Catalyst Center Remote Support Authorization 기능 구성

소개

이 문서에서는 Cisco Catalyst Center(이전의 Cisco DNA Center)에서 원격 지원 권한 부여 기능을 설정하는 방법에 대해 설명합니다.

사전 요구 사항

Cisco Catalyst Center에서 새로운 원격 지원 권한 부여 기능을 완전히 활용하려면 다음 조건을 충족해야 합니다.

· Cisco Catalyst Center 버전은 2.3.7.6 이상이어야 합니다.
· 지원 서비스 패키지를 Cisco Catalyst Center에 설치해야 합니다.
· 방화벽 또는 프록시를 통한 원격 권한 부여 지원 허용: wss://prod.radkit-cloud.cisco.com:443 .

설명

Cisco RADKITit(radkit.cisco.com)는 원격 터미널 및 웹 UI에 대해 안전한 대화형 연결을 제공합니다. Cisco RADKit 기능은 Cisco Catalyst Center에 통합되어 있으며 원격 지원 권한 부여라고 합니다. 사용자가 원격 지원 권한 부여 기능을 사용하면 Cisco TAC 리모컨을 Cisco Catalyst Center 환경에 연결하여 정보를 수집하거나 문제를 해결할 수 있습니다. 따라서 TAC에서 발생한 문제를 조사하는 동안 사용자가 화상 통화에 참여하는 데 필요한 시간을 줄일 수 있습니다.

제한 사항

현재 버전의 Remote Support Authorization은 RADKit 독립형 버전과 비교할 때 다음과 같은 제한 사항이 있습니다.

- 지원 엔지니어가 Cisco Catalyst Center에서 "maglev", "sudo" 또는 "rca" 명령을 실행하면 자격 증명을 묻는 프롬프트가 표시됩니다. 원격 지원 권한 부여에서는 이러한 자격 증명의 처리를 자동화하지 않으므로 이러한 자격 증명을 지원 엔지니어와 공유해야 합니다. (Cisco Catalyst Center 2.3.7.6+에 추가된 기능)

- Remore Support Authorization 서비스를 통해 Cisco Catalyst Center의 GUI(Graphical User Interface) 또는 네트워크 디바이스의 GUI에 연결할 수 없습니다. (Cisco Catalyst Center 2.3.7.6+에 추가된 기능)

- Cisco Catalyst Center 인벤토리에 없지만 트러블슈팅에 필요한 디바이스(예: ISE)에 대한 원격 액세스를 제공할 수 없습니다.

- 무선 액세스 포인트가 Cisco Catalyst Center 인벤토리에 있는 경우에도 원격 액세스를 제공할 수 없습니다.

- 원격 액세스는 한 번에 24시간으로 제한되어 있으므로, 24시간마다 새로운 권한 부여를 생성해야 하므로 더 오랜 시간 액세스할 수 있습니다.

- 권한 부여를 생성하면 Cisco Catalyst Center 인벤토리의 모든 디바이스에 액세스할 수 있습니다. 특정 네트워크 디바이스에 대한 액세스를 제한할 수 없습니다.

이러한 한계를 극복하기 위해 대신 독립형 RADKit 서비스를 설치하는 것을 고려할 수 있습니다. Windows, Mac 및 Linux용 설치 프로그램을 사용할 수 있습니다. 자세한 내용은 https://radkit.cisco.com을 참조하십시오.

- 

네트워크 연결

Cisco Catalyst Center는 AWS를 통해 Cisco RADKit 커넥터에 연결됩니다. Cisco RADKit 커넥터는 원격 지원 권한 부여 기능에 내장되어 있습니다. TAC는 AWS를 통해 Cisco RADKit 커넥터에 연결하고 Cisco RADKit 클라이언트를 사용합니다. Cisco Catalyst Center 환경에서 지원 ID가 생성되면 Cisco RADKit 클라이언트는 지원 ID를 사용하여 Cisco Catalyst Center에 연결합니다.

원격 지원 권한 부여 설정

TAC에서 원격으로 참여하도록 원격 지원 권한 부여를 활성화하려면 다음 단계를 완료해야 합니다.
1. 방화벽에서 필요한 URL을 통과하도록 허용하는지 확인합니다.
2. 지원 서비스 패키지를 설치합니다.
3. 원격 지원 권한 부여 워크플로에 대한 SSH 자격 증명을 구성합니다. (Cisco Catalyst Center 버전 2.3.7.6 이상에서는 더 이상 필요하지 않음)
4. 새 권한 부여를 생성합니다.

1단계

원격 지원 권한 부여가 작동하려면 Cisco Catalyst Center 커넥터가 AWS 커넥터와 통신할 수 있어야 합니다. 이 통신을 보장하려면 방화벽이 구성된 경우 이 URL을 통과하도록 허용해야 합니다.
wss://prod.radkit-cloud.cisco.com:443

2단계

Cisco Catalyst Center를 버전 2.3.5.x 이상으로 새로 설치하거나 업그레이드한 후 Support Services 패키지를 수동으로 설치해야 합니다. 이 패키지는 선택 사항이며 기본적으로 설치되지 않습니다. Cisco Catalyst Center UI로 이동합니다. Cisco Catalyst Center UI의 Home(홈) 화면에서 화면 오른쪽 상단의 클라우드 아이콘을 선택하고 Go to Software Management(소프트웨어 관리로 이동)를 선택합니다.

Software Management(소프트웨어 관리) 페이지에 현재 설치된 릴리스, 업그레이드할 사용 가능한 릴리스 및 사용 가능한 선택적 패키지가 표시됩니다. Support Services 패키지는 선택적 패키지이며, 패키지가 이전에 배포되지 않은 업그레이드 또는 새로 설치가 완료된 후 자동으로 설치되지 않습니다. 사용 가능한 패키지 목록 아래의 지원 서비스 패키지 상자를 클릭한 다음 화면 오른쪽 하단의 설치 버튼을 클릭합니다.

선택한 패키지에 대한 종속성 확인을 위한 팝업 창이 나타납니다. 확인이 완료되면 계속을 선택합니다.
그러면 선택한 패키지가 설치를 시작합니다. 이 프로세스의 길이는 현재 구축 프로세스에 있는 패키지의 수에 따라 달라집니다. 패키지가 구축 과정에 있으므로 화면 상단에 Automation and Assurance 서비스가 일시적으로 중단되었다는 주황색 배너가 나타납니다. 이는 새로운 지원 서비스 Pod가 생성되어 부팅 중에 있기 때문에 발생합니다.

약 10분에서 20분 정도 지나면 새 Pod가 완전히 작동 상태가 되고 지원 서비스 패키지 설치가 완료됩니다. 패키지가 설치되었으면 브라우저를 새로 고치고 3단계로 진행합니다.

3단계

원격 지원 권한 부여 기능에 대한 전체 액세스를 사용하려면 원격 지원 권한 부여 설정에서 SSH 자격 증명을 구성해야 합니다. 이러한 자격 증명을 정의하지 않으면 TAC에서 Cisco RADKit를 사용하여 원격으로 문제를 해결할 수 없습니다. SSH 자격 증명을 구성하려면 Cisco Catalyst Center UI 오른쪽 상단의 물음표 아이콘으로 이동합니다. 목록에서 Remote Support Authorization(원격 지원 인증)을 선택합니다.

원격 지원 권한 부여 페이지로 리디렉션됩니다. Support Services 패키지를 설치한 후 이 페이지에 처음 액세스하는 것이므로 Create New Authorization(새 권한 부여 생성) 화면만 표시됩니다.

4단계

Create a Remote Support Authorization을 선택합니다.

액세스 권한 계약 페이지로 리디렉션됩니다. 이 페이지에는 두 가지 옵션이 있습니다.
· Cisco Catalyst Center와 인벤토리에서 관리되는 디바이스 간의 새로운 VTY 연결
· Cisco Catalyst Center 어플라이언스의 CLI 액세스
Cisco Catalyst Center에서 관리하는 네트워크 디바이스와의 SSH 연결을 설정하려면 첫 번째 옵션을 선택해야 합니다. 이 옵션을 선택하지 않으면 TAC 엔지니어가 Cisco RADKit를 사용하여 디바이스에 SSH를 연결할 수 없습니다. Cisco Catalyst Center Appliance에 SSH 연결을 설정하려면 두 번째 옵션을 선택해야 합니다. 이 옵션을 선택하지 않으면 TAC 엔지니어가 Cisco RADKit로 Cisco Catalyst Center에 액세스할 수 없습니다. Remote Support Authorization(원격 지원 권한 부여) 기능을 최대한 활용하려면 두 옵션을 모두 선택하는 것이 좋습니다. 원하는 옵션을 선택한 후 Next(다음)를 클릭합니다.

권한 부여 설정을 시작하기 위해 워크플로 페이지로 리디렉션됩니다. TAC 엔지니어의 이메일 주소와 액세스 역할을 입력해야 합니다. 예: "ciscotac@cisco.com" 및 "OBSERVER-ROLE".
다음 두 필드는 선택 사항입니다.
· 기존 SR 번호

· 액세스 사유
열려 있는 TAC 서비스 요청이 있는 경우 기존 SR 번호 필드에 해당 서비스 요청 번호를 입력하십시오.
원격 지원 권한 부여에 대한 문서를 추가하려면 액세스 사유 필드에 해당 정보를 제공하십시오(예: "Required by the TAC to help troubleshoot an seen"). Next(다음)를 클릭합니다.

Schedule the Access(액세스 예약) 단계로 이동합니다. 여기서 Now(지금) 또는 Later(나중에)를 선택해야 합니다. 즉시 권한 부여를 시작하거나 미리 권한 부여를 예약할 수 있습니다.

Create a Remote Support Authorization(원격 지원 권한 부여 생성) 워크플로로 구성된 모든 항목이 나열된 요약 페이지로 리디렉션됩니다. 여기서 설정이 정확한지 확인할 수 있습니다. 설정이 올바르면 Create(생성)를 클릭합니다.

Create(생성)를 클릭하여 마지막 단계로 진행합니다. 권한 부여가 생성되었음을 나타내는 페이지로 리디렉션됩니다. 이 페이지의 주요 항목은 다음과 같습니다.
· TAC 엔지니어 이메일 주소
· 예약된 시작 시간 및 권한 부여 기간
· 지원 ID

이 페이지에서 Create Another Authorization(다른 권한 부여 생성), View All Authorization(모든 권한 부여 보기), View Activity Page(활동 페이지 보기) 또는 View Workflows(워크플로 보기)를 선택할 수 있습니다. 다른 권한 부여를 생성할 필요가 없는 경우 View All Authorizations(모든 권한 부여 보기)를 선택하여 현재 및 이전 권한 부여를 모두 볼 수 있습니다. 활동 보기 페이지가 감사 로그 페이지로 리디렉션됩니다. View All Authorizations(모든 권한 부여 보기)는 Remote Support Authorization(원격 지원 권한 부여) 섹션의 Current Authorizations(현재 권한 부여) 페이지로 리디렉션합니다. All(모두), Scheduled(예약됨) 또는 Active(활성) 인증을 볼 수 있습니다. Create a Remote Support Authorization(원격 지원 권한 부여 생성) 워크플로로 구성된 설정을 표시하는 측면 창을 열려면 권한 부여를 클릭합니다.

권한 부여를 취소하거나 TAC 엔지니어가 구축 작업을 수행한 감사 로그를 보도록 선택할 수 있습니다. Past Authorizations(이전 권한 부여) 탭으로 전환하여 이전 권한 부여에 대한 기록 정보를 가져올 수 있습니다. View Logs(로그 보기)를 선택하여 Audit Logs(감사 로그) 페이지로 이동합니다. Audit Logs(감사 로그) 페이지에서 Filter(필터)를 선택한 다음 TAC 엔지니어의 이메일 주소로 Description(설명)을 기준으로 필터링할 수 있습니다.

Apply를 선택합니다. 이렇게 하면 Cisco RADKit를 사용하여 구축으로 원격화할 때 감사 로그 설명에 나와 있는 것처럼 TAC 엔지니어의 이메일 주소를 기반으로 필터가 추가됩니다.

감사 로그를 통해 TAC 엔지니어가 수행한 작업과 로그온한 시기를 정확하게 확인할 수 있습니다.