Cisco FindIT网络管理常见问题
目标
Cisco FindIT网络管理是一款软件,可让您通过网络浏览器轻松管理整个网络,包括思科设备。它会自动发现、监控和配置您网络中所有支持的思科设备。此软件还会向您发送有关固件更新的通知以及有关网络中不再受保修支持的设备的信息。
Cisco FindIT网络管理有两个独立的组件:一个称为FindIT Network Manager的Manager和一个或多个称为FindIT Network Probe的探测。
本文包含有关设置、配置和排除Cisco FindIT网络管理故障的常见问题及其答案。
常见问题
目录
常规
发现
2. FindIT使用什么协议来管理我的设备?
3. FindIT如何发现我的网络?
4. FindIT是否执行网络扫描?
端口管理
配置
安全考虑
8. FindIT网络管理器需要什么端口范围和协议?
9. FindIT网络探测功能需要什么端口范围和协议?
10. FindIT Network Manager与FindIT Network Probe之间的通信安全程度如何?
远程访问
14.当我从FindIT Network Management连接到设备的Administration GUI时,会话是否安全?
15.为什么当我打开到其他设备的远程访问会话时,与设备的远程访问会话会立即注销?
16.为什么远程访问会话失败,并出现如下错误:访问错误:请求实体太大,HTTP报头字段超出支持的大小?
软件更新
19.如何使探测操作系统保持最新?
常规
FindIT Network Management翻译成以下语言:
- 中文
- 英语
- 法语
- 德语
- 日语
- 西班牙语
发现
FindIT使用各种协议来发现和管理网络。特定设备使用的确切协议因设备类型而异。这些协议包括:
- 组播域名系统(mDNS)和DNS服务发现 — 此协议也称为Bonjour。它定位打印机、其他计算机以及这些设备在本地网络上提供的服务等设备。要了解有关mDNS的详细信息,请单击此处。有关DNS服务发现的详细信息,请单击此处。
- 思科发现协议(CDP) — 思科专有协议,用于共享有关其他直连思科设备的信息,如操作系统版本和IP地址。
- 链路层发现协议(LLDP) — 供应商中立协议,用于共享有关其他直连设备(如操作系统版本和IP地址)的信息。
- 简单网络管理协议(SNMP) — 一种网络管理协议,用于收集信息并在Internet协议(IP)网络上配置服务器、打印机、集线器、交换机和路由器等网络设备。
- RESTCONF - Internet工程任务组(IETF)草案,描述如何将另一代(YANG)数据建模语言规范映射到RESTful接口。要了解更多信息,请单击此处。
FindIT Network Probe(查找IT网络探测)会从侦听CDP、LLDP和mDNS通告建立网络中设备的初始列表。然后,探测功能使用支持的协议连接到每台设备,并收集其他信息,如CDP和LLDP邻接表、介质访问控制(MAC)地址表和关联设备列表。此信息用于标识网络中的其他设备,并重复此过程,直到发现所有设备。
FindIT不主动扫描网络地址范围。它结合使用被动监控某些网络协议和主动查询网络设备以获取信息。
端口管理
端口管理图是根据设备通过管理协议提供的端口列表绘制的。在堆叠模式下,堆叠端口被视为堆叠内的内部连接,因此设备不会在通过管理协议提供的列表中包含这些端口。
配置
新设备将添加到默认设备组。如果配置配置文件已分配给默认设备组,则该配置也将应用于新发现的设备。
与当前应用到原始设备组且未应用到新设备组的配置文件关联的任何虚拟局域网(VLAN)或无线局域网(WLAN)配置都将被删除,与应用到新组且未应用到原始组的配置文件关联的VLAN或WLAN配置将被添加到设备。系统配置设置将被应用到新组的配置文件覆盖。如果没有为新组定义系统配置文件,则设备的系统配置不会更改。
安全考虑
8. FindIT Network Manager需要什么端口范围和协议?
下表包含FindIT Network Manager使用的协议和端口:
| 端口 |
方向 |
协议 |
使用率 |
| TCP 22 |
入站 |
SSH |
对Manager的命令行访问 |
| TCP 80 |
入站 |
HTTP |
Web访问Manager。重定向到安全Web服务器(端口443) |
| TCP 443 |
入站 |
HTTPS |
对Manager的安全Web访问 |
| TCP 1069 |
入站 |
NETCONF/TLS |
探测器与管理器之间的通信 |
| TCP 9443 |
入站 |
HTTPS |
远程访问探测GUI |
| TCP 50000-51000 |
入站 |
设备相关 |
远程访问设备 |
| UDP 53 |
出站 |
DNS |
域名解析 |
| UDP 123 |
出站 |
NTP |
时间同步 |
| UDP 5353 |
出站 |
mDNS |
组播DNS服务通告到通告Manager的本地网络 |
下表列出了FindIT网络探测功能使用的协议和端口:
| 端口 |
方向 |
协议 |
使用率 |
| TCP 22 |
入站 |
SSH |
对探测的命令行访问 |
| TCP 80 |
入站 |
HTTP |
Web访问Manager。重定向到安全Web服务器(端口443) |
| TCP 443 |
入站 |
HTTPS |
对Manager的安全Web访问 |
| UDP 5353 |
入站 |
mDNS |
从本地网络发送组播DNS服务通告。用于设备发现。 |
| TCP 10000-10100 |
入站 |
设备相关 |
远程访问设备 |
| UDP 53 |
出站 |
DNS |
域名解析 |
| UDP 123 |
出站 |
NTP |
时间同步 |
| TCP 80 |
出站 |
HTTP |
在未启用安全Web服务的情况下管理设备 |
| UDP 161 |
出站 |
SNMP |
网络设备管理 |
| TCP 443 |
出站 |
HTTPS |
启用安全Web服务的设备管理。访问思科Web服务,获取软件更新、支持、状态和寿命终止通知等信息 |
| TCP 1069 |
出站 |
NETCONF/TLS |
探测器与管理器之间的通信 |
| UDP 5353 |
出站 |
mDNS |
组播DNS服务通告到通告探测的本地网络 |
10. FindIT Network Manager与FindIT Network Probe之间的通信安全程度如何?
Manager和探测器之间的所有通信都使用通过客户端和服务器证书进行身份验证的传输层安全(TLS)1.2会话进行加密。会话从探测器启动到Manager。首次建立Manager和探测之间的关联时,用户必须从探测登录到Manager,此时Manager和探测交换证书以验证将来的通信。
否。当FindIT发现受支持的思科设备时,它将尝试使用该设备的出厂默认凭证以及默认用户名和密码访问该设备:cisco或默认SNMP社区:public.如果设备配置已从默认值更改,则用户需要向FindIT提供正确的凭证。
使用SHA512算法对访问FindIT的凭证进行不可逆散列。使用AES-128算法对设备和其他服务(如Cisco Active Advisor)的凭证进行可逆加密。
如果在管理GUI中丢失了所有管理员帐户的密码,则可以通过登录探测或管理器的控制台并运行recoverpassword工具来重置密码。此工具将思科帐户的密码重置为默认值cisco,或者,如果思科帐户已删除,则使用默认密码重新创建帐户。以下是使用此工具重置密码时要提供的命令示例。
cisco@FindITProbe:~# recoverpassword
确定吗?(y/n)y
将思科帐户重置为默认密码
cisco@FindITProbe:~#
远程访问
14.从FindIT Network Management连接到设备的Administration GUI时,会话是否安全?
FindIT Network Management在设备和用户之间通过隧道传输远程访问会话。使用的协议取决于终端设备配置,但FindIT始终使用安全协议(如果启用了安全协议)建立会话(例如,HTTPS优先于HTTP)。 如果用户通过Manager连接到设备,会话将在Manager和探测之间通过时通过加密隧道,而不管设备上启用了什么协议。
15.当我打开到另一设备的远程访问会话时,为什么与设备的远程访问会话会立即注销?
当您通过FindIT网络管理访问设备时,浏览器会将每个连接视为与同一Web服务器(FindIT)连接,因此会向每台其他设备显示Cookie。如果多台设备使用相同的cookie名称,则一台设备cookie可能被另一台设备覆盖。这在会话cookie中最常见,结果是cookie仅对最近访问的设备有效。使用相同Cookie名称的所有其他设备都会将Cookie视为无效并将注销会话。
16.为什么远程访问会话失败,出现如下错误:访问错误:请求实体太大,HTTP报头字段超出支持的大小?
在与不同设备进行许多远程访问会话后,浏览器将为探测域存储大量cookie。要解决此问题,请使用浏览器控件清除域的cookie,然后重新加载页面。
软件更新
Manager将CentOS Linux发行版用于操作系统。可以使用标准CentOS进程更新包和内核。例如,要执行手动更新,请以思科用户身份登录控制台,然后输入命令sudo yum -yu update。系统不应升级到新的CentOS版本,除思科提供的虚拟机映像中包含的软件包外,不应安装其他软件包。
应从Oracle下载Java更新,并使用以下命令手动安装:
要直接将新Java包下载到Manager,请执行以下操作:
curl -L -O -H "Cookie:oraclelicense=accept-securebackup-cookie" -k http://download.oracle.com/otn-pub/java/jdk/<version>-<build>/jre-<version>-linux-x64.rpm
下面是一个示例:
curl -L -O -H "Cookie:oraclelicense=accept-securebackup-cookie" -k "http://download.oracle.com/otn-pub/java/jdk/8u102-b14/jre-8u102-linux-x64.rpm"
要安装更新的Java版本,请执行以下操作:
步骤1.使用命令sudo yum -y删除jre1.8.0_102删除旧版本
步骤2.使用命令sudo yum -y localinstall jre-<version>-linux-x64.rpm安装新版本
探测器将OpenWRT用于操作系统。可使用opkg工具更新包含的包。例如,要更新系统上的所有软件包,请以思科用户身份登录到控制台并输入命令update-packages。如有必要,思科将提供内核更新作为探测功能新版本的一部分。除思科提供的虚拟机映像中包含的软件包外,不应安装其他软件包。
Cisco FindIT Kaseya插件旨在通过将Cisco FindIT Network Manager与Kaseya虚拟系统管理员(VSA)紧密集成来提高运营效率。 Cisco FindIT Kaseya插件提供强大的功能,包括操作管理、控制面板、设备发现、网络拓扑、远程设备管理、可操作警报和事件历史记录。
插件设计为非常易于安装,只需点击几下即可完成。它符合Kaseya内部VSA版本9.3和9.4的所有第三方集成要求。要了解更多信息,请单击此处。
反馈