はじめに
このドキュメントでは、Cisco Digital Network Architecture Center (DNA Center) で Wireless Assurance 情報が取得できない場合の一般的なチェックポイントについてまとめます。なお本ドキュメントで対象としているデバイスは IOS-XE ベースの Wireless LAN Controller (WLC) 製品となります。
WLC は DNA Center によって既に Discovery され、Site assign や Provision の設定が完了していることを前提としています。また WLC は DNA Center のバージョンと互換性のある IOS-XE バージョンを使用している必要があります。Compatibility の詳細については Compatibility Matrix を参照してください。
チェックポイント
- Assurance Dashboard の Location で適切なサイト(デバイスがアサインされているサイト)が選択されている状態で Assurance 情報が表示されていないのか確認してください。
- DNA Center の Inventory で WLC がサイトにアサインされ Reaciability が Reachable、Manageability が Managed、Provisioning Status が Success となっているか確認してください。
Missing Netconf port など Netconf 関連エラーが表示される場合は以下のドキュメントを参考に切り分けを実施してください。
DNA Center から IOS-XE デバイス への Netconf 接続に失敗する場合のチェックポイント - DNA Center と WLC, AP が NTP で時刻同期されているか確認してください。
DNA Center:
ntpq -c rv
ntpq -pn
dateWLC:
show ntp associations detail
show ntp status
show clock
AP:
show clock
DNA Center で NTP server を再設定する場合は Configuration wizard を使用してください。設定方法の詳細については以下のドキュメントを参照してください。
Reconfigure the Appliance Using the Configuration Wizard - DNA Center が通信に使用するポートがファイアウォール等でブロックされていないことを確認してください。
Wireless の Telemetry connection には TCP 25103 が使用されます。デバイスが DNA Center からソフトウェアイメージや証明書をダウンロードする際には TCP 22, 80, 443 が使用されます。詳細については以下のドキュメントを参照してください。
Cisco DNA Center Security Best Practices Guide - WLC で Telemetry connection が確立して Active ステータスとなっているか確認してください。
(IOS-XE 17.6以前)
show telemetry internal connection
show telemetry internal protocol tls-native manager <Peer_Address> 25103 source-address <Source_Address>(IOS-XE 17.7以降)
show telemetry connection all
show telemetry connection <Index> detail
show telemetry internal protocol tls-native manager <Peer_Address> 25103 source-vrf <VRF> <Source_Address> - WLC で Network assurance が有効になっているか確認してください。
show network-assurance summary - WLC に必要な証明書がインストールされているか確認してください。インストールされている場合は期限切れとなっていないか確認してください。
show crypto pki trustpoints DNAC-CA
show crypto pki trustpoints sdn-network-infra-iwan
show crypto pki certificates DNAC-CA
show crypto pki certificates sdn-network-infra-iwan - WLC に Telemetry subscription 設定がされて Valid なステータスとなっているか確認してください。
show telemetry ietf subscription all - 上記チェックポイントの結果から DNA Center からデバイスに必要な設定や証明書がプッシュされていない可能性がある場合は、テレメトリ設定を更新することで改善が見られるか確認してください。
9-1) [System > Settings > Device Settings > Device Controllability] から Device Controllability が Enable となっているか確認してください。Disable となっている場合は Enable に設定変更してください。
9-2) [Design > Network Settings > Telemetry > Wireless Controller, Access Point and Wireless Clients Health] から Wireless Telemetry が Enable となっているか確認してください。Disable となっている場合は Enable に設定変更してください。
9-3) Inventory ページで WLC を選択して [Actions > Telemetry > Update Telemetry Settings (Force Configuration Push)] を実行してください。手順の詳細については以下のドキュメントを参照してください。
Update Device Configuration Using Telemetry
タスクが完了したら [Activity/Tasks] からタスクの実行結果を確認してください。
その後しばらく待ってから改善が見られるか確認してください。 - DNA Center からデバイスに必要な設定や証明書がプッシュされていても Telemetry connection が確立しない場合は、パケットキャプチャによる切り分けを実施してください。
(version 2.3.3) _shell
(version 2.3.4以降) _shell -v <Consent_Token_Response>
※ magshell の場合は bash に遷移します
※ magshell の詳細についてはこちらのドキュメントをご参照くださいsudo tcpdump -i <ifname> port 25103 and host <WLC_Mgmt_Address> -w /home/maglev/capture.pcap
※ <ifname> には Enterprise port の Interface name を指定します (ip addr コマンドの出力から確認できます)
※ 3-node cluster 構成の場合は VIP を持つ VRRP active node で tcpdump を取得する必要があります
※ 10分ほどパケットキャプチャを行ったら Ctrl+C で tcpdump を停止します
※ 保存されたファイルは sudo chmod 666 /home/maglev/capture.pcap にて権限を変更したうえで SCP 等でダウンロードします
※ ダウンロード後は rm /home/maglev/capture.pcap にてファイルを削除します
※ 外部 SCP クライアントからファイルをダウンロードする場合はファイルを /home/maglev/.magshell/ 配下に移動してください - WLC で Telemetry connection が確立して Active ステータスとなっていても Wireless Assurance 情報が表示されていない場合は [System > Data Platform > Collectors/Pipelines] から Collector と Pipeline のステータスに問題がないか確認してください。
Service Request をオープンする際の注意点と取得ログ
Wireless Assurance 情報が取得できない問題が発生した場合には、DNA Center とデバイスどちらに被疑があるか切り分ける必要があります。デバイスのログやキャプチャから被疑箇所と原因をある程度推測することができますので、Service request をオープンする必要がある場合には被疑デバイスの契約でオープンするようにしてください。
取得ログ:
・上記チェックポイント2 で Export から CSV ファイルを取得
・上記チェックポイント3〜8 の確認結果
・上記チェックポイント9-1,9-2 の確認結果、9-3 のタスク実行日時と実行結果のスクリーンショット
・上記チェックポイント10 のパケットキャプチャ
・WLC ログ
terminal length 0
show network-assurance summary
show crypto pki trustpoints DNAC-CA
show crypto pki trustpoints sdn-network-infra-iwan
show crypto pki certificates verbose DNAC-CA
show crypto pki certificates verbose sdn-network-infra-iwan
show crypto key mypubkey rsa
(IOS-XE 17.6以前) show telemetry internal connection
(IOS-XE 17.6以前) show telemetry internal protocol tls-native manager <Peer_Address> 25103 source-address <Source_Address>
(IOS-XE 17.7以降) show telemetry connection all
(IOS-XE 17.7以降) show telemetry connection <Index> detail
(IOS-XE 17.7以降) show telemetry internal protocol tls-native manager <Peer_Address> 25103 source-vrf <VRF> <Source_Address>
show telemetry ietf subscription all
show telemetry internal subscription all stats
show telemetry internal protocol tls-native connector counters drop
show telemetry internal protocol tls-native connector counters queue
show telemetry internal diagnostics
show ip ports all
show logging process pubd internal reverse
show running-config
show tech-support wireless
show tech-support
・DNA Center ログ
(version 2.3.3) _shell
(version 2.3.4以降) _shell -v <Consent_Token_Response>
※ magshell の場合は bash に遷移します
※ magshell の詳細についてはこちらのドキュメントをご参照ください
netstat -an | grep 25103
magctl service attach iosxe
ss | grep 25103
exit
echo | openssl s_client -connect <DNAC_Address>:25103 2>/dev/null
curl -s 'http://collector-iosxe-db.assurance-backend.svc.cluster.local:8077/api/internal/rca' | python -m json.tool
curl -s 'http://collector-iosxe-db.assurance-backend.svc.cluster.local:8077/api/internal/about' | python -m json.tool
curl -s 'http://collector-iosxe-db.assurance-backend.svc.cluster.local:8077/api/internal/device/data' | python -m json.tool
curl -s 'http://collector-iosxe-db.assurance-backend.svc.cluster.local:8077/api/internal/pki/device/truststore' | jq
curl -s 'http://collector-iosxe-db.assurance-backend.svc.cluster.local:8077/api/internal/pki/server/certificate' | jq
・DNA Center 調査用ログ
DNAC: DNA Center 調査用ログ取得手順(Restricted Shell 未導入版)
DNAC: DNA Center 調査用ログ取得手順(Restricted Shell 導入版, 2.3.3 以降)
