此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文档介绍思科的客户体验(CX)云代理。
CX Cloud Agent 作为虚拟机 (VM) 运行,可以开放式虚拟设备 (OVA) 或虚拟硬盘 (VHD) 的形式进行下载。
部署要求:
思科(CX)云代理是一个高度可扩展的平台,可从客户网络设备收集遥测数据,为客户提供切实可行的见解。CX Cloud Agent支持将活动运行配置数据转换为在CX Cloud中显示的主动和预测性见解,从而实现人工智能(AI)/机器学习(ML)转换。
本指南特定于CX Cloud Agent v2.2及后续版本。请参阅Cisco CX云代理页以访问以前的版本。
注意:本指南中的图像(及其中的内容)仅供参考。实际内容可能有所不同。
要启动CX云之旅,用户需要访问这些域。仅使用提供的主机名;不使用静态IP地址。
主要域 |
其他域 |
cisco.com |
mixpanel.com |
csco.cloud |
cloudfront.net |
split.io |
eum-appdynamics.com |
appdynamics.com |
|
tiqcdn.com |
|
jquery.com |
美洲地区 |
欧洲、中东和非洲 |
亚太地区 |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud |
agent.us.csco.cloud |
agent.us.csco.cloud |
ng.acs.agent.us.csco.cloud |
agent.emea.csco.cloud |
agent.apjc.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
注意:在端口443上为指定FQDN启用重定向时,必须允许出站访问。
支持的单节点和高可用性集群Cisco DNA Center版本为2.1.2.x到2.2.3.x、2.3.3.x、2.3.5.x以及Cisco Catalyst Center Virtual Appliance和Cisco DNA Center Virtual Appliance。
为在Cisco.com上获得最佳体验,建议使用以下浏览器的最新正式版本:
要查看CX云代理支持的产品列表,请参阅支持的产品列表。
要连接数据源:
注意:仅当以前未配置直接设备连接时,其他资产选项才可用。
如果以前未完成过CX云代理设置,则在连接数据源时会提示进行设置。
要设置CX云代理,请执行以下操作:
要开始遥测收集,需要将CX云代理连接到CX云,以便可以更新UI中的信息以显示当前资产和见解。本节提供完成连接和故障排除指南的详细信息。
要将CX云代理连接到CX云,请执行以下操作:
注意:在部署下载的OVA文件后会收到配对代码。
从“Data Sources Connection”窗口(请参阅“Connecting Data Sources”部分中的“Connect Data Sources”图像)中选择Cisco DNA Center,将打开以下窗口:
添加Cisco DNA Center作为数据源的步骤:
注意:请勿使用单个集群节点IP。
注意:第一次资产收集最多可能需要75分钟。
遥测收集已扩展到非思科DNA中心管理的设备,使客户能够查看遥测衍生的见解,并与更广泛的设备分析进行交互。在最初设置CX云代理后,用户可以选择配置CX云代理,以连接到CX云监控的基础设施中的另外20个思科DNA中心。用户还可以将CX云代理直接连接到其环境中的其他硬件资产,最多可连接10,000个直接连接的设备。
用户可以使用种子文件唯一标识此类设备或通过指定IP范围(可由CX云代理进行扫描)来标识要合并到CX云中的设备。这两种方法都依赖简单网络管理协议(SNMP)执行发现(SNMP),依靠安全外壳(SSH)执行连接。必须正确配置这些字段,才能成功收集遥测数据。
注意:
可以使用种子文件或IP范围。初始设置后无法更改此选择。
注意:
初始种子文件可以替换为另一个种子文件,而初始IP范围可以编辑为新的IP范围。
从数据源连接窗口中选择其他资产时,将打开以下窗口:
要添加其他资产作为数据源,请执行以下操作:
基于种子文件的直接设备发现和基于IP范围的发现都依赖于SNMP作为发现协议。存在不同版本的SNMP,但CX Cloud Agent支持SNMPV2c和SNMP V3,并且可配置任一版本或同时配置两个版本。用户必须提供下面详细介绍的相同信息才能完成配置并启用SNMP管理的设备和SNMP服务管理器之间的连接。
SNMPV2c和SNMPV3在安全性和远程配置模型方面有所不同。SNMPV3使用支持SHA加密的增强型加密安全系统来验证消息并确保其隐私。建议在所有公共网络和面向Internet的网络中使用SNMPv3,以防范安全风险和威胁。在CX云上,最好配置SNMPv3而不是SNMPv2c,但缺少内置的SNMPv3支持的旧版设备除外。如果两个版本的SNMP均由用户配置,默认情况下,CX云代理可以使用SNMPv3尝试与各个设备通信,如果通信无法成功协商,则恢复为SNMPv2c。
作为直接设备连接设置的一部分,用户必须指定设备连接协议的详细信息:SSH(或者telnet)。可以使用SSHv2,但缺少适当内置支持的个别传统资产除外。请注意,SSHv1协议包含基本漏洞。如果没有额外的安全性,在依赖SSHv1时,遥测数据和底层资产可能会因这些漏洞而受到危害。Telnet也不安全。通过telnet提交的凭证信息(用户名和密码)不加密,因此很容易受到危害,并且没有额外的安全性。
关于种子文件
种子文件是逗号分隔值(csv)文件,其中每行表示一个系统数据记录。在种子文件中,每个种子文件记录都对应于CX云代理可从其中收集遥测数据的唯一设备。系统会从要导入的种子文件中捕获每个设备条目的所有错误或信息消息,并将其作为作业日志详细信息的一部分进行捕获。种子文件中的所有设备都被视为受管设备,即使初始配置时这些设备无法访问。如果要上传新的种子文件来替换以前的种子文件,上次上传的日期将显示在CX云中。
CX Cloud Agent可以尝试连接到设备,但在无法确定PID或序列号的情况下,无法处理要在“资源”页中显示的每个设备。种子文件中以分号开头的任何行都将被忽略。种子文件中的标题行以分号开头,可在创建客户种子文件时按原样保留或删除此行(建议选项)。
示例种子文件(包括列标题)的格式不得以任何方式更改,这一点非常重要。单击提供的链接以查看PDF格式的种子文件。此PDF仅供参考,可用于创建需要以.csv格式保存的种子文件。
单击此链接可查看可用于创建.csv格式的种子文件的种子文件。
注意:此PDF仅供参考,可用于创建需要以.csv格式保存的种子文件。
此表标识所有必要的种子文件列和每个列中必须包括的数据。
种子文件列 |
列标题/标识符 |
列的用途 |
A |
IP 地址或主机名 |
提供设备的有效、唯一的IP地址或主机名。 |
B |
SNMP协议版本 |
SNMP协议是CX Cloud Agent必需的,用于客户网络中的设备发现。值可以是snmpv2c或snmpv3,但出于安全考虑,建议使用snmpv3。 |
C |
snmpRo:如果col#=3选择为“snmpv2c”,则为必填项 |
如果为特定设备选择SNMPv2的传统变体,则必须为设备SNMP集合指定snmpRO(只读)凭证。否则,条目可以为空。 |
D |
snmpv3UserName:如果col#=3选择为“snmpv3”,则为必填项 |
如果选择SNMPv3与特定设备进行通信,则必须提供各自的登录用户名。 |
E |
snmpv3AuthAlgorithm:值可以是MD5或SHA |
SNMPv3协议允许通过MD5或SHA算法进行身份验证。如果设备配置了安全身份验证,则必须提供相应的身份验证算法。 注意:MD5被视为不安全的,并且SHA可在支持它的所有设备上使用。 |
F |
snmpv3AuthPassword:密码 |
如果在设备上配置了MD5或SHA加密算法,则需要为设备访问提供相关身份验证密码。 |
G |
snmpv3PrivAlgorithm:值可以是DES, 3DES |
如果设备配置了SNMPv3隐私算法(此算法用于加密响应),则需要提供相应的算法。 注意:DES所使用的56位密钥太短,无法提供加密安全,并且3DES可用于支持它的所有设备。 |
H |
snmpv3PrivPassword:密码 |
如果在设备上配置了SNMPv3隐私算法,则需要为设备连接提供其各自的隐私密码。 |
I |
snmpv3EngineId:engineID,表示设备的唯一ID,如果手动在设备上配置,请指定引擎ID |
SNMPv3 EngineID是代表每个设备的唯一ID。此引擎ID在由CX云代理收集SNMP数据集时作为引用发送。如果客户手动配置EngineID,则需要提供相应的EngineID。 |
J |
cliProtocol:值可以是'telnet'、'sshv1'、'sshv2'。如果为空,则默认情况下可设置为“sshv2” |
CLI用于直接与设备交互。CX云代理使用此协议为特定设备进行CLI收集。此CLI收集数据用于CX云中的资产和其他见解报告。建议使用SSHv2;如果没有其他网络安全措施,SSHv1和Telnet协议本身无法提供足够的传输安全性。 |
K |
cliPort:CLI协议端口号 |
如果选择了任何CLI协议,则需要提供其各自的端口号。例如,22代表SSH,23代表telnet。 |
L |
CliUser:CLI用户名(可以提供CLI用户名/密码或同时提供两者,但两列(col#=12和col#=13)不能为空。) |
需要提供设备的相应CLI用户名。CX云代理在CLI收集期间连接到设备时使用此选项。 |
M |
cliPassword:CLI用户密码(可以提供CLI用户名/密码或两者,但两列(col#=12和col#=13)不能为空。) |
需要提供设备的相应CLI密码。CX云代理在CLI收集期间连接到设备时使用此选项。 |
n |
cliEnableUser |
如果在设备上配置了enable,则需要提供设备的enableUsername值。 |
O |
cliEnablePassword |
如果在设备上配置了enable,则需要提供设备的enablePassword值。 |
P |
未来支持(无需输入) |
留作将来使用 |
Q |
未来支持(无需输入) |
留作将来使用 |
R |
未来支持(无需输入) |
留作将来使用 |
S |
未来支持(无需输入) |
留作将来使用 |
处理设备的遥测数据时存在以下限制:
要使用新的种子文件添加设备,请执行以下操作:
注意:下载初始种子文件后,“配置与CX云的连接”窗口中的链接不再可用。
要使用当前种子文件添加、修改或删除设备,请执行以下操作:
注意:要将资产添加到种子文件,请将这些资产附加到以前创建的种子文件,然后重新加载文件。由于上传新的种子文件会替换当前的种子文件,因此这是必要的。只有最新上传的种子文件用于发现和收集。
IP范围允许用户识别硬件资产,然后根据IP地址从这些设备收集遥感勘测数据。遥测收集的设备可以通过指定单个网络级IP范围进行唯一标识,CX云代理可以使用SNMP协议对其进行扫描。如果选择IP范围来标识直连设备,则引用的IP地址可以尽可能受到限制,同时允许覆盖所有需要的资产。
CX Cloud Agent可以尝试连接到设备,但在无法确定PID或序列号的情况下,无法处理要在资产视图中显示的每个设备。
注意:
点击Edit IP Address Range启动按需设备发现。在向指定的IP范围添加或删除任何新设备(内部或外部)时,客户必须始终单击Edit IP Address Range(请参阅Editing IP Ranges部分)并完成启动按需设备发现所需的步骤,以将任何新添加的设备包含到CX Cloud Agent收集资产中。
使用IP范围添加设备需要用户通过配置UI指定所有适用的凭证。显示的字段因在前几个窗口中选择的协议而异。如果为同一协议选择了多个选项(例如,同时选择SNMPv2c和SNMPv3或同时选择SSHv2和SSHv1),则CX Cloud Agent将根据各个设备功能自动协商协议选择。
使用IP地址连接设备时,客户可以确保IP范围内所有相关协议以及SSH版本和Telnet凭证有效,否则连接可能会失败。
要使用IP范围添加设备,请执行以下操作:
编辑IP范围;
注意:确认消息无法确保可访问已编辑范围内的设备,并且已接受凭证。
关于从多个控制器中发现的设备
思科DNA中心和与CX云代理的直接设备连接可能会发现某些设备,从而导致从这些设备收集重复数据。为避免收集重复数据,且仅有一个控制器管理设备,需要确定CX Cloud Agent管理设备的优先级。
客户可以在CX云中安排按需诊断扫描。
注意:思科建议计划诊断扫描或启动按需扫描,时间至少比资产收集计划晚6-7小时,这样扫描就不会重叠。同时执行多个诊断扫描可能会减慢扫描过程并可能导致扫描失败。
要计划诊断扫描,请执行以下操作:
诊断扫描和资产收集计划可从“数据收集”(Data Collection)页面编辑和删除。
选择以下任一选项以部署CX云代理:
此客户端允许使用vSphere胖客户端部署CX云代理OVA。
部署可能需要几分钟。成功部署后显示确认。
此客户端使用vSphere Web部署CX云代理OVA。
请执行以下步骤:
此客户端通过Oracle虚拟盒部署CX云代理OVA。
请执行以下步骤:
如果Auto Generate Password处于选中状态,请复制生成的口令并将其存储以备将来使用。点击保存密码并转至步骤 4。
注意:如果域无法成功访问,则客户必须通过在其防火墙中进行更改来修复域可访问性,以确保域可访问。解决域可接通性问题后,单击Check Again。
用户还可以使用CLI选项生成配对代码。
要使用CLI生成配对代码:
支持的Cisco DNA Center版本为2.1.2.0到2.2.3.5、2.3.3.4到2.3.3.6、2.3.5.0和Cisco DNA Center Virtual Appliance
要在Cisco DNA Center中配置Syslog转发到CX云代理,请执行以下步骤:
注意:
配置后,与该站点关联的所有设备都将配置为将级别为“关键”的系统日志发送到CX云代理。设备必须关联到站点,才能启用从设备到CX云代理的系统日志转发。 更新系统日志服务器设置时,与该站点关联的所有设备都会自动设置为默认严重级别。
必须将设备配置为将系统日志消息发送到CX云代理,才能使用CX云的故障管理功能。
注意:只有园区成功跟踪第2级设备才有资格配置其他资产以转发系统日志。
执行系统日志服务器软件的配置说明,并将CX云代理IP地址添加为新目标。
注意:在转发系统日志时,请确保保留原始系统日志消息的源IP地址。
将每台设备配置为将系统日志直接发送到CX云代理IP地址。有关具体的配置步骤,请参阅此文档。
要使系统日志信息级别可见,请执行以下步骤:
选择所需站点并使用设备名称复选框选择所有设备。
建议使用快照功能在特定时间点保留CX云代理虚拟机的状态和数据。此功能有助于将CX云VM恢复到拍摄快照的特定时间。
要备份CX云虚拟机,请执行以下操作:
注:验证是否已清除“Snapshot the virtual machine’s memory(虚拟机内存快照)”复选框。
3. 单击确定。创建虚拟机快照状态在“最近的任务”列表中显示为已完成。
要恢复CX云虚拟机,请执行以下操作:
CX Cloud Agent可确保客户的端到端安全性。CX云和CX云代理之间的连接是TLS安全的。云代理的默认SSH用户只能执行基本操作。
在安全的VMware服务器公司中部署CX云代理OVA映像。OVA 通过思科软件下载中心安全共享。引导加载程序(单用户模式)密码设置为随机唯一密码。用户必须参考此常见问题才能设置此引导加载程序(单用户模式)口令。
在部署过程中,会创建cxcadmin用户帐户。用户在初始配置期间被迫设置密码。cxcadmin用户/凭据用于访问CX云代理API和通过SSH连接到设备。
cxcadmin用户具有权限最低的受限访问权限。cxcadmin密码遵循安全策略,并且是单向散列密码,有效期限为90天。cxcadmin用户可以使用名为remoteaccount的实用程序创建cxcroot用户。cxcroot用户可以获得root权限。
可以使用SSH和cxcadmin用户凭证访问CX云代理VM。传入端口限制为 22 (SSH)、514(系统日志)。
基于密码的身份验证:设备维护单个用户(cxcadmin),使用户能够进行身份验证并与CX云代理通信。
cxcadmin用户可以使用名为remoteaccount的实用程序创建cxcroot用户。此实用程序显示RSA/ECB/PKCS1v1_5加密口令,该口令只能从SWIM门户(DECRYPT请求表)解密。只有授权人员才能访问此门户。cxcroot用户可使用此解密的密码获取root权限。密码短语的有效期仅为两天。cxcadmin用户必须在密码到期后重新创建帐户并从SWIM门户获取密码。
CX云代理设备遵循互联网安全中心强化标准。
CX Cloud Agent 设备不存储任何客户个人信息。 设备凭证应用(作为其中一个Pod运行)将加密的服务器凭证存储在安全数据库中。除了在处理所收集的数据时暂时存储外,所收集的数据不会以任何形式存储在设备内。收集完成后,遥测数据将尽快上传到CX云,并在确认上传成功后立即从本地存储中删除。
注册软件包包含所需的唯一X.509设备证书和密钥,用于与Iot核心建立安全连接。使用该代理使用基于传输层安全(TLS) v1.2的消息队列遥测传输(MQTT)建立安全连接
日志不包含任何形式的个人身份信息(PII)数据。审核日志会捕获在CX云代理设备上执行的所有安全敏感型操作。
CX云使用思科遥测命令中列出的API和命令检索资产遥测。本文档根据命令对Cisco DNA中心库存、诊断网桥、Intersight、合规性见解、故障和CX云代理收集的所有其他遥测来源的适用性对命令进行分类。
资产遥测中的敏感信息在传输到云之前会被屏蔽。CX云代理会屏蔽所有已收集资产的敏感数据,这些资产会直接将遥测发送到CX云代理。这包括密码、密钥、社区字符串、用户名等。在将控制器管理的资产信息传输到CX云代理之前,控制器会为所有资产提供数据掩码。在某些情况下,控制器管理的资产遥感勘测可以进一步匿名。请参阅相应的产品支持文档以了解关于遥测匿名化的详细信息(例如,《Cisco DNA Center管理员指南》的匿名数据部分)。
尽管遥测命令列表无法自定义,并且数据掩码规则无法修改,但客户可以通过指定数据源来控制哪些资产的可遥测CX云访问,如控制器受管设备的产品支持文档或本文档的连接数据源(针对CX云代理收集的其他资产)部分所述。
安全特性 |
描述 |
引导加载程序密码 |
引导加载程序(单用户模式)密码设置为随机唯一密码。用户必须参阅常见问题才能设置其引导加载程序(单用户模式)口令。 |
用户访问权限 |
SSH: ·使用 cxcadmin 用户访问设备需要使用安装期间创建的凭证。 · 使用cxcroot用户访问设备需要授权人员使用SWIM门户解密凭证。 |
用户帐户 |
· cxcadmin:已创建默认用户帐户;用户可以使用cxcli执行CX云代理应用命令,并且在设备上具有最低权限;cxcroot用户及其加密密码使用cxcadmin用户生成。 · cxcroot:cxcadmin可以使用实用程序remoteaccount创建此用户;用户可使用此帐户获得root权限。 |
cxcadmin 密码政策 |
·密码使用 SHA-256 进行单向散列处理并安全存储。 · 至少包含八(8)个字符,包含以下类别中的三种:大写、小写、数字和特殊字符。 |
cxcroot 密码政策 |
· cxcroot密码是RSA/ECB/PKCS1v1_5加密的 ·生成的密码需要在 SWIM 门户中解密。 · cxcroot用户和密码有效期为两天,可以使用cxcadmin用户重新生成。 |
SSH 登录密码政策 |
· 至少包含八个字符,包含以下三个类别:大写、小写、数字和特殊字符。 · 登录尝试失败五次,将密码框锁定30分钟;密码将在90天后过期。 |
端口 |
开放传入端口 – 514(系统日志)和 22 (SSH) |
数据安全 |
·未存储任何客户信息。 ·未存储设备数据。 ·Cisco DNA Center 服务器凭证已加密并存储在数据库中。 |
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
26-Jun-2024 |
初始版本 |