la automatización lan inclina y engaña para el centro de la … · en la versión 1.2 hay no más...

La automatización LAN inclina y engaña para elcentro de la Arquitectura de red DIGITAL (DNA) Contenido

IntroducciónGlosaryprerrequisitosRequiermentsInformación previaAntes de que usted comience¿Cuáles son los pasos que va la automatización LAN a través mientras que se ejecuta?Resolver problemas el diagramaRegistros relevantes de la automatización LAN del centro 1.1 DNARegistros relevantes de la automatización LAN del centro 1.2 DNARegistros relevantes del Public Key Infrastructure (PKI) del centro 1.x DNA¿Cómo ejecutar el tcpdump que se muestra en el organigrama?¿Cuál es que fichero bridge.png que usted está intentando copiar?La muestra captura cuando la comunicación de Secure Sockets Layer (SSL) no está trabajandocomo se esperaba (los ficheros completos .pcap asociados a este artículo)Mún certificado Posible causa:Verifique el certificado usando un navegadorMuestree la capturaResolución.El centro DNA reajusta la conexiónPosible causa:Captura de la muestraComandos debug útiles en el agente de PnP por problemas relacionados del certificadoLa respuesta es clave de la sesión autenticada previamente establecida que faltaGotchas de la automatización y de empilar LANCómo hacer la automatización LAN en una pila¿Formato del fichero de la correspondencia del hostname que puedo importar a mi tarea de laautomatización LAN?¿Adónde /mypnp entró en 1.2? Error del inventarioLa Conectividad existe pero los Certificados PKI no se empujan con éxito a los agentes de PnP

Introducción

Este documet proporciona a una descripción de la automatización local de la red de Aarea (LAN)para ayudarle a diagnosticar los problemas cuando la automatización LAN no trabaja como seesperaba en el centro de la Arquitectura de red DIGITAL (DNA).

Contribuido por Alexandro Carrasquedo, ingeniero del TAC de Cisco.

Glosary

Agente listo para el uso (de PnP): Nuevo dispositivo que usted acaba de accionar encendido sinlos config y ningunos Certificados que serán configurados automáticamente por el centro DNA.

Dispositivo simiente: Dispositivo que el centro DNA provisioned ya y que actúa como el servidordel Protocolo de configuración dinámica de host (DHCP).

Prerrequisitos

Requierments

Cisco recomienda fuertemente que usted tiene un Conocimiento general de la automatizaciónLAN y de la solución lista para el uso. da una descripción de la automatización LAN aunque sebase en el centro 1.0 DNA, el mismo concepto se aplican al centro 1.1 DNA y arriba.

Información previa

La automatización LAN es una solución cercana del despliegue del cero-tacto que le permiteconfigurar y provision sus dispositivos de red con el uso de ISIS como el protocolo de laencaminamiento de la arpillera.

Antes de que usted comience

Antes de que usted funcione con la automatización LAN, asegúrese de que su agente de PnP notenga ningunos Certificados cargados en NVRAM.

Edge1#dir nvram:*.cer

Directory of nvram:/*.cer

Directory of nvram:/

4 -rw- 820 <no date> IOS-Self-Sig#1.cer

6 -rw- 763 <no date> kube-ca#468ACA.cer

7 -rw- 882 <no date> sdn-network-#616F.cer

8 -rw- 807 <no date> sdn-network-#4E13CA.cer

2097152 bytes total (2033494 bytes free)

Edge1#delete nvram:*.cer

Asegúrese que usted no tenga ninguna dispositivos no reclamada en la página delaprovisionamiento > de los dispositivos > del inventario de dispositivos:

Debido a CSCvh68847 , algunas pilas no pudieron salir del estado no reclamado, y usted puedeser que consiga un mensaje de error ERROR_STACK_UNSUPPORTED. Este mensaje sucedecuando la automatización LAN intenta demandar el dispositivo para provision como si fuera un unsolo switch. Sin embargo, porque el dispositivo es una pila del Catalyst 9300 Switch, laautomatización LAN no puede demandar el dispositivo, y el dispositivo aparece como noreclamado. Semejantemente, PnP no demanda el dispositivo porque es una pila, así que eldispositivo no provisioned.

¿Cuáles son los pasos que va la automatización LAN a travésmientras que se ejecuta?

La DNA centra las disposiciones el dispositivo simiente con la configuración del DHCP. El alcancede los IP Addresses que el dispositivo simiente consigue es un segmento del pool inicial queusted definió cuando usted reservó el pool de la dirección IP para su sitio. Observe que este pooldebe ser por lo menos /25.

Nota: Este pool se divide en 3 segmentos:1. Los IP Addresses que se empuja al VLA N 1 en sus agentes de PnP.2. Los IP Addresses que se empuja a Loopbac0 en sus agentes de PnP.3. Los IP Addresses de /30 que se empuja a sus agentes de PnP en el link que conecta consu germen u otros dispositivos de la tela.

Para que el centro DNA provision sus agentes de PnP, la configuración del DHCP que eldispositivo simiente recibe debe tener opción 43 definida con la dirección IP del indicadorluminoso LED amarillo de la placa muestra gravedad menor de interfaz de red del empresa-revestimiento del centro DNA (NIC) o IP virtual del direccionamiento (VIP), si usted tiene unracimo del n-nodo.

Cuando los agentes de PnP arrancan, no tienen ninguna configuración. Por lo tanto, todos suspuertos son el VLA N 1. de la parte de. Por lo tanto, los dispositivos envían los mensajesDISCOVER DHCP al dispositivo simiente. Las respuestas del dispositivo simiente con una oferta

https://tools.cisco.com/bugsearch/bug/CSCvh68847







de los IP Addresses dentro del pool de la automatización LAN.

Ahora que usted entiende la secuencia inicial de automatización LAN, usted puede resolverproblemas el proceso si no está trabajando como se esperaba.

Resolver problemas el diagrama

Registros relevantes de la automatización LAN del centro 1.1 DNA

red-orquestación-servicio●

pnp-servicio●

Registros relevantes de la automatización LAN del centro 1.2 DNA

En la versión 1.2 hay no más un pnp-servicio así que usted necesidad de buscar los serviciossiguientes cuando usted está resolviendo problemas la automatización LAN:

red-orquestación●

diseño de red●

conexión-encargado-servicio●

onboarding-servicio (éste es el viejo pnp-servicio equivalente a partir del 1.1)●

Registros relevantes del Public Key Infrastructure (PKI) del centro 1.x DNA

apic-em-pki-broker-service●

apic-em-jboss-ejbca●

¿Cómo ejecutar el tcpdump que se muestra en el organigrama?

Edge1#dir nvram:*.cer

Directory of nvram:/*.cer

Directory of nvram:/

4 -rw- 820 <no date> IOS-Self-Sig#1.cer

6 -rw- 763 <no date> kube-ca#468ACA.cer

7 -rw- 882 <no date> sdn-network-#616F.cer

8 -rw- 807 <no date> sdn-network-#4E13CA.cer

2097152 bytes total (2033494 bytes free)

Edge1#delete nvram:*.cer

parada del *To este uso CTRL+C

Esto salva el fichero pnp_capture.pcap en /data/tmp/. Usted necesita copiar el fichero del centroDNA usando el comando del Secure Copy (SCP) o leer el fichero del centro DNA usando elcomando siguiente:

$ sudo tcpdump -ttttnnr /data/tmp/pnp_capture.pcap

[sudo] password for maglev:

reading from file capture.pcap, link-type EN10MB (Ethernet)

2018-03-08 20:09:27.369544 IP 192.168.31.1 > 192.168.31.10: ICMP host 192.168.1.2 unreachable,

length 36


length 36

2018-03-08 20:09:44.373056 ARP, Request who-has 192.168.31.1 tell 192.168.31.10, length 28

2018-03-08 20:09:44.374834 ARP, Reply 192.168.31.1 is-at 2c:31:24:cf:d0:62, length 46

2018-03-08 20:09:50.628539 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [S], seq 1113323684,

win 29200, options [mss 1460,sackOK,TS val 274921400 ecr 0,nop,wscale 7], length 0

2018-03-08 20:09:50.630523 IP 192.168.31.1.22 > 192.168.31.10.57234: Flags [S.], seq 2270495802,

ack 1113323685, win 4128, options [mss 1460], length 0

2018-03-08 20:09:50.630604 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [.], ack 1, win

29200, length 0

2018-03-08 20:09:50.631712 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [P.], seq 1:25, ack

1, win 29200, length 24

¿Cuál es que fichero bridge.png que usted está intentando copiar?

Es un archivo de imagen de 191 bytes que loctated en el centro DNA que usted quiere copiarusando el HTTP (sin usar los Certificados) o el HTTPS (usando los Certificados) para probar lacomunicación entre el centro DNA y su agente de PnP.

La muestra captura cuando la comunicación de Secure SocketsLayer (SSL) no está trabajando como se esperaba (los ficheroscompletos .pcap asociados a este artículo)

Mún certificado

Posible causa:

El certificado del centro DNA no tiene la dirección IP correcta en el campo alternativo sujetodel nombre (SAN).

●

Para controlar los campos SAN en su certificado, usted puede hacer el siguiente:

Verifique el certificado usando un navegador

Muestree la captura

Resolución.

Si usted tiene las de otras compañías CA (autoridad de certificación), asegúrese de que le den uncertificado con los IP Addresses del centro DNA y del VIP en él. Si usted no tiene las de otrascompañías CA, el centro DNA puede generar un certificado para usted. Entre en contacto con porfavor el TAC de Cisco para dirigirle con este proceso.

El centro DNA reajusta la conexión

Posible causa:

El centro DNA utiliza solamente TLS v1.2 por abandono.

A la solución alternativa esto, centro DNA del permiso para utilizar TLS v1 que sigue esta guía

Captura de la muestra

/content/en/us/td/docs/cloud-systems-management/network-automation-and-management/dna-center/1-1/admin/b_dnac_admin_guide_1_1/b_dnac_admin_guide_1_1_chapter_01.html#task_vq4_yyk_ybb

Comandos debug útiles en el agente de PnP por problemasrelacionados del certificado

transacciones crypto del pki de la depuración●

openssl SSL de la depuración●

errores del openssl SSL de la depuración●

errores del openssl SSL de la depuración●

pki crypto API de la depuración●

transacciones crypto del pki de la depuración●

msg del openssl SSL de la depuración●

La respuesta es clave de la sesión autenticada previamenteestablecida que falta

En la teoría, usted no debe tener dispositivos no reclamados en la página del aprovisionamiento >de los dispositivos > del inventario de dispositivos, pero ha habido los problemas donde, despuésde suprimir los dispositivos no reclamados de esta página, los dispositivos todavía mostraban enel centro ip>/mypnp de https:// <DNA. Si usted encuentra este decorado y le para ver un registrosimilar al siguiente en los registros de PnP o una indicación lo mismo en el GUI, asegúrese deque el dispositivo no aparezca como no reclamado en PnP:





length 36


length 36



2018-03-08 20:09:50.628539 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [S], seq 1113323684,


2018-03-08 20:09:50.630523 IP 192.168.31.1.22 > 192.168.31.10.57234: Flags [S.], seq 2270495802,


2018-03-08 20:09:50.630604 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [.], ack 1, win

29200, length 0

2018-03-08 20:09:50.631712 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [P.], seq 1:25, ack

1, win 29200, length 24

Gotchas de la automatización y de empilar LAN

En el centro 1.2 DNA la pila necesita ser anillo completo (un cable de la pila para una pila 2-member no puede trabajo).

●

El dispositivo de la pila necesita ser demandado por la automatización LAN puntualmente,aproximadamente menos de 10 minutos.

●

Una vez que está conectado con el centro DNA aparece como no reclamado en PnP. PnPutiliza la ventana de fecha y hora minuciosa 10 para la determinación de la pila y una vez queexpira que permanecerá en la sección no reclamada de la automatización LAN.

●

Si usted tiene los registros RCA o de PnP, usted puede buscar los mensajes de dispositivo noreclamados:





length 36


length 36



2018-03-08 20:09:50.628539 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [S], seq 1113323684,


2018-03-08 20:09:50.630523 IP 192.168.31.1.22 > 192.168.31.10.57234: Flags [S.], seq 2270495802,


2018-03-08 20:09:50.630604 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [.], ack 1, win

29200, length 0

2018-03-08 20:09:50.631712 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [P.], seq 1:25, ack

1, win 29200, length 24

Si no hay mensajes, después las notificaciones no reclamadas de los dispositivos no estánalcanzando el centro DNA y PnP no puede demandarlo.

Cómo hacer la automatización LAN en una pila

La parada normal uplinks a los dispositivos del germen.1.Comience la automatización LAN en el centro DNA.2.Suprima la configuración de inicialización de la pila. # escriba el borrado3.Quite todos los Certificados de NVRAM. # nvram de la cancelación: *.cer4.Quite el fichero vlan.dat. # delete flash: vlan.dat5.Del switch maestro, suprima los Certificados en el conmutador espera. # cancelaciónespera-nvram: *.cer

6.

a. Desconecte los cables de la pila.

b. Registro en la consola de cada switch miembro.

c. Suprima los Certificados. # nvram de la cancelación: *.cer

d. Suprima la base de datos vlan de los flas. # delete flash: vlan.dat

e. Vuelva a conectar los cables de la pila.

7. Reiniciar.

8. Espere el conmutador para registrarse como pila, saque a colación a todos los miembros, eintente comenzar el diálogo de configuración inicial.





length 36


length 36



2018-03-08 20:09:50.628539 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [S], seq 1113323684,


2018-03-08 20:09:50.630523 IP 192.168.31.1.22 > 192.168.31.10.57234: Flags [S.], seq 2270495802,


2018-03-08 20:09:50.630604 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [.], ack 1, win

29200, length 0

2018-03-08 20:09:50.631712 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [P.], seq 1:25, ack

1, win 29200, length 24

9. Active uplinks a los dispositivos del germen. # ninguna parada normal

¿Formato del fichero de la correspondencia del hostname quepuedo importar a mi tarea de la automatización LAN?

El centro DNA cuenta con a archivo CSV con el hostname y el número de serie (hostname,número de serie) tal y como se muestra en del ejemplo siguiente:

Para la automatización LAN de la pila, archivo CSV permite que usted ingrese un nombre de hosty los números de serie múltiples por la fila. Los números de serie necesitan ser separados por lascomas. See asoció archivo CSV para la referencia.

¿Adónde /mypnp entró en 1.2?

Tenga acceso a PnP en una de las maneras siguientes:

De su buscador Web, ingrese el centro IP>/networkpnp de https:// <DNA●

Del Home Page del centro DNA, seleccione la herramienta lista para el uso de la redsiguiente:

●

O yendo al centro IP>/networkpnp de https:// <DNA

Error del inventario

El error del inventario significa que el dispositivo, después de ser demandada por laautomatización LAN y recibiendo su configuración falló, para ser agregado para hacer uninventario. Este error ocurre generalmente debido a los config, una cierta encaminamiento, o losproblemas de las credenciales CLI.

Para verificar que usted esté intentando sacar a colación el dispositivo correcto con laautomatización LAN, tenga acceso remotamente a la dirección IP del interfaz del loopback 0 en eldispositivo usando el protocolo de conexión preferido (SSH o Telnet).

La Conectividad existe pero los Certificados PKI no se empujancon éxito a los agentes de PnP

Hay algunas veces donde los dispositivos en el centro pueden girarse no hacen fragmentos delbitof (DF) los paquetes entre DNAC y los agentes de PnP. Esto puede causar que bytes másgrandes de los paquetes de 1500, comúnmente los paquetes que contienen el certificado, estándesechados y por lo tanto la automatización LAN puede no completar. Algunos de los registroscomunes que se ven en los registros onboarding del centro DNA son:





length 36


length 36



2018-03-08 20:09:50.628539 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [S], seq 1113323684,


2018-03-08 20:09:50.630523 IP 192.168.31.1.22 > 192.168.31.10.57234: Flags [S.], seq 2270495802,


2018-03-08 20:09:50.630604 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [.], ack 1, win

29200, length 0

2018-03-08 20:09:50.631712 IP 192.168.31.10.57234 > 192.168.31.1.22: Flags [P.], seq 1:25, ack

1, win 29200, length 24

La acción sugerida en este caso es asegurarse de que la trayectoria entre el centro DNA y losagentes de PnP permite que las Tramas gigantes pasen con usar el comando system mtu 9100.

Mtu del sistema 9100 de Switch(config)#

la automatización lan inclina y engaña para el centro de la … · en la versión 1.2 hay no más...

Documents