le - dernière modification le par
Jimena Saez
Présentation du Community Live
Au delà de ses nombreux workflows de configuration, Catalyst Center permet d'automatiser la mise en place de tout type de configuration grâce au CLI templates. Cet outil offre le plus haut niveau de customisation pour pouvoir tirer profit de l'intégralité des fonctionnalités des équipements et leur logiciel: l'IOS-XE. Lors de ce webinar pratique nous avons vu à travers de nombreuses démos, comment prendre en main les templates pour gérer la conformité des configurations et adresser des cas d'utilisation spécifiques.
Pour apprendre davantage connectez-vous et téléchargez une copie du document en pdf.
Poser une nouvelle question ou regarder l'enregistrement
Pour poser une nouvelle question sur cet événement vous devrez créer un nouveau fil de discussion sur la section "Réseaux sans-fil" et choisir l'étiquette appropriée avant de la soumettre.
Poser une Question Regarder la Vidéo
Liste des Q&R du Community Live
Retrouvez la liste des questions posées lors du webinaire Community Live de notre événement. Toute question non répondue lors de la séance sera traitée à posteriori ici ou dans le forum de "Questions".
Liste des Questions et Réponses
- Question : J'ai pris l'habitude de faire mes template en velocity car plus simples pour des petits cas d'usages. Y a-t-il des outils pour traduire des template velocity en jinja svp ? - Adams A. (min.32)
- Question : Est à dire que le calycenter est du SDWAN ? - Natus F. (min.41)
- Question : Je ne peux que travailler en online ? pas en offline ? - Natus F. (min.42)
- Question : Bonjour, j'ai une question : Que se passe-t-il lorsqu'on un assign un Network Profile à un site (déjà provisionné via un template) ? Le CatC va-t-il supprimer la conf qu'il a poussé sur les équipements ? - Ilias B. (min.48)
- Question : Bonjour, j’avais une question sur les sources de données, est-il possible d’avoir une source externe ? Merci - Aymeric R. (min.48)
- Question : Est-ce que ça fonctionne aussi avec GLPI ?(GLPI est un équivalent ServiceNow)- Ibrahim-Khalil R. (min.62)
- Question : Vous préconisez de faire tout changement depuis Catalyst Center même le changement d'un port de vlan pour éviter toute erreur de compliance ? - Nabil K. (min.64)
- Question : Au niveau de la compliance, j'ai un template pour désactiver le http/https server. Cependant j'ai une alerte de compliance, "HTTP NR Setting, et "HTTPS NR Settings" avec la valeur attendue "True", quel est le meilleur moyen de gérer ce cas...
- Question : Est-il possible de vérifier la compliance des lignes en trop ? par exemple, si j'ai deux serveur radius configurer sur mon template et que j'ai 3 serveur configuré sur mon Switch, le Catalyst Center ne m'indique pas les lignes en trop comm...
- Question : Deuxième question : tous les combien de temps Catalyst Center vérifie la compliance des "network profile/template" avec la configuration d'un switch ? est ce parametrable ? - Clément D. (min.68)
- Question : Catalyst Center est-il désormais capable d'affecter automatiquement le custom Policy Tag à une borne wifi en PnP ? Je sais que cela était fonctionnel pour la partie Site Tag mais l'est-ce également pour le Policy Tag ? - Julien S. (min.79)
- Question du Chat : Bonjour, on peut remonter jusqu'à quand pour l'audit center ? - Rashid A. (min.26)
- Question du Chat : Velocity va être déprécié ? - Adams A. (min.29)
- Question du Chat : Avez-vous d'autres exemples de sources ? - Eric S. (min.69)
- Question du Chat : Puis-je avoir le lien vers le template pour deploiement 802.1X ? - Moise N. (min.71)
- Commentaire du Chat : DHCP option 43 est également couramment utilisé pour l'auto-configuration des AP Wi-Fi - Eric S. (min.85)
Question : J'ai pris l'habitude de faire mes template en velocity car plus simples pour des petits cas d'usages. Y a-t-il des outils pour traduire des template velocity en jinja svp ? - Adams A. (min.32)
Réponse (Florian G) : À ma connaissance, Cisco ne propose pas d'outils pour traduire des templates de velocity vers jinja. Peut-être que la communauté en a créé un.
Question : Est à dire que le calycenter est du SDWAN ? - Natus F. (min.41)
Réponse (Florian G) : Catalyst Center n'est pas conçu pour le SD-WAN. SD-WAN Manager (anciennement appelé vManage) est le contrôleur qui permet de faire du SD-WAN et du SD-Routing.
Question : Je ne peux que travailler en online ? pas en offline ? - Natus F. (min.42)
Réponse (Vincent M) : Il est possible de simuler l'execution du template pour voir le résultat en mode Offline, donc sans appliquer le template sur un équipement.
Question : Bonjour, j'ai une question : Que se passe-t-il lorsqu'on un assign un Network Profile à un site (déjà provisionné via un template) ? Le CatC va-t-il supprimer la conf qu'il a poussé sur les équipements ? - Ilias B. (min.48)
Réponse (Florian G) : Lorsqu'un template est détaché d'un network profile, rien ne se passe. Les changements ne se produisent qu'au moment du provisionning. Catalyst Center ne supprimera pas la configuration poussée sur les équipements.
Question : Bonjour, j’avais une question sur les sources de données, est-il possible d’avoir une source externe ? Merci - Aymeric R. (min.48)
Réponse (Vincent M) : La réponse à cette question a été donnée oralement.
Question : Est-ce que ça fonctionne aussi avec GLPI ? (GLPI est un équivalent ServiceNow) - Ibrahim-Khalil R. (min.62)
Réponse (Florian G) : L'intégration n'est pas native contrairement à ServiceNow, mais un workflow existe pour le pont entre Catalyst Center et différents ITSM via API. Plus d'information dans la documentation ici :
https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/Catalyst-Center-Platform-Documentation/2-3-7/itsm-ig/b-cisco-catalyst-center-itsm-ig-2-3-7/m_itsm_integration_workflows_1_4_0_0.html
Question : Vous préconisez de faire tout changement depuis Catalyst Center même le changement d'un port de vlan pour éviter toute erreur de compliance ? - Nabil K. (min.64)
Réponse (Jérôme D.) : Globalement oui. Mais je recommande surtout d'arrêter de configurer des VLANs sur des ports et de passer sur une configuration universelle des ports avec assignement automatique des VLANs depuis ISE.
Question : Au niveau de la compliance, j'ai un template pour désactiver le http/https server. Cependant j'ai une alerte de compliance, "HTTP NR Setting, et "HTTPS NR Settings" avec la valeur attendue "True", quel est le meilleur moyen de gérer ce cas ? - Aymeric R. (min.64)
Réponse (Florian G) : Je ne suis pas sûr de comprendre la question, mais il est possible de confirmer manuellement une violation connue pour qu'elle ne remonte plus. Jérôme en a parlé un peu plus tôt (slide Acknowledge Compliance Violations).
Question : Est-il possible de vérifier la compliance des lignes en trop ? par exemple, si j'ai deux serveur radius configurer sur mon template et que j'ai 3 serveur configuré sur mon Switch, le Catalyst Center ne m'indique pas les lignes en trop comme non compliant. Est-ce faisable ? - Clément D. (min.67)
Réponse (Florian G) : Plusieurs "types" de compliance existe dont le type "Network Settings" qui contrôle si les paramètres réseau sur un équipement correspondent à ceux configurés dans le menu Network Settings de Catalyst Center. Plus de détails dans la documentation :
https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/catalyst-center/2-3-7/user_guide/b_cisco_catalyst_center_user_guide_237/m-compliance-audit-for-network-devices.html
Question : Deuxième question : tous les combien de temps Catalyst Center vérifie la compliance des "network profile/template" avec la configuration d'un switch ? est ce parametrable ? - Clément D. (min.68)
Réponse (Florian G) : Les checks de compliances peuvent être planifiés (tous les jours à 12h), manuels ou automatiques (déclenchés par exemple par une trap SNMP). Je précise que "tous les jours à 12h" est un exemple, cela peut être configuré en fonction du besoin.
Question : Catalyst Center est-il désormais capable d'affecter automatiquement le custom Policy Tag à une borne wifi en PnP ? Je sais que cela était fonctionnel pour la partie Site Tag mais l'est-ce également pour le Policy Tag ? - Julien S. (min.79)
Réponse (Vincent M) : Cela est effectivement possible:
https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/catalyst-center/2-3-7/user_guide/b_cisco_catalyst_center_user_guide_237/m_configure-network-profiles.html#Cisco_Task_in_List_GUI.dita_e823717b-836d-4a05-...
Question du Chat : Bonjour, on peut remonter jusqu'à quand pour l'audit center ? - Rashid A. (min.26)
Réponse (Malika B.) : Bonjour Rachid, les durées de retention des informations sont décrites dans ce document : https://trustportal.cisco.com/c/dam/r/ctp/docs/privacydatasheet/DNA/cisco-dna-center-privacy-data-sheet.pdf
Question du Chat : Velocity va être déprécié ? - Adams A. (min.29)
Réponse (Jérôme D.) : Pas à ma connaissance.
Question du Chat : Avez-vous d'autres exemples de sources ? - Eric S. (min.69)
Réponse (Jérôme D.) : Il y a énormément de possibilités le mieux est de partir de ses besoins, pour ensuite voir comment tirer profit de ses sources dans les templates. On peut aider à construire les templates.
Question du Chat : Puis-je avoir le lien vers le template pour deploiement 802.1X ? - Moise N. (min.71)
Réponse (Jérôme D.) : Template posté en commentaire sur communities. (Voir ci-bas)
Commentaire du Chat : DHCP option 43 est également couramment utilisé pour l'auto-configuration des AP Wi-Fi - Eric S. (min.85)
Notre expert
Si vous avez des questions ou vous rencontrez des problèmes techniques par rapport aux produits Cisco, cliquez ici pour obtenir des informations supplémentaires sans frais. Visitez la page de la Communauté Cisco.
Merci à tous pour les échanges durant ce webinar. Comme cela m'a été demandé voici le template pour activer 802.1X/MAB sur un équipement en utilisant la syntaxe IBNS2.0. Je vous encourage à vérifier avant de mettre en production!
class-map type control subscriber match-all AAA_SVR_DOWN_AUTHD_HOST
match authorization-status authorized
match result-type aaa-timeout
class-map type control subscriber match-all AAA_SVR_DOWN_UNAUTHD_HOST
match authorization-status unauthorized
match result-type aaa-timeout
class-map type control subscriber match-all AUTHC_SUCCESS-AUTHZ_FAIL
match authorization-status unauthorized
match result-type success
class-map type control subscriber match-all DOT1X
match method dot1x
class-map type control subscriber match-all DOT1X_FAILED
match method dot1x
match result-type method dot1x authoritative
class-map type control subscriber match-all DOT1X_MEDIUM_PRIO
match authorizing-method-priority gt 20
class-map type control subscriber match-all DOT1X_NO_RESP
match method dot1x
match result-type method dot1x agent-not-found
class-map type control subscriber match-all DOT1X_TIMEOUT
match method dot1x
match result-type method dot1x method-timeout
class-map type control subscriber match-any IN_CRITICAL_AUTH
match activated-service-template DefaultCriticalVoice_SRV_TEMPLATE
class-map type control subscriber match-any IN_CRITICAL_AUTH_CLOSED_MODE
match activated-service-template DefaultCriticalAuthVlan_SRV_TEMPLATE
match activated-service-template DefaultCriticalVoice_SRV_TEMPLATE
class-map type control subscriber match-all MAB
match method mab
class-map type control subscriber match-all MAB_FAILED
match method mab
match result-type method mab authoritative
class-map type control subscriber match-none NOT_IN_CRITICAL_AUTH
match activated-service-template DefaultCriticalVoice_SRV_TEMPLATE
class-map type control subscriber match-none NOT_IN_CRITICAL_AUTH_CLOSED_MODE
match activated-service-template DefaultCriticalAuthVlan_SRV_TEMPLATE
match activated-service-template DefaultCriticalVoice_SRV_TEMPLATE
policy-map type control subscriber PMAP_DefaultWiredDot1xClosedAuth_1X_MAB
event session-started match-all
10 class always do-until-failure
10 authenticate using dot1x retries 2 retry-time 0 priority 10
event authentication-failure match-first
5 class DOT1X_FAILED do-until-failure
10 terminate dot1x
20 authenticate using mab priority 20
10 class AAA_SVR_DOWN_UNAUTHD_HOST do-until-failure
10 activate service-template DefaultCriticalAuthVlan_SRV_TEMPLATE
20 activate service-template DefaultCriticalVoice_SRV_TEMPLATE
30 authorize
40 pause reauthentication
20 class AAA_SVR_DOWN_AUTHD_HOST do-until-failure
10 pause reauthentication
20 authorize
30 class DOT1X_NO_RESP do-until-failure
10 terminate dot1x
20 authenticate using mab priority 20
40 class MAB_FAILED do-until-failure
10 terminate mab
20 authentication-restart 60
50 class DOT1X_TIMEOUT do-until-failure
10 terminate dot1x
20 authenticate using mab priority 20
60 class always do-until-failure
10 terminate dot1x
20 terminate mab
30 authentication-restart 60
event aaa-available match-all
10 class IN_CRITICAL_AUTH_CLOSED_MODE do-until-failure
10 clear-session
20 class NOT_IN_CRITICAL_AUTH_CLOSED_MODE do-until-failure
10 resume reauthentication
event agent-found match-all
10 class always do-until-failure
10 terminate mab
20 authenticate using dot1x retries 2 retry-time 0 priority 10
event inactivity-timeout match-all
10 class always do-until-failure
10 clear-session
event authentication-success match-all
event violation match-all
10 class always do-until-failure
10 restrict
event authorization-failure match-all
10 class AUTHC_SUCCESS-AUTHZ_FAIL do-until-failure
10 authentication-restart 60
policy-map type control subscriber PMAP_DefaultWiredDot1xClosedAuth_MAB_1X
event session-started match-all
10 class always do-until-failure
10 authenticate using mab priority 20
event authentication-failure match-first
5 class DOT1X_FAILED do-until-failure
10 terminate dot1x
20 authentication-restart 60
10 class AAA_SVR_DOWN_UNAUTHD_HOST do-until-failure
10 activate service-template DefaultCriticalAuthVlan_SRV_TEMPLATE
20 activate service-template DefaultCriticalVoice_SRV_TEMPLATE
30 authorize
40 pause reauthentication
20 class AAA_SVR_DOWN_AUTHD_HOST do-until-failure
10 pause reauthentication
20 authorize
30 class MAB_FAILED do-until-failure
10 terminate mab
20 authenticate using dot1x retries 2 retry-time 0 priority 10
40 class DOT1X_NO_RESP do-until-failure
10 terminate dot1x
20 authentication-restart 60
50 class DOT1X_TIMEOUT do-until-failure
10 terminate dot1x
20 authenticate using mab priority 20
60 class always do-until-failure
10 terminate mab
20 terminate dot1x
30 authentication-restart 60
event aaa-available match-all
10 class IN_CRITICAL_AUTH_CLOSED_MODE do-until-failure
10 clear-session
20 class NOT_IN_CRITICAL_AUTH_CLOSED_MODE do-until-failure
10 resume reauthentication
event agent-found match-all
10 class always do-until-failure
10 terminate mab
20 authenticate using dot1x retries 2 retry-time 0 priority 10
event inactivity-timeout match-all
10 class always do-until-failure
10 clear-session
event authentication-success match-all
event violation match-all
10 class always do-until-failure
10 restrict
event authorization-failure match-all
10 class AUTHC_SUCCESS-AUTHZ_FAIL do-until-failure
10 authentication-restart 60
policy-map type control subscriber PMAP_DefaultWiredDot1xLowImpactAuth_1X_MAB
event session-started match-all
10 class always do-until-failure
10 authenticate using dot1x retries 2 retry-time 0 priority 10
event authentication-failure match-first
5 class DOT1X_FAILED do-until-failure
10 terminate dot1x
20 authenticate using mab priority 20
10 class AAA_SVR_DOWN_UNAUTHD_HOST do-until-failure
10 activate service-template DefaultCriticalAuthVlan_SRV_TEMPLATE
20 activate service-template DefaultCriticalVoice_SRV_TEMPLATE
25 activate service-template DefaultCriticalAccess_SRV_TEMPLATE
30 authorize
40 pause reauthentication
20 class AAA_SVR_DOWN_AUTHD_HOST do-until-failure
10 pause reauthentication
20 authorize
30 class DOT1X_NO_RESP do-until-failure
10 terminate dot1x
20 authenticate using mab priority 20
40 class MAB_FAILED do-until-failure
10 terminate mab
20 authentication-restart 60
50 class DOT1X_TIMEOUT do-until-failure
10 terminate dot1x
20 authenticate using mab priority 20
60 class always do-until-failure
10 terminate dot1x
20 terminate mab
30 authentication-restart 60
event aaa-available match-all
10 class IN_CRITICAL_AUTH do-until-failure
10 clear-session
20 class NOT_IN_CRITICAL_AUTH do-until-failure
10 resume reauthentication
event agent-found match-all
10 class always do-until-failure
10 terminate mab
20 authenticate using dot1x retries 2 retry-time 0 priority 10
event inactivity-timeout match-all
10 class always do-until-failure
10 clear-session
event authentication-success match-all
event violation match-all
10 class always do-until-failure
10 restrict
event authorization-failure match-all
10 class AUTHC_SUCCESS-AUTHZ_FAIL do-until-failure
10 authentication-restart 60
policy-map type control subscriber PMAP_DefaultWiredDot1xLowImpactAuth_MAB_1X
event session-started match-all
10 class always do-until-failure
10 authenticate using mab priority 20
event authentication-failure match-first
5 class DOT1X_FAILED do-until-failure
10 terminate dot1x
20 authentication-restart 60
10 class AAA_SVR_DOWN_UNAUTHD_HOST do-until-failure
10 activate service-template DefaultCriticalAuthVlan_SRV_TEMPLATE
20 activate service-template DefaultCriticalVoice_SRV_TEMPLATE
25 activate service-template DefaultCriticalAccess_SRV_TEMPLATE
30 authorize
40 pause reauthentication
20 class AAA_SVR_DOWN_AUTHD_HOST do-until-failure
10 pause reauthentication
20 authorize
30 class MAB_FAILED do-until-failure
10 terminate mab
20 authenticate using dot1x retries 2 retry-time 0 priority 10
40 class DOT1X_NO_RESP do-until-failure
10 terminate dot1x
20 authentication-restart 60
50 class DOT1X_TIMEOUT do-until-failure
10 terminate dot1x
20 authenticate using mab priority 20
60 class always do-until-failure
10 terminate mab
20 terminate dot1x
30 authentication-restart 60
event aaa-available match-all
10 class IN_CRITICAL_AUTH do-until-failure
10 clear-session
20 class NOT_IN_CRITICAL_AUTH do-until-failure
10 resume reauthentication
event agent-found match-all
10 class always do-until-failure
10 terminate mab
20 authenticate using dot1x retries 2 retry-time 0 priority 10
event inactivity-timeout match-all
10 class always do-until-failure
10 clear-session
event authentication-success match-all
event violation match-all
10 class always do-until-failure
10 restrict
event authorization-failure match-all
10 class AUTHC_SUCCESS-AUTHZ_FAIL do-until-failure
10 authentication-restart 60
policy-map type control subscriber PMAP_DefaultWiredDot1xOpenAuth_1X_MAB
event session-started match-all
10 class always do-until-failure
10 authenticate using dot1x retries 2 retry-time 0 priority 10
event authentication-failure match-first
5 class DOT1X_FAILED do-until-failure
10 terminate dot1x
20 authenticate using mab priority 20
10 class AAA_SVR_DOWN_UNAUTHD_HOST do-until-failure
10 activate service-template DefaultCriticalAuthVlan_SRV_TEMPLATE
20 activate service-template DefaultCriticalVoice_SRV_TEMPLATE
30 authorize
40 pause reauthentication
20 class AAA_SVR_DOWN_AUTHD_HOST do-until-failure
10 pause reauthentication
20 authorize
30 class DOT1X_NO_RESP do-until-failure
10 terminate dot1x
20 authenticate using mab priority 20
40 class MAB_FAILED do-until-failure
10 terminate mab
20 authentication-restart 60
50 class DOT1X_TIMEOUT do-until-failure
10 terminate dot1x
20 authenticate using mab priority 20
60 class always do-until-failure
10 terminate dot1x
20 terminate mab
30 authentication-restart 60
event aaa-available match-all
10 class IN_CRITICAL_AUTH do-until-failure
10 clear-session
20 class NOT_IN_CRITICAL_AUTH do-until-failure
10 resume reauthentication
event agent-found match-all
10 class always do-until-failure
10 terminate mab
20 authenticate using dot1x retries 2 retry-time 0 priority 10
event inactivity-timeout match-all
10 class always do-until-failure
10 clear-session
event authentication-success match-all
event violation match-all
10 class always do-until-failure
10 restrict
event authorization-failure match-all
10 class AUTHC_SUCCESS-AUTHZ_FAIL do-until-failure
10 authentication-restart 60
policy-map type control subscriber PMAP_DefaultWiredDot1xOpenAuth_MAB_1X
event session-started match-all
10 class always do-until-failure
10 authenticate using mab priority 20
event authentication-failure match-first
5 class DOT1X_FAILED do-until-failure
10 terminate dot1x
20 authentication-restart 60
10 class AAA_SVR_DOWN_UNAUTHD_HOST do-until-failure
10 activate service-template DefaultCriticalAuthVlan_SRV_TEMPLATE
20 activate service-template DefaultCriticalVoice_SRV_TEMPLATE
30 authorize
40 pause reauthentication
20 class AAA_SVR_DOWN_AUTHD_HOST do-until-failure
10 pause reauthentication
20 authorize
30 class MAB_FAILED do-until-failure
10 terminate mab
20 authenticate using dot1x retries 2 retry-time 0 priority 10
40 class DOT1X_NO_RESP do-until-failure
10 terminate dot1x
20 authentication-restart 60
50 class DOT1X_TIMEOUT do-until-failure
10 terminate dot1x
20 authenticate using mab priority 20
60 class always do-until-failure
10 terminate mab
20 terminate dot1x
30 authentication-restart 60
event aaa-available match-all
10 class IN_CRITICAL_AUTH do-until-failure
10 clear-session
20 class NOT_IN_CRITICAL_AUTH do-until-failure
10 resume reauthentication
event agent-found match-all
10 class always do-until-failure
10 terminate mab
20 authenticate using dot1x retries 2 retry-time 0 priority 10
event inactivity-timeout match-all
10 class always do-until-failure
10 clear-session
event authentication-success match-all
event violation match-all
10 class always do-until-failure
10 restrict
event authorization-failure match-all
10 class AUTHC_SUCCESS-AUTHZ_FAIL do-until-failure
10 authentication-restart 60
!
template DefaultWiredDot1xClosedAuth
dot1x pae authenticator
dot1x timeout supp-timeout 7
dot1x max-req 3
switchport mode access
switchport voice vlan 2046
mab
access-session closed
access-session port-control auto
authentication periodic
authentication timer reauthenticate server
service-policy type control subscriber PMAP_DefaultWiredDot1xClosedAuth_1X_MAB
!
template DefaultWiredDot1xLowImpactAuth
dot1x pae authenticator
dot1x timeout supp-timeout 7
dot1x max-req 3
switchport mode access
switchport voice vlan 2046
mab
access-session port-control auto
authentication periodic
authentication timer reauthenticate server
service-policy type control subscriber PMAP_DefaultWiredDot1xLowImpactAuth_1X_MAB
!
template DefaultWiredDot1xOpenAuth
dot1x pae authenticator
dot1x timeout supp-timeout 7
dot1x max-req 3
switchport mode access
switchport voice vlan 2046
mab
access-session port-control auto
authentication periodic
authentication timer reauthenticate server
service-policy type control subscriber PMAP_DefaultWiredDot1xOpenAuth_1X_MAB
!
{% for IBNS_interface in IBNS_interfaces %}
default interface {{ IBNS_interface }}
interface {{ IBNS_interface }}
switchport mode access
device-tracking attach-policy IPDT_POLICY
dot1x timeout tx-period 7
dot1x max-reauth-req 3
source template {{ IBNS_Type }}
spanning-tree portfast
spanning-tree bpduguard enable
{% endfor %}Et voici la définition des variables
La plateforme communities ne me permet pas de vous partager directement le fichier json que vous pourriez importer sur Catalyst Center. Du coup il vous faudra faire un petit effort
N'hésitez pas à me contacter pour en savoir plus et à partager vos propres templates.