Configurazione della funzionalità di autorizzazione del supporto remoto di Catalyst Center
Introduzione
Questo documento descrive come configurare la funzione di autorizzazione del supporto remoto in Cisco Catalyst Center (in precedenza Cisco DNA Center).
Prerequisiti
Per poter utilizzare completamente la nuova funzionalità di autorizzazione del supporto remoto nel Cisco Catalyst Center, è necessario che siano soddisfatti alcuni criteri:
· Cisco Catalyst Center deve essere versione 2.3.7.6 o successiva.
· Il pacchetto di servizi di supporto deve essere installato in Cisco Catalyst Center.
· Consentire il supporto delle autorizzazioni remote attraverso il firewall o il proxy: wss://prod.radkit-cloud.cisco.com:443 .
Nota: l'autorizzazione al supporto remoto è stata introdotta in Cisco Catalyst Center versione 2.3.3.x, ma ha funzionalità limitate. È consentito solo l'accesso ai dispositivi di rete. L'accesso CLI a Cisco Catalyst Center non è presente in questa versione precedente. Cisco Catalyst Center versione 2.3.7.6+ offre l'accesso proxy all'interfaccia utente Web, la profilatura del controllo di accesso basato su ruoli (RBAC) e l'accesso ai comandi senza password.
Descrizione
Cisco RADKit (radkit.cisco.com) offre connettività interattiva sicura a terminali remoti e interfacce utente Web. Le funzionalità di Cisco RADKit sono integrate nel Cisco Catalyst Center e vengono denominate autorizzazione del supporto remoto. Quando gli utenti utilizzano la funzione di autorizzazione del supporto remoto, possono accedere in modo remoto a Cisco TAC nell'ambiente del Cisco Catalyst Center per raccogliere informazioni o risolvere i problemi. Ciò contribuisce a ridurre il tempo necessario agli utenti per partecipare alle videochiamate mentre TAC indaga sui problemi che si sono verificati.
Limitazioni
La versione corrente di Autorizzazione supporto remoto presenta le seguenti limitazioni rispetto alla versione indipendente RADKit:
- Quando il tecnico di assistenza esegue i comandi "maglev", "sudo" o "rca" sul proprio Cisco Catalyst Center, chiede le credenziali. L'autorizzazione del supporto remoto non automatizza la gestione di queste credenziali, pertanto è necessario condividerle con il tecnico del supporto. (Funzione aggiunta in Cisco Catalyst Center 2.3.7.6+)
- Tramite il servizio di autorizzazione del supporto remoto non è possibile connettersi all'interfaccia grafica (GUI) del Cisco Catalyst Center o a nessuna GUI dei dispositivi di rete. (Funzione aggiunta in Cisco Catalyst Center 2.3.7.6+)
- Non è possibile fornire l'accesso remoto a dispositivi che non sono presenti nell'inventario del Cisco Catalyst Center ma che devono essere necessari per la risoluzione dei problemi (ad esempio ISE).
- Non è possibile fornire l'accesso remoto ai punti di accesso wireless, anche se si trovano nell'inventario del Cisco Catalyst Center.
- L'accesso remoto è limitato a 24 ore alla volta; per garantire un accesso più lungo è necessario creare una nuova autorizzazione ogni 24 ore.
- La creazione di un'autorizzazione consente di accedere a tutti i dispositivi nell'inventario del Cisco Catalyst Center. Non è possibile limitare l'accesso a determinati dispositivi di rete.
Per superare questi limiti, è possibile installare il servizio RADKit standalone. Sono disponibili programmi di installazione per Windows, Mac e Linux. Per maggiori informazioni, visitare https://radkit.cisco.com
-
Connettività di rete
Cisco Catalyst Center si connette al connettore Cisco RADKit su AWS. Il connettore Cisco RADKit è incorporato nella funzione di autorizzazione del supporto remoto. TAC si connette al connettore Cisco RADKit su AWS e utilizza un client Cisco RADKit. Una volta generato un ID supporto dall'ambiente Cisco Catalyst Center, il client Cisco RADKit utilizza l'ID supporto per connettersi al Cisco Catalyst Center.
Configura autorizzazione supporto remoto
Affinché l'autorizzazione per il supporto remoto sia attivata in modo che TAC possa essere attivato in remoto, è necessario completare i seguenti passaggi:
1. Verificare che il firewall consenta il passaggio dell'URL richiesto.
2. Installare il pacchetto di servizi di supporto.
3. Configurare le credenziali SSH per il flusso di lavoro Autorizzazione supporto remoto. (non più necessario in Cisco Catalyst Center versioni 2.3.7.6+)
4. Creare una nuova autorizzazione.
Passaggio 1
Affinché l'autorizzazione al supporto remoto funzioni, il connettore Cisco Catalyst Center deve essere in grado di comunicare con il connettore AWS. Per garantire questa comunicazione, l'URL deve essere consentito attraverso il firewall, se configurato:
wss://prod.radkit-cloud.cisco.com:443
Suggerimento: per ulteriori informazioni su porte e URL specifici da autorizzare o aprire per il corretto funzionamento delle funzionalità di Cisco Catalyst Center, consultare la sezione Pianificazione dell'installazione della Guida all'installazione.
Passaggio 2
Dopo aver completato una nuova installazione o un aggiornamento di Cisco Catalyst Center alla versione 2.3.5.x o successive, il pacchetto dei servizi di supporto deve essere installato manualmente. Si tratta di un pacchetto facoltativo che non viene installato per impostazione predefinita. Passare all'interfaccia utente di Cisco Catalyst Center. Dalla schermata Home dell'interfaccia utente di Cisco Catalyst Center selezionare l'icona del cloud nella parte superiore destra della schermata e scegliere Vai a Gestione software.
Nella pagina Gestione software viene visualizzata la release installata corrente, qualsiasi release disponibile per l'aggiornamento a e qualsiasi pacchetto opzionale disponibile. Il pacchetto di Servizi di supporto è un pacchetto facoltativo e non viene installato automaticamente dopo una nuova installazione completata o un aggiornamento in cui il pacchetto non è stato distribuito in precedenza. Fare clic sulla casella relativa al pacchetto di servizi di supporto nell'elenco dei pacchetti disponibili, quindi fare clic sul pulsante Installa nella parte inferiore destra della schermata.
Viene visualizzata una finestra popup per il controllo delle dipendenze per i pacchetti selezionati. Al termine del controllo, scegliere Continua.
I pacchetti selezionati verranno installati. La lunghezza di questo processo dipende dal numero di pacchetti attualmente presenti nel processo di distribuzione. Mentre il pacchetto è in fase di distribuzione, nella parte superiore dello schermo viene visualizzato un banner arancione che indica che i servizi di automazione e verifica sono stati temporaneamente interrotti. Ciò si verifica a causa del nuovo pod del servizio di supporto che viene creato ed è in fase di avvio.
Dopo circa 10-20 minuti, il nuovo pod è completamente attivo e l'installazione del pacchetto dei servizi di supporto è completata. Una volta installato il pacchetto, aggiornare il browser e procedere al passaggio 3.
Passaggio 3
Per l'accesso completo alla funzionalità di autorizzazione del supporto remoto è necessario configurare le credenziali SSH nelle impostazioni di autorizzazione del supporto remoto. Senza queste credenziali, TAC non è in grado di utilizzare Cisco RADKit per la risoluzione dei problemi in remoto. Per configurare le credenziali SSH, passare all'icona con il punto interrogativo nell'angolo in alto a destra dell'interfaccia utente di Cisco Catalyst Center. Dall'elenco, scegliere Autorizzazione supporto remoto.
Nota: l'autorizzazione del supporto remoto viene visualizzata solo dopo l'installazione del pacchetto di Servizi di supporto e l'aggiornamento del browser. A tale scopo, consultare il punto 2.
Nota: le credenziali SSH non devono più essere configurate nella pagina di autorizzazione del supporto remoto a partire dalla versione 2.3.7.6 e successive. Questa è parte della nuova funzione senza password. Cisco Catalyst Center estrae le credenziali già archiviate internamente, quindi non è necessario configurare o condividere le credenziali per TAC.
L'utente viene reindirizzato alla pagina Autorizzazione supporto remoto. Poiché è la prima volta che si accede a questa pagina dopo l'installazione del pacchetto di servizi di supporto, viene visualizzata solo la schermata Crea nuova autorizzazione.
Passaggio 4
Scegliere Crea autorizzazione supporto remoto.
L'utente viene reindirizzato alla pagina Contratto di autorizzazione di accesso. In questa pagina sono disponibili due opzioni:
· Nuove connessioni VTY tra Cisco Catalyst Center e i dispositivi gestiti in Inventory.
· Accesso alla CLI degli accessori di Cisco Catalyst Center
Per stabilire una connessione SSH con i dispositivi di rete gestiti dal Cisco Catalyst Center, è necessario selezionare la prima opzione. Se questa opzione non è selezionata, i tecnici TAC non sono in grado di eseguire il protocollo SSH sui dispositivi con Cisco RADKit. Per stabilire una connessione SSH agli accessori Cisco Catalyst Center, è necessario selezionare la seconda opzione. Se questa opzione non è selezionata, i tecnici TAC non sono in grado di accedere al Cisco Catalyst Center con Cisco RADKit. Per un utilizzo ottimale della funzionalità Autorizzazione supporto remoto, si consiglia di selezionare entrambe le opzioni. Dopo aver selezionato le opzioni desiderate, fare clic su Avanti.
L'utente viene reindirizzato a una pagina del flusso di lavoro per avviare l'impostazione dell'autorizzazione. È necessario immettere l'indirizzo di posta elettronica del tecnico TAC e il ruolo di accesso. Ad esempio: "ciscotac@cisco.com" e "OBSERVER-ROLE".
Questi due campi sono facoltativi:
· Numero/i SR esistente/i
· Giustificazione dell'accesso
Se si dispone di una richiesta di assistenza TAC aperta, immettere tale numero nel campo Numero/i SR esistente/i.
Se si desidera aggiungere documentazione per l'autorizzazione del supporto remoto, specificarla nel campo Motivazione accesso, ad esempio "Richiesta da TAC per risolvere un problema riscontrato". Fare clic su Next (Avanti).
Nota: la possibilità di utilizzare la GUI per generare l'RCA o il mini RCA, eseguire controlli dello strumento di convalida o eseguire qualsiasi report è disabilitata per l'accesso OBSERVER-ROLE poiché si tratta di un ruolo di accesso di sola lettura.
Viene eseguito il reindirizzamento alla fase Pianifica accesso. Da qui, è necessario scegliere Ora o In seguito. È possibile avviare l'autorizzazione immediatamente o pianificarla in anticipo.
Nota: l'autorizzazione può essere pianificata solo in anticipo per un massimo di 30 giorni dalla data corrente di creazione della richiesta di autorizzazione.
Nota: la durata della richiesta di autorizzazione è di 24 ore. Anche se l'autorizzazione può essere annullata in anticipo, la durata non può essere modificata da 24 ore.
Viene visualizzata la pagina Riepilogo in cui sono elencati tutti gli elementi configurati con il flusso di lavoro Crea autorizzazione supporto remoto. Qui è possibile verificare che le impostazioni siano corrette. Se le impostazioni sono corrette, fare clic su Crea.
Fate clic su Crea (Create) per proseguire con il passo finale. L'utente viene reindirizzato a una pagina che indica che l'autorizzazione è stata creata. Gli elementi chiave di questa pagina sono:
· Indirizzo e-mail del tecnico TAC
· Ora di inizio programmata e durata dell'autorizzazione
· ID supporto
Nota: il tecnico TAC richiede l'ID supporto per poter connettersi al client Cisco RADKit per questa richiesta di autorizzazione. Copiare le informazioni fornite e inviarle al tecnico TAC.
In questa pagina è possibile scegliere Crea un'altra autorizzazione, Visualizza tutte le autorizzazioni, Visualizza pagina attività o Visualizza flussi di lavoro. Se non è necessario creare un'altra autorizzazione, è possibile scegliere Visualizza tutte le autorizzazioni per visualizzare tutte le autorizzazioni correnti e passate. Visualizza pagina attività consente di reindirizzare l'utente alla pagina Log di audit. Visualizza tutte le autorizzazioni reindirizza l'utente alla pagina Autorizzazioni correnti nella sezione Autorizzazione supporto remoto. È possibile visualizzare le autorizzazioni Tutto, Programmato o Attivo. Fare clic su un'autorizzazione per aprire una finestra laterale in cui vengono visualizzate le impostazioni configurate con il flusso di lavoro Crea autorizzazione supporto remoto.
È possibile scegliere di annullare l'autorizzazione o visualizzare i log di controllo delle attività eseguite dal tecnico TAC nella distribuzione. È possibile scegliere di passare alla scheda Autorizzazioni passate per ottenere informazioni cronologiche sulle autorizzazioni precedenti. Scegliere Visualizza log da reindirizzare alla pagina Log di audit. Nella pagina Log di audit, è possibile scegliere Filtro, quindi filtrare in base alla descrizione con l'indirizzo e-mail del tecnico TAC.
Scegliere Applica. In questo modo viene aggiunto un filtro basato sull'indirizzo e-mail del tecnico TAC, come mostrato nella descrizione dei log di controllo quando Cisco RADKit viene utilizzato per connettersi in remoto all'implementazione.
Dai registri di verifica è possibile verificare esattamente le operazioni eseguite dal tecnico TAC e la data di accesso.
Avviso: la funzionalità di autorizzazione del supporto remoto di Cisco Catalyst Center versione 2.3.7.6 è testata con il client Cisco RADKit 1.6.11.
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
4.0 |
13-Aug-2024 |
Aggiornare Cisco DNA Center a Cisco Catalyst Center. Aggiornato il titolo. Il documento è stato aggiornato per visualizzare il nuovo flusso di lavoro per l'abilitazione su 2.3.7.6+ |
3.0 |
01-Mar-2024 |
Aggiunta della sezione "limitazioni" |
2.0 |
07-Apr-2023 |
Release iniziale |
1.0 |
29-Mar-2023 |
Versione iniziale |
Feedback