此篇为思科专家讲堂(ATXs)在线课程中关于Cisco DNA Center的FAQ(常见问题解答)集锦,小编将定期更新。
*思科ATXs(Ask the Experts)中文全称为专家讲堂 - 是由思科客户成功团队带给思科客户的专属技术讲堂。每月针对不同的思科技术的部署和实施,由思科专家为您分享使用案例、操作演示、并答疑解惑。 更多信息请访问http://cs.co/asksuccess
*Cisco DNA Center以下简称为DNAC
Cisco DNA Center的安装/设置相关FAQ
问:DNAC实际安装大致需要多长时间啊?
答:安装过程大致需要1-2小时,package的安装时间要具体看需要装哪些packages以及网络情况决定。
问:DNA Center是否必须要连接internet 才能使用?
答:是的,主要是为了软件升级以及license相关的配置。
问:DNAC安装是否可以离线安装?
答:我们建议DNAC服务器安装过程中,准备好:
如果在安装过程中,没有真实的DNS、NTP服务器,DNAC的安装将会失败。所以我们强烈建议您准备好上述条件来满足安装需求。
问:DNA Center update过程影响业务使用吗?
答:在DNA Center升级过程中,网络拓扑不改变的话,是不会有影响的,当然,Assurance等功能会暂时不可用,但是网络流量转发,新的终端接入等短时间内不会收到影响。
问:如果忘了所有的帳號密碼包含CIMC,有什麼reset 的方法或reinstall
答:F8 to configure/view CIMC IP
While inBIOS you can press F8 for the CIMC IP address configuration and password reset.
如果您是忘记了DNA Center Maglev的密码,这里是如何reset的链接:https://www.cisco.com/c/en/us/support/docs/cloud-systems-management/dna-center/214840-cisco-dna-center-maglev-cli-password-re.html
问:為什麼這個子網段要這麼大? 有些客戶很難取得這麼大的網段。
答:因为DNA Center是用容器技术实现的微服务架构,这些网段是给容器互通以及cluster之间信息同步用的,可以是私有网段,只要和其他网络地址不冲突即可。
问:我的DNAC服务器目前就用了一个端口,应该是管理端口,运行是否有问题?
答:DNAC安装过程中,思科建议至少采用2个端口来分别实现:
1)cluster互联;
2)业务使用,包括:设备交互、internet访问、GUI 操作管理。
在实际使用案例中,我们也经常发现客户仅仅用了一个端口,比如刚刚您问的,仅使用了一个管理端口,来实现所有的功能需求,在实际运行上来看,并不会发现您的DNAC有问题。
但是如果您的DNAC需要做集群cluster的时候,最好需要把cluster功能剥离出来,单独实现cluster 节点的信息交互,设置中对该类端口也仅仅需要设置IP、掩码和选上clusterlink即可。
另外,对于新安装DNAC客户,思科建议您按多机部署模式来设计,包括端口、IP地址等。
因为这些cluster相关的配置,除非重新安装系统,将不能被修改。
问:如何进行USB ISO模式的安装工作?
答:USB ISO安装步骤大概需要额外考虑到几个步骤:
首先通过SDA产品兼容性清单和列表的链接,找到当前CCO推荐的DNAC版本;
再则需要我们去开个case,让TAC帮助我们获取ISO文件,该文件较大,一般来说文件大小大约是20多G大小;
下载该ISO文件,下载结束之后需要完成SHA512 checksum校验工作;
使用USB刻录软件,完成启动盘制作,windows下推荐使用Rufus,MAC OS可以使用etcher,(名称不需要记住)因为TAC会告诉我们采用那款刻录软件。注意的是USB需要3.0版本的,大小是32G的;
服务器启动,自检过程中,系统提示时输入F6,来进入启动盘选择菜单;
启动盘选择中,选择我们插入至服务器USB端口的启动盘,该启动盘一般以USB厂家来标识;
完成后续的安装过程,后面的过程和其他安装方法就没区别了。
CiscoDNA Center的基础功能相关FAQ
问:对于已经使用中的网络(已建网络),DNA Center能带来哪些好处?
答:针对已经使用中的网络,在满足设备软硬件要求的条件下,通过DNA Center部署,可以带来很多的使用案例:
比如智能运维assurance:通过多种图表展示现有网络健康程度,以及各种对象的360视图了解到设备情况,并通过时间回溯,查看历史事件来帮助我们更好、更快进行故障排查; 也可以通过SWIM功能,来实现设备软件镜像管理,极大地降低我们的工作量,提高工作效率。
问:請問infra-VN的主要用途為何?AP一定要使用infra-VN嗎?
答:其實這個要取決於Wireless的部署方式,如果AP與WLC沒有穿越SDA Fabric,我認為是不需要的。
如果穿越,Infra-VN就是必須的,AP與WLC之間CAPWAP流量需要穿越。
补充一点:由于sda中,WLC推荐部署在fabric的外部,也就是在border router之外,另外dhcp服务器也处于fabric之外,所以在SDA fabric中的AP设备如果需要发现WLC,则需要和wlc、dhcp有连通性要求,所以SDA中,预先配置了一个infra-VN实现了架构的打通,主要是该VN和global 路由表已经打通。如果不使用infra-VN,则需要自己打通AP至dhcp、wlc等可达性。
问:多個Fabric, 那我HR部門的員工還是可以在這些fabric進行移動登入嗎?並獲得一樣的policy。
答:IP transit中间使用的IP传统的IP而非VXLAN传输,策略是可以获得一致的,需要手工进行SGT mapping就可以实现,如果使用sda transit,那么就是使用的vxlan传输,SGT会携带过去,也可以实现策略一致,而且也不需要手工mapping。
问:在矩阵图中没有定义的sgt标签的合同,默认访问策略是什么?是permit还是deny?
答:没有定义访问关系的SGT之间,默认是permit. 您也可以按照自己的需要将之切换成默认deny。
问:14天的历史数据,但DNAC展示只有前7天?这个14天和7天的怎样的一个关系?
答:1.3版本的Assurance中14天是数据收集的最长时间,7天是数据显示的最长时间,可以手动调整显示14天数据中的哪7天数据。
问:請問導入VN的概念,DNA-C是必要元件嗎?還是只要有ISE就可以了?
答:VN属于Macro-segmentation,宏分段,翻译为网络设备的配置就是VRF,这部分配置是DNA Center做配置和部署,所以是必要的元件。而ISE关注的是SGT安全组的访问控制,Secure Group属于微分段Micro-segmentation。DNA Center和ISE结合在一起,才可以实现CiscoSD-Access的Policy Plane。
问:当我们的DNA Center安装完成以后可以改变IP地址吗?
答:有些可以改变,有些无法改变,比如像cluster link 或者VIP就不能更改。
问:是否必须使用discovery进行设备发现?
答:不是。也可以使用CSV导入、PnP、手工配置等方式配置设备。
问:PnP功能的Option 43里面携带了什么信息?
答:Option 43里携带有DNA Center的管理口IP地址,设备可以由此找到DNA Center,并由DNA Center的PnP功能对设备的做一个上线的部署和配置。
问:使用DNA Intelligent Capture功能需要哪种DNA License?
答:需要DNA Advantage license
问:DNA Center的IntelligentCapture功能是否有性能限制?
答:一台DNA Center最多支持1000台AP开启Intelligent Capture功能。
而Client Capture功能最多只能有8个任务并行。
问:我可以编写自己的脚本以与API集成吗?
答:可以,我们鼓励您在Cisco DevNet(www.developer.cisco.com/dnacenter)上创建自己的基于意图的API脚本,与Cisco DNA Center集成。
问:使用DNA Center运行自动化脚本是否需要license?
答:不需要。
CiscoDNA Center Assurance相关FAQ
问:对无线assurance,使用sensor需要什么license?
答:需要DNA Advantage License
问:请问一下,完整的Assurance功能,是需要购买DNA Advantage License吗,如果只有Essential的License,会有多少的差别?
答:具体的区别,您可以请参考: https://www.cisco.com/c/m/en_us/products/software/dna-subscription-switching/en-sw-sub-matrix-switching.html
问:DNA Assurance支持非思科设备吗?
答:需要基于设备的SDK单独开发以后,可以被DNAC实现一定程度的纳管。
问:Assurance的打分的阈值可以自定义吗?
答:从DNA Center1.3.3开始,已经开始支持对一部分KPI的打分做自定义设置。
CiscoDNA Center与SDA/ISE 相关FAQ
问:部署 DNA Center,必须使用Cisco ISE吗?
答:不是必须的。但如果是部署SDA的话,ISE是必须的。
问:DNA有沒有跟Firepowerand ISE結合來安全協防??
答:有的,FP可以作为SDA Fabric和DC网络的边界,通过SGT实现访问控制。https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Campus/CVD-Software-Defined-Access-Segmentation-Design-Guide-2018MAY.pdf
问:SDA网络可以与传统网络通信吗?
答:可以。如果你有fusion router,那么可以通过fusion router与传统的网络进行通信。正常我们推荐fusion router的设备包括:ISR4K或者ASR 1K。
问:SD-Access里,一个组可以同时加入多个VN吗?
答:一个group只能属于一个VN
问:DNAC和ISE之间的SGT和SGT策略传递是通过sxp实现的吗?
答:PxGrid + RestAPI
问:请问ISE中的设备识别库可以单独升级吗?
答:ISE的PAN可以直接从Cisco网站通过在线订阅服务下载最新的profiling数据库。要求PAN有Internet访问以及ISE的pluslicense。具体请参考:https://community.cisco.com/t5/security-documents/ise-profiling-design-guide/ta-p/3739456#toc-hId-1583438341
问:如果我ISE是主备部属模式,我在DNAC集成ISE时,只要写一个ISE的ip吗?
答:Primary PAN的IP即可
问:请问刚才在DNA center上添加ISE时,需要同时在ISE上添加DNA center吗?
答:不需要哦,只需要确保ISE 服务开启,在DNA-C上集成即可,最后需要在pxgrid那边查看状态。