(config)# crypto pki trustpool import url https://www.cisco.com/security/pki/trs/ios.p7b
Reading file from http://www.cisco.com/security/pki/trs/ios.p7b
Loading http://www.cisco.com/security/pki/trs/ios.p7b !!!
% PEM files import succeeded.

EWC heeft DNS standaard ingesteld met behulp van Cisco DNS-servers, maar het is een vereiste stap voor een 9800-controller.

Start om te controleren of het certificaat is geïnstalleerd:

EWC(config)#do show crypto pki trustpool | s DigiCert Global Root CA
cn=DigiCert Global Root CA
cn=DigiCert Global Root CA

Configureren via webinterface

Voordat de controller op DNA-ruimtes kan worden aangesloten, moet er NTP- en DNS-servers worden geïnstalleerd en moet ten minste één AP zijn aangesloten.

Open de web interface van de EWC en navigeer naar de Administratie > Tijd. Zorg ervoor dat de WLC is gesynchroniseerd met een NTP server. EWC is standaard ingesteld voor het gebruik van ciscome.pool.ntp.org NTP-servers. In het geval van 9800 kunt u dezelfde NTP- of voorkeursserver van NTP gebruiken:

Navigeer naar Beheer > DNS en controleer of de DNS server is toegevoegd. EWC is standaard ingesteld op Cisco Open DNS-servers:

Onder Configuration > Wireless > Access Point, controleert u of ten minste één AP is aangesloten. Deze AP kan de zelfde zijn waarop de EWC loopt:

In de cloud van DNA-ruimtes kunt u van de startpagina naar Setup > Draadloze netwerken > rechtstreeks verbinding maken met WLC/Catalyst 9800. Klik op View Token:

Het tabblad Switch naar Cisco Catalyst 9800. Kopieert het token en de URL:

navigeer in de WLC web interface naar Configuration > Services > Cloud Services > DNA-ruimtes. Plakt URL en verificatie-Token. Als HTTP proxy wordt gebruikt, specificeert u het IP-adres en de poort ervan.

Controleer dat de verbinding met succes is opgezet onder Controle > Draadloos > NMSP. De servicestatus moet een groene pijl tonen:

Naar het volgende hoofdstuk en naar de "Importeer controllers in de Locatie Hierarchy".

Configuratie via CLI

Controleer of NTP is ingesteld en gesynchroniseerd:

EWC#show ntp associations

  address     	ref clock   	st   when   poll reach  delay  offset   disp
*~45.87.76.3  	193.79.237.14	2	638   1024   377 10.919  -4.315  1.072
+~194.78.244.172  172.16.200.253   2	646   1024   377 15.947  -2.967  1.084
+~91.121.216.238  193.190.230.66   2	856   1024   377  8.863  -3.910  1.036
 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

Nieuwe NTP-servers kunnen worden toegevoegd met de opdracht van de ntp-server <ntp_ip_addr>.

Controleer of DNS-servers zijn geconfigureerd:

EWC#show ip name-servers
208.67.222.222
208.67.220.220

Nieuwe DNS-servers kunnen worden toegevoegd met de opdracht ip-naamserver <dns_ip>.

Om te bevestigen dat AP is aangesloten bij:

EWC#show ap status
AP Name    Status     Mode    Country
--------------------------------------
9115       Enabled    Local   BE

Zoals eerder vermeld, navigeer DNA ruimtes-wolk om > draadloze netwerken > direct WLC/Catalyst 9800 aan te sluiten en klik op Token:

Het tabblad Switch naar Cisco Catalyst 9800. Kopieert het token en de URL:

Start de volgende opdrachten:

CL-9800-01(config)#no nmsp cloud-services enable
CL-9800-01(config)#nmsp cloud-services server url [URL]
CL-9800-01(config)#nmsp cloud-services server token [TOKEN]
CL-9800-01(config)#nmsp cloud-services enable
CL-9800-01(config)#exit

Om te controleren of de verbinding met de DNA-spatiewolk met succes is tot stand gebracht, moet u:

CL-9800-01#show nmsp cloud-services summary
CMX Cloud-Services Status
------------------------------------------------
Server : https://vasilijeperovic.dnaspaces.eu
CMX Service : Enabled
Connectivity : https: UP
Service Status : Active
Last IP Address : 63.33.127.190
Last Request Status : HTTP/2.0 200 OK
Heartbeat Status : OK

EWC-indeling importeren naar locatie-Hierarchie

Stap 1. De rest van de configuratie wordt uitgevoerd in DNA-ruimtes. Onder Setup > Draadloze netwerken > Connect WLC/Catalyst 9800 Direct, klikt u op Importeren controllers.

Stap 2. Controleer de radioknop naast uw rekeningnaam en klik op Volgende. Als u al een aantal locaties hebt toegevoegd, verschijnt deze in de onderstaande lijst:

Stap 3. Zoek uw IP-adres van de controller, controleer het vakje naast de controller en druk op Volgende:

Stap 4. Aangezien er geen andere locaties zijn toegevoegd, klikt u alleen op Voltooien:

Stap 5. Zodra u zegt dat het WLC is geïmporteerd in Hierarchy op locatie, verschijnt de melding:

Nu de WLC met succes op de cloud is aangesloten, kunt u alle andere DNA-ruimtes-functies gebruiken.

Opmerking: NMSP-verkeer gebruikt altijd de interface voor draadloos beheer voor communicatie met DNA-ruimtes of CMX. Dit kan niet worden gewijzigd in de 9800 controllerconfiguratie. Het interfacenummer is irrelevant, welke interface ook wordt toegewezen als draadloze beheerinterface op de 9800 controller.

De locatieHierarchie op Cisco DNA-ruimtes organiseren

Als een nieuwe lokatiehiërarchie gewenst is of als er geen locaties werden toegevoegd in stap 4 van de sectie 9800 controller importeren naar de sectie Cisco DNA-ruimtes, kunt u deze handmatig configureren.

De locatiehiërarchie is een van de belangrijkste kenmerken van DNA-ruimtes, omdat ze gebruikt wordt voor analyseinformatie en op basis daarvan worden de regels van de portals in gevangenschap ingesteld. Hoe korter de locatiehiërarchie is, des te korter is de controle die men heeft over de regels van het portaal in gevangenschap en over de informatie die kan worden opgehaald uit DNA-ruimtes.

De locatie-hiërarchie op DNA-ruimtes werkt op dezelfde manier als de traditionele hiërarchie van Cisco Prime-infrastructuur of Cisco CMX, maar de naam is heel anders. Wanneer de controller wordt ingevoerd in de locatiehiërarchie, vertegenwoordigt hij het equivalent als de campus van de traditionele hiërarchie; onder de controller kunnen groepen worden opgericht die gelijkwaardig zijn aan gebouwen ; dan kunnen onder de groepen netwerken worden geconfigureerd die gelijk staan aan vloeren , en tenslotte kunnen er onder de netwerken zones worden gecreëerd die op hetzelfde niveau blijven als vroeger in de traditionele locatiehiërarchie . Samengevat, dit is de gelijkwaardigheid:

Tabel 1. Equivalentie tussen de traditionele hiërarchie-niveaus en de niveaus van DNA-ruimten.

DNA-ruimtes Hierarchie	Traditionele hiërarchie
Controller (draadloos netwerk)	Campus
Groep	bouw
Netwerknetwerk	Vloer
Zone	Zone

Stap 1. Configureer een groep. Groepen organiseren meerdere locaties of zones op basis van geolocatie, merk of een ander type van groepering afhankelijk van het bedrijf. Navigeer naar Location Hierarchy, bewaar de muis op de bestaande draadloze controller en klik op Create Group.

Als u de naam van het locatieniveau wilt wijzigen, slaat u de muis op het netwerk en klikt u op "Hernoemen".

Stap 2. Voer de naam van de groep in en selecteer de locatie zonder geconfigureerd zoals alle AP's die met de controller zijn geïmporteerd. Deze AP's worden dan in kaart gebracht naar netwerken en zones waar nodig. Klik op Toevoegen.

Stap 3. Maak een netwerk. Een netwerk of locatie is gedefinieerd in Cisco DNA-ruimtes als alle access points binnen een fysiek gebouw dat als een locatie is geconsolideerd. Houd de muis in de groep en klik op Netwerk toevoegen. 

Opmerking: Dit is het belangrijkste knooppunt in de Location Hierarchy, aangezien hier zakelijke inzichten en locatieanalyses worden gegenereerd.

Stap 4. Voer de netwerknaam en het voorvoegsel van het access point in en klik op Fetch. DNA-ruimtes halen alle AP's die aan die controller zijn gekoppeld, met dat voorvoegsel, en maken het mogelijk om AP's aan de vloer toe te voegen. Er kan slechts één prefix worden ingevoerd.

Stap 5. Indien in het netwerk meer prefixes nodig zijn. Klik op de netwerknaam en klik in het tabblad Locatie op de knop Bewerken naast de gebruikte voorvoegsel van access points. 

Voer de naam van het voorvoegsel in, klik op +Prefixeren toevoegen en Opslaan. Als u alle prefixes herhaalt, zal dit APs aan het netwerk in kaart brengen en toestaan om APs aan zones later in kaart te brengen.

Stap 6. Maak een zone. Een zone is een verzameling toegangspunten binnen een gedeelte van een gebouw/locatie. Het kan worden gedefinieerd op basis van de afdelingen in een fysiek gebouw of een organisatie. Sluit de muis op het netwerk en selecteer Zone toevoegen.

Stap 7. Configureer de Zone-naam en selecteer de AP’s voor de zone en klik op Add:

Probleemoplossing en gebruikelijke problemen

Gemeenschappelijke kwesties

De web interface-pagina onder Monitoring > Wireless > NMSP (of show Nmsp Cloud-services summiere opdracht) zal doorgaans voldoende informatie over de aansluitingsstoring tonen. In de onderstaande screenshots worden verschillende vaak voorkomende fouten gevonden:

1. Wanneer DNS niet is geconfigureerd, geeft de foutmelding "Transfer error (6): Kan de naam van de gastheer niet oplossen" verschijnt:

Als het certificaat niet wordt geïnstalleerd of als NTP niet wordt ingesteld, komt dit allebei neer op de foutmelding: "Overdrachtfout (60): SSL peer certificaat of SSH Remote key was niet OK":

Radioactieve tracering

EWC ondersteunt, net als alle andere 9800 controllers, altijd-op-Radioactieve Traces. Om deze gegevens te verzamelen en te begrijpen waarom de verbinding niet tot stand is gebracht, moet worden nagegaan naar welk DNA-ruimtes IP-adres de EWC uitreist. Dit is te vinden onder Monitor > Draadloos > NMSP of via de CLI:

EWC#show nmsp status
NMSP Status
-----------

CMX IP Address      Active	Tx Echo Resp  Rx Echo Req   Tx Data 	Rx Data 	Transport
--------------------------------------------------------------------------------------------------
63.33.127.190       Active	0             0             38      	2       	HTTPS

Het EWC in deze testinstelling maakt verbinding met 63.33.127.190. Kopieer dit IP-adres en navigeer naar Problemen oplossen > Radioactive Trace. Klik op Toevoegen, plak het IP-adres en klik op Generate:

Selecteer Generate logs voor de laatste 10 minuten en klik op Toepassen. Interne Logs inschakelen kan grote hoeveelheden gegevens genereren die moeilijk te analyseren zijn:

Opmerking: Misgeconfigureerde DNS, NTP en het ontbreken van een certificaat genereren geen radioactieve sporen

Voorbeeld van een radioactief spoor in een geval waarin Firewall de HTTPS blokkeert:

2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (note): CMX [63.33.127.190]:[32]: closing
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Called 'is_ready'
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (info): CMX [63.33.127.190]:[32]: Processing connection event NMSP_APP_LBS_DOWN(201)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (info): Started or incremented transaction (TID: -1, ref count: 1, started: 0, abort: 0)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-enc] [11100]: (debug): Decoding control message structure
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-enc] [11100]: (debug): Control structure was successfully decoded from message
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (debug): Retrieving CMX entry: 32
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (ERR): CMX entry 32 not found
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (debug): CMX Pool processing NMSP message (id: event NMSP_APP_LBS_DOWN(201), length: 48, client: 0, CMX id: 32)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (info): Ending transaction (TID: -1, ref count: 1, started: 0, abort: 0)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (info): Ended transaction (TID: -1, ref count: 0, started: 0, abort: 0)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-client] [11100]: (debug): NMSP IPC sent message to NMSPd NMSP message (id: event NMSP_APP_LBS_DOWN(201), length: 48, client: 0, CMX id: 32) successfully
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (info): CMX [63.33.127.190]:[32]: successfully broadcasted IPC event NMSP_APP_LBS_DOWN(201)
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (note): CMX [63.33.127.190]:[32]: down
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-main] [11100]: (debug): NMSP timer 0xab774af4: close
2020/02/24 18:40:30.774 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Decrease reference count for https_con object: Now it's 1

Voorbeeld van Radioactive Trace voor een succesvolle verbinding met de wolk:

2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (note): Server did not reply to V2 method. Falling back to V1.
2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Cloud authentication 2 step failed, trying legacy mode
2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (note): Set connection status from HTTP_CON_AUTH_PROGRESS_2STEP to HTTP_CON_AUTH_IDLE
2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): tenant ID: vasilijeperovic
2020/02/24 18:53:20.634 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): hostname is: data.dnaspaces.eu
2020/02/24 18:53:20.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (note): Starting authentication V1 using Heartbeat URL https://data.dnaspaces.eu/api/config/v1/nmspconfig and Data URL https://data.dnaspaces.eu/networkdata
2020/02/24 18:53:20.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (note): Set connection status from HTTP_CON_AUTH_IDLE to HTTP_CON_AUTH_PROGRESS_1STEP
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): tenant ID: vasilijeperovic
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): hostname is: data.dnaspaces.eu
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Authenticator V1 get heartbeat host: https://data.dnaspaces.eu/api/config/v1/nmspconfig
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Authenticator V1 get access token: eyJ0eX[information omitted]rpmRq0g
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-db] [11100]: (debug): DNSs used for cloud services: 208.67.222.222,208.67.220.220
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Using nameservers: 208.67.222.222,208.67.220.220
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): IP resolution preference is set to IPv4
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-https] [11100]: (debug): Not using proxy for cloud services
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): Found bundle for host data.dnaspaces.eu: 0xab764f98 [can multiplex]
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): Re-using existing connection! (#0) with host data.dnaspaces.eu
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): Connected to data.dnaspaces.eu (63.33.127.190) port 443 (#0)
2020/02/24 18:53:21.635 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): Using Stream ID: 3 (easy handle 0xab761440)
2020/02/24 18:53:21.636 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): POST /api/config/v1/nmspconfig/192.168.1.10?recordType=nmsp_hrbt_init&jwttoken=eeyJ0eX[information omitted]70%3A69%3A5a%3A74%3A8e%3A58 HTTP/2
Host: data.dnaspaces.eu
Accept: */*
Accept-Encoding: gzip

2020/02/24 18:53:21.665 {nmspd_R0-0}{1}: [nmsp-dump-https] [11100]: (debug): We are completely uploaded and fine
HTTP/2 200