Introducción
Este documento describe cómo configurar la función Remote Support Authorization en Cisco Catalyst Center (anteriormente Cisco DNA Center).
Prerequisites
Para poder utilizar completamente la nueva función Remote Support Authorization de Cisco Catalyst Center, deben cumplirse ciertos criterios:
· Cisco Catalyst Center debe ser la versión 2.3.7.6 o superior.
· El paquete de servicios de asistencia debe estar instalado en Cisco Catalyst Center.
· Permita el soporte de autorización remota a través del firewall o proxy: wss://prod.radkit-cloud.cisco.com:443 .
Nota: La autorización de soporte remoto se introduce en la versión 2.3.3.x de Cisco Catalyst Center, pero tiene una funcionalidad limitada. Solo se permite el acceso de dispositivos de red; el acceso CLI de Cisco Catalyst Center no está presente en esta versión anterior. Cisco Catalyst Center versión 2.3.7.6+ ofrece acceso de proxy de interfaz de usuario web, perfiles de control de acceso basado en roles (RBAC) y acceso a comandos sin contraseña.
Descripción
Cisco RADKit (radkit.cisco.com) proporciona conectividad interactiva segura a terminales remotos y a interfaces de usuario web. Las funciones de Cisco RADKit están integradas en Cisco Catalyst Center y se denominan Remote Support Authorization. Cuando los usuarios utilizan la función Remote Support Authorization, pueden tener Cisco TAC remoto en su entorno de Cisco Catalyst Center para recopilar información o solucionar problemas. Esto ayuda a reducir el tiempo que los usuarios necesitan para realizar videollamadas mientras el TAC investiga los problemas que se han producido.
Limitaciones
La versión actual de Remote Support Authorization tiene estas limitaciones en comparación con la versión independiente de RADKit:
- Cuando el ingeniero de soporte ejecuta los comandos "maglev", "sudo" o "rca" en su Cisco Catalyst Center, solicita las credenciales. La autorización de soporte remoto no automatiza la gestión de estas credenciales, por lo que debe compartir estas credenciales con el ingeniero de soporte técnico. (Función añadida en Cisco Catalyst Center 2.3.7.6+)
- A través del servicio de autorización de asistencia remota no es posible conectarse a la interfaz gráfica de usuario (GUI) de Cisco Catalyst Center ni a ninguna de las interfaces gráficas de usuario de los dispositivos de red. (Función añadida en Cisco Catalyst Center 2.3.7.6+)
- No es posible proporcionar acceso remoto a dispositivos que no se encuentran en el inventario de Cisco Catalyst Center, pero que deben ser necesarios para la resolución de problemas (por ejemplo, ISE).
- No es posible proporcionar acceso remoto a los puntos de acceso inalámbricos, incluso cuando se encuentran en el inventario de Cisco Catalyst Center.
- El acceso remoto está limitado a 24 horas a la vez. Para proporcionar un acceso más largo, debe crearse una nueva autorización cada 24 horas.
- Al crear una autorización, permite el acceso a todos los dispositivos del inventario de Cisco Catalyst Center. No es posible restringir el acceso a ciertos dispositivos de red.
Para superar estas limitaciones, puede considerar la instalación del servicio RADKit independiente en su lugar. Los instaladores están disponibles para Windows, Mac y Linux. Para obtener más información, visite https://radkit.cisco.com
-
Conectividad de red
Cisco Catalyst Center se conecta al conector Cisco RADKIT a través de AWS. El conector Cisco RADKit está incorporado en la función Remote Support Authorization. TAC se conecta al conector Cisco RADKit a través de AWS y utiliza un cliente RADKit de Cisco. Una vez que el entorno de Cisco Catalyst Center genera un ID de soporte, el cliente de Cisco RADKit utiliza el ID de soporte para conectarse al Cisco Catalyst Center.
Configuración de la autorización de soporte remoto
Para que la autorización de soporte remoto esté habilitada de modo que el TAC pueda participar de forma remota, se deben completar estos pasos:
1. Asegúrese de que el firewall permite el paso de la URL necesaria.
2. Instale el paquete de servicios de soporte.
3. Configure las credenciales SSH para el flujo de trabajo de autorización de soporte remoto. (Ya no es necesario en Cisco Catalyst Center versiones 2.3.7.6+)
4. Cree una nueva autorización.
Paso 1
Para que la autorización de soporte remoto funcione, el conector Cisco Catalyst Center debe poder comunicarse con el conector AWS. Para garantizar esta comunicación, se debe permitir que esta URL pase a través del firewall si se ha configurado una:
wss://prod.radkit-cloud.cisco.com:443
Paso 2
Después de realizar una instalación nueva o una actualización de Cisco Catalyst Center a la versión 2.3.5.x o superior, el paquete de servicios de soporte debe instalarse manualmente. Se trata de un paquete opcional y no se instala de forma predeterminada. Vaya a la interfaz de usuario de Cisco Catalyst Center. En la pantalla de inicio de la interfaz de usuario de Cisco Catalyst Center, seleccione el icono de nube en la parte superior derecha de la pantalla y elija Ir a administración de software.
Una vez en la página Software Management (Administración de software), verá la versión instalada actual, cualquier versión disponible a la que actualizar y cualquier paquete opcional disponible. El paquete de servicios de soporte es un paquete opcional y no se instala automáticamente después de una instalación nueva completa o una actualización en la que el paquete no se haya implementado previamente. Haga clic en la casilla del paquete de servicios de asistencia de la lista de paquetes disponibles y, a continuación, haga clic en el botón Install (Instalar) en la parte inferior derecha de la pantalla.
Aparecerá una ventana emergente para una comprobación de dependencias de los paquetes seleccionados. Una vez finalizada la comprobación, seleccione Continuar.
El paquete o paquetes seleccionados se comenzarán a instalar. La duración de este proceso depende del número de paquetes que se encuentran actualmente en el proceso de implementación. Mientras el paquete se encuentra en el proceso de implementación, aparece un banner naranja en la parte superior de la pantalla que indica que los servicios de automatización y garantía se han interrumpido temporalmente. Esto ocurre debido al nuevo grupo de dispositivos de servicio de soporte que se crea y está en proceso de arranque.
Después de aproximadamente 10 a 20 minutos, el nuevo grupo de dispositivos se encuentra en un estado completamente activo y la instalación del paquete de servicios de soporte se completa. Una vez instalado el paquete, actualice el explorador y vaya al paso 3.
Paso 3
El acceso completo a la función Remote Support Authorization requiere que las credenciales SSH se configuren en los ajustes de Remote Support Authorization . Sin estas credenciales definidas, el TAC no podrá utilizar Cisco RADKit para resolver problemas de forma remota. Para configurar las credenciales de SSH, navegue hasta el icono de signo de interrogación en la parte superior derecha de la interfaz de usuario de Cisco Catalyst Center. En la lista, seleccione Autorización de soporte remoto.
Nota: Tenga en cuenta que la autorización de soporte remoto solo se muestra después de instalar el paquete de servicios de soporte y de actualizar el navegador. Consulte el paso 2 para saber cómo conseguirlo.
Nota: Ya no es necesario configurar las credenciales de SSH en la página Remote Support Authorization (Autorización de soporte remoto) a partir de la versión 2.3.7.6 y posteriores. Esto forma parte de la nueva función sin contraseña. Cisco Catalyst Center extrae las credenciales almacenadas internamente, por lo que no es necesario configurar ni compartir ninguna credencial para el TAC.
Se le redirigirá a la página de autorización de soporte remoto. Dado que es la primera vez que accede a esta página después de la instalación del paquete de servicios de soporte, sólo verá la pantalla Create New Authorization (Crear nueva autorización).
Paso 4
Seleccione Crear una autorización de soporte remoto.
Se le redirigirá a la página Acuerdo de permiso de acceso. Esta página tiene dos opciones:
· Nuevas conexiones VTY entre Cisco Catalyst Center y los dispositivos administrados en Inventory.
· Acceso a la CLI de los dispositivos Cisco Catalyst Center
Para establecer una conexión SSH con los dispositivos de red gestionados por Cisco Catalyst Center, debe seleccionarse la primera opción. Si esta opción no está seleccionada, los ingenieros del TAC no tienen la capacidad de poder introducir SSH en los dispositivos con Cisco RADKit. Para establecer una conexión SSH con los dispositivos Cisco Catalyst Center, debe seleccionarse la segunda opción. Si no se selecciona esta opción, los ingenieros del TAC no podrán acceder a Cisco Catalyst Center con Cisco RADKit. Para optimizar el uso de la función de autorización de soporte remoto, se recomienda seleccionar ambas opciones. Una vez seleccionadas las opciones deseadas, haga clic en Next (Siguiente).
Se le redirige a una página de flujo de trabajo para iniciar la configuración de la autorización. Debe introducir la dirección de correo electrónico y la función de acceso del ingeniero del TAC. Por ejemplo: "ciscotac@cisco.com" y "OBSERVER-ROLE".
Estos dos campos son opcionales:
· Número(s) de SR existente(s)
· Justificación de acceso
Si tiene una solicitud de servicio de TAC abierta, introduzca el número de la solicitud de servicio en el campo Número de SR existente.
Si desea agregar documentación para la autorización de soporte remoto, indíquelo en el campo Access Justification (Justificación de acceso) como, "Required by the TAC to help troubleshooting an issue seen" (Requerido por el TAC para ayudar a resolver un problema detectado). Haga clic en Next (Siguiente).
Nota: Tenga en cuenta que la capacidad de utilizar la GUI para generar el RCA o mini-RCA, ejecutar comprobaciones de la herramienta de validación o ejecutar informes está desactivada para el acceso a OBSERVER-ROLE, ya que se trata de un rol de acceso de solo lectura en este momento.
Se le redirigirá al paso Programar el acceso. Desde aquí, debe elegir Ahora o Más tarde. Puede iniciar la autorización inmediatamente o programarla con antelación.
Nota: Tenga en cuenta que la autorización solo se puede programar con antelación durante un máximo de 30 días a partir de la fecha actual en la que se crea la solicitud de autorización.
Nota: Tenga en cuenta que la solicitud de autorización dura 24 horas. Aunque la autorización se puede cancelar antes, la duración no se puede cambiar de 24 horas.
Se le redirigirá a la página Resumen, que enumera todo lo que se configuró con el flujo de trabajo Crear una autorización de soporte remoto. Aquí puede confirmar que los parámetros son correctos. Si los parámetros son correctos, haga clic en Create (Crear).
Haga clic en Create (Crear) para continuar con el paso final. Se le redirige a una página que indica que se ha creado la autorización. Los elementos clave de esta página incluyen:
· Dirección de correo electrónico del ingeniero del TAC
· Hora de inicio programada y duración de la autorización
· ID de soporte
Nota: Tenga en cuenta que el ingeniero del TAC necesita la ID de soporte técnico para poder conectarse con el cliente RADKit de Cisco a esta solicitud de autorización. Copie la información proporcionada y envíela al ingeniero del TAC.
En esta página tiene la opción de seleccionar Crear Otra Autorización, Ver Todas las Autorizaciones, Ver Página Actividad o Ver Flujos de Trabajo. Si no es necesario crear otra autorización, puede elegir Ver todas las autorizaciones para ver todas las autorizaciones actuales y pasadas. La página Ver actividad le redirige a la página Registros de auditoría. Ver todas las autorizaciones le redirige a la página Autorizaciones actuales de la sección Autorización de soporte remoto. Puede ver todas las autorizaciones, programadas o activas. Haga clic en una autorización para abrir una ventana lateral que muestra los ajustes configurados con el flujo de trabajo Crear una autorización de soporte remoto.
Puede optar por cancelar la autorización o ver los registros de auditoría de lo que el ingeniero del TAC ha hecho con su implementación. Puede optar por cambiar a la ficha Autorizaciones pasadas para obtener información histórica sobre autorizaciones anteriores. Seleccione Ver registros para redirigirlos a la página Registros de auditoría. En la página Registros de auditoría, puede seleccionar Filtro y, a continuación, filtrar por Descripción con la dirección de correo electrónico del ingeniero del TAC.
Seleccione Aplicar. Esto añade un filtro basado en la dirección de correo electrónico del ingeniero del TAC, como se muestra en la descripción de los registros de auditoría cuando se utiliza Cisco RADKit para acceder de forma remota a la implementación.
En los registros de auditoría puede ver exactamente qué hizo el ingeniero del TAC y cuándo inició sesión.
Advertencia: la función Remote Support Authorization de Cisco Catalyst Center versión 2.3.7.6 se ha probado con el cliente Cisco RADKit 1.6.11.