Monitorowanie działania przełączników Cisco Catalyst 9000 używając panelu Cisco Meraki

utworzone przez | kwi 27, 2023 | Aktualności, Baza wiedzy, Meraki, Sieć LAN | 0 komentarzy

Wstęp

W 2022 roku firma Cisco dała możliwość włączenia funkcji monitorowania przełączników Catalyst z serii 9000 z poziomu panelu Cisco Meraki z chmury. Platforma Cisco Meraki do tej pory miała funkcjonalność konfiguracji, zarządzania i monitorowania tylko produktów Cisco Meraki (punkty bezprzewodowe MR, CW, przełączniki MS, firewalle MX, czujniki MT i inne produkty). Aby móc monitorować urządzenia Cisco Classic, potrzebne jest przełącznik z dostępem do Internetu oraz ważna licencje DNA. Do końca czerwca 2023 firma Cisco nie będzie weryfikowała czy posiadane są licencje DNA, co daje możliwość przetestowania funkcjonalności. W treści znajdą się informacje jakie wymagania wstępne muszą być spełnione żeby taki przełącznik dodać, jak wygląda proces dodawania przełącznika oraz jakie są najbardziej użyteczne panele.

Korzyści:

Dlaczego warto skorzystać z opcji monitorowania przez chmurę? Administrator otrzymuje wiele korzyści tj. widoczność tego co się dzieje z urządzeniem, alerty, możliwość zdalnej diagnozy.

  • podsumowanie stanu przełącznika –  na głównej stronie widoczne są Informacje o portach przełącznika i użyciu przez klientów . Pokazany jest numer seryjny Catalyst.
  • Untitled.png
  • komunikaty o błędach/rozwiązywanie problemów (np. CRC)
  • stan podłączonych klientów lub informacje o kliencie
  • szczegóły na temat portów w przełączników: stan portów, wyłączenie portu, liczniki na porcie,
  • lokalizacja (topologia sieciowa, mapa)
  • narzędzia (ping, CLI do odczytu)
  • tablica adresów MAC
  • zdalne przechwytywanie pakietów
  • informacja o stacku
  • alerty np. odłączony przełącznik, wyłączony port.

Aktualne informacje o możliwościach podane są na stronie -> https://documentation.meraki.com/Cloud_Monitoring_for_Catalyst/Onboarding/Cloud_Monitoring_for_Catalyst_Overview_and_FAQ

Informacje ogólne: Cloud Monitoring for Catalyst

 

Wymagania wstępne

Wykorzystanie możliwości platformy Meraki w celu monitorowania przełącznika 9k jest możliwe jeśli spełnimy poniższe wymagania wstępne:

  • posiadamy przełącznik Cisco z serii 9K w wersji Essentials lub Advantage z systemem operacyjnym IOS XE w wersji od 17.3.1 do 17.9.2. Obecnie wspierane są następujące modele:
    • Catalyst 9200 series switches (włączając w to 9200L oraz 9200CX),
    • Catalyst 9300 series switches (włączając w to 9300L oraz 9300X),
    • Catalyst 9500 series switches.
  • mamy aktywną licencję DNA Essentials lub DNA Advantage
      • w przypadku wersji Essentials możliwy jest podstawowy monitoring, czyli dowiemy się np. tego: czy urządzenie jest aktywne, jakie porty są włączone i działają,
      • w przypadku wersji Advantage otrzymujemy m.in.: analizę ruchu sieciowego, wykorzystanie pasma czy rozpoznawanie aplikacji.
  • mamy dostęp do panelu Meraki dashboard. Należy sprawdzić czy możemy się zalogować do https://dashboard.meraki.com/. Jeśli nie mamy konta, możemy utworzyć je za darmo. Instrukcja tworzenia konta znajduje się pod tym linkiem: https://documentation.meraki.com/General_Administration/Organizations_and_Networks/Creating_a_Dashboard_Account_and_Organization.
  • mamy dostęp do klucza API dla całej organizacji. Żeby znaleźć wartość klucza API dla organizacji lub utworzyć nowy klucz należy:
    • przejść do sekcji Organization -> Settings i sprawdzić czy zaznaczona jest opcja “Dashboard API Access”
    • będąc zalogowanym na koncie administratora organizacji z poziomu profilu użytkownika wygenerować nowy klucz API poprzez użycie opcji “Generate new API key” lub zastosować już wcześniej wygenerowany klucz.
  • sprawdzić łączność. Urządzenie 9k, które chcemy monitorować musi mieć zapewnioną łączność na porcie 443/TCP poprzez nazwę domenową (tak, musi być DNS) z następującymi serwisami:
    • api.meraki.com
    • meraki-cloud-monitoring-onboarding-app.s3.amazonaws.com
    • eu.tlsgw.meraki.com (dla obszaru EMEA)
    • Na urządzeniu musi być włączony routing (polecenie ip routing). Dodatkowo trzeba zsynchronizować czas (najlepiej przez NTP) oraz włączyć protokół Telnet. Telnet jest potrzebny do sprawdzenia spełnienia wymagań wstępnych przez aplikację dodającą urządzenie. Nie ma obaw, że dane wrażliwe zostaną podsłuchane przez potencjalnego napastnika, gdyż cały ruch  będzie tunelowany w TLS. W związku z tym, trzeba sprawdzić czy na liniach vty jest włączona opcja transport output telnet lub ewentualnie transport output all.
  • zweryfikować zakładkę Network w panelu Meraki. Jeśli nie mamy utworzonej żadnej sieci, to trzeba to zrobić przed dodaniem pierwszego urządzenia. Obsługiwane są następujące typy: “switch” lub “combined”.
  • Wykonać kopię pliku konfiguracyjnego urządzenia zanim zostanie ono dodane do panelu Meraki. Można użyć polecenia: copy run flash:config-backup.txt.

Pełna lista wspieranych przełączników jest dostępna pod tym linkiem: https://documentation.meraki.com/Cloud_Monitoring_for_Catalyst/Onboarding/Supported_Catalyst_9000_Series_Switches_(Cloud_Monitoring)

Etapy dodawania przełącznika

Dodawanie przełącznika z serii 9000 do panelu monitorowania Meraki odbywa się z użyciem aplikacji instalowanej na systemie operacyjnym. Aby pobrać aplikację należy przejść do sekcji Switching -> Switches. W prawym górnym rogu użyć przycisku “+ Add Switch”, a następnie użyć odnośnika “click here” w zdaniu “To add Cisco Catalyst switches to Dashboard, …”. Zostanie otwarte okno umożliwiające pobranie aplikacji “Cloud Monitoring for Catalyst” (w dalszej części artykułu będzie stosowany akronim CMfC) dla systemu operacyjnego: Mac, Windows lub Linux. Po poprawnym zainstalowaniu i uruchomieniu aplikacji otwarty zostanie panel logowania, pokazany na rysunku nr 1. W celu zalogowania się trzeba wprowadzić klucz API dla organizacji (szczegóły opisane w pkt. 4 sekcji wymagania wstępne).

Rys. 1. Okno logowania do aplikacji umożliwiającej dodanie przełącznika do panelu Meraki

W celu dodania urządzenia należy wykonać następujące kroki:

  • Potwierdzić nazwę organizacji, dla której będą dodawane przełączniki. Jeśli masz dostęp do wielu organizacji, trzeba wybrać do której chcesz dołączyć urządzenie (rys. 2). W przykładzie jest to organizacja o nazwie TEST. Jeśli dodajesz urządzenia do kilku organizacji, to trzeba będzie uruchomić aplikację osobno dla każdej z nich.

Rys. 2. Okno wyboru Organizacji

  • Wprowadzić adresy IP urządzeń, które mają zostać dołączone (rys. 3). Powinien być to adres wewnętrzny przełącznika, osiągalny z komputera na którym jest uruchomiona aplikacja CMfC. Jeśli usługa SSH jest uruchomiona na innym porcie niż domyślny, można wskazać niestandardowy port po dwukropku, np. 10.6.250.222:2222.

Rys. 3. Okno dodawania informacji o adresie IP urządzeń

  • Wprowadzenie poświadczeń dla połączenia SSH (rys. 4). Jeśli w poprzednim kroku wprowadzone zostały adresy kilku urządzeń, to poświadczenia dostępu muszą być dla każdego z nich takie same.

Rys. 4. Okno wprowadzania poświadczeń użytkownika dla SSH oraz hasła enable

  • Sprawdzenie wymagań wstępnych. W tym kroku aplikacja CMfC łączy się z urządzeniem/ami, które zostały wskazane w kroku 2 w celu sprawdzenia wymagań wstępnych co do: platformy sprzętowej, wersji oprogramowania oraz konfiguracji niezbędnej do zarządzania urządzeniem z panelu Meraki. Jeśli wymagania wstępne są spełnione dla urządzenia, to wyświetli się napis “Ready for onboarding” (rys. 5). W przeciwnym przypadku należy zapoznać się z plikiem log, w którym będzie informacja o przyczynie niepowodzenia (łącze w prawym dolnym rogu aplikacji).

Rys. 5. Informacja o pomyślnej weryfikacja wymagań wstępnych dla przełącznika

  • Wybór sieci, do której będzie przypisane urządzenie. Użytkownik wpisuje nazwę sieci, do której chce dodać urządzenie (rys. 6.). Należy pamiętać, że należy użyć sieci typu “switch” lub “combined”. Dla każdego dodawanego przełącznika można wybrać inną nazwę sieci.

Rys. 6. Przypisanie urządzenia do istniejącej sieci w panelu Meraki

  • Wgląd i zatwierdzenie zmian w konfiguracji (rys. 7). Po wybraniu opcji “Show details” dla każdego z przełączników możemy sprawdzić jakie polecenia zostaną przesłane (rys. 8). W celu zwiększenia przejrzystości zostały one zebrane w następujące grupy:
    • polecenia do wyczyszczenia konfiguracji wcześniejszego połączenia urządzenia z panelem Meraki,
    • polecenia do konfiguracji niezbędnych usług systemowych,
    • polecenia służące do utwardzenia konfiguracji urządzenia (ACL), tak żeby dostęp był ograniczony do serwisów Meraki,
    • polecenia do utworzenia lokalnego konta użytkownika wraz z kluczami SSH, które będzie używane przez panel Meraki do logowania do urządzenia,
    • polecenia do utworzenia połączenia TLS z panelem Meraki,

Rys. 7. Zatwierdzenie zmian w konfiguracji dla urządzeń

Rys. 8. Wgląd w listę poleceń przesyłanych do urządzenia

  • Przesyłanie poleceń do urządzenia. Na tym etapie aplikacja CMfC przesyła polecenia do przełącznika (rys. 9). Jeśli proces ten zakończy się sukcesem (rys.10), to monitorowanie urządzenia w ciągu kilku minut będzie możliwe z poziomu panelu Meraki.

Rys. 9. Proces przesyłania poleceń do przełączników

Dostępne panele

Cisco Meraki dashboard umożliwia monitorowanie wielu parametrów przełączników z serii 9000. Mimo iż w sekcji Switching będzie widoczne zarówno menu Monitor jak i Configure, to w przypadku tej linii produktów dostępne jest użycie tylko menu Monitor (przy nazwie urządzenia jest informacja “Monitor Only”). Najbardziej użyteczne panele, które mamy do dyspozycji to:

  • Panel Network-wide na którym widoczna jest informacja na temat wykorzystania pasma przez klientów (w różnych przedziałach czasu) oraz podsumowanie używanych aplikacji (w postaci diagramu kołowego). Dodatkowo klikając w diagram możemy wyświetlić szczegóły dotyczące wykorzystania pasma przez poszczególne aplikacje – rysunek 10.

Rys. 10. Panel “Network-wide”

  • Panel w sekcji Switching -> Monitor -> Switches, który pokazuje informacje sumaryczne na temat urządzeń z serii 9000, które są monitorowane – rysunek 11. Wyświetlona jest liczność urządzeń, które są w jednym z czterech stanów: offline, alerting, online oraz dormant. Dla konkretnego urządzenia wyświetlane są informacje o: statusie, nazwie, adresie MAC oraz sumarycznym czasie łączności przełącznika z panelem Meraki. Klikając w wiersz wybranego przełącznika przechodzimy do szczegółów związanych z urządzeniem

Rys. 11. Panel w sekcji Switching -> Monitor -> Switches

  • Panel szczegółowy poprzez wybranie urządzenia z poziomu sekcji Switching -> Monitor -> Switches. W centralnej części u góry ekranu mamy możliwość wyboru widoku. Do dyspozycji mamy:
    • widok Summary (domyślny)
    • widok Ports
    • widok Location
    • widok Tools

W oknie głównym widoku Summary mamy możliwość pozyskania informacji takich jak (sekcja po lewej stronie):

  • model urządzenia,
  • główny adres MAC,
  • lokalizacja,
  • lokalny adres IPv4/IPv6 wraz z informacją o adresie bramy domyślnej,
  • publiczny adres IP poprzez który nastąpiło połączenie do panelu Meraki,
  • numer seryjny urządzenia Cisco Catalyst oraz nadany sztucznie numer seryjny na potrzeby obsługi tego urządzenia w panelu Meraki,
  • wersja oprogramowania IOS XE,
  • topologia.

Sekcja w centralnej, górnej części okna widoku Summary pokazuje zajętość portów. Po najechaniu myszką na interfejs wyświetlane są dodatkowe informacje takie jak (rys. 13):

  • numer portu wraz z nazwą systemową,
  • opis dla interfejsu,
  • tryb pracy (access/trunk); w zależności od trybu pracy odpowiednio: numer VLAN lub informacja o vlanie Native,
  • status portu (connected/disconnected),
  • informacja o statusie funkcji autonegocjacji prędkości; jeśli jest aktywna, to pokazywana jest wynegocjowana prędkość.

Rys. 12. Panel szczegółowy w sekcji Switching -> Monitor -> Switches

Rys. 13. Szczegółowe informacje na temat portu przełącznika

Sekcja centralna w dalszej części widoku Summary wyświetla informacje na temat:

  • osiągalności przełącznika z poziomu panelu Meraki,
  • sumarycznego wykorzystania pasma przez podłączone urządzenia,
  • szczegółowej informacji o wybranym kliencie w zaznaczonym przedziale czasowym.

Przechodząc do następnego widoku – Ports mamy możliwość sprawdzenia statusu wszystkich interfejsów przełącznika – rysunek nr 14. Informacje, które można pozyskać są następujące:

  • numer portu,
  • opis na interfejsie przełącznika,
  • użyty moduł (SFP, SPF+, GLC-T, …),
  • przynależność do grupy Etherchannel,
  • tryb pracy interfejsu,
  • VLAN dla trybu access, nr Native VLAN dla trunk,
  • bieżące wykorzystanie pasma na wraz z podziałem na ruch wychodzący oraz wchodzący,
  • całkowita liczba przesłanych bajtów,
  • status protokołu STP,
  • status funkcji PoE,
  • informacje o podłączonych urządzeniach pozyskane przez protokół CDP/LLDP,
  • informacje na temat działania funkcji automatycznej negocjacji prędkości na interfejsie. Jeśli funkcja jest aktywna to pokazywana jest wynegocjowana prędkość,
  • status podłączonego urządzenia w postaci paska, który odcieniem koloru zielonego prezentuje aktualną prędkość na interfejsie oraz status osiągalności.

Rys. 14. Szczegółowa informacja nt. portów przełącznika

WIdok Location zawiera w sobie trzy sekcje:

  • Topology (domyślna) – w przypadku gdy podłączone urządzenia używają protokołu CDP/LLDP wyświetlona zostanie topologia fizyczna,
  • Map – jeśli dla urządzenia mamy włączoną funkcję lokalizacji, to na mapie zostanie wyświetlona informacja gdzie fizycznie jest zlokalizowany przełącznik,
  • Photo – jeśli dodamy zdjęcie urządzenia, zostanie ono wyświetlone. Przydatne, jeśli chcemy mieć łatwo dostępny wgląd w okablowanie wpięte do urządzenia.

Czwarty widok nazwany Tools (pokazany na rys. 15) umożliwia zrealizowanie trzech czynności:

  • użycia narzędzia ping do sprawdzenia osiągalności węzła w sieci. Wynik dla testu zakończonego sukcesem jest pokazany na rys. 16,
  • twardego zrestartowania interfejsu (wyłączenie i włączenie ponownie),
  • wyświetlenia tablicy MAC adresów (rys. 17). Panel umożliwia wyszukiwanie wartości z opcją filtrowania po: MAC adresie, VLANie, fizycznym porcie.

Rys. 15. Widok Tools

Rys. 16. Wynik działania narzędzia ping do hosta, który jest osiągalny

Rys. 17. Tablica MAC adresów przełącznika

  • Pozostałe panele w sekcji Switching -> Monitor to:
    • Switch port – pokazuje mniej informacji niż Widok Ports w sekcji Switching -> Monitor -> Switches,
    • Switch Stacks – przydatny tylko wtedy, kiedy urządzenia z serii 9000 są dodane do stosu,
    • DHCP servers & ARP – przydatny jeśli mamy skonfigurowany serwer DHCP na przełączniku lub wtedy gdy działa funkcjonalność Dynamic ARP inspection służąca do wykrywania ataków z użyciem protokołu ARP.

Podsumowanie

Monitorowanie urządzeń z serii 9000 z poziomu panelu Cisco Meraki jest ciekawą alternatywą dla rozwiązań bezpłatnych. Ilość pozyskiwanych informacji może nie jest imponująca, ale wgląd w status posiadanych urządzeń z poziomu jednego okna przeglądarki jest bardzo cenna. Szczegółowe wytyczne oraz wskazówki konfiguracyjne można znaleźć w dokumencie Cloud Monitoring for Catalyst Onboarding” dostępnego pod tym linkiem: https://documentation.meraki.com/Cloud_Monitoring_for_Catalyst/Onboarding/Cloud_Monitoring_for_Catalyst_Onboarding_Guide

 

Dokumentacja:

Wersje:

  • 1.1 2024.01.05 – dodano linki i sekcje dokumentacja oraz korzyści
  • 1.0 2023.04.27 – powstawanie dokumentu

 

Prześlij komentarz