本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
本文檔包括使用者使用CX雲代理時可能遇到的常見問題和故障排除方案。
答:是,對於某些特定部署方案,預期重定向到cloudfront.net。在埠443上為這些FQDN啟用重定向的情況下,應允許非繫結訪問。
A.是
A. OVA和VHD
A.對於OVA
適用於VHD
A. 是,在IP配置期間檢測到IP地址分配。但是,不支援未來CX雲代理的IP地址更改。建議客戶在其DHCP環境中為CX雲代理保留IP。
A.否,僅支援IPV4。
A.是,驗證IP地址語法和重複的IP地址分配。
答:OVA部署取決於網路複製資料的速度。IP配置大約需要8-10分鐘,包括Kubernetes和容器建立。
A.部署OVA的主機必須滿足作為CX門戶設定的一部分提供的要求。CX Cloud Agent使用運行在硬體上的VMware/Virtual box進行測試,該硬體的Intel Xeon E5處理器將vCPU與CPU的比率設定為2:1。如果使用效能較低的處理器CPU或較大的比率,效能可能會降低。
A.否,僅當未註冊CX雲代理時才能生成配對代碼。
答:當CX雲代理和Cisco DNA中心位於客戶環境中的同一個LAN/WAN網路時,頻寬不是限制。對於5000台裝置的資產收集,最低網路頻寬要求是2.7Mbit/秒,對於座席與Cisco DNA Center的連線來說,此要求是13000個存取點。如果為第2級見解收集系統日誌,則所需的最低頻寬為3.5 Mbits/sec,涵蓋5000台裝置,其中13000個存取點用於庫存,5000台裝置系統日誌和2000台裝置用於掃描-所有裝置都從CX雲代理並行運行。
A.可以使用以下兩個路徑從本地VM登入訪問代理VM的Syslog:
/var/log/syslog.1(透過cxcadmin和cxcroot登入訪問)
/var/log/syslog(使用根訪問)
A.此處顯示的是列出的CX雲代理的已發佈版本集:
其中A是分佈在3-5年的長期釋放。
A.要查詢並升級為最新的CX雲代理,請執行以下操作:
A. cxcadmin。
A.口令是在網路配置過程中設定的。
A. CX Cloud Agent未提供重置口令的特定選項,但可以使用Linux命令重置cxcadmin的口令。
A.密碼策略為:
A.要確認SSH可達性,請執行以下操作:
Iptables -A輸出-p tcp -m tcp —dport 22 -j接受
要在CX雲代理中停用以上啟用的SSH埠:
iptables -L OUTPUT —line-number | grep dpt | grep ssh | awk「{print $1}」
iptables -L OUTPUT <行號>
A.要確認SNMP可接通性,請執行以下操作:
iptables -A輸出-p udp -m udp —dport 161 -j接受
iptables -A輸出-p udp -m udp —dport 161 -j接受
snmpwalk -v2c -c cisco IPADDRESS
要在CX雲代理中停用以上啟用的SNMP埠:
iptables -L OUTPUT —line-number | grep dpt | grep ssh | awk「{print $1}」
iptables -L OUTPUT <行號2號>
iptables -L OUTPUT <行號1號>
A.設定Grub密碼:
A.密碼將在90天後過期。
A.是,該帳戶在連續五(5)次失敗嘗試後被停用。鎖定期間為 30 分鐘。
A.若要產生複雜密碼:
答:是的,但是要使用主機名,使用者必須在網路配置過程中提供域名伺服器(DNS) IP。
A.支援以下密碼:
A.若要登入,請執行下列動作:
A.是的,它們作為「var/logs/audit/audit.log」檔案的一部分進行記錄。
A.如果CX雲代理空閒五(5)分鐘,則會發生SSH會話超時。
A.以下埠可用:
美洲 |
歐洲、中東與非洲地區 |
亞太地區、日本及中國 |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud |
agent.emea.csco.cloud |
agent.apjc.csco.cloud |
ng.acs.agent.us.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
注意:除了列出的域外,當EMEA或APJC客戶重新安裝CX雲代理時,客戶防火牆中必須允許agent.us.csco.cloud域。
成功重新安裝後,不再需要agent.us.csco.cloud域。
注意:請確保埠443上必須允許返回資料流。
Inbound port:對於CX雲代理的本地管理,必須可以訪問514(Syslog)和22 (ssh)。客戶必須允許防火牆中的埠443從CX雲接收資料。
與Cisco DNA Center和其他資產的CX雲代理連線
問:Cisco DNA Center與CX Cloud Agent的用途和關係是什麼?
答:思科DNA中心是管理客戶端網路裝置的雲代理。CX雲代理從已配置的Cisco DNA中心收集裝置資產資訊,並上傳CX雲的資產檢視中提供的資產資訊。
問:使用者可以在哪裡提供有關CX雲代理的Cisco DNA Center詳細資訊?
答:在「第0天- CX雲代理」設定期間,使用者可以從CX雲門戶增加Cisco DNA Center詳細資訊。在「第N天」運營期間,使用者可以從
Admin Settings > Data Source增加其他Cisco DNA中心。
問:可以增加多少個Cisco DNA中心?
答:可以增加10個Cisco DNA Center集群或20個Cisco DNA Center非集群。
問:如何從CX雲代理中刪除已連線的思科DNA中心?
A.要從CX雲代理刪除已連線的Cisco DNA中心,請聯絡技術支援中心(TAC),從CX雲門戶提交支援案例。
問:Cisco DNA Center使用者可擔任什麼角色?
A.使用者角色可以是admin或observer。
問:由於連線的DNA中心憑據發生變化,CX雲代理中的修改會反映如何?
A.從CX Cloud Agent控制檯執行cxcli agent modifyController命令:
在Cisco DNA Center憑證更新期間,如有任何問題,請聯絡支援人員。
問:思科DNA中心和種子檔案資產詳細資訊如何儲存在CX雲代理中?
A.所有資料,包括CX Cloud Agent連線的控制器(如Cisco DNA Center)和直接連線的資產(如透過種子檔案、IP範圍)的憑證,都使用AES-256進行加密,並儲存在CX Cloud Agent資料庫中,該資料庫受安全使用者ID和密碼的保護。
問:增加其他資產時,輸入IP範圍是否存在任何限制?
A.是的,CX雲代理無法處理更大子網IP範圍的發現操作。Cisco建議使用最小的子網範圍,限制在10,000個IP地址以內。
問:能否為集群和服務自定義子網的CX Cloud Agent v2.4部署使用公共子網?
答:由於以下原因,思科不建議使用公共IP子網:
- 安全風險:公共IP地址使群集和服務暴露於網際網路,增加了未經授權的訪問、攻擊和潛在資料洩露的風險。
- IP地址衝突:使用公有IP子網可能導致IP衝突,尤其是在Internet的其他位置分配相同的IP地址時,這會導致連線問題和意外行為。
- 網路配置的複雜性:在處理公共IP地址時,管理網路策略、防火牆規則和路由會變得更加複雜。這可能會導致配置錯誤和增加維護開銷。
如果公有IP子網僅分配給客戶組織並透過客戶網路進行設定,則可以使用公有IP子網。
問:多久啟動一次重新發現操作?
A.僅當客戶網路發生變化時(例如,在網路中增加或刪除裝置後),才應執行重新發現操作。
問:上載種子檔案時增加「其他資產作為資料來源」的工作流程是什麼?
A.工作流程如下:
- 將種子檔案上傳到CX雲。
- 種子檔案臨時儲存在Cisco Cloud AWS S3儲存桶中(啟用SSE加密)。
- 種子檔案被推送到CX Cloud Agent,種子檔案將從S3儲存桶中刪除
- CX雲代理處理種子檔案條目並使用AES 256金鑰(此金鑰對於每個CX雲代理都是唯一的)對憑據進行加密。這些加密的憑據儲存在CX雲代理資料庫中。
- 處理種子檔案條目後,將從CX Cloud Agent中刪除種子檔案。
問題: 從CX雲代理訪問Cisco DNA Center API時使用了哪種加密?
A. HTTPS over TLS 1.2用於Cisco DNA Center和CX Cloud Agent之間的通訊。
問:CX雲代理在整合的Cisco DNA中心雲代理上執行哪些操作?
答. CX雲代理從Cisco DNA中心收集有關網路裝置的資料,並使用Cisco DNA Center命令運行程式介面與終端裝置通話並執行CLI命令(show命令)。 未執行任何設定變更命令。
問:從思科DNA中心收集哪些預設資料並上傳到後端?
A.
- 網路實體
- 模組
- 顯示版本
- 設定
- 裝置影像資訊
- 標記
問題: 從Cisco DNA Center收集哪些其他資料並上傳到Cisco後端?
A.如需詳細資訊,請參閱本檔案。
問:如何將庫存資料上傳到後端?
A. CX雲代理透過TLS 1.2協定將資產資料上傳到思科後端伺服器。
問:庫存上傳頻率是多少?
答:收集根據使用者定義的計畫觸發,並上傳到思科後端。
問:使用者能否重新安排庫存?
A.是,管理中心>資料來源中提供修改排程資訊的選項。
問:Cisco DNA Center和雲代理之間的連線超時何時發生?
A.逾時分類如下:
- 對於初始連線,超時最大為300秒。如果在5(5)分鐘內未建立Cisco DNA Center和Cloud Agent之間的連線,則連線終止。
- 對於循環、典型或更新:響應超時為1800秒。如果未收到響應或無法在30分鐘內讀取,連線將終止。
CX Cloud Agent 使用的診斷掃描
問:在裝置上執行了哪些掃描命令?
A.掃描過程中動態確定需要在掃描裝置上執行的命令。即使對於同一裝置,命令集也可能會隨著時間的推移而變化(並且不由診斷掃描控制)。
問:掃描結果在哪裡儲存和分析?
A.掃描結果在思科後端儲存和分析。
問:當插入Cisco DNA Center源時,Cisco DNA Center中的重複項(按主機名或IP劃分)是否被增加到診斷掃描中?
A.否,過濾重複項,以便僅提取唯一裝置。
問:當其中一個命令掃描失敗時,會出現什麼情況?
A.裝置掃描完全停止並標籤為失敗。
問:當多個掃描重疊時會發生什麼?
A.同時執行多個診斷掃描可能會減慢掃描過程,並可能導致掃描失敗。思科建議計畫診斷掃描或啟動按需掃描,這些掃描應與資產收集計畫至少相隔6-7小時,以便不會重疊。
CX Cloud Agent 系統日誌
問:哪些運行狀況資訊傳送到CX雲門戶?
答:應用日誌、Pod狀態、Cisco DNA中心詳細資訊、稽核日誌、系統詳細資訊和硬體詳細資訊。
問:收集了哪些系統詳細資訊和硬體詳細資訊?
A.輸出示例:
system_details":{
"os_details":{
"containerRuntimeVersion":"docker://19.3.12",
"kernelVersion":"5.4.0-47-generic",
"kubeProxyVersion":"v1.15.12",
"kubeletVersion":"v1.15.12",
"machineID":"81edd7df1c1145e7bcc1ab4fe778615f",
"作業系統":"linux",
"osImage":"Ubuntu 20.04.1 LTS",
"systemUUID":"42002151-4131-2ad8-4443-8682911bdadb"
},
"hardware_details":{
"total_cpu":"8",
"cpu_utilization":"12.5%",
"total_memory":"16007MB",
"free_memory":"9994MB",
"hdd_size":"214G",
"free_hdd_size":"202G"
}
}
}
問:如何將健康資料傳送到後端?
答:使用CX雲代理,運行狀況服務(可服務性)將資料流傳輸到思科後端。
問:後端的CX雲代理運行狀況資料日誌保留策略是什麼?
A.後端的CX雲代理運行狀況資料日誌保留策略為120天。
問:有哪些型別的上傳可用?
A.
- 資產上傳
- 系統日誌上傳
- 代理健康上傳,包括健康上傳
- 服務運行狀況-每五(5)分鐘
- Podlog -每一(1)小時
- 稽核日誌-每(1)小時
疑難排解
問題:無法訪問已配置的IP。
解決方案:使用配置的IP執行ssh。如果連線超時,可能原因是IP配置錯誤。在這種情況下,可設定有效 IP 來重新安裝。這可以透過入口網站完成,在
Admin Center頁面中提供了重新安裝選項。
問題:如何在註冊後驗證服務是否啟動並正常運行?
解決方案:按照以下步驟確認Pod是否已啟動並正常運行:
- 透過ssh連線到已配置的IP作為cxcadmin
- 提供密碼
- 執行kubectl get pods命令
Pod可以處於任何狀態(正在運行、初始化或容器建立)。20分鐘後,Pod必須處於「正在運行」狀態。
如果狀態未運行或Pod初始化,請使用kubettl describe pod <podname>命令檢查Pod描述。
輸出將包含有關Pod狀態的資訊。
問題:如何驗證是否在客戶代理上停用了SSL攔截器?
解決方案:執行此處顯示的curl命令以驗證伺服器證書部分。 響應包含concsoweb伺服器的證書詳細資訊。
curl -v —header 'Authorization: Basic xxxxxx' https://concsoweb-prd.cisco.com/
* 伺服器憑證:
* 主題:C=美國;ST=加州;L=聖荷西;O=思科系統公司;CN=concsoweb-prd.cisco.com
* 開始日期:2月16日11:55:11 2021 GMT
* 截止日期:2月16日12:05:00 2022 GMT
* subjectAltName:主機「concsoweb-prd.cisco.com」與證書的「concsoweb-prd.cisco.com」匹配
* 頒發機構:C=US;O=HydrantID (Avalanche Cloud Corporation);CN=HydrantID SSL CA G3
* SSL證書驗證正常。
> GET / HTTP/1.1
問題:kubettl命令失敗,並顯示以下錯誤:「The connection to the server X.X.X.X:6443 was rejected - dy you specify the right host or port」(與伺服器X.X.X.X:6443的連線被拒絕-您指定了正確的主機或埠)
解決方案:
- 驗證資源可用性。[示例:CPU、記憶體]。
- 等待 Kubernetes 服務開始.
問題:如何獲取命令/裝置的收集故障詳細資訊?
解決方案:
- 執行
kubectl get pods 並獲取收集Pod名稱。
- 執行
kubectl logs <collectionPodName> 以獲取命令/裝置特定的詳細資訊。
問題: kubettl命令無法處理錯誤「[authentication.go:64]由於以下錯誤無法驗證請求: [x509:證書已過期或尚未生效,x509:證書已過期或尚未生效]」
解決方案:以cxcroot使用者身份運行此處顯示的命令
rm /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3
kubectl —insecure-skip-tls-verify=true delete secret -n kube-system k3s-serving
systemctl restart k3
收集失敗回應
收集失敗的原因可能是任何限制,或已新增控制器或控制器中出現的裝置問題。
此處顯示的表格含有收集處理作業期間,在「收集微服務」下所見的使用案例的錯誤片段。
使用案例 |
收集微服務中的記錄程式碼片段 |
如果在 Cisco DNA 中心找不到要求的裝置 |
{ |
如果無法從 Cisco DNA 中心連線要求的裝置 |
{ |
如果無法從 Cisco DNA 中心連線要求的裝置 |
{ |
如果要求的指令在裝置上無法使用 |
{ |
如果請求的裝置沒有SSHv2,並且Cisco DNA Center嘗試使用SSHv2連線裝置 |
{ |
如果命令在收集微服務中已停用 |
{ |
如果命令執行器任務失敗,而且 Cisco DNA 中心未傳回任務 URL |
{ |
如果無法在 Cisco DNA 中心建立命令執行器任務 |
{ |
如果收集微服務沒有收到來自Cisco DNA Center的命令運行程式請求的響應 |
{ |
如果 Cisco DNA 中心沒有在設定的逾時時間內完成任務(收集微服務中的每個命令為 5 分鐘) |
{ |
如果Command Runner Task失敗,並且由Cisco DNA Center提交的任務的檔案ID為空 |
{ |
如果Command Runner任務失敗,並且Cisco DNA Center未返回檔案ID標籤 |
{ |
如果裝置不符合命令執行器執行的資格 |
{ |
如果使用者的命令執行器已停用 |
{ |
診斷掃描失敗回應
掃描失敗和原因可能來自任何列出的元件。
當使用者從門戶啟動掃描時,偶爾會出現「失敗:內部伺服器錯誤」的結果。
問題的原因是列出的元件之一
- 控制點
- 網路資料閘道
- 聯結器
- 診斷掃描
- CX Cloud Agent 微服務 [devicemanager, collection]
- Cisco DNA 中心
- APIX
- Mashery
- Ping 存取
- IRONBANK
- IRONBANK GW
- 大資料代理(BDB)
若要檢視記錄,請執行下列動作:
- 登入到CX Cloud Agent控制檯。
- 執行.
kubectl get pods
- 獲取集合、聯結器和可維護性的Pod名稱。
- 驗證收集、聯結器和可服務性微服務日誌。
- 執行
kubectl logs <collectionpodname>
- 執行
kubectl logs <connector>
- 執行
kubectl logs <servicability>
下表顯示在收集微服務及可服務性微服務記錄下由於元件問題/限制而發生的錯誤片段。
使用案例 |
收集微服務中的記錄程式碼片段 |
裝置可以訪問和受支援,但在該裝置上執行的命令在收集微服務上以塊形式列出 |
{ |
如果掃描裝置不可用。 在入口、診斷掃描、CX元件和思科DNA中心等元件之間出現同步問題的情況下發生 |
找不到id為02eb08be-b13f-4d25-9d63-eaf4e882f71a的裝置 |
如果嘗試進行掃描的裝置處於忙碌狀態(在某種情況下),則同一裝置屬於其他工作的一部分,並且未處理來自該裝置的Cisco DNA Center的並行請求 |
命令運行程式已在另一個會話中查詢所有請求的裝置。請嘗試其他裝置 |
如果裝置不支援掃描 |
請求的裝置不在資產中,請嘗試使用資產中可用的其他裝置 |
如果嘗試掃描的裝置無法訪問 |
「執行命令時出錯: show udi\n連線到裝置[主機: x.x.x.x:22]時出錯。沒有到主機的路由:沒有到主機的路由 |
如果無法從 Cloud Agent 連線 Cisco DNA 中心,或 Cloud Agent 的收集微服務未從 Cisco DNA 中心收到命令執行器要求的回應 |
{ |
使用案例 |
控制點代理微服務中的記錄程式碼片段 |
如果掃描要求缺少排程詳細資料 |
無法執行請求 |
如果掃描要求缺少裝置詳細資料 |
無法建立掃描原則。要求中沒有有效的裝置 |
如果 CPA 和連線之間的連線無法運作 |
無法執行請求 |
如果掃描的要求裝置在診斷掃描中無法使用 |
無法提交請求進行掃描。原因= {\"message\":\"未找到主機名=x.x.x.x'的裝置\"} |
修訂 | 發佈日期 | 意見 |
---|---|---|
2.0 |
25-Jul-2024 |
v2.4增加了新的問和答 |
1.0 |
31-Oct-2022 |
初始版本 |