はじめに
このドキュメントでは、Catalyst 9800シリーズワイヤレスコントローラ(C9800 WLC)をPrime Infrastructure(3.x)と統合する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- C9800 WLC
- Prime Infrastructure(PI)バージョン3.5
- Simple Network Management Protocol(SNMP)
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- C9800 WLC
- Cisco IOS XE Gibraltar 16.10.1 ~ 17.3
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
注:Prime Infra 3.8は17.x 9800 WLCのみをサポートしています。Prime Infra 3.8で16.12 WLCを管理しようとすると、Prime Infrastructureにクライアントが表示されません。
設定
Prime InfrastructureがCatalyst 9800シリーズワイヤレスLANコントローラを設定、管理、および監視するには、CLI、SNMP、およびNetconfを介してC9800にアクセスできる必要があります。Prime InfrastructureにC9800を追加する場合は、telnet/SSHクレデンシャルと、SNMPコミュニティストリング、バージョンなどを指定する必要があります。PIはこの情報を使用して、到達可能性を確認し、C9800 WLCをインベントリします。また、SNMPを使用して設定テンプレートをプッシュし、アクセスポイント(AP)とクライアントイベントのトラップをサポートします。ただし、PIがAPおよびクライアントの統計情報を収集するには、Netconfが使用されます。NetconfはC9800 WLCではデフォルトで有効になっていないため、16.10.1リリース(16.11.1で使用可能なGUI)のCLIを使用して手動で設定する必要があります。
使用ポート
C9800とPrime Infrastructure間の通信では、異なるポートが使用されます。
- Prime Infraで使用可能なすべての設定とテンプレートは、SNMPおよびCLIを介してプッシュされます。UDPポート161を使用します。
- C9800 WLC自体の動作データは、SNMPを介して取得されます。UDPポート162を使用します。
- APとクライアントの運用データは、ストリーミングテレメトリを活用します。
Prime InfrastructureからWLC:TCPポート830:これは、Prime Infraがテレメトリ設定を9800デバイスにプッシュするために使用されます(Netconfを使用)。
WLCからPrime Infrastructure:TCPポート20828(Cisco® IOS XE 16.10および16.11)または20830(Cisco IOS XE 16.12、17.x以降)
注:レポートするテレメトリがない場合でも、キープアライブは5秒ごとに送信されます。
注:Prime InfrastructureとC9800の間にファイアウォールがある場合、通信を確立するためにこれらのポートを必ず開いてください。
Cat 9800 WLCでのSNMPv2の設定
GUI:
ステップ 1: Administration > SNMP > Slide to Enable SNMPに移動します。
ステップ 2: Community Strings をクリックして、Read-OnlyおよびRead-Writeコミュニティ名を作成します。
CLI:
(config)#snmp-server community <snmpv2-community-name> (optional)(config)# snmp-server location <site-location> (optional)(config)# snmp-server contact <contact-number>
Cat 9800 WLCでのSNMPv3の設定
GUI:
注:17.1 Cisco IOS XEのWeb UIでは、読み取り専用v3ユーザの作成のみが可能です。読み取り/書き込みv3ユーザを作成するには、CLIプロシージャを実行する必要があります。
CLI:
V3 usersをクリックして、ユーザを作成します。 authPriv、 SHA 、および AES protocolsを選択し、ロングパスワードを選択します。 MD5 および DES/3DES は安全でないプロトコルであり、9800ではまだオプションですが、選択しないでください。また、十分にテストされていないプロトコルです。
注:SNMPv3ユーザ設定は、実行コンフィギュレーションには反映されません。SNMPv3グループの設定だけが表示されます。
CLI:
(config)#snmp-server view primeview iso included
(config)#snmp-server group <v3-group-name> v3 auth write primeview (config)#snmp-server user <v3username> <v3-group-name> v3 auth {md5 | sha} <AUTHPASSWORD> priv {3des | aes | des} {optional for aes 128 | 192| 256} <PRIVACYPASSWORD> 9800#show snmp user User name: Nico Engine ID: 800000090300706D1535998C storage-type: nonvolatile active Authentication Protocol: SHA Privacy Protocol: AES128 Group-name: SnmpAuthPrivGroup
Cat 9800 WLCでのNetconfの設定
GUI(16.11以降):
Administration > HTTP/HTTPS/Netconfに移動します。
CLI:
(config)#netconf-yang
注意: aaa new-modelがC9800で有効になっている場合は、次も設定する必要があります。
(config)#aaa authorization exec default <localまたはradius/tacacs group>
(config)#aaa authentication login default <ローカルまたはradius/tacacsグループ>
C9800のNetconfは、aaa authentication loginとaaa authorization execの両方にデフォルトの方式を使用します(この方法は変更できません)。SSH接続に別の方式を定義する場合は、 line vty コマンドラインで定義できます。Netconfはデフォルトの方法を使用し続けます。
注意: Prime Infrastructureで9800コントローラをインベントリに追加すると、設定したaaa authentication login defaultおよびaaa authorization exec default方式が上書きされ、WLCでNetconfが有効になっていない場合にのみローカル認証がポイントされます。Prime InfrastructureがNetconfでログインできる場合、設定は変更されません。つまり、TACACSを使用している場合、Primeに9800を追加するとCLIアクセスが失われます。これらの設定コマンドは、後で元に戻して、必要に応じてTACACSをポイントするようにできます。
注:現在、NETCONFで使用されるトラストポイントではRSAキーのみがサポートされています。EC(楕円曲線)キーはまだサポートされておらず、ncsshdプロセスが使用されるとクラッシュします。コマンドshow logging process ncsshd internal start last 1時間を使用して、ncsshdプロセスが使用しているキーを確認できます | sec key name」で確認できます。将来のリリース(Cisco Bug ID CSCwk02600)では、ECキーのサポートを追加する機能拡張要求がオープンになっています。
設定(Prime Infrastructure 3.5以降)
ステップ 1:Catalyst 9800 WLCで設定されたワイヤレス管理IPアドレスをキャプチャします。
GUI:
Configuration > Interface: Wirelessに移動します。
CLI:
# show wireless interface summary
ステップ 2:特権15のユーザクレデンシャルをキャプチャして、パスワードを有効にします。
GUI:
Administration > User Administrationに移動します。
CLI:
# show run | inc username # show run | inc enable
ステップ 3:必要に応じて、SNMPv2コミュニティストリングやSNMPv3ユーザを取得します。
GUI:
SNMPv2の場合は、Administration > SNMP > Community Stringsに移動します。
SNMPv3の場合は、Administration > SNMP > V3 Usersに移動します。
CLI:
For SNMPv2 community strings # show run | sec snmp For SNMPv3 user # show user
ステップ 4:Prime InfrastructureのGUIで、Configuration > Network: Network Devicesに移動し、の横にあるドロップダウンをクリックし+ て、Add Deviceを選択します。
ステップ 5:ポッ Add Device プアップで、Prime Infrastructureとの通信を確立するために使用される9800のインターフェイスIPアドレスを入力します。
手順 6:タSNMP ブに移動し、C9800 WLCでSNMPv2 Read-Only and Read-Write Community Strings 設定されていることを入力します。
手順 7:SNMPv3を使用している場合は、ドロップダウンからv3を選択し、SNMPv3のユーザ名を指定します。ドロAuth-Type ップダウンから先に設定した認証タイプに一致させ、ドロPrivacy Type ップダウンからC9800 WLCで設定した暗号化方式を選択します。
ステップ 8:Add DeviceのTelnet/SSH タブに移動し、特権15のユーザ名とパスワードをイネーブルパスワードとともに入力します。Verify Credentials をクリックして、CLIとSNMPのクレデンシャルが正常に動作していることを確認します。次に、 Addをクリックします。
確認
テレメトリステータスの確認
ステップ 1:C9800でNetconfが有効になっていることを確認します。
#show run | inc netconf netconf-yang
存在しない場合は、「Cat 9800 WLCでのNETCONFの設定」セクションを入力します。
ステップ 2:C9800からPrimeへのテレメトリ接続を確認します。
#show telemetry internal connection Telemetry connection Address Port Transport State Profile ------------------------------------------------------------------ x.x.x.x 20828 cntp-tcp Active
注:x.x.x.xはPrime InfrastructureのIPアドレスで、状態はActiveである必要があります。状態がアクティブでない場合は、「トラブルシューティング」の項を参照してください。
17.9では、少し異なるコマンドを使用する必要があります。
9800-17-9-2#show telemetry connection all Telemetry connections Index Peer Address Port VRF Source Address State State Description ----- -------------------------- ----- --- -------------------------- ---------- -------------------- 0 10.48.39.25 25103 0 10.48.39.228 Active Connection up 9800-17-9-2#
ステップ 3:Prime Infrastructureで、 Inventory > Network Devices > Device Type: Wireless Controllerに移動します。
ステップ 4:Prime Infrastructureへのテレメトリ接続の詳細を表示するには、次を実行します。
#show telemetry internal protocol cntp-tcp manager x.x.x.x 20828 Telemetry protocol manager stats: Con str : x.x.x.x:20828:: Sockfd : 79 Protocol : cntp-tcp State : CNDP_STATE_CONNECTED Table id : 0 Wait Mask : Connection Retries : 0 Send Retries : 0 Pending events : 0 Source ip : <9800_IP_ADD> Bytes Sent : 1540271694 Msgs Sent : 1296530 Msgs Received : 0
ステップ 5:C9800からのテレメトリサブスクリプションのステータスと、「Valid」と表示されていることを確認します。
#show telemetry ietf subscription configured Telemetry subscription brief ID Type State Filter type ----------------------------------------------------- 68060586 Configured Valid transform-na 98468759 Configured Valid tdl-uri 520450489 Configured Valid transform-na 551293206 Configured Valid transform-na 657148953 Configured Valid transform-na 824003685 Configured Valid transform-na 996216912 Configured Valid transform-na 1072751042 Configured Valid tdl-uri 1183166899 Configured Valid transform-na 1516559804 Configured Valid transform-na 1944559252 Configured Valid transform-na 2006694178 Configured Valid transform-na
ステップ6:サブスクリプション統計は、サブスクリプションIDごとまたは次を使用してすべてのサブスクリプションについて表示できます。
#show telemetry internal subscription { all | id } stats Telemetry subscription stats: Subscription ID Connection Info Msgs Sent Msgs Drop Records Sent ------------------------------------------------------------------------------ 865925973 x.x.x.x:20828:: 2 0 2 634673555 x.x.x.x:20828:: 0 0 0 538584704 x.x.x.x:20828:: 0 0 0 1649750869 x.x.x.x:20828:: 1 0 2 750608483 x.x.x.x:20828:: 10 0 10 129958638 x.x.x.x:20828:: 10 0 10 1050262948 x.x.x.x:20828:: 1369 0 1369 209286788 x.x.x.x:20828:: 15 0 15 1040991478 x.x.x.x:20828:: 0 0 0 1775678906 x.x.x.x:20828:: 2888 0 2889 1613608097 x.x.x.x:20828:: 6 0 6 1202853917 x.x.x.x:20828:: 99 0 99 1331436193 x.x.x.x:20828:: 743 0 743 1988797793 x.x.x.x:20828:: 0 0 0 1885346452 x.x.x.x:20828:: 0 0 0 163905892 x.x.x.x:20828:: 1668 0 1668 1252125139 x.x.x.x:20828:: 13764 0 13764 2078345366 x.x.x.x:20828:: 13764 0 13764 239168021 x.x.x.x:20828:: 1668 0 1668 373185515 x.x.x.x:20828:: 9012 0 9012 635732050 x.x.x.x:20828:: 7284 0 7284 1275999538 x.x.x.x:20828:: 1236 0 1236 825464779 x.x.x.x:20828:: 1225711 0 1225780 169050560 x.x.x.x:20828:: 0 0 0 229901535 x.x.x.x:20828:: 372 0 372 592451065 x.x.x.x:20828:: 8 0 8 2130768585 x.x.x.x:20828:: 0 0 0
トラブルシュート
Prime Infrastructureのトラブルシューティング
- Prime Infrastructureで最初に確認するのは、IPアドレスとインターフェイスです。Prime Infrastructureはデュアルホームをサポートせず、2番目のポートでテレメトリをリッスンしません。
- Prime Infrastructureに追加するWLCのIPアドレスは、「ワイヤレス管理インターフェイス」として使用するIPアドレスにする必要があります。Prime InfrastructureのIPアドレスは、コントローラ側のワイヤレス管理インターフェイスから到達可能である必要があります。
- 検出にサービスポート(アプライアンス上のgig0/0)を使用している場合、WLCとAPはインベントリで管理状態として表示されますが、WLCと関連付けられたアクセスポイントのテレメトリは機能しません。
- Prime Infrastructureでテレメトリステータスが「success」となっているにもかかわらずAPカウントが0の場合、Prime Infrastructureはポート830でWLCに到達できるものの、コントローラはポート20830でPrime Infrastructureに到達できない可能性があります。
SNMPの問題またはデバイス設定の問題の場合は、Prime Infrastructureから次のログを収集します。
cd /opt/CSCOlumos/logs/ [root@prime-tdl logs]# ncs-0-0.log Tdl.logs
テレメトリやサンゴの問題の場合、最初にCoralのステータスを確認します。
shell cd /opt/CSCOlumos/coralinstances/coral2/coral/bin ./coral version 1 ./coral status 1 ./coral stats 1
問題がなければ、これらのログをprime coral logsフォルダから収集します。
注:Prime InfrastructureのバージョンとサポートするCisco IOS XEバージョンの数によっては、Prime Infrastructureに複数のCoralインスタンスが存在する場合があります。詳細については、次のリリースノートを参照してください。https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/infrastructure/3-7/release/notes/bk_Cisco_Prime_Infrastructure_3_7_0_Release_Notes.html
ステップ 1:
cd /opt/CSCOlumos/coral/bin/ [root@prime-tdl bin]# ./coral attach 1 Attached to Coral instance 1 [pid=8511] Coral-1#cd /tmp/rp/trace/ Coral-1#ls Collect the “Prime_TDL_collector_R0-”* logs
Coral-1# cd /tmp/rp/trace/ Coral-1# btdecode P* > coralbtlog.txt Coral-1# cat coralbtlog.txt
これらのログは、次のディレクトリにもあります。
* デコードされたトレースファイルはパスで使用できます/opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
* ade# cd /opt/CSCOlumos/coralinstances/coral2/coral/run/1/storage/harddisk
* ade# cp coraltrace.txt /localdisk/defaultRepo
ステップ 2:デバッグモードでCoralを有効にするには、 debug.conf ファイルでデバッグレベルを設定する必要があります。
コンテナ内から次のいずれかを実行します。
echo "rp:0:0:tdlcold:-e BINOS_BTRACE_LEVEL=DEBUG;" > /harddisk/debug.conf
またはPrime 3.8では、次のコマンドを使用して、コンテナの外部でCoralサービスを再起動できます。
"sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1"
再起動しても問題が解決しない場合は、次のコマンドを使用してサンゴのインスタンスを拭き取り、スムーズに起動できます。
sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral stop 1 sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral purge 1 sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral start 1
Coralを再起動します。これは必須です。「Exit」を入力すると、次のようにcoralインスタンスを終了できます。
./coral/bin/coral restart 1
注:Prime 3.8では、「sudo /opt/CSCOlumos/coralinstances/coral2/coral/bin/coral restart 1」を使用して、Coralサービスをコンテナの外部で再起動できます。
Coralログファイルをデコードする必要がある場合は、Coralコンテナ内で次のコマンドを使用してデコードできます。
btdecode Prime_TDL_collector_*.bin
注:Coralのデバッグレベルを有効にした後は、Coralの再起動が必要です。
Catalyst 9800 WLCのトラブルシューティング
Prime InfraからC9800 WLCにプッシュされた設定をモニタするには、EEMアプレットを実行します。
#config terminal #event manager applet catchall #event cli pattern ".*" sync no skip no #action 1 syslog msg "$_cli_msg"
WLC設定からすべてのテレメトリサブスクリプションを削除する
WLCで設定されているすべてのテレメトリサブスクリプションを設定解除する場合があります。これは、次のコマンドを使用するだけで実行できます。
WLC#term shell WLC#function removeall() { for id in `sh run | grep telemetry | cut -f4 -d' '` do conf t no telemetry ietf subscription $id exit done } WLC#removeall
トレースを有効にするには、次の手順を実行します。
# debug netconf-yang level debug
確認するには、次のコマンドを実行します。
WLC#show platform software trace level mdt-pubd chassis active R0 | inc Debug pubd Debug WLC#show platform software trace level ndbman chassis active R0 | inc Debug ndbmand Debug
トレース出力を表示するには、次の手順を実行します。
show platform software trace message mdt-pubd chassis active R0 show platform software trace message ndbman chassis active R0
AP情報のサブスクリプションIDの確認
DB Queryをクリックします。tohttps://<Prime_IP>/webacs/ncsDiag.doに移動します。
'%Controller_IP' *やCLASSNAME='UnifiedAp'などのOWNINGENTITYIDを ewlcSubscription 選択します。
WLCから:
サブスクリプションIDが情報を送信しており、cntpカウンタでドロップが発生していないことを確認します。
show tel int sub all stats show telemetry internal protocol cntp-tcp connector counters drop show telemetry internal protocol cntp-tcp connector counters queue show telemetry internal protocol cntp-tcp connector counters rate show telemetry internal protocol cntp-tcp connector counters sub-rate show telemetry internal protocol cntp-tcp connector counters reset
注:9800 WLCは、17.6より前のテレメトリサブスクリプションを100個、17.6より後のサブスクリプションを128個サポートします(Catalystセンターの最近のリリースでは100個を超えるサブスクリプションを使用できます)。
PIからCisco Catalyst Centerへの移行
C9800は、PIとCisco Catalyst Centerの両方で同時に管理することはできません。ネットワーク管理ソリューションとしてCatalyst Centerに移行する計画がある場合は、C9800をPrime Infrastructureから削除してからCatalyst Centerに追加する必要があります。C9800をPI 3.5から削除する場合、PIによってインベントリ時にC9800にプッシュされたすべての設定はロールバックされず、システムから手動で削除する必要があります。具体的には、ストリーミングテレメトリデータを公開するためにC9800 WLC用に確立されたサブスクリプションチャネルは削除されません。
この特定の設定を識別するには、次の手順を実行します。
#show run | sec telemetry
この設定を削除するには、次のコマンドの no 形式を使用します。
(config) # no telemetry ietf subscription <Subscription-Id> Repeat this CLI to remove each of the subscription identifiers. (config) # no telemetry transform <Transform-Name> Repeat this CLI to remove each of the transform names
注:Catalyst CenterとPrime Infrastructureの両方を使用して9800コントローラを管理している場合、Prime管理が原因でCatalyst Centerのインベントリコンプライアンスに問題が発生します。
最近のリリースでは、Prime InfrastructureとCatalyst Centerの両方で、両方のサーバで9800を同時に管理するためにWLCのテレメトリサブスクリプションを多く使用する可能性があります。そのため、Catalyst CenterとPrime Infrastructureの両方を使用して9800を管理し、テレメトリと統計情報を機能させることはできません。したがって、PIからCatalyst Centerへの移行は、できるだけ速く行う必要があります。Prime Infrastructureが9800コントローラを管理している限り、Catalyst Centerは9800からのテレメトリデータを保持できないためです。