簡介
本文檔介紹如何在Cisco Catalyst Center(以前稱為Cisco DNA Center)中設定遠端支援授權功能。
必要條件
要充分利用Cisco Catalyst Center中的新遠端支援授權功能,必須滿足以下特定條件:
· Cisco Catalyst Center必須是2.3.7.6版或更高版本。
· 支援服務包必須安裝在Cisco Catalyst Center中。
· 允許透過防火牆或代理提供遠端授權支援:wss://prod.radkit-cloud.cisco.com:443。
注意:Cisco Catalyst Center 2.3.3.x版引入了遠端支援授權,但是功能有限。只允許訪問網路裝置,此早期版本中不存在Cisco Catalyst Center CLI訪問。Cisco Catalyst Center 2.3.7.6版提供Web UI代理訪問、基於角色的訪問控制(RBAC)分析和無口令命令訪問。
說明
Cisco RADKit (radkit.cisco.com)提供對遠端終端和Web UI的安全互動式連線。Cisco RADKit功能整合在Cisco Catalyst Center中,稱為遠端支援授權。當使用者使用遠端支援授權功能時,可以將Cisco TAC遠端連線到其Cisco Catalyst Center環境,以幫助收集資訊或排除故障。這有助於減少在TAC調查發生的問題時,使用者需要花在視訊呼叫上的時間。
限制
與RADKit獨立版本相比,當前版本的遠端支援授權具有以下限制:
- 當支援工程師在您的Cisco Catalyst中心上執行「磁懸浮技術」、「sudo」或「rca」命令時,它們會提示輸入憑證。 遠端支援授權不會自動處理這些憑據,因此您必須與支援工程師共用這些憑據。(Cisco Catalyst Center 2.3.7.6+中增加的功能)
- 透過Remore支援授權服務,無法連線到Cisco Catalyst Center的圖形使用者介面(GUI)或網路裝置的任何GUI。 (Cisco Catalyst Center 2.3.7.6+中增加的功能)
- 無法提供對不在Cisco Catalyst Center資產中但進行故障排除所必需的裝置(例如ISE)的遠端訪問。
- 即使無線存取點位於Cisco Catalyst Center庫存中,也不能提供對這些無線存取點的遠端訪問。
- 遠端訪問限制為一次24小時,為了提供更長的訪問許可權,需要每24小時建立一個新授權。
- 透過建立授權,您可以允許訪問Cisco Catalyst Center資產中的所有裝置。不能限制對某些網路裝置的訪問。
要克服這些限制,可以考慮改為安裝獨立RADKit服務。安裝程式適用於Windows、Mac和Linux。有關詳細資訊,請訪問https://radkit.cisco.com
-
網路連線
Cisco Catalyst Center透過AWS連線到Cisco RADKit聯結器。Cisco RADKit聯結器內建在遠端支援授權功能中。TAC透過AWS連線到Cisco RADKit聯結器並使用Cisco RADKit客戶端。Cisco Catalyst Center環境生成支援ID後,Cisco RADKit客戶端將使用該支援ID連線到Cisco Catalyst Center。
設定遠端支援授權
要啟用Remote Support Authorization以使TAC可以遠端參與,必須完成以下步驟:
1. 確保防火牆允許所需的URL通過。
2. 安裝支援服務套件。
3. 配置遠端支援授權工作流的SSH憑證。(Cisco Catalyst Center版本2.3.7.6+不再需要)
4. 建立新授權。
步驟 1
要使用Remote Support Authorization,Cisco Catalyst Center聯結器必須能夠與AWS聯結器通訊。為確保此通訊,如果配置了以下URL,則必須允許此URL透過防火牆:
wss://prod.radkit-cloud.cisco.com:443
提示:有關允許/打開以使Cisco Catalyst Center功能正常運行的特定埠和URL的詳細資訊,請檢視安裝指南的規劃部署部分。
步驟 2
完成全新安裝或將Cisco Catalyst Center升級到版本2.3.5.x或更高版本後,必須手動安裝支援服務包。這是可選的軟體套件,預設情況下不安裝。導航至Cisco Catalyst Center UI。在Cisco Catalyst Center UI的主螢幕中,選擇螢幕右上角的雲圖示,然後選擇Go to Software Management。
在「軟體管理」頁面上,您會看到目前安裝的版本、任何可升級的版本,以及任何可用的選擇性套裝程式。Support Services軟體套件是可選軟體套件,在全新安裝完成或升級之前未部署該軟體套件時不會自動安裝。按一下可用軟體套件清單下支援服務軟體套件的框,然後按一下螢幕右下角的「安裝」按鈕。
會出現一個彈出式視窗,供您檢查所選封裝的相依性。檢查完成後,選擇「繼續」。
接著開始安裝選取的套件。此程式的長度取決於目前部署程式中的套裝程式數目。由於封裝正在部署過程中,熒幕頂端會顯示橙色橫幅,說明自動化和保證服務已暫時中斷。出現這種情況是因為建立了新的支援服務Pod,並且正在啟動過程中。
在大約10到20分鐘後,新Pod處於完全打開狀態,支援服務軟體套件安裝完成。安裝套裝軟體後,請重新整理瀏覽器,然後繼續步驟3。
步驟 3
要完全訪問遠端支援授權功能,需要在遠端支援授權設定中配置SSH憑證。如果沒有定義這些憑證,TAC將無法使用Cisco RADKit進行遠端故障排除。要配置SSH憑證,請導航到Cisco Catalyst Center UI右上方的問號圖示。從清單中選擇Remote Support Authorization。
注意:請注意,遠端支援授權僅在安裝支援服務軟體套件並且刷新瀏覽器後顯示。請參閱有關如何完成此任務的步驟2。
注意:從2.3.7.6及更高版本開始,不再需要在「遠端支援授權」頁中配置SSH憑據。這是新的無密碼功能的一部分。Cisco Catalyst Center提取已內部儲存的憑證,因此無需為TAC配置或共用憑證。
您將被重定向到「遠端支援授權」頁面。由於這是在安裝Support Services軟體套件後第一次訪問此頁,因此您只能看到Create New Authorization螢幕。
步驟 4
選擇Create a Remote Support Authorization。
系統會將您重新導向至「存取許可權協定」頁面。此頁面有兩個選項:
· Cisco Catalyst Center與資產中管理的裝置之間的新VTY連線。
· 訪問Cisco Catalyst Center裝置的CLI
要與Cisco Catalyst Center管理的網路裝置建立SSH連線,必須選擇第一個選項。如果未選擇此選項,則TAC工程師無法通過SSH連線到使用Cisco RADKit的裝置。要建立與Cisco Catalyst Center裝置的SSH連線,則必須選擇第二個選項。如果未選擇此選項,TAC工程師將無法通過Cisco RADKit訪問Cisco Catalyst Center。為充分利用遠端支援授權功能,建議同時選擇這兩個選項。選取所需選項後,按一下「下一步」。
系統會將您重定向到工作流程頁面以開始設定授權。您必須輸入TAC工程師的電子郵件地址和存取角色。例如:「ciscotac@cisco.com」和「OBSERVER-ROLE」。
這兩個欄位是選擇性的:
· 現有SR編號
· 存取理由
如果您有未結的TAC服務請求,請將該服務請求編號輸入到現有SR編號欄位中。
如果您要為Remote Support Authorization增加文檔,請在Access Justification欄位中提供該文檔,例如「TAC要求幫助解決出現的問題」。按「Next」(下一步)。
注意:請注意,對於OBSERVER-ROLE訪問許可權,使用GUI生成RCA或小型RCA、運行驗證工具檢查或運行任何報告的功能已停用,因為此角色此時是只讀訪問角色。
系統會將您重新導向至「排定存取」步驟。您必須在此選擇「立即」或「稍後」。您可以立即開始授權或提前安排授權。
注意:請注意,授權只能提前安排,從當前建立授權請求之日起最長為30天。
注意:請注意,授權請求的持續時間為24小時。雖然可以提前取消授權,但持續時間不能從24小時更改。
您將被重定向到「摘要」頁面,該頁面列出了透過「建立遠端支援授權」工作流配置的所有內容。您可以在這裡確認設定是否正確。如果設定正確,請按一下「建立」。
按一下「建立」以繼續進行最後一個步驟。系統會將您重新導向至說明已建立授權的頁面。此頁面上的主要專案包括:
· TAC工程師電子郵件地址
· 排定的授權開始時間和持續時間
· 支援ID
注意:請注意,TAC工程師需要支援ID才能將Cisco RADKit客戶端連線到此授權請求。複製提供的資訊並傳送給TAC工程師。
在此頁面中,您可以選擇建立其他授權、檢視所有授權、檢視活動頁面或檢視工作流。如果不需要建立其他授權,您可以選擇「檢視所有授權」來檢視所有目前和過去的授權。「檢視活動」頁面會將您重新導向至「稽核日誌」頁面。View All Authorizations(檢視所有授權)會將您重定向到Remote Support Authorization(遠端支援授權)部分的Current Authorizations(當前授權)頁面。您可以檢視「全部」、「已排定」或「有效」授權。按一下授權以打開一個側窗口,其中顯示透過「建立遠端支援授權」工作流配置的設定。
您可以選擇取消授權或檢視TAC工程師對您的部署所做工作的稽核日誌。您可以選擇切換至「過去的授權」頁標,以取得先前授權的歷史資訊。選擇檢視日誌以重定向到「稽核日誌」頁。在Audit Logs頁面中,您可以選擇Filter,然後選擇TAC工程師的電子郵件地址的Description進行過濾。
選擇套用。這會根據TAC工程師的電子郵件地址增加一個過濾器,如使用Cisco RADKit進行遠端部署時審計日誌說明中所示。
從稽核日誌中,您可以看到TAC工程師做了什麼以及他們登入的時間。
警告: Cisco Catalyst Center 2.3.7.6版的遠端支援授權功能已透過Cisco RADKit客戶端1.6.11測試。