配置Catalyst Center遠端支援授權功能

簡介

本文檔介紹如何在Cisco Catalyst Center（以前稱為Cisco DNA Center）中設定遠端支援授權功能。

必要條件

要充分利用Cisco Catalyst Center中的新遠端支援授權功能，必須滿足以下特定條件：

· Cisco Catalyst Center必須是2.3.7.6版或更高版本。
· 支援服務包必須安裝在Cisco Catalyst Center中。
· 允許透過防火牆或代理提供遠端授權支援：wss://prod.radkit-cloud.cisco.com:443。

說明

Cisco RADKit (radkit.cisco.com)提供對遠端終端和Web UI的安全互動式連線。Cisco RADKit功能整合在Cisco Catalyst Center中，稱為遠端支援授權。當使用者使用遠端支援授權功能時，可以將Cisco TAC遠端連線到其Cisco Catalyst Center環境，以幫助收集資訊或排除故障。這有助於減少在TAC調查發生的問題時，使用者需要花在視訊呼叫上的時間。

限制

與RADKit獨立版本相比，當前版本的遠端支援授權具有以下限制：

- 當支援工程師在您的Cisco Catalyst中心上執行「磁懸浮技術」、「sudo」或「rca」命令時，它們會提示輸入憑證。 遠端支援授權不會自動處理這些憑據，因此您必須與支援工程師共用這些憑據。(Cisco Catalyst Center 2.3.7.6+中增加的功能)

- 透過Remore支援授權服務，無法連線到Cisco Catalyst Center的圖形使用者介面(GUI)或網路裝置的任何GUI。 (Cisco Catalyst Center 2.3.7.6+中增加的功能)

- 無法提供對不在Cisco Catalyst Center資產中但進行故障排除所必需的裝置（例如ISE）的遠端訪問。

- 即使無線存取點位於Cisco Catalyst Center庫存中，也不能提供對這些無線存取點的遠端訪問。

- 遠端訪問限制為一次24小時，為了提供更長的訪問許可權，需要每24小時建立一個新授權。

- 透過建立授權，您可以允許訪問Cisco Catalyst Center資產中的所有裝置。不能限制對某些網路裝置的訪問。

要克服這些限制，可以考慮改為安裝獨立RADKit服務。安裝程式適用於Windows、Mac和Linux。有關詳細資訊，請訪問https://radkit.cisco.com

- 

網路連線

Cisco Catalyst Center透過AWS連線到Cisco RADKit聯結器。Cisco RADKit聯結器內建在遠端支援授權功能中。TAC透過AWS連線到Cisco RADKit聯結器並使用Cisco RADKit客戶端。Cisco Catalyst Center環境生成支援ID後，Cisco RADKit客戶端將使用該支援ID連線到Cisco Catalyst Center。

設定遠端支援授權

要啟用Remote Support Authorization以使TAC可以遠端參與，必須完成以下步驟：
1. 確保防火牆允許所需的URL通過。
2. 安裝支援服務套件。
3. 配置遠端支援授權工作流的SSH憑證。(Cisco Catalyst Center版本2.3.7.6+不再需要)
4. 建立新授權。

步驟 1

要使用Remote Support Authorization，Cisco Catalyst Center聯結器必須能夠與AWS聯結器通訊。為確保此通訊，如果配置了以下URL，則必須允許此URL透過防火牆：
wss://prod.radkit-cloud.cisco.com:443

步驟 2

完成全新安裝或將Cisco Catalyst Center升級到版本2.3.5.x或更高版本後，必須手動安裝支援服務包。這是可選的軟體套件，預設情況下不安裝。導航至Cisco Catalyst Center UI。在Cisco Catalyst Center UI的主螢幕中，選擇螢幕右上角的雲圖示，然後選擇Go to Software Management。

在「軟體管理」頁面上，您會看到目前安裝的版本、任何可升級的版本，以及任何可用的選擇性套裝程式。Support Services軟體套件是可選軟體套件，在全新安裝完成或升級之前未部署該軟體套件時不會自動安裝。按一下可用軟體套件清單下支援服務軟體套件的框，然後按一下螢幕右下角的「安裝」按鈕。

會出現一個彈出式視窗，供您檢查所選封裝的相依性。檢查完成後，選擇「繼續」。
接著開始安裝選取的套件。此程式的長度取決於目前部署程式中的套裝程式數目。由於封裝正在部署過程中，熒幕頂端會顯示橙色橫幅，說明自動化和保證服務已暫時中斷。出現這種情況是因為建立了新的支援服務Pod，並且正在啟動過程中。

在大約10到20分鐘後，新Pod處於完全打開狀態，支援服務軟體套件安裝完成。安裝套裝軟體後，請重新整理瀏覽器，然後繼續步驟3。

步驟 3

要完全訪問遠端支援授權功能，需要在遠端支援授權設定中配置SSH憑證。如果沒有定義這些憑證，TAC將無法使用Cisco RADKit進行遠端故障排除。要配置SSH憑證，請導航到Cisco Catalyst Center UI右上方的問號圖示。從清單中選擇Remote Support Authorization。

您將被重定向到「遠端支援授權」頁面。由於這是在安裝Support Services軟體套件後第一次訪問此頁，因此您只能看到Create New Authorization螢幕。

步驟 4

選擇Create a Remote Support Authorization。

系統會將您重新導向至「存取許可權協定」頁面。此頁面有兩個選項：
· Cisco Catalyst Center與資產中管理的裝置之間的新VTY連線。
· 訪問Cisco Catalyst Center裝置的CLI
要與Cisco Catalyst Center管理的網路裝置建立SSH連線，必須選擇第一個選項。如果未選擇此選項，則TAC工程師無法通過SSH連線到使用Cisco RADKit的裝置。要建立與Cisco Catalyst Center裝置的SSH連線，則必須選擇第二個選項。如果未選擇此選項，TAC工程師將無法通過Cisco RADKit訪問Cisco Catalyst Center。為充分利用遠端支援授權功能，建議同時選擇這兩個選項。選取所需選項後，按一下「下一步」。

系統會將您重定向到工作流程頁面以開始設定授權。您必須輸入TAC工程師的電子郵件地址和存取角色。例如：「ciscotac@cisco.com」和「OBSERVER-ROLE」。
這兩個欄位是選擇性的：
· 現有SR編號

· 存取理由
如果您有未結的TAC服務請求，請將該服務請求編號輸入到現有SR編號欄位中。
如果您要為Remote Support Authorization增加文檔，請在Access Justification欄位中提供該文檔，例如「TAC要求幫助解決出現的問題」。按「Next」（下一步）。

系統會將您重新導向至「排定存取」步驟。您必須在此選擇「立即」或「稍後」。您可以立即開始授權或提前安排授權。

您將被重定向到「摘要」頁面，該頁面列出了透過「建立遠端支援授權」工作流配置的所有內容。您可以在這裡確認設定是否正確。如果設定正確，請按一下「建立」。

按一下「建立」以繼續進行最後一個步驟。系統會將您重新導向至說明已建立授權的頁面。此頁面上的主要專案包括：
· TAC工程師電子郵件地址
· 排定的授權開始時間和持續時間
· 支援ID

在此頁面中，您可以選擇建立其他授權、檢視所有授權、檢視活動頁面或檢視工作流。如果不需要建立其他授權，您可以選擇「檢視所有授權」來檢視所有目前和過去的授權。「檢視活動」頁面會將您重新導向至「稽核日誌」頁面。View All Authorizations（檢視所有授權）會將您重定向到Remote Support Authorization（遠端支援授權）部分的Current Authorizations（當前授權）頁面。您可以檢視「全部」、「已排定」或「有效」授權。按一下授權以打開一個側窗口，其中顯示透過「建立遠端支援授權」工作流配置的設定。

您可以選擇取消授權或檢視TAC工程師對您的部署所做工作的稽核日誌。您可以選擇切換至「過去的授權」頁標，以取得先前授權的歷史資訊。選擇檢視日誌以重定向到「稽核日誌」頁。在Audit Logs頁面中，您可以選擇Filter，然後選擇TAC工程師的電子郵件地址的Description進行過濾。

選擇套用。這會根據TAC工程師的電子郵件地址增加一個過濾器，如使用Cisco RADKit進行遠端部署時審計日誌說明中所示。

從稽核日誌中，您可以看到TAC工程師做了什麼以及他們登入的時間。