MSE軟體7.2版虛擬裝置配置和部署指南
簡介
Cisco Mobility Services Engine(MSE)軟體7.2版新增了虛擬裝置並支援VMware ESXi。本文檔為將MSE虛擬裝置新增到Cisco Unified WLAN以及運行情景感知服務和/或Cisco Adaptive Wireless Intrusion Prevention System(wIPS)的使用者提供配置和部署指南以及故障排除提示。 此外,本文檔還介紹了MSE虛擬裝置的系統要求,並提供了針對MSE虛擬裝置的常規部署指南。本文檔不提供MSE和相關元件的配置詳細資訊。其他檔案中提供了這方面的資料;提供參考資料。
請參閱相關資訊部分,獲取有關情景感知移動服務的配置和設計的文檔清單。自適應wIPS配置也不在本文檔中介紹。
必要條件
需求
本文件沒有特定需求。
採用元件
本檔案中的資訊是根據Cisco 3300系列行動化服務引擎。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
背景資訊
此圖顯示包括思科行動服務引擎(MSE)的典型思科WLAN部署。 此部署還包括其他有線/無線網路客戶端、RFID標籤以及欺詐接入點(AP)和客戶端。MSE為位置和wIPS提供了對這些元素的可視性。在MSE軟體版本7.2之前,只有物理裝置限於MSE-3310和MSE-3350/3355。
系統要求
MSE軟體7.2版虛擬裝置在VMware ESXi 4.1及更高版本上受支援和測試。這些伺服器配置已經過測試,建議用作指南。
-
思科整合運算系統(UCS)C200 M2機架式伺服器
-
兩(2)個英特爾?至強?CPU E5506 @ 2.13GHz
-
RAM(根據配置的級別)
-
具有增強型RAID控制器的SAS驅動器(至少500 GB+)
-
-
UCS C210 M2機架式伺服器
-
2個2 GHz英特爾至強CPU E5640
-
RAM(根據配置的級別)
-
具有增強型RAID控制器的SAS驅動器(至少500 GB+)
-
-
UCS C250 M2機架式伺服器
-
2個2 GHz英特爾至強CPU E5570
-
RAM(根據配置的級別)
-
具有增強型RAID控制器的SAS驅動器(至少500 GB+)
-
-
UCS C460 M2機架式伺服器
-
2個2 GHz英特爾至強CPU E7-4830
-
RAM(根據配置的級別)
-
具有增強型RAID控制器的SAS驅動器(至少500 GB+)
-
附註: 使用兩(2)個至少與前述處理器一樣強大的四核處理器。
管理軟體和VMware許可
Cisco MSE軟體版本7.2虛擬裝置支援ESX/ESXi 4.x及更高版本。
為了管理ESXi主機以及配置和部署虛擬裝置,思科建議您在Windows XP或Windows 7 64位電腦上安裝vCenter Server 4.x並獲取vCenter Enterprise許可證。或者,如果您只有一個ESXi主機,則可以使用vSphere客戶端對其進行管理。
所需資源
資源要求取決於要部署的許可證。下表列出了可以配置虛擬裝置的不同級別:
| 主要MSE | 資源 | 支援的許可證(單獨) | ||
|---|---|---|---|---|
| 虛擬裝置級別 | 總記憶體 | CPU | CAS許可證 | wIPS許可證 |
| 低 | 6G | 2 | 2000 | 2000 |
| 標準 | 11G | 8 | 18000 | 5000 |
| 高 | 20G | 16 | 50000 | 10000 |
注意:僅運行一個服務時,針對CAS和wIPS許可證列出的建議限製為最大支援限制。如果要在同一裝置上運行這兩種服務,則適用共存限制。
設定ESXi主機
完成以下步驟,以便在UCS或類似伺服器上設定MSE虛擬裝置:
-
確保您的電腦具有至少500 GB+的硬碟空間和帶有增強型RAID控制器的快速SAS驅動器。(為ESXi 5.0之前的版本建立資料儲存區時,應至少使用4 MB的塊大小。)
-
安裝ESXi。
-
插入ESXi 4.1或更高版本的安裝磁碟,然後從驅動器啟動。
-
如果使用多個驅動器,請在配置為引導驅動器的驅動器中安裝ESXi。預設使用者名稱是root,密碼為空(無密碼)。
註:如果您選擇了錯誤的驅動器進行安裝,則可以使用Fedora Live CD重新格式化。
-
-
配置IP地址。
選擇已啟用且處於活動狀態的網路介面卡。如果主機連線到多個網路,則您可能擁有多個網路介面卡。您可以在CIMC設定期間設定相同的IP地址;在啟動過程中按F8鍵設定IP地址。另外,更改預設密碼。
設定ESXi後,您可以使用Windows XP或Windows 7電腦,以及上面配置的IP地址和登入憑據,以便通過vSphere客戶端連線到ESXi主機。
有關許可ESXi主機的資訊,請參閱許可ESX 4.x、ESXi 4.x和vCenter Server 4.x 
。
有關如何在ESXi上設定資料儲存區的資訊,請參閱以下文章:
警告: 為ESXi 4.1建立資料儲存區時,應至少使用4 MB的塊大小。
安裝MSE虛擬裝置
MSE虛擬裝置作為開放式虛擬裝置(OVA)映像進行分發,可以使用vSphere客戶端在ESXi主機上部署該映像。有兩種可用的OVA版本:一個版本用於僅需要60GB磁碟空間的演示映像,另一個版本是通用生產映像。
可分發的生產映像假定ESXi主機資料儲存區上的可用磁碟空間至少為500 GB及以上。可以通過vSphere客戶端選擇和部署OVA。選擇File > Deploy OVF Template以部署模板。
根據網路速度,部署映像需要幾分鐘時間。部署後,您可以編輯虛擬機器(VM)配置以配置裝置;配置時應關閉VM。
配置MSE虛擬裝置級別
本節中的表格列出了虛擬裝置上可配置的級別以及相應的資源要求。將專用核心分配給裝置,而不是超執行緒虛擬核心,因為如果您假定主機擁有更多虛擬核心,並且部署了更多裝置,則會影響效能。例如,在上面提到的UCS C200中,有八(8)個可用的物理核心,但是有十六(16)個採用超執行緒技術的虛擬核心。不要假設有十六(16)個核心可用;僅分配八(8)個核心,以確保MSE在受到壓力時可靠地運行。
| 主要MSE | 資源 | 支援的許可證(單獨) | 支援的輔助MSE | ||||
|---|---|---|---|---|---|---|---|
| 虛擬裝置級別 | 總記憶體 | CPU | CAS許可證 | wIPS許可證 | 虛擬裝置 | 物理盒 | |
| 低 | 6G | 2 | 2000 | 2000 | 低+ | 不支援 | |
| 標準 | 11G | 8 | 18000 | 5000 | Standard+ | ||
| 高 | 20G | 16 | 50000 | 10000 | 高+ | ||
設定MSE虛擬裝置
部署並配置虛擬裝置後,即可為其通電。當裝置首次通電時,您需要輸入預設登入憑證:root/password。
首次登入時,裝置將開始配置MSE軟體並安裝Oracle資料庫。這是一個一次性耗時的過程,至少需要30-40分鐘。安裝完成後,將再次顯示登入提示。請參閱Cisco 3355移動服務引擎入門指南的配置移動服務引擎部分,以繼續配置裝置。
配置網路
預設情況下,VM使用主機網路設定;因此,不需要在ESXi上配置VM介面卡。但是,如果您將公共和專用網路都連線到主機,並且希望VM能夠同時訪問這兩個網路,則可以在SharePoint客戶端中配置VM介面卡。
在vSphere客戶端中,選擇主機,按一下Configuration頁籤,然後按一下Networking。您可以在虛擬交換機屬性中檢視物理介面卡。
使用單獨的介面卡建立單獨的交換機,以隔離網路。然後,您可以根據需要將VM介面卡分配給這些網路。
新增硬碟空間
如果需要,請向VM新增額外的磁碟容量並擴展分割槽。
注意:installDrive.sh指令碼(位於/opt/mse/framework/bin目錄中)檢測新驅動器並重新分割槽現有分割槽,以便使用和擴展新驅動器。
嘗試重新分割槽磁碟空間之前,請確保備份VM(或至少備份MSE資料)。
若要向虛擬機器新增更多磁碟空間,請關閉虛擬機器,轉到VM設定並新增其他硬碟。
新增硬碟後,開啟VM的電源,登入裝置並運行installDrive.sh指令碼。指令碼應裝載並重新分割槽新增的驅動器。如果新增了多個硬碟,請為每個新硬碟運行一次指令碼。
塊大小
對於5.0之前的ESXi版本,思科建議主機上的資料儲存區具有4 MB或更大的塊大小;否則,OVA的部署可能會失敗。如果部署失敗,您可以重新配置塊大小。
要重新配置資料塊大小,請轉到ESX主機配置>儲存>刪除資料儲存區,然後再次將儲存區新增到塊大小至少為4MB的新資料儲存區。
VMware工具
如果VM引發以下錯誤,請在vSphere客戶端中按一下右鍵VM,然後選擇Guest > Install/Upgrade VMware Tools以安裝或升級VMware工具:
Guest OS cannot be shutdown because Vmware tools is not installed or running.
升級虛擬裝置
配置虛擬裝置後,應將其視為物理MSE盒。您無需在每次要升級到最新的MSE版本時都部署新的OVA;您可以將相應的安裝程式映像下載到裝置中,然後按照物理裝置的升級步驟進行升級。
許可虛擬裝置
配置虛擬裝置後,可以在評估模式(預設60天)下使用虛擬裝置,而無需授權裝置。但是,如果您計畫部署永久許可證或使用高可用性(HA)等功能,則必須使用虛擬裝置啟用許可證啟用虛擬裝置。 您可以從虛擬裝置(在裝置上運行show csludi)或從Cisco Prime網路控制系統(NCS)MSE常規屬性獲取唯一裝置識別符號(UDI),並使用此資訊購買虛擬裝置啟用許可證和永久服務許可證。
此影象顯示了虛擬裝置的許可證中心UI的最新更改。
對於虛擬裝置,MSE名稱旁邊的消息清楚地指示其是否已啟用。此外,還有兩個限制列:「平台限制」列列出此裝置上該服務支援的最大許可證(具體取決於分配給VM的資源),「安裝限制」列列出實際安裝的許可證或通過裝置評估提供的許可證。
虛擬裝置的高可用性
為了使用HA功能,必須使用虛擬裝置啟用許可證啟用主裝置和輔助裝置。
配置高可用性
可以通過NCS上的主MSE設定HA配置。
啟用輔助MSE
必須啟用輔助裝置。您可以使用UDI資訊請求輔助MSE的啟用許可證。在HA Configuration頁面上,瀏覽許可證並按一下Save。成功啟用輔助MSE後,將設定HA。
停用輔助MSE
如果需要從輔助MSE刪除啟用許可證,可以按一下覈取方塊,然後按一下Save以停用輔助MSE。
ESXi 5.0上的虛擬裝置
在ESXi 5.0上,塊大小固定為1 MB,因為它支援大型虛擬機器部署。為了能夠向虛擬裝置分配八(8)個以上的核心,您必須升級虛擬硬體。若要升級虛擬硬體,請選擇MSE,然後選擇Upgrade Virtual Hardware,如下圖所示:
MSE控制檯過程
-
使用以下憑證登入主控台:root/password。
初始啟動時,MSE提示管理員啟動安裝指令碼。
-
在此提示中輸入yes。
注意:如果MSE沒有提示進行設定,請輸入以下命令:/opt/mse/setup/setup.sh。
-
配置主機名:
-
配置DNS域名:
-
配置主HA角色:
-
配置乙太網介面引數:
-
當系統提示輸入eth1介面引數時,鍵入Skip以繼續執行下一步,因為操作不需要第二個NIC。
注意:所配置的地址必須提供IP連線,以連線至此裝置使用的透視WLC和WCS管理系統。
-
輸入DNS伺服器資訊。只有一個DNS伺服器才能成功解析域,請輸入備份伺服器以實現恢復能力。
-
配置時區。思科建議您使用UTC(協調世界時)。
如果紐約的預設時區不適用於您的環境,請瀏覽位置選單以選擇正確的時區。
-
當系統提示配置將來的重新啟動日期和時間,請鍵入Skip。
-
配置遠端系統日誌伺服器(如果適用)。
-
配置網路時間協定(NTP)或系統時間。
NTP是可選的,但可確保您的系統保持準確的系統時間。如果選擇啟用NTP,系統時間將從您選擇的NTP伺服器進行配置。否則,系統將提示您輸入當前日期和時間。
-
當系統提示配置登入標語時,鍵入Skip。
-
啟用本地控制檯根登入。
此引數用於啟用/禁用對系統的本地控制檯訪問。應啟用本地控制檯根登入,以便進行本地故障排除。預設值為Skip。
-
啟用安全殼層(SSH)根目錄登入。
此引數用於啟用/禁用對系統的遠端控制檯訪問。應啟用SSH根登入,以便進行遠端故障排除。但是,公司安全策略可能要求禁用此選項。
-
配置單使用者模式和口令強度。
這些配置引數不是必需的;預設值為Skip。
-
更改根密碼。
此步驟對於確保系統安全至關重要。請務必選擇由字母和數字組成的強密碼,且密碼沒有詞典文字。最小密碼長度為8(8)個字元。預設憑據為root/password。
-
配置登入和密碼相關引數:
-
配置引導密碼(Grub)密碼。(選用)
不需要此配置引數。預設值為Skip。
-
配置NCS通訊使用者名稱。
-
接受對配置的更改。
此圖顯示完成螢幕的示例:
-
執行getserverinfo命令以驗證設定。
將MSE VA新增到NCS
-
登入到NCS,然後選擇Services > Mobility Services Engine。
-
在頁面右側的下拉選單中,選擇Add Mobility Services Engine,然後按一下Go。
-
輸入MSE的唯一裝置名稱、之前在MSE設定期間配置的IP地址、支援聯絡人的姓名。以及MSE設定期間配置的NCS使用者名稱和密碼。
請勿將使用者名稱從預設值admin變更。您可以保留為預設值。
-
按「Next」(下一步)。
-
按一下Licensing,然後驗證許可。安裝時,預設演示許可證足以進行測試。您可以在「許可」頁面上新增更多購買的許可證或刪除許可證。
-
按「Next」(下一步)。
-
在「選擇移動服務」頁面上,按一下Cisco Tag Engine(自7.0MR以來可用)單選按鈕(用於客戶端和RFID標籤支援),或按一下Partner Tag Engine單選按鈕(用於Aeroscout等)。
-
按一下Wireless Intrusion Protection Service覈取方塊以測試監控模式和增強本地模式功能的wIPS安全功能。
-
按「Next」(下一步)。
-
選中要啟用跟蹤的元素以及那些可用於歷史報告的元素的歷史引數的覈取方塊。
-
按「Next」(下一步)。
-
選中現有建築和樓層的覈取方塊,然後按一下Synchronize。
同步後, Status列將更新以顯示初始網路設計已同步。
-
同步完成後,按一下完成。
此時將出現一個對話方塊,說明已儲存MSE設定。
-
在NCS的MSE首頁上確認配置。
確保同步其餘的網路設計、控制器、有線交換機和事件組(如果可用)。
注意:Cisco環境感知服務高度依賴於WLC、NCS和MSE之間的同步時鐘。如果這三個系統均未指向同一NTP伺服器並使用相同的時區設定進行配置,則情景感知服務將無法正常運行。在嘗試任何故障排除步驟之前,請確保情景感知系統所有元件的系統時鐘相同。
-
檢查所選服務的MSE和控制器通訊。
確認MSE僅與所選服務的每個控制器進行通訊;網路移動服務協定(NMSP)狀態必須為活動。
此映像提供未將keyhash新增到WLC的範例。
在WLC主控台上,使用show auth-list指令。
以下示例從WLC控制檯顯示沒有可用的位置伺服器:
若要手動新增MSE並建立到WLC的NMSP連線,請完成以下步驟:
-
在MSE控制檯上,運行cmdshell命令,然後運行show server-auth-info命令。
此範例顯示用於新增到WLC的MAC位址和金鑰雜湊。
-
運行config auth-list add ssc <mac address> <MSE keyhash>命令,然後運行show auth-list。
此範例顯示MSE已新增到WLC(手動)。
-
在NCS上,確認NMSP連線顯示Active。
-
命令列參考
WLC命令
config location expiry ? client Timeout for clients calibrating-client Timeout for calibrating clients tags Timeout for RFID tags rogue-aps Timeout for Rogue APs
show location ap-detect ? all Display all (client/rfid/rogue-ap/rogue-client) information client Display client information rfid Display rfid information rogue-ap Display rogue-ap information rogue-client Display rogue-client information (Cisco Controller) >show location ap-detect client
show client summary
Number of Clients................................ 7
MAC Address AP Name Status WLAN/Guest-Lan Auth Protocol Port Wired
----------------- ----------------- ------------- -------------- ---- -------- ---- -----
00:0e:9b:a4:7b:7d AP6 Probing N/A No 802.11b 1 No
00:40:96:ad:51:0c AP6 Probing N/A No 802.11b 1 No
(Cisco Controller) >show location summary
Location Summary
Algorithm used: Average
Client
RSSI expiry timeout: 5 sec
Half life: 0 sec
Notify Threshold: 0 db
Calibrating Client
RSSI expiry timeout: 5 sec
Half life: 0 sec
Rogue AP
RSSI expiry timeout: 5 sec
Half life: 0 sec
Notify Threshold: 0 db
RFID Tag
RSSI expiry timeout: 5 sec
Half life: 0 sec
Notify Threshold: 0 db
show rfid config RFID Tag data Collection......................... Enabled RFID timeout.................................... 1200 seconds RFID mobility.................................... Oui:00:14:7e : Vendor:pango State:Disabled
show rfid detail
show location plm Location Path Loss Configuration Calibration Client : Enabled , Radio: Uniband Normal Clients : Disabled , Burst Interval: 60 (Cisco Controller) >config location ? plm Configure Path Loss Measurement (CCX S60) messages algorithm Configures the algorithm used to average RSSI and SNR values notify-threshold Configure the LOCP notification threshold for RSSI measurements rssi-half-life Configures half life when averaging two RSSI readings expiry Configure the timeout for RSSI values
config location expiry client ? <seconds> A value between 5 and 3600 seconds
config location rssi-half-life client ? <seconds> Time in seconds (0,1,2,5,10,20,30,60,90,120,180,300 sec)
show nmsp subscription summary Mobility Services Subscribed: Server IP Services --------- -------- 172.19.32.122 RSSI, Info, Statistics, IDS
MSE命令
運行此命令可確定MSE服務的狀態:
[root@MSE ~]# getserverinfo
運行此命令可啟動用於客戶端跟蹤的情景感知引擎:
[root@MSE ~]# /etc/init.d/msed start
運行此命令以確定用於客戶端跟蹤的情景感知引擎的狀態:
[root@MSE ~]# /etc/init.d/msed status
運行此命令可停止用於客戶端跟蹤的情景感知引擎:
[root@MSE ~]# /etc/init.d/msed stop
運行此命令可執行診斷:
[root@MSE ~]# rundiag
注意:rundiag命令還可用於檢視獲取客戶端環境感知引擎的許可證檔案所需的MSE UDI資訊。
意見