はじめに
このドキュメントでは、Cisco Catalyst Center(旧称Cisco DNA Center)のリモートサポート認証機能をセットアップする方法について説明します。
前提条件
Cisco Catalyst Centerの新しいリモートサポート認証機能を完全に利用するには、次の特定の条件を満たす必要があります。
・ Cisco Catalyst Centerは、バージョン2.3.7.6以上である必要があります。
・ Support ServicesパッケージをCisco Catalyst Centerにインストールする必要があります。
・ ファイアウォールまたはプロキシ経由のリモート認証サポートを許可する:wss://prod.radkit-cloud.cisco.com:443
注:リモートサポート許可は、Cisco Catalyst Centerバージョン2.3.3.xで導入されましたが、機能が制限されています。ネットワークデバイスへのアクセスのみが許可され、Cisco Catalyst CenterのCLIアクセスはこの以前のバージョンには存在しません。Cisco Catalyst Centerバージョン2.3.7.6+は、Web UIプロキシアクセス、ロールベースアクセスコントロール(RBAC)プロファイリング、およびパスワードレスコマンドアクセスを提供します。
説明
Cisco RADKit(radkit.cisco.com)は、リモート端末とWeb UIへの安全なインタラクティブ接続を提供します。Cisco RADKit機能はCisco Catalyst Centerに統合され、リモートサポート認証と呼ばれます。ユーザがリモートサポート認証機能を使用すると、Cisco TACリモートをCisco Catalyst Center環境に接続して、情報の収集や問題のトラブルシューティングに役立てることができます。これにより、TACが発生した問題を調査する際に、ユーザがビデオコールに対応するために必要な時間を短縮できます。
制限事項
現在のバージョンのリモートサポート承認には、RADKitスタンドアロンバージョンと比較して、次の制限があります。
– サポートエンジニアがCisco Catalyst Centerで「maglev」、「sudo」、または「rca」コマンドを実行すると、クレデンシャルの入力を求められます。 リモートサポート認証では、これらの資格情報の処理は自動化されないため、これらの資格情報をサポートエンジニアと共有する必要があります。(Cisco Catalyst Center 2.3.7.6+で追加された機能)
- Remore Support Authorizationサービスでは、Cisco Catalyst Centerのグラフィカルユーザインターフェイス(GUI)、またはネットワークデバイスのGUIに接続できません。 (Cisco Catalyst Center 2.3.7.6+で追加された機能)
- Cisco Catalyst Centerのインベントリになく、トラブルシューティングに必要なデバイス(ISEなど)へのリモートアクセスを提供できません。
- Cisco Catalyst Centerのインベントリ内にあるワイヤレスアクセスポイントに対してリモートアクセスを提供することはできません。
– リモートアクセスは一度に24時間に制限されています。より長い時間アクセスを提供するには、24時間ごとに新しい認証を作成する必要があります。
– 認可を作成することで、Cisco Catalyst Centerインベントリ内のすべてのデバイスへのアクセスを許可します。特定のネットワークデバイスへのアクセスを制限することはできません。
これらの制限を克服するには、スタンドアロンのRADKitサービスをインストールすることを検討してください。インストーラは、Windows、Mac、およびLinuxで使用できます。詳細については、https://radkit.cisco.comを参照してください。
-
ネットワーク接続
Cisco Catalyst Centerは、AWSを介してCisco RADKitコネクタに接続します。Cisco RADKitコネクタは、リモートサポート認証機能に組み込まれています。TACはAWS経由でCisco RADKitコネクタに接続し、Cisco RADKitクライアントを使用します。Cisco Catalyst Center環境でサポートIDが生成されると、Cisco RADKitクライアントはそのサポートIDを使用してCisco Catalyst Centerに接続します。
リモートサポート認証の設定
TACがリモートで作業できるようにリモートサポート認証を有効にするには、次の手順を実行する必要があります。
1. ファイアウォールが必要なURLの通過を許可していることを確認します。
2. サポートサービスパッケージをインストールします。
3. リモートサポート承認ワークフローのSSH資格情報を構成します。(Cisco Catalyst Centerバージョン2.3.7.6+では不要)
4. 新しい認可を作成します。
手順 1
リモートサポート認証が機能するには、Cisco Catalyst CenterコネクタがAWSコネクタと通信できる必要があります。この通信を確実にするには、このURLが設定されている場合は、ファイアウォールの通過を許可する必要があります。
wss://prod.radkit-cloud.cisco.com:443
ヒント:Cisco Catalyst Centerの機能を動作させるために許可/オープンする必要がある特定のポートおよびURLの詳細については、インストールガイドの「導入の計画」セクションを参照してください。
手順 2
Cisco Catalyst Centerの新規インストールまたはバージョン2.3.5.x以降へのアップグレードの完了後は、サポートサービスのパッケージを手動でインストールする必要があります。これはオプションパッケージであり、デフォルトではインストールされません。Cisco Catalyst Center UIに移動します。Cisco Catalyst Center UIのホーム画面から、画面右上のクラウドアイコンを選択し、Go to Software Managementを選択します。
[ソフトウェア管理]ページに、現在インストールされているリリース、アップグレード可能なリリース、および利用可能なオプションパッケージが表示されます。Support Servicesパッケージはオプションのパッケージであり、新規インストールが完了した後や、パッケージが以前に展開されていなかったアップグレード後は、自動的にインストールされません。使用可能なパッケージのリストの下にあるSupport Servicesパッケージのボックスをクリックし、画面右下のInstallボタンをクリックします。
選択したパッケージの依存関係チェックを行うポップアップウィンドウが表示されます。チェックが終了したら、Continueを選択します。
選択したパッケージのインストールが開始されます。このプロセスの長さは、展開プロセスに現在含まれているパッケージの数によって異なります。パッケージの導入プロセス中に、画面上部にオレンジ色のバナーが表示され、自動化および保証サービスが一時的に中断されたことが示されます。これは、これが作成され、ブートアップの処理中である新しいサポートサービスポッドが原因で発生します。
約10 ~ 20分後、新しいポッドは完全にアップ状態になり、サポートサービスパッケージのインストールが完了します。パッケージがインストールされたら、ブラウザを更新し、手順3に進みます。
手順 3
リモートサポート認証機能にフルアクセスするには、リモートサポート認証設定でSSHクレデンシャルを設定する必要があります。これらのクレデンシャルが定義されていないと、TACはCisco RADKitを使用してリモートでトラブルシューティングを行うことができません。SSHクレデンシャルを設定するには、Cisco Catalyst Center UIの右上にある疑問符アイコンに移動します。リストからRemote Support Authorizationを選択します。
注:リモートサポート承認は、サポートサービスパッケージがインストールされ、ブラウザが更新された後にのみ表示されます。これを行う方法については、ステップ2を参照してください。
注:バージョン2.3.7.6以降では、SSHクレデンシャルをRemote Support Authorizationページで設定する必要はありません。これは、新しいパスワードレス機能の一部です。Cisco Catalyst Centerは、すでに内部に保存されているクレデンシャルを取得するため、TAC用にクレデンシャルを設定したり共有したりする必要はありません。
リモートサポート承認ページにリダイレクトされます。Support Servicesパッケージのインストール後にこのページにアクセスするのは今回が初めてのため、[Create New Authorization]画面のみが表示されます。
手順 4
Create a Remote Support Authorizationを選択します。
「アクセス許可アグリーメント」ページにリダイレクトされます。このページには、次の2つのオプションがあります。
・ Cisco Catalyst Centerとインベントリで管理されるデバイス間の新しいVTY接続。
・ Cisco Catalyst CenterアプライアンスのCLIへのアクセス
Cisco Catalyst Centerによって管理されるネットワークデバイスとのSSH接続を確立するには、最初のオプションを選択する必要があります。このオプションが選択されていない場合、TACエンジニアはCisco RADKitを使用してデバイスにSSH接続できません。Cisco Catalyst CenterアプライアンスへのSSH接続を確立するには、2番目のオプションを選択する必要があります。このオプションが選択されていない場合、TACエンジニアはCisco RADKitを使用してCisco Catalyst Centerにアクセスできません。リモートサポート認証機能を最大限に活用するには、両方のオプションを選択することをお勧めします。必要なオプションを選択したら、[次へ]をクリックします。
承認の設定を開始するためのワークフローページにリダイレクトされます。TACエンジニアの電子メールアドレスとアクセスロールを入力する必要があります。例:「ciscotac@cisco.com」および「OBSERVER-ROLE」。
次の2つのフィールドはオプションです。
・ 既存のSR番号
・ アクセス・ジャスティフィケーション
オープンなTACサービスリクエストがある場合は、そのサービスリクエスト番号を既存のSR番号フィールドに入力してください。
リモートサポート許可に関する文書を追加する場合は、「Required by the TAC to help troubleshoot an issue seen」のように、アクセス許可フィールドにその情報を記入してください。[Next] をクリックします。
注:GUIを使用してRCAまたはmini-RCAを生成したり、検証ツールのチェックを実行したり、任意のレポートを実行したりする機能は、現時点では読み取り専用アクセスロールであるため、OBSERVER-ROLEアクセスでは無効になっていることに注意してください。
「アクセスのスケジュール」ステップにリダイレクトされます。ここで、[今すぐ]または[後で]を選択する必要があります。すぐに認可を開始することも、事前に認可をスケジュールすることもできます。
注:認可は、認可要求が作成された現在の日付から最大30日間、詳細でのみスケジュールできます。
注:認可要求の期間は24時間です。承認は早期にキャンセルできますが、期間を24時間から変更することはできません。
「リモート・サポートの作成」承認ワークフローで構成されたすべての項目が表示された「要約」ページにリダイレクトされます。ここで、設定が正しいことを確認できます。設定が正しければ、[作成]をクリックします。
Createをクリックして、最後のステップに進みます。認可が作成されたことを示すページにリダイレクトされます。このページの主な項目は次のとおりです。
・ TACエンジニアの電子メールアドレス
・ 認可のスケジュールされた開始時間と期間
・ サポートID
注:TACエンジニアがCisco RADKitクライアントでこの承認要求に接続するには、サポートID(PID)が必要です。提供された情報をコピーして、TACエンジニアに送信します。
このページから、「別の承認の作成」、「すべての承認の表示」、「アクティビティ・ページの表示」または「ワークフローの表示」を選択できます。別の承認を作成する必要がない場合は、「すべての承認の表示」を選択して、現在および過去のすべての承認を表示できます。「アクティビティの表示」ページを選択すると、「監査ログ」ページにリダイレクトされます。「すべての認可を表示」を選択すると、「リモートサポートの認可」セクションの「現在の認可」ページにリダイレクトされます。すべての承認、スケジュール済みの承認、アクティブな承認を表示できます。承認をクリックすると、サイド・ウィンドウが開き、リモート・サポート承認の作成ワークフローで構成された設定が表示されます。
認証をキャンセルするか、TACエンジニアが導入環境で行った作業の監査ログを表示するかを選択できます。「過去の承認」タブに切り替えて、過去の承認に関する履歴情報を取得できます。「ログの表示」を選択して、「監査ログ」ページにリダイレクトします。「監査ログ」ページから、「フィルタ」、「説明によるフィルタ」の順に選択し、TACエンジニアの電子メールアドレスを入力します。
Apply を選択します。これにより、Cisco RADKitを使用してリモートから導入する際の監査ログの説明に示すように、TACエンジニアの電子メールアドレスに基づくフィルタが追加されます。
監査ログから、TACエンジニアが何を、いつサインオンしたかを正確に確認できます。
警告: Cisco Catalyst Centerバージョン2.3.7.6のリモートサポート認証機能は、Cisco RADKitクライアント1.6.11でテストされています。