配置Catalyst Center远程支持授权功能

简介

本文档介绍如何在Cisco Catalyst Center（以前称为Cisco DNA Center）中设置远程支持授权功能。

先决条件

要充分利用Cisco Catalyst Center中新的远程支持授权功能，必须满足以下条件：

· Cisco Catalyst Center必须是2.3.7.6版或更高版本。
· 必须在Cisco Catalyst Center中安装支持服务包。
· 允许通过防火墙或代理进行远程授权支持：wss://prod.radkit-cloud.cisco.com:443。

描述

Cisco RADKit (radkit.cisco.com)提供到远程终端和Web UI的安全交互式连接。Cisco RADKit功能集成在Cisco Catalyst Center中，称为远程支持授权。当用户使用远程支持授权功能时，用户可以将Cisco TAC远程连接到其Cisco Catalyst Center环境，以帮助收集信息或排除问题。这有助于在TAC调查已发生的问题时，减少用户等待视频呼叫的时间。

限制

与RADKit独立版本相比，当前版本的远程支持授权具有以下限制：

- 当支持工程师在您的Cisco Catalyst Center上执行“磁悬浮”、“sudo”或“rca”命令时，它们会提示输入凭证。 远程支持授权不会自动处理这些凭证，因此您必须与支持工程师共享这些凭证。(在Cisco Catalyst Center 2.3.7.6+中添加的功能)

- 通过Remore支持授权服务，无法连接到Cisco Catalyst Center的图形用户界面(GUI)或网络设备的任何GUI。 (在Cisco Catalyst Center 2.3.7.6+中添加的功能)

- 无法提供对不在Cisco Catalyst Center资产中但进行故障排除所必需的设备（例如ISE）的远程访问。

- 即使无线接入点位于Cisco Catalyst Center库存中，也无法对其进行远程访问。

- 远程访问限制为一次24小时，以提供更长的访问权限，需要每24小时创建一个新授权。

- 通过创建授权，您可以访问Cisco Catalyst Center资产中的所有设备。不能限制对某些网络设备的访问。

要克服这些限制，可以考虑安装独立RADKit服务。安装程序可用于Windows、Mac和Linux。有关详细信息，请访问https://radkit.cisco.com

- 

网络连接

Cisco Catalyst Center通过AWS连接到Cisco RADKit连接器。Cisco RADKit连接器内置在远程支持授权功能中。TAC通过AWS连接到Cisco RADKit连接器并使用Cisco RADKit客户端。Cisco Catalyst Center环境生成支持ID后，Cisco RADKit客户端使用支持ID连接到Cisco Catalyst Center。

设置远程支持授权

要启用Remote Support Authorization以使TAC可以远程参与，必须完成以下步骤：
1. 确保防火墙允许所需的URL通过。
2. 安装支持服务包。
3. 为远程支持授权工作流程配置SSH凭证。(Cisco Catalyst Center版本2.3.7.6+中不再需要)
4. 创建新授权。

第 1 步

要使远程支持授权发挥作用，Cisco Catalyst Center连接器必须能够与AWS连接器通信。为确保此通信，如果配置了以下URL，则必须允许此URL通过防火墙：
wss://prod.radkit-cloud.cisco.com:443

步骤 2

完成Cisco Catalyst Center的全新安装或升级到版本2.3.5.x或更高版本后，必须手动安装支持服务包。这是可选软件包，默认情况下不安装。导航至Cisco Catalyst Center UI。在Cisco Catalyst Center UI的主屏幕中，选择屏幕右上角的云图标，然后选择Go to Software Management。

进入“软件管理”(Software Management)页面后，您将看到当前安装的版本、要升级到的任何可用版本以及任何可用的可选软件包。支持服务软件包是可选软件包，并且在完成全新安装或之前未部署该软件包的升级后不会自动安装。点击available packages列表下支持服务包的框，然后点击屏幕右下角的Install按钮。

系统将显示一个弹出窗口，用于对所选包进行依赖性检查。检查完成后，选择继续。
然后，开始安装选定的软件包。此过程的长度取决于部署过程中当前包的数量。由于软件包在部署过程中，屏幕顶部将显示橙色横幅，表明自动化和保证服务已暂时中断。出现这种情况是因为创建了新的支持服务Pod，并且正在启动过程中。

大约10到20分钟后，新Pod处于完全启动状态，支持服务软件包安装完成。安装软件包后，请刷新浏览器，然后继续执行步骤3。

步骤 3

要完全访问远程支持授权功能，需要在远程支持授权设置中配置SSH凭证。如果未定义这些凭证，TAC将无法使用Cisco RADKit进行远程故障排除。要配置SSH凭证，请导航到Cisco Catalyst Center UI右上角的问号图标。从列表中，选择远程支持授权。

您将重定向到Remote Support Authorization页面。由于这是在安装支持服务软件包后首次访问此页面，因此您只能看到Create New Authorization屏幕。

步骤 4

选择Create a Remote Support Authorization。

系统会将您重定向到“访问权限协议”页面。此页面有两个选项：
· 在Cisco Catalyst Center和资产中管理的设备之间建立新的VTY连接。
· 访问Cisco Catalyst Center设备的CLI
要与Cisco Catalyst Center管理的网络设备建立SSH连接，必须选择第一个选项。如果未选择此选项，TAC工程师将无法通过SSH连接到使用Cisco RADKit的设备。要建立到Cisco Catalyst Center设备的SSH连接，则必须选择第二个选项。如果未选择此选项，则TAC工程师无法通过Cisco RADKit访问Cisco Catalyst Center。为了最好地利用远程支持授权功能，建议同时选择这两个选项。选择所需的选项后，单击“下一步”。

系统会将您重定向到工作流程页面以开始设置授权。您必须输入TAC工程师的电子邮件地址和访问角色。例如：“ciscotac@cisco.com”和“OBSERVER-ROLE”。
这两个字段是可选的：
· 现有SR编号

· 访问理由
如果您有未解决的TAC服务请求，请在“现有SR编号”字段中输入该服务请求编号。
如果您希望添加远程支持授权的文档，请在Access Justification字段中提供该文档，例如“TAC要求帮助解决出现的问题”。单击 Next。

系统会将您重定向至“计划访问”步骤。在此处，您必须选择Now或Later。您可以立即开始授权或提前安排授权。

您将被重定向到列出所有已使用Create a Remote Support Authorization工作流程进行配置的Summary页面。您可以在此处确认设置是否正确。如果设置正确，请点击Create。

点击Create以继续执行最后一个步骤。系统会将您重定向至说明授权已创建的页面。本页上的主要项目包括：
· TAC工程师电子邮件地址
· 授权的计划开始时间和持续时间
· 支持标识

在此页面中，您可以选择创建其他授权、查看所有授权、查看活动页面或查看工作流程。如果不需要创建其他授权，则可以选择“查看所有授权”以查看所有当前和过去的授权。“查看活动”页将您重定向到“审核日志”页。View All Authorizations（查看所有授权）会将您重定向到Remote Support Authorization（远程支持授权）部分上的Current Authorizations（当前授权）页面。您可以查看“全部”(All)、“已计划”(Scheduled)或“有效”(Active)授权。点击授权可打开侧边窗口，其中显示通过Create a Remote Support Authorization工作流程配置的设置。

您可以选择取消授权或查看TAC工程师对您的部署所执行的审核日志。您可以选择切换到“过去的授权”选项卡以获取有关以前的授权的历史信息。选择要重定向到“审核日志”页的查看日志。从“审核日志”(Audit Logs)页面，您可以依次选择过滤器(Filter)、按描述(Description)和TAC工程师的邮件地址进行过滤。

选择 Apply。这会根据TAC工程师的邮件地址添加一个过滤器，如当使用Cisco RADKit进行远程部署时，在审核日志的说明中所示。

从审核日志中，您可以看到TAC工程师具体做了什么以及他们登录的时间。