購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
1486
閲覧回数
3
いいね!
0
コメント

DNA Center から IOS-XE デバイス への Netconf 接続に失敗する場合のチェックポイント

satwatan
Cisco Employee
Cisco Employee

‎2023-04-11 12:49 PM ‎2024-02-15 01:57 PM 更新

 

 

はじめに

本ドキュメントでは、Cisco Digital Network Architecture Center (DNA Center) から IOS-XE デバイスへの Netconf 接続に失敗する場合の一般的なチェックポイントについてまとめます。

  

チェックポイント

1. DNA Center の GUI にログインして設定を確認します。

[Provision > Network Devices > Inventory] を選択します。デバイスが一覧表示されますので、IOS-XE デバイス名の横にあるチェックボックスをオンにして、メニューから [Actions > Inventory > Edit Device] を選択します。
Edit Device ダイアログが表示されたら Credentials タブの CLI に設定されている Username/Password に誤りがないことを確認してください。また NETCONF Port と Protocol SSH2 が設定されていることを確認してください。

設定に誤りや漏れがある場合は、設定を Update することで改善が見られるか確認してください。

スクリーンショット 2023-04-06 15.44.34.png

 

2. IOS-XE デバイスの CLI にログインして設定を確認します。

下記はベーシックな設定例になりますが、Netconf 接続できるよう設定されていることを確認してください。
設定に誤りや漏れがある場合は、設定を修正・追加することで改善が見られるか確認してください。

aaa new-model
aaa authentication login default local
aaa authorization exec default local
!
username <name> privilege 15 password <password>
!
ip ssh version 2
!
line vty 0 4
transport input ssh
!
netconf-yang

参考資料:
Programmability Configuration Guide, Cisco IOS XE Bengaluru 17.6.x
Catalyst 9800 Programmability and Telemetry Deployment Guide

 

3. DNA Center の CLI から IOS-XE デバイスに Netconf 接続を実施します。

3-1)
まず IOS-XE デバイスの CLI にログインして設定を確認します。
下記の設定が入っている場合には Netconf でのログイン時のログが記録されません。

no login on-success log
no login on-failure log
no logging console

その場合は下記の設定を実施してください。

conf term
login on-failure log
login on-success log
logging console
exit

OS-XE デバイスに Telnet/SSH 接続している場合は下記の設定を実施してください。

terminal monitor

これで Netconf 接続時にログが表示されるはずですので、ターミナルは閉じずに次のステップに進んでください。

3-2)
DNA Center の CLI にログインして IOS-XE デバイスに Netconf 接続します。

ssh -vvv <Username>@<WLC_IP> -p 830 -s netconf

※ チェックポイント1 で確認した Username/Password を使用します
※ 接続時には debug や capability が表示されますので、出力が停止したことを確認してから Ctrl+C で切断します

IOS-XE デバイスでは Netconf 接続に成功すると以下のようなログが出力されます。Privilege level が15となっているか確認してください。

%DMI-5-AUTH_PASSED: Chassis 1 R0/0: dmiauthd: User '<USER_NAME>' authenticated successfully from <DNAC_IP>:<PORT> and was authorized for netconf over ssh. External groups: PRIV15

  

Service Request をオープンする際の取得ログ

Netconf 接続に失敗する問題が発生した場合には、DNA Center、IOS-XEデバイス、認証サーバ(Radius/Tacacs+)どこに被疑があるか切り分ける必要があります。
デバイスのログから被疑箇所と原因をある程度推測することができますので、Service request をオープンする必要がある場合には被疑デバイスの契約でオープンするようにしてください

取得ログ:
・上記チェックポイント1 のスクリーンショット
・上記チェックポイント3 のログ

・IOS-XE デバイスのログ
 ※接続時のログ出力からある程度原因を推測できますので確認してください
     show netconf-yang status
     show netconf-yang statistics
     show platform software yang-management process state
     show logging profile netconf-yang internal
     show logging process ncsshd internal
     show logging process dmiauthd internal
     show logging process ndbmand internal
     show logging process pubd internal
     show tech-support

・DNA Center 調査用ログ
DNAC: DNA Center 調査用ログ取得手順(Restricted Shell 未導入版)
DNAC: DNA Center 調査用ログ取得手順(Restricted Shell 導入版, 2.3.3 以降)

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents