简介
本文档介绍如何在Cisco Catalyst Center(以前称为Cisco DNA Center)中设置远程支持授权功能。
先决条件
要充分利用Cisco Catalyst Center中新的远程支持授权功能,必须满足以下条件:
· Cisco Catalyst Center必须是2.3.7.6版或更高版本。
· 必须在Cisco Catalyst Center中安装支持服务包。
· 允许通过防火墙或代理进行远程授权支持:wss://prod.radkit-cloud.cisco.com:443。
注意:Cisco Catalyst Center 2.3.3.x版中引入了远程支持授权,但是功能有限。仅允许访问网络设备,此较早版本中不提供Cisco Catalyst Center CLI访问。Cisco Catalyst Center版本2.3.7.6+提供Web UI代理访问、基于角色的访问控制(RBAC)分析和无密码命令访问。
描述
Cisco RADKit (radkit.cisco.com)提供到远程终端和Web UI的安全交互式连接。Cisco RADKit功能集成在Cisco Catalyst Center中,称为远程支持授权。当用户使用远程支持授权功能时,用户可以将Cisco TAC远程连接到其Cisco Catalyst Center环境,以帮助收集信息或排除问题。这有助于在TAC调查已发生的问题时,减少用户等待视频呼叫的时间。
限制
与RADKit独立版本相比,当前版本的远程支持授权具有以下限制:
- 当支持工程师在您的Cisco Catalyst Center上执行“磁悬浮”、“sudo”或“rca”命令时,它们会提示输入凭证。 远程支持授权不会自动处理这些凭证,因此您必须与支持工程师共享这些凭证。(在Cisco Catalyst Center 2.3.7.6+中添加的功能)
- 通过Remore支持授权服务,无法连接到Cisco Catalyst Center的图形用户界面(GUI)或网络设备的任何GUI。 (在Cisco Catalyst Center 2.3.7.6+中添加的功能)
- 无法提供对不在Cisco Catalyst Center资产中但进行故障排除所必需的设备(例如ISE)的远程访问。
- 即使无线接入点位于Cisco Catalyst Center库存中,也无法对其进行远程访问。
- 远程访问限制为一次24小时,以提供更长的访问权限,需要每24小时创建一个新授权。
- 通过创建授权,您可以访问Cisco Catalyst Center资产中的所有设备。不能限制对某些网络设备的访问。
要克服这些限制,可以考虑安装独立RADKit服务。安装程序可用于Windows、Mac和Linux。有关详细信息,请访问https://radkit.cisco.com
-
网络连接
Cisco Catalyst Center通过AWS连接到Cisco RADKit连接器。Cisco RADKit连接器内置在远程支持授权功能中。TAC通过AWS连接到Cisco RADKit连接器并使用Cisco RADKit客户端。Cisco Catalyst Center环境生成支持ID后,Cisco RADKit客户端使用支持ID连接到Cisco Catalyst Center。
设置远程支持授权
要启用Remote Support Authorization以使TAC可以远程参与,必须完成以下步骤:
1. 确保防火墙允许所需的URL通过。
2. 安装支持服务包。
3. 为远程支持授权工作流程配置SSH凭证。(Cisco Catalyst Center版本2.3.7.6+中不再需要)
4. 创建新授权。
第 1 步
要使远程支持授权发挥作用,Cisco Catalyst Center连接器必须能够与AWS连接器通信。为确保此通信,如果配置了以下URL,则必须允许此URL通过防火墙:
wss://prod.radkit-cloud.cisco.com:443
提示:有关Cisco Catalyst Center功能正常运行需要允许/打开的特定端口和URL的详细信息,请查看安装指南的规划部署部分。
步骤 2
完成Cisco Catalyst Center的全新安装或升级到版本2.3.5.x或更高版本后,必须手动安装支持服务包。这是可选软件包,默认情况下不安装。导航至Cisco Catalyst Center UI。在Cisco Catalyst Center UI的主屏幕中,选择屏幕右上角的云图标,然后选择Go to Software Management。
进入“软件管理”(Software Management)页面后,您将看到当前安装的版本、要升级到的任何可用版本以及任何可用的可选软件包。支持服务软件包是可选软件包,并且在完成全新安装或之前未部署该软件包的升级后不会自动安装。点击available packages列表下支持服务包的框,然后点击屏幕右下角的Install按钮。
系统将显示一个弹出窗口,用于对所选包进行依赖性检查。检查完成后,选择继续。
然后,开始安装选定的软件包。此过程的长度取决于部署过程中当前包的数量。由于软件包在部署过程中,屏幕顶部将显示橙色横幅,表明自动化和保证服务已暂时中断。出现这种情况是因为创建了新的支持服务Pod,并且正在启动过程中。
大约10到20分钟后,新Pod处于完全启动状态,支持服务软件包安装完成。安装软件包后,请刷新浏览器,然后继续执行步骤3。
步骤 3
要完全访问远程支持授权功能,需要在远程支持授权设置中配置SSH凭证。如果未定义这些凭证,TAC将无法使用Cisco RADKit进行远程故障排除。要配置SSH凭证,请导航到Cisco Catalyst Center UI右上角的问号图标。从列表中,选择远程支持授权。
注意:请注意,只有在安装支持服务软件包并刷新浏览器之后,才会显示远程支持授权。请参阅有关如何完成此任务的步骤2。
注意:从2.3.7.6及更高版本开始,不再需要在Remote Support Authorization页面中配置SSH凭证。这是新的无密码功能的一部分。Cisco Catalyst Center提取已内部存储的凭证,因此无需为TAC配置或共享凭证。
您将重定向到Remote Support Authorization页面。由于这是在安装支持服务软件包后首次访问此页面,因此您只能看到Create New Authorization屏幕。
步骤 4
选择Create a Remote Support Authorization。
系统会将您重定向到“访问权限协议”页面。此页面有两个选项:
· 在Cisco Catalyst Center和资产中管理的设备之间建立新的VTY连接。
· 访问Cisco Catalyst Center设备的CLI
要与Cisco Catalyst Center管理的网络设备建立SSH连接,必须选择第一个选项。如果未选择此选项,TAC工程师将无法通过SSH连接到使用Cisco RADKit的设备。要建立到Cisco Catalyst Center设备的SSH连接,则必须选择第二个选项。如果未选择此选项,则TAC工程师无法通过Cisco RADKit访问Cisco Catalyst Center。为了最好地利用远程支持授权功能,建议同时选择这两个选项。选择所需的选项后,单击“下一步”。
系统会将您重定向到工作流程页面以开始设置授权。您必须输入TAC工程师的电子邮件地址和访问角色。例如:“ciscotac@cisco.com”和“OBSERVER-ROLE”。
这两个字段是可选的:
· 现有SR编号
· 访问理由
如果您有未解决的TAC服务请求,请在“现有SR编号”字段中输入该服务请求编号。
如果您希望添加远程支持授权的文档,请在Access Justification字段中提供该文档,例如“TAC要求帮助解决出现的问题”。单击 Next。
注意:请注意,对于OBSERVER-ROLE访问权限,使用GUI生成RCA或小型RCA、运行验证工具检查或运行任何报告的功能已禁用,因为此时此角色为只读访问角色。
系统会将您重定向至“计划访问”步骤。在此处,您必须选择Now或Later。您可以立即开始授权或提前安排授权。
注意:请注意,授权只能从当前授权请求创建日期起提前计划最多30天。
注意:请注意,授权请求的持续时间为24小时。虽然可以提前取消授权,但持续时间不能从24小时更改。
您将被重定向到列出所有已使用Create a Remote Support Authorization工作流程进行配置的Summary页面。您可以在此处确认设置是否正确。如果设置正确,请点击Create。
点击Create以继续执行最后一个步骤。系统会将您重定向至说明授权已创建的页面。本页上的主要项目包括:
· TAC工程师电子邮件地址
· 授权的计划开始时间和持续时间
· 支持标识
注意:请注意,TAC工程师需要支持ID才能与Cisco RADKit客户端连接到此授权请求。复制所提供的信息并将其发送给TAC工程师。
在此页面中,您可以选择创建其他授权、查看所有授权、查看活动页面或查看工作流程。如果不需要创建其他授权,则可以选择“查看所有授权”以查看所有当前和过去的授权。“查看活动”页将您重定向到“审核日志”页。View All Authorizations(查看所有授权)会将您重定向到Remote Support Authorization(远程支持授权)部分上的Current Authorizations(当前授权)页面。您可以查看“全部”(All)、“已计划”(Scheduled)或“有效”(Active)授权。点击授权可打开侧边窗口,其中显示通过Create a Remote Support Authorization工作流程配置的设置。
您可以选择取消授权或查看TAC工程师对您的部署所执行的审核日志。您可以选择切换到“过去的授权”选项卡以获取有关以前的授权的历史信息。选择要重定向到“审核日志”页的查看日志。从“审核日志”(Audit Logs)页面,您可以依次选择过滤器(Filter)、按描述(Description)和TAC工程师的邮件地址进行过滤。
选择 Apply。这会根据TAC工程师的邮件地址添加一个过滤器,如当使用Cisco RADKit进行远程部署时,在审核日志的说明中所示。
从审核日志中,您可以看到TAC工程师具体做了什么以及他们登录的时间。
警告:使用Cisco RADKit客户端1.6.11对Cisco Catalyst Center版本2.3.7.6的远程支持授权功能进行测试。