此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文档包括用户使用CX云代理时可能会遇到的常见问题和故障排除方案。
答:是,对于某些特定部署方案,预期会重定向到cloudfront.net。在端口443上为这些FQDN启用重定向时,应允许非绑定访问。
A.是
A. OVA和VHD
A.针对OVA
对于VHD
A.是,检测到IP配置期间的IP地址分配。但是,不支持将来CX云代理预期的IP地址更改。建议客户在其DHCP环境中为CX云代理保留IP。
A.否,仅支持IPV4。
A.是,验证IP地址语法和重复IP地址分配。
答:OVA部署取决于网络复制数据的速度。IP配置(包括Kubernetes和容器创建)大约需要8-10分钟。
A.部署OVA的主机必须满足作为CX门户设置的一部分提供的要求。CX Cloud Agent在硬件上运行VMware/Virtual box的情况下接受测试,该硬件配置有Intel Xeon E5处理器,且vCPU与CPU的比例设置为2:1。如果使用性能较低的处理器CPU或较大的比率,性能可能会下降。
A.否,只能在CX云代理未注册时生成配对代码。
答:当CX云代理和思科DNA中心在客户环境中的同一个LAN/WAN网络中时,带宽不是限制因素。对于5000台设备的资产收集以及13000个用于座席与Cisco DNA Center连接的接入点的资产收集,所需的最低网络带宽为2.7Mb/秒。如果为第2级见解收集系统日志,则最低要求带宽为3.5 Mb/秒涵盖5000台设备,其中13000个无线接入点用于库存,5000台设备系统日志和2000台设备用于扫描-所有这些设备都从CX云代理并行运行。
A.可以从本地VM登录使用以下两条路径访问代理VM的Syslog:
/var/log/syslog.1(通过cxcadmin和cxcroot登录访问)
/var/log/syslog(使用root访问)
A.此处显示的是列出的CX云代理的已发布版本集:
其中A是分布在3-5年的长期释放。
A.要查找并升级到最新的CX云代理,请执行以下操作:
A. cxcadmin。
A.口令是在网络配置过程中设置的。
A. CX云代理不提供特定选项来重置密码,但可以使用Linux命令来重置cxcadmin的密码。
A.密码策略是:
A.要确认SSH的可达性,请执行以下操作:
Iptables -A OUTPUT -p tcp -m tcp —dport 22 -j接受
要在CX云代理中禁用上面启用的SSH端口,请执行以下操作:
iptables -L输出—line-number | grep dpt | grep ssh | awk“{print $1}”
iptables -L OUTPUT <行号>
A.要确认SNMP可达性,请执行以下操作:
iptables -A输出-p udp -m udp —dport 161 -j接受
iptables -A输出-p udp -m udp —dport 161 -j接受
snmpwalk -v2c -c cisco IPADDRESS
要在CX云代理中禁用上面启用的SNMP端口,请执行以下操作:
iptables -L输出—line-number | grep dpt | grep ssh | awk“{print $1}”
iptables -L OUTPUT <行号2号>
iptables -L OUTPUT <行号1号>
A.要设置Grub口令,请执行以下操作:
A.密码将在90天后过期。
A.是,该帐户在连续五(5)次失败尝试后被禁用。锁定时间为 30 分钟。
A.要生成口令,请执行以下操作:
A.是,但要使用主机名,用户必须在网络配置期间提供域名服务器(DNS) IP。
A.支持以下密码:
A.登录:
A.是,它们作为“var/logs/audit/audit.log”文件的一部分记录。
A.如果CX云代理空闲五(5)分钟,则会发生SSH会话超时。
A.提供以下端口:
美洲地区 |
欧洲、中东和非洲 |
亚太地区 |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud |
agent.emea.csco.cloud |
agent.apjc.csco.cloud |
ng.acs.agent.us.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
注意:除了列出的域外,当EMEA或APJC客户重新安装CX云代理时,客户防火墙中必须允许agent.us.csco.cloud域。
成功重新安装后,不再需要agent.us.csco.cloud域。
注意:请确保端口443上必须允许返回流量。
Inbound port:对于CX云代理的本地管理,必须可以访问514(系统日志)和22 (ssh)。客户必须允许其防火墙中的端口443从CX云接收数据。
与Cisco DNA Center和其他资产的CX云代理连接
问:Cisco DNA Center与CX Cloud Agent的用途和关系是什么?
答:思科DNA中心是管理客户端网络设备的云代理。CX云代理从已配置的Cisco DNA中心收集设备资产信息,并上传CX云的资产视图中可用的资产信息。
问:用户可以在何处提供有关CX云代理的Cisco DNA Center详细信息?
答:在“第0天- CX云代理”设置期间,用户可以从CX云门户添加Cisco DNA Center详细信息。在第N天运营期间,用户可以从
Admin Settings > Data Source添加其他Cisco DNA中心。
问:可以添加多少个Cisco DNA中心?
答:可以添加十(10)个Cisco DNA Center集群或20个Cisco DNA Center非集群。
问:如何从CX云代理中删除已连接的Cisco DNA Center?
答:要从CX云代理删除已连接的思科DNA中心,请联系技术支持中心(TAC),以从CX云门户提交支持案例。
问:Cisco DNA Center用户可以扮演什么角色?
A.用户角色可以是管理员或观察员。
问:由于连接的DNA中心凭证发生更改,CX云代理中的修改如何?
A.从CX云代理控制台执行cxcli agent modifyController命令:
在Cisco DNA Center凭证更新期间,如有任何问题,请联系支持部门。
问:思科DNA中心和种子文件资产详细信息如何存储在CX云代理中?
答:所有数据,包括CX云代理连接控制器(例如,思科DNA中心)和直接连接的资产(例如,通过种子文件、IP范围)的凭证,使用AES-256进行加密,并存储在CX云代理数据库中,该数据库使用安全的用户ID和密码进行保护。
问:添加其他资产时,输入IP范围是否存在任何限制?
A.是,CX云代理无法处理更大子网IP范围的发现操作。Cisco建议使用最小的子网范围,IP地址限制为10,000个。
问:公共子网能否用于集群和服务自定义子网的CX云代理v2.4部署?
答:思科建议不要使用公有IP子网,原因如下:
- 安全风险:公有IP地址使群集和服务暴露在互联网中,增加了未经授权的访问、攻击和潜在数据泄露的风险。
- IP地址冲突:使用公有IP子网可能会导致IP冲突,尤其是在Internet上的其他位置分配相同的IP地址时,会导致连接问题和意外行为。
- 网络配置的复杂性:在处理公有IP地址时,网络策略、防火墙规则和路由的管理会变得更加复杂。这可能会导致配置错误和增加维护开销。
如果仅将公共IP子网分配给客户组织并通过客户网络进行设置,则可以使用该IP子网。
问:多久启动一次重新发现操作?
答:只有在客户网络发生变化时(例如,在网络中添加或删除设备后),才应执行重新发现操作。
问:上传种子文件时添加“其他资产作为数据源”的工作流程是什么?
A.工作流程如下:
- 将种子文件上传到CX云。
- 种子文件临时存储在Cisco Cloud AWS S3存储桶中(启用SSE加密)。
- 种子文件被推送到CX云代理,种子文件将从S3存储桶中删除
- CX云代理处理种子文件条目并使用AES 256密钥(此密钥对于每个CX云代理是唯一的)对凭证进行加密。这些加密凭据存储在CX云代理数据库中。
- 一旦种子文件条目得到处理,就会从CX云代理中删除种子文件。
问: 从CX Cloud Agent访问Cisco DNA Center API时,使用哪种加密?
答:HTTPS over TLS 1.2用于Cisco DNA Center和CX Cloud Agent之间的通信。
问:CX云代理在集成的Cisco DNA Center云代理上执行哪些操作?
答: CX云代理从思科DNA中心收集有关网络设备的数据,并使用思科DNA中心命令运行程序界面与终端设备对话并执行CLI命令(show命令)。 不执行配置更改命令。
问:从Cisco DNA中心收集并上传到后端有哪些默认数据?
A.
- 网络实体
- 模块
- show version
- config
- 设备映像信息
- 标签
问: 从Cisco DNA Center收集哪些其他数据并上传到思科后端?
A.有关详细信息,请参阅本文档。
问:如何将资产数据上传到后端?
答: CX云代理通过TLS 1.2协议将资产数据上传到思科后端服务器。
问:资产上传频率是多少?
A.根据用户定义的计划触发收集,并将其上传到思科后端。
问:用户是否可以重新计划资产?
答:是,管理中心>数据源中提供了一个选项可以修改计划信息。
问:Cisco DNA Center和Cloud Agent之间的连接何时超时?
A.超时分类如下:
- 对于初始连接,超时时间最长为300秒。如果思科DNA中心和云代理之间最多五(5)分钟内未建立连接,则连接将终止。
- 对于循环、典型或更新:响应超时为1800秒。如果未收到响应或无法在30分钟内读取,连接将终止。
CX Cloud Agent 使用的诊断扫描
问:在设备上执行了哪些扫描命令?
A.在扫描过程中,动态确定需要在扫描设备上执行的命令。命令集可以随时间变化,即使对于同一设备(而不是控制诊断扫描)也是如此。
问:扫描结果存储在哪里?
A.扫描结果在思科后端存储和分析。
问:插入Cisco DNA Center源时,Cisco DNA Center中的重复项(按主机名或IP)是否已添加到Diagnostic Scan?
A.否,重复项将被过滤,以便只提取唯一设备。
问:如果某个命令扫描失败,会发生什么情况?
A.设备扫描完全停止并标记为不成功。
问:当多个扫描重叠时会发生什么?
A.同时执行多个诊断扫描可能会减慢扫描过程,并可能导致扫描失败。思科建议安排诊断扫描或启动按需扫描,这些扫描应至少间隔6-7小时,这样它们就不会重叠。
CX Cloud Agent 系统日志
问:哪些运行状况信息会发送到CX云门户?
答:应用日志、Pod状态、Cisco DNA中心详细信息、审核日志、系统详细信息和硬件详细信息。
问:收集了哪些系统详细信息和硬件详细信息?
A.输出示例:
system_details":{
"os_details":{
"containerRuntimeVersion":"docker://19.3.12",
"内核版本":"5.4.0-47-generic",
"kubeProxyVersion":"v1.15.12",
"库贝莱版本":"v1.15.12",
"计算机ID":"81edd7df1c1145e7bcc1ab4fe778615f",
"操作系统":"linux",
"osImage":"Ubuntu 20.04.1 LTS",
"systemUUID":"42002151-4131-2ad8-4443-8682911bdadb"
},
"hardware_details":{
"total_cpu":"8",
"cpu_utilization":"12.5%",
"总内存":"16007MB",
"可用内存":"9994MB",
"硬盘大小":"214G",
"free_hdd_size":"202G"
}
}
}
问:如何将运行状况数据发送到后端?
答:通过CX云代理,运行状况服务(可服务性)将数据流传输到思科后端。
问:后端的CX云代理运行状况数据日志保留策略是什么?
A. CX云代理的运行状况数据日志保留策略在后端为120天。
问:有哪些上传类型?
A.
- 资产上传
- 系统日志上传
- 代理运行状况上传,包括运行状况上传
- 服务运行状况-每五(5)分钟
- Podlog -每一(1)小时
- 审核日志-每一(1)小时
故障排除
问题:无法访问已配置的IP。
解决方案:使用配置的IP执行ssh。如果连接超时,可能原因是IP配置错误。在这种情况下,请通过配置有效的 IP 重新安装。这可以通过门户完成,在
Admin Center页面中提供了重新安装选项。
问题:如何在注册后验证服务是否启动并正常运行?
解决方案:按照以下步骤确认Pod已启动并正在运行:
- 通过ssh连接到作为cxcadmin的已配置IP
- 提供密码
- 执行kubectl get pods命令
Pod可以处于任何状态(正在运行、初始化或容器创建)。20分钟后,Pod必须处于运行状态。
如果状态未运行或Pod正在初始化,请使用kubectl describe pod <podname>命令检查Pod描述。
输出中将包含有关Pod状态的信息。
问题:如何验证是否在客户代理上禁用了SSL拦截器?
解决方案:执行此处所示的curl命令以验证服务器证书部分。 响应包含concsoweb服务器的证书详细信息。
curl -v —header 'Authorization: Basic xxxxxx' https://concsoweb-prd.cisco.com/
* 服务器证书:
* 主题:C=US;ST=California;L=San Jose;O=Cisco Systems, Inc.;CN=concsoweb-prd.cisco.com
* 开始日期:2月16日11:55:11 2021 GMT
* 到期日期:2月16日12:05:00 2022 GMT
* subjectAltName:主机“concsoweb-prd.cisco.com”与证书的“concsoweb-prd.cisco.com”匹配
* 颁发机构:C=US;O=HydrantID (Avalanche Cloud Corporation);CN=HydrantID SSL CA G3
* SSL证书验证正常。
> GET / HTTP/1.1
问题: kubectl命令失败,并显示错误“The connection to the server X.X.X.X:6443 was refused - do you specify the right host or port”(与服务器X.X.X.X:6443的连接被拒绝-您指定的主机或端口是否正确)
解决方案:
- 请验证资源的可用性。[示例:CPU、内存]。
- 等待 Kubernetes 服务启动.
问题:如何获取命令/设备的收集故障的详细信息?
解决方案:
- 执行
kubectl get pods 并获取集合Pod名称。
- 执行
kubectl logs <collectionPodName> 以获取命令/设备特定的详细信息。
问题: kubectl command not working with error "[authentication.go:64] Unable to authenticate the request due to an error: [x509: certificate has expired or is not yet valid, x509: certificate has expired or is not yet valid]"
解决方案:以cxcroot用户身份运行此处显示的命令
rm /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3
kubectl —insecure-skip-tls-verify=true delete secret -n kube-system k3s-serving
systemctl restart k3
收集失败响应
收集失败原因可能是控制器中添加的控制器或设备出现了任何限制或问题。
此处显示的表包含收集过程中在收集微服务下看到的使用案例的错误代码段。
使用案例 |
收集微服务中的日志片段 |
如果在 Cisco DNA Center 未找到请求的设备 |
{ |
如果无法从 Cisco DNA Center 访问请求的设备 |
{ |
如果无法从 Cisco DNA Center 访问请求的设备 |
{ |
如果请求的命令在设备中不可用 |
{ |
如果请求的设备没有SSHv2,并且思科DNA中心尝试通过SSHv2连接设备 |
{ |
如果在收集微服务中禁用了命令 |
{ |
如果命令运行器任务失败且 Cisco DNA Center 未返回任务 URL |
{ |
如果无法在 Cisco DNA Center 创建命令运行器任务 |
{ |
如果收集微服务没有收到来自Cisco DNA中心的对命令运行者请求的响应 |
{ |
如果 Cisco DNA Center 未在配置的超时(收集微服务中每个命令为 5 分钟)内完成任务 |
{ |
如果Command Runner Task失败,并且Cisco DNA Center提交的任务的文件ID为空 |
{ |
如果Command Runner任务失败,并且Cisco DNA Center未返回文件ID标记 |
{ |
如果设备不符合执行命令运行器的条件 |
{ |
如果为用户禁用了命令运行器 |
{ |
诊断扫描失败响应
扫描失败和原因可能来自列出的任何组件。
用户从门户启动扫描时,有时会出现“失败:内部服务器错误”(failed: Internal server error)。
此问题的原因是列出的组件之一
- 控制点
- 网络数据网关
- 连接器
- 诊断扫描
- CX Cloud Agent 微服务 [devicemanager, collection]
- Cisco DNA Center
- APIX
- Mashery
- Ping 访问
- IRONBANK
- IRONBANK GW
- 大数据代理(BDB)
要查看日志,请执行以下操作:
- 登录到CX Cloud Agent控制台。
- 执行.
kubectl get pods
- 获取集合、连接器和可维护性的Pod名称。
- 验证收集、连接器和可服务性微服务日志。
- 执行
kubectl logs <collectionpodname>
- 执行
kubectl logs <connector>
- 执行
kubectl logs <servicability>
下表显示在收集微服务日志和可服务性微服务日志下由于组件问题/限制而出现的错误片段。
使用案例 |
收集微服务中的日志片段 |
设备可以访问和受支持,但在该设备上执行的命令在收集微服务上以块形式列出 |
{ |
如果扫描设备不可用。 在入口、诊断扫描、CX组件和Cisco DNA Center等组件之间出现同步问题的情况下发生 |
找不到id为02eb08be-b13f-4d25-9d63-eaf4e882f71a的设备 |
如果尝试进行扫描的设备处于忙碌状态(在某种场景中),则同一设备是其他作业的一部分,并且没有从设备的Cisco DNA Center处理并行请求 |
其他会话中的命令运行程序已在查询所有请求的设备。请尝试其他设备 |
如果不支持对设备进行扫描 |
请求的设备不在资产中,请尝试使用资产中可用的其他设备 |
如果尝试扫描的设备无法访问 |
“执行命令时出错: show udi\n连接到设备时出错[主机:x.x.x.x:22]没有到主机的路由:没有到主机的路由 |
如果无法从 Cloud Agent 访问 Cisco DNA Center,或者 Cloud Agent 的收集微服务在 Cisco DNA Center 发出命令运行器请求时未收到任何响应 |
{ |
使用案例 |
控制点代理微服务中的日志片段 |
如果扫描请求缺少计划详细信息 |
未能执行请求 |
如果扫描请求缺少设备详细信息 |
未能创建扫描策略。请求中没有有效设备 |
如果与 CPA 之间的连接断开 |
未能执行请求 |
如果请求的扫描设备在诊断扫描中不可用 |
无法提交请求进行扫描。原因= {\"message\":\"未找到主机名=x.x.x.x'的设备\"} |
版本 | 发布日期 | 备注 |
---|---|---|
2.0 |
25-Jul-2024 |
为v2.4增加了新的问答 |
1.0 |
31-Oct-2022 |
初始版本 |