In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird der Cisco Customer Experience (CX) Cloud Agent beschrieben.
CX Cloud Agent wird als virtuelles System ausgeführt und kann als Open Virtual Appliance (OVA) oder als Virtual Hard Disk (VHD) heruntergeladen werden.
Voraussetzungen für die Bereitstellung:
Der (CX) Cloud Agent von Cisco ist eine hochskalierbare Plattform, die Telemetriedaten von Netzwerkgeräten erfasst, um Kunden aussagekräftige Informationen zu liefern. CX Cloud Agent ermöglicht die Umwandlung von aktiven laufenden Konfigurationsdaten in proaktive und prädiktive Einblicke, die in der CX Cloud angezeigt werden, durch künstliche Intelligenz (KI)/maschinelles Lernen (ML).
Dieses Handbuch bezieht sich speziell auf CX Cloud Agent v2.2 und höher. Auf der Seite Cisco CX Cloud Agent können Sie auf frühere Versionen zugreifen.
Hinweis: Die Bilder (und die darin enthaltenen Inhalte) dienen nur zu Referenzzwecken. Die tatsächlichen Inhalte können variieren.
Um mit der CX Cloud zu beginnen, benötigen Benutzer Zugriff auf diese Domänen. Verwenden Sie nur die angegebenen Hostnamen und keine statischen IP-Adressen.
Hauptdomänen |
Andere Domänen |
cisco.com |
mixpanel.com |
csco.cloud |
cloudfront.net |
split.io |
eum-appdynamics.com |
appdynamics.com |
|
tiqcdn.com |
|
jquery.com |
NORD- UND SÜDAMERIKA |
EMEA |
APJC |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud |
agent.us.csco.cloud |
agent.us.csco.cloud |
ng.acs.agent.us.csco.cloud |
agent.emea.csco.cloud |
agent.apjc.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
Hinweis: Der ausgehende Zugang muss mit aktivierter Umleitung auf Port 443 für die angegebenen FQDNs zugelassen werden.
Unterstützte Einzelknoten- und HA-Cluster-Versionen von Cisco DNA Center sind 2.1.2.x bis 2.2.3.x, 2.3.3.x, 2.3.5.x sowie Cisco Catalyst Center Virtual Appliance und Cisco DNA Center Virtual Appliance.
Für eine optimale Nutzung auf Cisco.com wird die neueste offizielle Version dieser Browser empfohlen:
Eine Liste der von CX Cloud Agent unterstützten Produkte finden Sie in der Liste der unterstützten Produkte.
Datenquellen verbinden:
Hinzufügen von Cisco DNA Center als Datenquelle
Andere Ressourcen als Datenquellen hinzufügen
Hinweis: Die Option "Andere Ressourcen" ist nur verfügbar, wenn zuvor keine direkte Geräteverbindung konfiguriert wurde.
Die Einrichtung des CX Cloud Agent wird beim Verbinden von Datenquellen angefordert, wenn dies noch nicht erfolgt ist.
So richten Sie CX Cloud Agent ein:
Damit die Telemetriesammlung beginnen kann, muss der CX Cloud Agent mit der CX Cloud verbunden werden, damit die Informationen in der Benutzeroberfläche aktualisiert werden können, um die aktuellen Ressourcen und Erkenntnisse anzuzeigen. In diesem Abschnitt finden Sie Details zum Abschließen der Verbindungs- und Fehlerbehebungsrichtlinien.
So verbinden Sie CX Cloud Agent mit CX Cloud:
Hinweis: Der Kopplungscode wird nach der Bereitstellung der heruntergeladenen OVA-Datei empfangen.
Wenn Cisco DNA Center aus dem Verbindungsfenster für Datenquellen ausgewählt wurde (siehe Bild "Datenquellen verbinden" im Abschnitt "Datenquellen verbinden"), wird dieses Fenster geöffnet:
So fügen Sie Cisco DNA Center als Datenquelle hinzu:
Hinweis: Verwenden Sie keine individuelle Cluster-Knoten-IP.
Hinweis: Die erste Bestandserfassung kann bis zu 75 Minuten dauern.
Die Telemetriesammlung wurde auf Geräte ausgedehnt, die nicht vom Cisco DNA Center verwaltet werden. Kunden können so aus Telemetriedaten gewonnene Erkenntnisse und Analysen abrufen und mit diesen interagieren, um eine breitere Palette an Geräten zu ermöglichen. Nach der Ersteinrichtung von CX Cloud Agent können Benutzer CX Cloud Agent für die Verbindung mit 20 weiteren Cisco DNA Centern innerhalb der von CX Cloud überwachten Infrastruktur konfigurieren. Benutzer können CX Cloud Agent auch direkt mit anderen Hardwarekomponenten in ihrer Umgebung verbinden, bis zu 10.000 direkt verbundene Geräte.
Benutzer können Geräte identifizieren, die in die CX Cloud integriert werden sollen, indem sie diese Geräte anhand einer Seed-Datei eindeutig identifizieren oder einen IP-Bereich angeben, der von CX Cloud Agent gescannt werden kann. Bei beiden Ansätzen wird SNMP (Simple Network Management Protocol) zur Erkennung und SSH (Secure Shell) für die Verbindung verwendet. Diese müssen ordnungsgemäß konfiguriert werden, damit die Telemetriesammlung erfolgreich durchgeführt werden kann.
Anmerkung:
Es kann entweder die Seed-Datei oder der IP-Bereich verwendet werden. Diese Auswahl kann nach der Ersteinrichtung nicht mehr geändert werden.
Anmerkung:
Eine anfängliche Seed-Datei kann durch eine andere Seed-Datei ersetzt werden, während ein anfänglicher IP-Bereich in einen neuen IP-Bereich geändert werden kann.
Wenn im Fenster für die Datenquellenverbindung die Option Andere Ressourcen ausgewählt ist, wird dieses Fenster geöffnet:
So fügen Sie andere Ressourcen als Datenquellen hinzu:
Sowohl die direkte Geräteerkennung auf Basis der Seed-Datei als auch die IP-Bereich-basierte Erkennung stützen sich auf SNMP als Erkennungsprotokoll. Es gibt verschiedene Versionen von SNMP, aber CX Cloud Agent unterstützt SNMPV2c und SNMP V3, und es können entweder eine oder beide Versionen konfiguriert werden. Dieselben Informationen, die nachfolgend ausführlich beschrieben werden, müssen vom Benutzer bereitgestellt werden, um die Konfiguration abzuschließen und die Verbindung zwischen dem von SNMP verwalteten Gerät und dem SNMP-Servicemanager zu aktivieren.
SNMPV2c und SNMPV3 unterscheiden sich hinsichtlich der Sicherheit und des Remote-Konfigurationsmodells. SNMPV3 verwendet ein erweitertes kryptographisches Sicherheitssystem, das die SHA-Verschlüsselung unterstützt, um Nachrichten zu authentifizieren und ihre Privatsphäre zu gewährleisten. Es wird empfohlen, SNMPv3 in allen öffentlichen und mit dem Internet verbundenen Netzwerken zu verwenden, um den Schutz vor Sicherheitsrisiken und -bedrohungen zu gewährleisten. Auf der CX Cloud sollte SNMPv3 vorzugsweise konfiguriert werden und nicht SNMPv2c, mit Ausnahme älterer Legacy-Geräte, die keine integrierte Unterstützung für SNMPv3 bieten. Wenn beide Versionen von SNMP vom Benutzer konfiguriert wurden, kann der CX Cloud Agent standardmäßig versuchen, mit den jeweiligen Geräten über SNMPv3 zu kommunizieren und auf SNMPv2c zurückzugreifen, wenn die Kommunikation nicht erfolgreich ausgehandelt werden kann.
Im Rahmen der Einrichtung der direkten Geräteanbindung müssen Benutzer Details zum Geräteanbindungsprotokoll angeben: SSH (oder Telnet). SSHv2 kann verwendet werden, außer in Fällen von einzelnen Legacy-Ressourcen, die nicht über die entsprechende integrierte Unterstützung verfügen. Beachten Sie, dass das SSHv1-Protokoll grundlegende Schwachstellen enthält. Ohne zusätzliche Sicherheit können Telemetriedaten und die zugrunde liegenden Ressourcen aufgrund dieser Schwachstellen bei Verwendung von SSHv1 gefährdet werden. Auch Telnet ist unsicher. Die über Telnet übermittelten Anmeldeinformationen (Benutzernamen und Kennwörter) sind nicht verschlüsselt und daher kompromittierbar, da keine zusätzliche Sicherheit gegeben ist.
Informationen zur Seed-Datei
Eine Seed-Datei ist eine CSV-Datei (Comma-Separated Values), in der jede Zeile einen Systemdatensatz darstellt. In einer Seed-Datei entspricht jeder Seed-Datei-Datensatz einem eindeutigen Gerät, von dem aus Telemetriedaten von CX Cloud Agent erfasst werden können. Alle Fehler- oder Informationsmeldungen zu jedem Geräteeintrag aus der importierten Seed-Datei werden als Teil der Jobprotokolldetails erfasst. Alle Geräte in einer Seed-Datei werden als verwaltete Geräte angesehen, auch wenn die Geräte zum Zeitpunkt der Erstkonfiguration nicht erreichbar sind. Wenn eine neue Seed-Datei hochgeladen wird, um eine vorherige Datei zu ersetzen, wird das Datum des letzten Uploads in CX Cloud angezeigt.
Der CX Cloud Agent kann versuchen, eine Verbindung mit den Geräten herzustellen, kann jedoch nicht jede dieser Verbindungen verarbeiten, um sie auf den Seiten "Assets" (Ressourcen) anzuzeigen, wenn die PIDs oder Seriennummern nicht ermittelt werden können. Jede Zeile in der Seed-Datei, die mit einem Semikolon beginnt, wird ignoriert. Die Headerzeile in der Seed-Datei beginnt mit einem Semikolon und kann unverändert beibehalten (empfohlene Option) oder beim Erstellen der Seed-Datei des Kunden gelöscht werden.
Es ist wichtig, dass das Format der Beispiel-Seed-Datei, einschließlich der Spaltenüberschriften, in keiner Weise geändert wird. Klicken Sie auf den angegebenen Link, um eine Seed-Datei im PDF-Format anzuzeigen. Diese PDF-Datei dient nur zu Referenzzwecken und kann zum Erstellen einer Seed-Datei verwendet werden, die im CSV-Format gespeichert werden muss.
Klicken Sie auf diesen Link, um eine Seed-Datei anzuzeigen, mit der eine Seed-Datei im CSV-Format erstellt werden kann.
Hinweis: Diese PDF-Datei dient nur zu Referenzzwecken und kann zum Erstellen einer Seed-Datei verwendet werden, die im CSV-Format gespeichert werden muss.
Diese Tabelle enthält alle erforderlichen Seed-Dateispalten und die Daten, die in jeder Spalte enthalten sein müssen.
Seed-Dateispalte |
Spaltenüberschrift/-kennung |
Zweck der Spalte |
A |
IP-Adresse oder Hostname |
Geben Sie eine gültige, eindeutige IP-Adresse oder einen Hostnamen des Geräts an. |
B |
SNMP-Protokollversion |
Das SNMP-Protokoll wird von CX Cloud Agent benötigt und zur Geräteerkennung im Kundennetzwerk verwendet. Werte können snmpv2c oder snmpv3 sein, aber aus Sicherheitsgründen wird snmpv3 empfohlen. |
C |
snmpRo : Erforderlich, wenn col#=3 als 'snmpv2c' ausgewählt ist |
Wenn die ältere Variante von SNMPv2 für ein bestimmtes Gerät ausgewählt ist, müssen snmpRO-Anmeldeinformationen (schreibgeschützt) für die SNMP-Sammlung des Geräts angegeben werden. Andernfalls kann der Eintrag leer sein. |
G |
snmpv3UserName : Erforderlich, wenn col#=3 als 'snmpv3' ausgewählt ist |
Wenn SNMPv3 für die Kommunikation mit einem bestimmten Gerät ausgewählt ist, muss der entsprechende Benutzername für die Anmeldung angegeben werden. |
O |
snmpv3AuthAlgorithm: Werte können MD5 oder SHA sein. |
Das SNMPv3-Protokoll ermöglicht die Authentifizierung entweder über den MD5- oder den SHA-Algorithmus. Wenn das Gerät mit sicherer Authentifizierung konfiguriert ist, muss der entsprechende Auth-Algorithmus angegeben werden. Hinweis: MD5 gilt als unsicher, und SHA kann auf allen Geräten verwendet werden, die es unterstützen. |
F |
snmpv3AuthKennwort: Kennwort |
Wenn auf dem Gerät entweder ein MD5- oder ein SHA-Verschlüsselungsalgorithmus konfiguriert ist, muss das entsprechende Authentifizierungskennwort für den Gerätezugriff angegeben werden. |
G |
snmpv3PrivAlgorithm: Werte können DES, 3DES sein. |
Wenn das Gerät mit dem SNMPv3-Datenschutzalgorithmus konfiguriert ist (dieser Algorithmus wird zur Verschlüsselung der Antwort verwendet), muss der entsprechende Algorithmus angegeben werden. Hinweis: Die von DES verwendeten 56-Bit-Schlüssel werden als zu kurz angesehen, um kryptografische Sicherheit zu bieten, und 3DES kann auf allen Geräten verwendet werden, die es unterstützen. |
H |
snmpv3PrivKennwort: Kennwort |
Wenn der SNMPv3-Datenschutzalgorithmus auf dem Gerät konfiguriert ist, muss das entsprechende Datenschutzkennwort für die Geräteverbindung angegeben werden. |
I |
snmpv3EngineId : Engine-ID, eindeutige, das Gerät repräsentierende ID; Engine-ID angeben, wenn manuell auf dem Gerät konfiguriert |
Die SNMPv3-Engine-ID ist eine eindeutige ID für jedes Gerät. Diese Engine-ID wird während der Erfassung der SNMP-Datensätze durch den CX Cloud Agent als Referenz gesendet. Wenn der Kunde die EngineID manuell konfiguriert, muss die entsprechende EngineID angegeben werden. |
J |
cliProtocol: Werte können 'telnet', 'sshv1', 'sshv2' sein. Wenn leer, kann standardmäßig 'sshv2' eingestellt werden |
Die CLI ist für die direkte Interaktion mit dem Gerät vorgesehen. CX Cloud Agent verwendet dieses Protokoll für die CLI-Erfassung für ein bestimmtes Gerät. Diese CLI-Erfassungsdaten werden für Ressourcen- und andere Insights-Berichte in der CX Cloud verwendet. SSHv2 wird empfohlen; da keine anderen Netzwerksicherheitsmaßnahmen ergriffen werden, bieten SSHv1- und Telnet-Protokolle keine ausreichende Transportsicherheit. |
K |
cliPort : CLI-Protokoll-Portnummer |
Wenn ein CLI-Protokoll ausgewählt wird, muss die entsprechende Portnummer angegeben werden. Beispiel: 22 für SSH und 23 für Telnet. |
L |
cliUser : CLI Benutzername (entweder CLI Benutzername/Passwort oder BEIDE können angegeben werden, ABER beide Spalten (col#=12 und col#=13) dürfen nicht leer sein.) |
Der entsprechende CLI-Benutzername des Geräts muss angegeben werden. Dies wird von CX Cloud Agent zum Zeitpunkt der Verbindung mit dem Gerät während der CLI-Erfassung verwendet. |
M |
cliPassword : CLI-Benutzerkennwort (entweder CLI-Benutzername/Kennwort oder BEIDE können angegeben werden, ABER beide Spalten (col#=12 und col#=13) dürfen nicht leer sein.) |
Das entsprechende CLI-Kennwort des Geräts muss angegeben werden. Dies wird von CX Cloud Agent zum Zeitpunkt der Verbindung mit dem Gerät während der CLI-Erfassung verwendet. |
N |
CLIEnableUser |
Wenn enable auf dem Gerät konfiguriert ist, muss der enableUsername-Wert des Geräts angegeben werden. |
O |
CLIEnablePassword |
Wenn enable auf dem Gerät konfiguriert ist, muss der enablePassword-Wert des Geräts angegeben werden. |
F |
Künftiger Support (keine Eingaben erforderlich) |
Reserviert für zukünftige Verwendung |
F |
Künftiger Support (keine Eingaben erforderlich) |
Reserviert für zukünftige Verwendung |
R |
Künftiger Support (keine Eingaben erforderlich) |
Reserviert für zukünftige Verwendung |
S |
Künftiger Support (keine Eingaben erforderlich) |
Reserviert für zukünftige Verwendung |
Bei der Verarbeitung von Telemetriedaten für Geräte gelten folgende Einschränkungen:
So fügen Sie Geräte mithilfe einer neuen Seed-Datei hinzu:
Hinweis: Der Link im Fenster Verbindung mit CX Cloud konfigurieren ist nach dem Herunterladen der ersten Seed-Datei nicht mehr verfügbar.
So fügen Sie Geräte mithilfe der aktuellen Seed-Datei hinzu, ändern oder löschen sie:
Hinweis: Um der Seed-Datei Assets hinzuzufügen, fügen Sie diese Assets an die zuvor erstellte Seed-Datei an, und laden Sie die Datei neu. Dies ist notwendig, da das Hochladen einer neuen Seed-Datei die aktuelle Seed-Datei ersetzt. Nur die zuletzt hochgeladene Seed-Datei wird für die Erkennung und Sammlung verwendet.
IP-Bereiche ermöglichen es Benutzern, Hardware-Ressourcen zu identifizieren und anschließend Telemetriedaten von diesen Geräten basierend auf IP-Adressen zu sammeln. Die Geräte für die Telemetriesammlung können eindeutig identifiziert werden, indem ein einzelner IP-Bereich auf Netzwerkebene angegeben wird, der vom CX Cloud Agent mithilfe des SNMP-Protokolls gescannt werden kann. Wenn der IP-Bereich zum Identifizieren eines direkt verbundenen Geräts ausgewählt wird, können die IP-Adressen, auf die verwiesen wird, so restriktiv wie möglich sein, während gleichzeitig alle erforderlichen Ressourcen abgedeckt werden.
Der CX Cloud Agent kann versuchen, eine Verbindung mit den Geräten herzustellen, kann jedoch nicht jedes Gerät verarbeiten, um es in der Ansicht "Ressourcen" anzuzeigen, falls die PIDs oder Seriennummern nicht ermittelt werden können.
Hinweise:
Durch Klicken auf IP-Adressbereich bearbeiten wird die Geräteerkennung bei Bedarf initiiert. Wenn einem angegebenen IP-Bereich ein neues Gerät hinzugefügt oder (innerhalb oder außerhalb) daraus gelöscht wird, muss der Kunde immer auf IP-Adressbereich bearbeiten klicken (siehe Abschnitt Bearbeiten von IP-Bereichen) und die erforderlichen Schritte ausführen, um die Geräteerkennung auf Anforderung zu initiieren und neu hinzugefügte Geräte in den CX Cloud Agent-Erfassungsbestand aufzunehmen.
Um Geräte über einen IP-Bereich hinzuzufügen, müssen Benutzer alle anwendbaren Anmeldeinformationen über die Konfigurations-Benutzeroberfläche angeben. Die sichtbaren Felder variieren je nach den Protokollen, die in den vorherigen Fenstern ausgewählt wurden. Wenn mehrere Optionen für dasselbe Protokoll ausgewählt werden, z. B. sowohl SNMPv2c als auch SNMPv3 oder SSHv2 und SSHv1, wird die Protokollauswahl vom CX Cloud Agent basierend auf den einzelnen Gerätefunktionen automatisch ausgehandelt.
Wenn Geräte über IP-Adressen verbunden werden, kann der Kunde sicherstellen, dass alle relevanten Protokolle im IP-Bereich sowie SSH-Versionen und Telnet-Anmeldeinformationen gültig sind oder die Verbindungen fehlschlagen.
So fügen Sie Geräte über den IP-Bereich hinzu:
So bearbeiten Sie einen IP-Bereich
Hinweis: Die Bestätigungsmeldung stellt nicht sicher, dass die Geräte im bearbeiteten Bereich erreichbar sind und die Anmeldedaten akzeptiert wurden.
Von mehreren Controllern erkannte Geräte
Es ist möglich, dass einige Geräte sowohl vom Cisco DNA Center als auch von einer direkten Geräteverbindung zu CX Cloud Agent erkannt werden, wodurch doppelte Daten von diesen Geräten gesammelt werden. Um zu vermeiden, dass doppelte Daten gesammelt werden und die Geräte nur von einem Controller verwaltet werden, muss eine Rangfolge festgelegt werden, für die CX Cloud Agent die Geräte verwaltet.
Kunden können On-Demand-Diagnosen in der CX Cloud planen.
Hinweis: Cisco empfiehlt, Diagnosescans zu planen oder bedarfsgesteuerte Scans in einem Abstand von mindestens 6-7 Stunden von den Bestandserfassungsplänen zu initiieren, damit sie sich nicht überschneiden. Die gleichzeitige Ausführung mehrerer Diagnosescans kann den Scanvorgang verlangsamen und möglicherweise zu Scanfehlern führen.
So planen Sie Diagnosescans:
Die Diagnosescans und die Inventarerfassungszeitpläne können auf der Seite Datenerfassung bearbeitet und gelöscht werden.
Wählen Sie eine der folgenden Optionen aus, um den CX Cloud Agent bereitzustellen:
Dieser Client ermöglicht die Bereitstellung von CX Cloud Agent OVA mithilfe des vSphere-Thick-Clients.
Die Bereitstellung kann einige Minuten dauern. Nach erfolgreicher Bereitstellung wird eine Bestätigung angezeigt.
Dieser Client stellt CX Cloud Agent OVA mithilfe von vSphere Web bereit.
Führen Sie die folgenden Schritte aus:
Dieser Client stellt CX Cloud Agent OVA über die Oracle Virtual Box bereit.
Führen Sie die folgenden Schritte aus:
Wenn Kennwort automatisch generieren ausgewählt ist, kopieren Sie das generierte Kennwort, und speichern Sie es zur späteren Verwendung. Klicken Sie auf Kennwort speichern und fahren Sie mit Schritt 4 fort.
Hinweis: Wenn die Domänen nicht erfolgreich erreicht werden können, muss der Kunde die Erreichbarkeit der Domäne durch Änderungen an seiner Firewall korrigieren, um sicherzustellen, dass die Domänen erreichbar sind. Klicken Sie auf Erneut prüfen, sobald das Problem mit der Erreichbarkeit der Domänen behoben ist.
Benutzer können einen Kopplungscode auch mithilfe von CLI-Optionen generieren.
So generieren Sie einen Kopplungscode über die CLI:
Unterstützte Cisco DNA Center-Versionen: 2.1.2.0 bis 2.2.3.5, 2.3.3.4 bis 2.3.3.6, 2.3.5.0 und Cisco DNA Center Virtual Appliance
So konfigurieren Sie Syslog Forwarding to CX Cloud Agent im Cisco DNA Center:
Hinweise:
Nach der Konfiguration werden alle Geräte, die diesem Standort zugeordnet sind, so konfiguriert, dass sie Syslog mit der für CX Cloud Agent kritischen Stufe senden. Die Geräte müssen einem Standort zugeordnet werden, um die Syslog-Weiterleitung vom Gerät an den CX Cloud Agent zu aktivieren. Wenn eine Syslog-Servereinstellung aktualisiert wird, werden alle Geräte, die diesem Standort zugeordnet sind, automatisch auf die kritische Standardstufe gesetzt.
Die Geräte müssen so konfiguriert werden, dass sie Syslog-Meldungen an den CX Cloud Agent senden, um die Fehlerverwaltungsfunktion von CX Cloud zu verwenden.
Hinweis: Nur Campus Success Track Level 2-Geräte sind zur Konfiguration anderer Ressourcen für die Weiterleitung von Syslog berechtigt.
Führen Sie die Konfigurationsanweisungen für die Syslog-Serversoftware aus, und fügen Sie die IP-Adresse des CX Cloud Agent als neues Ziel hinzu.
Hinweis: Stellen Sie beim Weiterleiten von Syslogs sicher, dass die Quell-IP-Adresse der ursprünglichen Syslog-Nachricht beibehalten wird.
Konfigurieren Sie jedes Gerät so, dass Syslogs direkt an die IP-Adresse des CX Cloud-Agenten gesendet werden. Spezifische Konfigurationsschritte finden Sie in dieser Dokumentation.
Cisco IOS® XE Konfigurationsleitfaden
Konfigurationsanleitung für den AireOS Wireless Controller
So machen Sie die Syslog-Informationen sichtbar:
Wählen Sie den erforderlichen Standort aus, und aktivieren Sie das Kontrollkästchen Gerätename für alle Geräte.
Es wird empfohlen, den Status und die Daten einer CX Cloud Agent VM zu einem bestimmten Zeitpunkt mithilfe der Snapshot-Funktion beizubehalten. Diese Funktion erleichtert die Wiederherstellung des virtuellen Systems der CX Cloud auf den spezifischen Zeitpunkt, zu dem der Snapshot erstellt wird.
So sichern Sie die CX Cloud VM:
Hinweis: Stellen Sie sicher, dass das Kontrollkästchen Snapshot des Speichers des virtuellen Systems deaktiviert ist.
3. Klicken Sie auf OK. Der Status Snapshot des virtuellen Computers erstellen wird in der Liste Zuletzt durchgeführte Aufgaben als Abgeschlossen angezeigt.
So stellen Sie die CX Cloud VM wieder her:
CX Cloud Agent gewährleistet dem Kunden umfassende Sicherheit. Die Verbindung zwischen CX Cloud und CX Cloud Agent ist durch TLS gesichert. Der Standard-SSH-Benutzer des Cloud Agent ist auf die Ausführung nur grundlegender Vorgänge beschränkt.
Bereitstellung eines OVA-Images des CX Cloud Agent in einem sicheren VMware-Serverunternehmen. Die OVA wird über das Cisco Software Download Center sicher freigegeben. Für das Bootloader-Kennwort (Einzelbenutzermodus) wird ein zufälliges, eindeutiges Kennwort festgelegt. Benutzer müssen in dieser FAQ dieses Bootloader-Passwort (Einzelbenutzermodus) festlegen.
Während der Bereitstellung wird das cxcadmin-Benutzerkonto erstellt. Benutzer sind gezwungen, während der Erstkonfiguration ein Kennwort festzulegen. cxcadmin-Benutzer/Anmeldeinformationen werden verwendet, um sowohl auf die CX Cloud Agent-APIs zuzugreifen als auch um sich über SSH mit der Appliance zu verbinden.
cxcadmin-Benutzer haben eingeschränkten Zugriff mit den geringsten Rechten. Das cxcadmin-Kennwort folgt der Sicherheitsrichtlinie und wird einseitig gehasht mit einer Ablaufzeit von 90 Tagen. cxcadmin-Benutzer können einen cxcroot-Benutzer mit dem Dienstprogramm "remoteaccount" erstellen. cxcadmin-Benutzer können Root-Berechtigungen erhalten.
Der Zugriff auf die CX Cloud Agent VM erfolgt über SSH mit cxcadmin-Benutzeranmeldeinformationen. Eingehende Ports sind auf 22 (SSH), 514 (Syslog) beschränkt.
Passwortbasierte Authentifizierung: Die Appliance unterhält einen einzelnen Benutzer (cxcadmin), über den der Benutzer sich authentifizieren und mit dem CX Cloud Agent kommunizieren kann.
cxcadmin-Benutzer können cxcroot-Benutzer mit dem Dienstprogramm remoteAccount erstellen. Dieses Dienstprogramm zeigt ein verschlüsseltes RSA/ECB/PKCS1v1_5-Kennwort an, das nur vom SWIM-Portal entschlüsselt werden kann (DECRYPT-Anforderungsformular). Nur autorisierte Mitarbeiter haben Zugriff auf dieses Portal. cxcroot-Benutzer können mit diesem entschlüsselten Kennwort Root-Berechtigungen erlangen. Die Passphrase ist nur zwei Tage gültig. Benutzer von cxcadmin müssen das Konto neu erstellen und das Kennwort beim Ablauf des Kennworts für den SWIM-Portal-Beitrag abrufen.
Die CX Cloud Agent-Appliance folgt den Härtungsstandards von Center of Internet Security.
Die CX Cloud Agent-Appliance speichert keine persönlichen Kundeninformationen. Die Anwendung für Geräteanmeldeinformationen (die als einer der PODs ausgeführt wird) speichert verschlüsselte Serveranmeldeinformationen in einer sicheren Datenbank. Die erfassten Daten werden in keiner Form innerhalb der Appliance gespeichert, außer vorübergehend, wenn sie verarbeitet werden. Telemetriedaten werden so bald wie möglich nach Abschluss der Erfassung in die CX Cloud hochgeladen und umgehend aus dem lokalen Speicher gelöscht, nachdem bestätigt wurde, dass der Upload erfolgreich war.
Das Registrierungspaket enthält das erforderliche eindeutige X.509-Gerätezertifikat sowie Schlüssel zum Aufbau einer sicheren Verbindung mit Iot Core. Mit diesem Agent wird eine sichere Verbindung mithilfe von Message Queuing Telemetry Transport (MQTT) over Transport Layer Security (TLS) v1.2 hergestellt.
Die Protokolle enthalten keine persönlichen Daten (PII). Überwachungsprotokolle erfassen alle sicherheitsrelevanten Aktionen, die auf der CX Cloud Agent-Appliance ausgeführt werden.
CX Cloud ruft Asset-Telemetrie mithilfe der APIs und Befehle ab, die in den Cisco Telemetry Commands aufgeführt sind. Dieses Dokument kategorisiert Befehle nach ihrer Anwendbarkeit auf das Cisco DNA Center-Inventar, die Diagnose-Bridge, Intersight, Compliance Insights, Faults und alle anderen vom CX Cloud Agent erfassten Telemetriequellen.
Vertrauliche Informationen aus der Asset-Telemetrie werden vor der Übertragung in die Cloud maskiert. Der CX Cloud Agent maskiert vertrauliche Daten für alle erfassten Ressourcen, die Telemetrie direkt an den CX Cloud Agent senden. Dazu gehören Kennwörter, Schlüssel, Community-Strings, Benutzernamen usw. Controller bieten Datenmaskierung für alle vom Controller verwalteten Ressourcen, bevor diese Informationen an den CX Cloud Agent übertragen werden. In einigen Fällen kann die Telemetrie der vom Controller verwalteten Ressourcen weiter anonymisiert werden. Weitere Informationen zur Anonymisierung der Telemetrie finden Sie in der entsprechenden Produktsupport-Dokumentation (z. B. im Abschnitt Anonymisierungsdaten im Cisco DNA Center Administrator Guide).
Obwohl die Liste der Telemetrie-Befehle nicht angepasst und die Datenmaskierungsregeln nicht geändert werden können, können Kunden steuern, auf welche Ressourcen die Telemetrie-CX-Cloud zugreift. Hierzu geben sie Datenquellen an, wie in der Produktsupportdokumentation für Controller-verwaltete Geräte oder im Abschnitt "Verbinden von Datenquellen" dieses Dokuments (für andere von CX Cloud Agent erfasste Ressourcen) beschrieben.
Sicherheitsfunktionen |
Beschreibung |
Bootloader-Kennwort |
Für das Bootloader-Kennwort (Einzelbenutzermodus) wird ein zufälliges, eindeutiges Kennwort festgelegt. Benutzer müssen in den FAQ sein Bootloader-Passwort (Einzelbenutzermodus) festlegen. |
Benutzerzugriff |
SSH: ·Für den Zugriff auf die Appliance mit dem Benutzer cxcadmin sind die Anmeldeinformationen erforderlich, die während der Installation erstellt wurden. ・ Für den Zugriff auf die Appliance über den Benutzer "cxcroot" müssen die Anmeldeinformationen von autorisierten Mitarbeitern über das SWIM-Portal entschlüsselt werden. |
Benutzerkonten |
・ cxcadmin: Standard-Benutzerkonto erstellt; Benutzer kann CX Cloud Agent-Anwendungsbefehle mit cxcli ausführen und hat die geringsten Rechte auf der Appliance; cxcroot-Benutzer und sein verschlüsseltes Kennwort werden mit cxcadmin-Benutzer generiert. ・ cxcroot: cxcadmin kann diesen Benutzer mithilfe des Dienstprogramms remoteaccount erstellen; Benutzer können root-Berechtigungen mit diesem Konto erlangen. |
cxcadmin-Kennwortrichtlinie |
·Das Kennwort wird mit SHA-256 unidirektional gehasht und sicher gespeichert. ・ Mindestens acht (8) Zeichen mit drei dieser Kategorien: Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. |
cxcroot-Kennwortrichtlinie |
·Das Kennwort für cxcroot ist mit RSA/ECB/PKCS1v1_5 verschlüsselt ·Die generierte Passphrase muss im SWIM-Portal entschlüsselt werden. ・ Der Benutzer cxcroot und das Passwort sind zwei Tage gültig und können mit cxcadmin user regeneriert werden. |
Richtlinie für das SSH-Anmeldekennwort |
・ Mindestens acht Zeichen, die drei der folgenden Kategorien enthalten: Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. ・ Fünf fehlgeschlagene Anmeldeversuche sperren das System für 30 Minuten; das Kennwort läuft in 90 Tagen ab. |
Ports |
Offene eingehende Ports – 514 (Syslog) und 22 (SSH) |
Datensicherheit |
·Keine Kundeninformationen gespeichert. ·Keine Gerätedaten gespeichert. ·Anmeldeinformationen für den Cisco DNA Center-Server sind verschlüsselt und werden in der Datenbank gespeichert. |
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
26-Jun-2024 |
Erstveröffentlichung |