Catalyst Center Remote Support-Autorisierungsfunktion konfigurieren
Einleitung
In diesem Dokument wird die Einrichtung der Remote Support-Autorisierungsfunktion in Cisco Catalyst Center (ehemals Cisco DNA Center) beschrieben.
Voraussetzungen
Um die neue Remote Support Authorization-Funktion in Cisco Catalyst Center vollständig nutzen zu können, müssen bestimmte Kriterien erfüllt sein:
・ Cisco Catalyst Center muss Version 2.3.7.6 oder höher sein.
・ Das Support Services-Paket muss in Cisco Catalyst Center installiert werden.
・ Remote-Autorisierungsunterstützung durch die Firewall oder den Proxy zulassen: wss://prod.radkit-cloud.cisco.com:443 .
Hinweis: Die Remote Support-Autorisierung wurde in Cisco Catalyst Center 2.3.3.x eingeführt, bietet jedoch einen eingeschränkten Funktionsumfang. Nur der Zugriff auf Netzwerkgeräte ist zulässig, der Zugriff auf die Cisco Catalyst Center CLI ist in dieser früheren Version nicht verfügbar. Cisco Catalyst Center 2.3.7.6+ bietet Proxy-Zugriff auf der Webbenutzeroberfläche, rollenbasierte Zugriffskontrolle (RBAC) mit Profilerstellung und kennwortlosen Befehlszugriff.
Beschreibung
Cisco RADKit (radkit.cisco.com) bietet sichere interaktive Verbindungen zu entfernten Terminals und Web-Benutzeroberflächen. Die Cisco RADKit-Funktionen sind in Cisco Catalyst Center integriert und werden als Remote Support Authorization bezeichnet. Wenn Benutzer die Remote Support Authorization-Funktion nutzen, können Benutzer das Cisco TAC remote in ihre Cisco Catalyst Center-Umgebung integrieren, um Informationen zu erfassen oder Probleme zu beheben. Dadurch wird die Zeit reduziert, die Benutzer für Videoanrufe benötigen, da das TAC eingetretene Probleme untersucht.
Einschränkungen
Die aktuelle Version der Remote Support-Autorisierung weist im Vergleich zur RADKit-Standalone-Version folgende Einschränkungen auf:
- Wenn der Support-Techniker die Befehle "maglev", "sudo" oder "rca" in Ihrem Cisco Catalyst Center ausführt, werden Sie aufgefordert, Ihre Anmeldeinformationen anzugeben. Die Remote Support-Autorisierung automatisiert die Verarbeitung dieser Anmeldeinformationen nicht. Sie müssen diese Anmeldeinformationen daher für den Support-Techniker freigeben. (Funktion in Cisco Catalyst Center 2.3.7.6+ hinzugefügt)
- Über den Remore Support Authorization Service ist es nicht möglich, eine Verbindung zur grafischen Benutzeroberfläche (GUI) des Cisco Catalyst Centers oder zu einer beliebigen GUI der Netzwerkgeräte herzustellen. (Funktion in Cisco Catalyst Center 2.3.7.6+ hinzugefügt)
- Es ist nicht möglich, Remote-Zugriff auf Geräte bereitzustellen, die nicht im Cisco Catalyst Center-Inventar enthalten sind, aber für die Fehlerbehebung erforderlich sein müssen (z. B. die ISE).
- Es ist nicht möglich, einen Remote-Zugriff auf Wireless Access Points bereitzustellen, selbst wenn diese sich im Inventar von Cisco Catalyst Center befinden.
- Der Remote-Zugriff ist auf jeweils 24 Stunden beschränkt. Um einen längeren Zugriff zu ermöglichen, muss alle 24 Stunden eine neue Autorisierung erstellt werden.
- Durch die Erstellung einer Autorisierung wird der Zugriff auf alle Geräte im Inventar von Cisco Catalyst Center zugelassen. Es ist nicht möglich, den Zugriff auf bestimmte Netzwerkgeräte einzuschränken.
Um diese Einschränkungen zu überwinden, können Sie stattdessen den eigenständigen RADKit-Service installieren. Installationsprogramme sind für Windows, Mac und Linux verfügbar. Weitere Informationen finden Sie unter https://radkit.cisco.com
-
Netzwerkkonnektivität
Cisco Catalyst Center wird über AWS mit dem Cisco RADKit-Connector verbunden. Der Cisco RADKit-Connector ist in die Remote Support Authorization-Funktion integriert. TAC stellt über AWS eine Verbindung zum Cisco RADKit-Connector her und verwendet einen Cisco RADKit-Client. Sobald eine Support-ID von der Cisco Catalyst Center-Umgebung generiert wurde, verwendet der Cisco RADKit-Client die Support-ID, um eine Verbindung mit dem Cisco Catalyst Center herzustellen.
Remote Support-Autorisierung einrichten
Damit die Remote Support-Autorisierung aktiviert wird, damit das TAC eine Remote-Teilnahme ermöglicht, müssen folgende Schritte durchgeführt werden:
1. Stellen Sie sicher, dass die Firewall die erforderliche URL durchlässt.
2. Installieren Sie das Support Services-Paket.
3. Konfigurieren Sie die SSH-Anmeldeinformationen für den Remote Support Authorization-Workflow. (in Cisco Catalyst Center Version 2.3.7.6+ nicht mehr erforderlich)
4. Neue Autorisierung erstellen.
Schritt 1
Damit die Remote Support-Autorisierung funktioniert, muss der Cisco Catalyst Center-Connector mit dem AWS-Connector kommunizieren können. Um diese Kommunikation sicherzustellen, muss diese URL über die Firewall zugelassen werden, sofern eine konfiguriert ist:
wss://prod.radkit-cloud.cisco.com:443
Tipp: Weitere Informationen zu spezifischen Ports und URLs, die zugelassen/geöffnet werden müssen, damit die Funktionen von Cisco Catalyst Center funktionieren, finden Sie im Abschnitt Planung der Bereitstellung des Installationshandbuchs.
Schritt 2
Nach Abschluss einer Neuinstallation oder eines Upgrades von Cisco Catalyst Center auf Version 2.3.5.x oder höher muss das Support Services-Paket manuell installiert werden. Dies ist ein optionales Paket und wird nicht standardmäßig installiert. Navigieren Sie zur Benutzeroberfläche von Cisco Catalyst Center. Wählen Sie auf der Startseite der Benutzeroberfläche von Cisco Catalyst Center das Cloud-Symbol oben rechts im Bildschirm aus, und wählen Sie Gehe zu Softwareverwaltung.
Auf der Seite für die Softwareverwaltung werden die aktuell installierte Version, alle verfügbaren Versionen für das Upgrade und alle verfügbaren optionalen Pakete angezeigt. Das Support Services-Paket ist ein optionales Paket und wird nach einer abgeschlossenen Neuinstallation oder einem Upgrade, bei dem das Paket zuvor nicht bereitgestellt wurde, nicht automatisch installiert. Klicken Sie in der Liste der verfügbaren Pakete auf das Feld für das Support Services-Paket, und klicken Sie dann unten rechts auf dem Bildschirm auf die Schaltfläche Installieren.
Es wird ein Popup-Fenster für eine Abhängigkeitsprüfung der ausgewählten Pakete angezeigt. Wenn die Überprüfung abgeschlossen ist, wählen Sie Weiter.
Das/die ausgewählte(n) Paket(e) beginnt dann mit der Installation. Die Dauer dieses Prozesses hängt von der Anzahl der Pakete ab, die sich derzeit im Bereitstellungsprozess befinden. Während der Bereitstellung des Pakets wird oben im Bildschirm ein orangefarbenes Banner mit der Meldung angezeigt, dass die Automatisierungs- und Versicherungsservices vorübergehend unterbrochen wurden. Dies geschieht aufgrund des neuen Support-Service-POD, der erstellt wird und gerade gestartet wird.
Nach etwa 10 bis 20 Minuten ist der neue POD vollständig aktiviert, und die Installation des Support Services-Pakets ist abgeschlossen. Aktualisieren Sie nach der Installation des Pakets den Browser, und fahren Sie mit Schritt 3 fort.
Schritt 3
Für den vollständigen Zugriff auf die Remote Support-Autorisierungsfunktion müssen die SSH-Anmeldeinformationen in den Einstellungen für die Remote Support-Autorisierung konfiguriert werden. Ohne diese Anmeldeinformationen kann das TAC die Cisco RADKit-Lösung nicht für die Remote-Fehlerbehebung verwenden. Um die SSH-Anmeldeinformationen zu konfigurieren, navigieren Sie zum Fragezeichen oben rechts in der Benutzeroberfläche von Cisco Catalyst Center. Wählen Sie in der Liste Remote Support Authorization (Remote-Support-Autorisierung) aus.
Hinweis: Bitte beachten Sie, dass die Remote Support-Autorisierung nur angezeigt wird, nachdem das Support Services-Paket installiert und der Browser aktualisiert wurde. Weitere Informationen hierzu finden Sie in Schritt 2.
Hinweis: SSH-Anmeldedaten müssen nicht mehr auf der Seite für die Remote-Support-Autorisierung konfiguriert werden, die in Version 2.3.7.6 und höher beginnt. Dies ist Teil der neuen Funktion ohne Passwort. Cisco Catalyst Center ruft die intern gespeicherten Anmeldeinformationen ab, sodass keine Anmeldeinformationen für das TAC konfiguriert oder freigegeben werden müssen.
Sie werden zur Seite Remote Support Authorization (Remote-Support-Autorisierung) weitergeleitet. Da Sie nach der Installation des Support Services-Pakets zum ersten Mal auf diese Seite zugreifen, wird nur der Bildschirm "Neue Autorisierung erstellen" angezeigt.
Schritt 4
Wählen Sie Create a Remote Support Authorization (Remote-Support-Autorisierung erstellen).
Sie werden zur Seite "Zugriffsberechtigungsvereinbarung" weitergeleitet. Diese Seite hat zwei Optionen:
・ Neue VTY-Verbindungen zwischen Cisco Catalyst Center und den im Bestand verwalteten Geräten
・ Zugriff auf die CLI der Cisco Catalyst Center-Appliance(s)
Um eine SSH-Verbindung mit den vom Cisco Catalyst Center verwalteten Netzwerkgeräten herzustellen, muss die erste Option ausgewählt werden. Wenn diese Option nicht ausgewählt ist, können TAC-Techniker nicht per SSH mit Cisco RADKit auf die Geräte zugreifen. Um eine SSH-Verbindung mit der/den Cisco Catalyst Center-Appliance(s) herzustellen, muss die zweite Option ausgewählt werden. Wenn diese Option nicht ausgewählt ist, können TAC-Techniker nicht über Cisco RADKit auf Cisco Catalyst Center zugreifen. Um die Remote Support Authorization-Funktion optimal zu nutzen, sollten Sie beide Optionen auswählen. Wenn Sie die gewünschten Optionen ausgewählt haben, klicken Sie auf Weiter.
Sie werden zu einer Workflowseite weitergeleitet, um mit der Einrichtung der Autorisierung zu beginnen. Sie müssen die E-Mail-Adresse und die Zugriffsrolle des TAC-Technikers eingeben. Beispiel: "ciscotac@cisco.com" und "OBSERVER-ROLE".
Diese beiden Felder sind optional:
・ Bestehende(r) Serviceticket(s)
・ Begründung des Zugangs
Wenn Sie ein offenes TAC-Serviceticket haben, geben Sie diese Serviceticket-Nummer in das Feld Bestehende(r) Serviceticket-Nummer(n) ein.
Wenn Sie Dokumentation für die Remote Support-Autorisierung hinzufügen möchten, geben Sie dies in das Feld "Access Justification" (Begründung für den Zugriff) ein, z. B. "Required by the TAC to help ubleshoot an issue problem seen" (Vom TAC erforderlich, um bei der Behebung eines festgestellten Problems zu helfen). Klicken Sie auf Next (Weiter).
Hinweis: Bitte beachten Sie, dass die Möglichkeit, die RCA oder Mini-RCA über die GUI zu generieren, Validierungstool-Prüfungen durchzuführen oder Berichte auszuführen, für den OBSERVER-ROLE-Zugriff deaktiviert ist, da es sich hierbei um eine schreibgeschützte Zugriffsrolle handelt.
Sie werden zum Schritt Schedule the Access (Zugriff planen) weitergeleitet. Wählen Sie hier entweder Jetzt oder Später aus. Sie können sofort mit der Autorisierung beginnen oder die Autorisierung im Voraus planen.
Hinweis: Beachten Sie, dass die Autorisierung nur im erweiterten Modus für bis zu 30 Tage ab dem aktuellen Datum geplant werden kann, an dem die Autorisierungsanfrage erstellt wird.
Hinweis: Bitte beachten Sie, dass die Autorisierungsanfrage 24 Stunden dauert. Die Autorisierung kann zwar vorzeitig storniert werden, die Dauer kann jedoch nicht von 24 Stunden geändert werden.
Sie werden auf die Seite "Übersicht" umgeleitet, auf der alle Informationen aufgeführt sind, die mit dem Workflow zum Erstellen einer Remote-Support-Autorisierung konfiguriert wurden. Hier können Sie bestätigen, dass die Einstellungen korrekt sind. Wenn die Einstellungen korrekt sind, klicken Sie auf Erstellen.
Klicken Sie auf Erstellen, um mit dem letzten Schritt fortzufahren. Sie werden auf eine Seite weitergeleitet, auf der angegeben ist, dass die Autorisierung erstellt wurde. Zu den wichtigsten Elementen auf dieser Seite gehören:
・ E-Mail-Adresse des TAC-Technikers
・ Geplante Startzeit und Dauer der Autorisierung
・ Support-ID
Hinweis: Beachten Sie, dass der TAC-Techniker die Support-ID benötigt, um sich mit dem Cisco RADKit-Client für diese Autorisierungsanfrage verbinden zu können. Kopieren Sie die bereitgestellten Informationen, und senden Sie sie an den TAC-Techniker.
Auf dieser Seite können Sie "Weitere Autorisierung erstellen", "Alle Autorisierungen anzeigen", "Aktivitätsseite anzeigen" oder "Workflows anzeigen" auswählen. Wenn keine weitere Autorisierung erstellt werden muss, können Sie Alle Autorisierungen anzeigen auswählen, um alle aktuellen und früheren Autorisierungen anzuzeigen. Die Seite "Aktivität anzeigen" leitet Sie zur Seite "Audit-Protokolle" um. Alle Autorisierungen anzeigen leitet Sie zur Seite "Aktuelle Autorisierungen" im Abschnitt "Remote Support-Autorisierung" um. Sie können alle, geplanten oder aktiven Autorisierungen anzeigen. Klicken Sie auf eine Autorisierung, um ein Seitenfenster zu öffnen, in dem die mit dem Workflow zum Erstellen einer Remote-Support-Autorisierung konfigurierten Einstellungen angezeigt werden.
Sie können die Autorisierung abbrechen oder die Audit-Protokolle der Aktivitäten des TAC-Technikers in Ihrer Bereitstellung anzeigen. Sie können zur Registerkarte "Frühere Autorisierungen" wechseln, um historische Informationen zu früheren Autorisierungen abzurufen. Wählen Sie View Logs (Protokolle anzeigen) aus, um zur Seite Audit Logs (Überwachungsprotokolle) umgeleitet zu werden. Auf der Seite Audit Logs (Überwachungsprotokolle) können Sie Filter auswählen und dann nach Description (Beschreibung) mit der E-Mail-Adresse des TAC-Technikers filtern.
Wählen Sie Anwenden. Dadurch wird ein Filter basierend auf der E-Mail-Adresse des TAC-Technikers hinzugefügt, wie aus der Beschreibung der Audit-Protokolle ersichtlich wird, wenn Cisco RADKit für die Remote-Bereitstellung verwendet wird.
Aus den Audit-Protokollen können Sie sehen, was genau der TAC-Techniker getan hat und wann er sich angemeldet hat.
Warnung: Die Remote Support-Autorisierungsfunktion von Cisco Catalyst Center Version 2.3.7.6 wurde mit dem Cisco RADKit-Client 1.6.11 getestet.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
4.0 |
13-Aug-2024 |
Aktualisieren Sie Cisco DNA Center auf Cisco Catalyst Center. Titel aktualisiert. Dokument aktualisiert, um den neuen Workflow zum Aktivieren von unter 2.3.7.6+ anzuzeigen |
3.0 |
01-Mar-2024 |
Abschnitt "Einschränkungen" hinzugefügt |
2.0 |
07-Apr-2023 |
Erstveröffentlichung |
1.0 |
29-Mar-2023 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)