Cisco DNA Centerリモートサポート認証機能の設定
はじめに
このドキュメントでは、Cisco DNA Centerのリモートサポート認証機能をセットアップする方法について説明します。
前提条件
Cisco DNA Centerの新しいリモートサポート認証機能を完全に利用するには、次の特定の基準を満たす必要があります。
・ Cisco DNA Centerは、バージョン2.3.5.x以降である必要があります。
・ Cisco DNA Centerにサポートサービスパッケージをインストールする必要があります。
・ ファイアウォールまたはプロキシ経由のリモート認証サポートを許可する:wss://prod.radkit-cloud.cisco.com:443
注:リモートサポート認証はCisco DNA Centerバージョン2.3.3.xで導入されましたが、機能が制限されています。ネットワークデバイスへのアクセスのみが許可され、Cisco DNA CenterのCLIアクセスはこの旧バージョンには存在しません。
説明
Cisco RADKit(radkit.cisco.com)は、リモート端末とWeb UIへの安全なインタラクティブ接続を提供します。Cisco RADKit機能はCisco DNA Centerに統合されており、リモートサポート認証と呼ばれます。ユーザがリモートサポート認証機能を使用すると、ユーザはシスコのTACリモートをCisco DNA Center環境に接続し、情報の収集や問題のトラブルシューティングに役立てることができます。これにより、TACが発生した問題を調査する際に、ユーザがビデオコールに対応するために必要な時間を短縮できます。
制限事項
現在のバージョンのリモートサポート承認には、RADKitスタンドアロンバージョンと比較して、次の制限があります。
– サポートエンジニアがCisco DNA Centerで「maglev」、「sudo」、または「rca」コマンドを実行すると、クレデンシャルの入力を求められます。 リモートサポート認証では、これらの認証情報の処理は自動化されないため、これらの認証情報をサポートエンジニアと共有する必要がある場合があります。
- Remore Support Authorizationサービスでは、Cisco DNA Centerのグラフィカルユーザインターフェイス(GUI)やネットワークデバイスのGUIに接続できません。
- Cisco DNA Centerインベントリになく、トラブルシューティングに必要な可能性があるデバイス(ISEなど)へのリモートアクセスを提供できません。
- Cisco DNA Centerインベントリ内にあるワイヤレスアクセスポイントに対してリモートアクセスを提供することはできません。
– リモートアクセスは一度に24時間に制限されています。より長い時間アクセスを提供するには、24時間ごとに新しい認証を作成する必要があります。
– 許可を作成することで、Cisco DNA Centerインベントリ内のすべてのデバイスへのアクセスを許可します。特定のネットワークデバイスへのアクセスを制限することはできません。
これらの制限を克服するために、スタンドアロンのRADKitサービスをインストールすることを検討してください。インストーラは、Windows、Mac、およびLinuxで使用できます。詳細については、https://radkit.cisco.comを参照してください。
-
ネットワーク接続
Cisco DNA Centerは、AWSを介してCisco RADKitコネクタに接続します。Cisco RADKitコネクタは、リモートサポート認証機能に組み込まれています。TACはAWS経由でCisco RADKitコネクタに接続し、Cisco RADKitクライアントを使用します。Cisco DNA Center環境でサポートIDが生成されると、Cisco RADKitクライアントはそのサポートIDを使用してCisco DNA Centerに接続します。
リモートサポート認証の設定
TACがリモートで作業できるようにリモートサポート認証を有効にするには、次の手順を実行する必要があります。
1. ファイアウォールが必要なURLの通過を許可していることを確認します。
2. サポートサービスパッケージをインストールします。
3. リモートサポート承認ワークフローのSSH資格情報を構成します。
4. 新しい認可を作成します。
手順 1
リモートサポート認証が機能するには、Cisco DNA CenterコネクタがAWSコネクタと通信できる必要があります。この通信を確実にするには、このURLが設定されている場合は、ファイアウォールの通過を許可する必要があります。
wss://prod.radkit-cloud.cisco.com:443
手順 2
Cisco DNA Centerの新規インストールまたはバージョン2.3.5.x以降へのアップグレードが完了したら、サポートサービスパッケージを手動でインストールする必要があります。これはオプションパッケージであり、デフォルトではインストールされません。Cisco DNA Center UIに移動します。Cisco DNA Center UIのホーム画面で、画面右上のクラウドアイコンを選択し、Go to Software Managementを選択します。
[ソフトウェア管理]ページに、現在インストールされているリリース、アップグレード可能なリリース、および利用可能なオプションパッケージが表示されます。Support Servicesパッケージはオプションのパッケージであり、新規インストールが完了した後や、パッケージが以前に展開されていなかったアップグレード後は、自動的にインストールされません。使用可能なパッケージのリストの下にあるSupport Servicesパッケージのボックスをクリックし、画面右下のInstallボタンをクリックします。
選択したパッケージの依存関係チェックを行うポップアップウィンドウが表示されます。チェックが終了したら、Continueを選択します。
選択したパッケージのインストールが開始されます。このプロセスの長さは、展開プロセスに現在含まれているパッケージの数によって異なります。パッケージの導入プロセス中に、画面上部にオレンジ色のバナーが表示され、自動化および保証サービスが一時的に中断されたことが示されます。これは、これが作成され、ブートアップの処理中である新しいサポートサービスポッドが原因で発生します。
約10 ~ 20分後、新しいポッドは完全にアップ状態になり、サポートサービスパッケージのインストールが完了します。パッケージがインストールされたら、ブラウザを更新し、手順3に進みます。
手順 3
リモートサポート認証機能にフルアクセスするには、リモートサポート認証設定でSSHクレデンシャルを設定する必要があります。これらのクレデンシャルが定義されていないと、TACはCisco RADKitを使用してリモートでトラブルシューティングを行うことができません。SSHクレデンシャルを設定するには、Cisco DNA Center UIの右上にある疑問符アイコンに移動します。リストからRemote Support Authorizationを選択します。
注:リモートサポート承認は、サポートサービスパッケージがインストールされ、ブラウザが更新された後にのみ表示されます。これを行う方法については、ステップ2を参照してください。
リモートサポート承認ページにリダイレクトされます。4つのタブが表示されます。
・ 新しい承認の作成
・ 現在の承認
・ 過去の承認
・ SSH資格証明の管理
Manage SSH Credentialタブに移動します。Add New SSH Credentialを選択します。
新しいウィンドウが開きます。Cisco DNA Centerアプライアンスの現在のSSHパスワードと説明を入力します。パスワードは、Cisco DNA CenterアプライアンスへのSSH接続に現在使用されているパスワードと一致している必要があります。[Add] を選択します。エントリがEXISTING SSH CREDENTIALSの下に表示されます。
注:単一ノードの導入では、クレデンシャルを1つだけ作成できることに注意してください。3つのノードの導入では、最大3つのクレデンシャルを作成できます。ただし、SSHパスワードが3つすべてのノードで同じ場合は、1つのクレデンシャルだけを作成する必要があります。
手順 4
Remote Support AuthorizationページのCreate New Authorizationタブに移動します。Create a Remote Support Authorizationを選択します。
承認の設定を開始するためのワークフローページにリダイレクトされます。TACエンジニアの電子メールアドレスを入力する必要があります。例:「ciscotac@cisco.com」。
次の2つのフィールドはオプションです。
・ 既存のSR番号
・ アクセス・ジャスティフィケーション
オープンなTACサービスリクエストがある場合は、そのサービスリクエスト番号を既存のSR番号フィールドに入力してください。
リモートサポート許可に関する文書を追加する場合は、「Required by the TAC to help troubleshoot an issue seen」のように、アクセス許可フィールドにその情報を記入してください。[Next] をクリックします。
「アクセスのスケジュール」ステップにリダイレクトされます。ここで、[今すぐ]または[後で]を選択する必要があります。すぐに認可を開始することも、事前に認可をスケジュールすることもできます。
注:認可は、認可要求が作成された現在の日付から最大30日間、詳細でのみスケジュールできます。
注:認可要求の期間は24時間です。承認は早期にキャンセルできますが、期間を24時間から変更することはできません。
[今すぐ]を選択し、[次へ]をクリックします。
「アクセス許可アグリーメント」ページにリダイレクトされます。このページには、次の2つのオプションがあります。
・ Cisco DNA Centerとインベントリで管理されるデバイス間の新しいVTY接続。
・ Cisco DNA CenterアプライアンスのCLIへのアクセス
Cisco DNA Centerによって管理されるネットワークデバイスとのSSH接続を確立するには、最初のオプションを選択する必要があります。このオプションが選択されていない場合、TACエンジニアはCisco RADKitを使用してデバイスにSSH接続できません。Cisco DNA CenterアプライアンスへのSSH接続を確立するには、2番目のオプションを選択する必要があります。このオプションを選択しないと、TACエンジニアはCisco RADKitでCisco DNA Centerにアクセスできません。リモートサポート認証機能を最大限に活用するには、両方のオプションを選択することをお勧めします。必要なオプションを選択したら、[次へ]をクリックします。
「リモート・サポートの作成」承認ワークフローで構成されたすべての項目が表示された「要約」ページにリダイレクトされます。ここで、設定が正しいことを確認できます。設定が正しければ、[作成]をクリックします。
Createをクリックして、最後のステップに進みます。認可が作成されたことを示すページにリダイレクトされます。このページの主な項目は次のとおりです。
・ TACエンジニアの電子メールアドレス
・ 認可のスケジュールされた開始時間と期間
・ サポートID
注:TACエンジニアがCisco RADKitクライアントでこの承認要求に接続するには、サポートID(PID)が必要です。提供された情報をコピーして、TACエンジニアに送信します。
このページから、「別の承認の作成」、「すべての承認の表示」、「アクティビティ・ページの表示」または「ワークフロー・ホーム」を選択できます。別の承認を作成する必要がない場合は、「すべての承認の表示」を選択して、現在および過去のすべての承認を表示できます。「アクティビティの表示」ページを選択すると、「監査ログ」ページにリダイレクトされます。「すべての認可を表示」を選択すると、「リモートサポートの認可」セクションの「現在の認可」ページにリダイレクトされます。すべての承認、スケジュール済みの承認、アクティブな承認を表示できます。承認をクリックすると、サイド・ウィンドウが開き、リモート・サポート承認の作成ワークフローで構成された設定が表示されます。
認証をキャンセルするか、TACエンジニアが導入環境で行った作業の監査ログを表示するかを選択できます。「過去の承認」タブに切り替えて、過去の承認に関する履歴情報を取得できます。「ログの表示」を選択して、「監査ログ」ページにリダイレクトします。「監査ログ」ページから、「フィルタ」、「説明によるフィルタ」の順に選択し、TACエンジニアの電子メールアドレスを入力します。
Apply を選択します。これにより、Cisco RADKitを使用してリモートから導入する際の監査ログの説明に示すように、TACエンジニアの電子メールアドレスに基づくフィルタが追加されます。
監査ログから、TACエンジニアが何を、いつサインオンしたかを正確に確認できます。
警告: Cisco DNA Centerバージョン2.3.5.xのリモートサポート認証機能は、Cisco RADKitクライアント1.4.xでテストされています。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
3.0 |
01-Mar-2024 |
「制限」セクションを追加 |
2.0 |
07-Apr-2023 |
初版リリース |
1.0 |
29-Mar-2023 |
初版 |
フィードバック