Introducción
Este documento describe cómo configurar la función Remote Support Authorization en Cisco DNA Center.
Prerequisites
Para poder utilizar completamente la nueva función Remote Support Authorization de Cisco DNA Center, deben cumplirse ciertos criterios:
· Cisco DNA Center debe ser la versión 2.3.5.x o superior.
· El paquete de Servicios de soporte debe instalarse en Cisco DNA Center.
· Permita el soporte de autorización remota a través del firewall o proxy: wss://prod.radkit-cloud.cisco.com:443 .
Nota: la autorización de soporte remoto se introduce en la versión 2.3.3.x de Cisco DNA Center, pero tiene una funcionalidad limitada. Solo se permite el acceso de dispositivos de red; el acceso CLI de Cisco DNA Center no está presente en esta versión anterior.
Descripción
Cisco RADKit (radkit.cisco.com) proporciona conectividad interactiva segura a terminales remotos y a interfaces de usuario web. Las funciones de Cisco RADKit están integradas en Cisco DNA Center y se denominan Remote Support Authorization. Cuando los usuarios utilizan la función Remote Support Authorization, los usuarios pueden tener el TAC remoto de Cisco en su entorno de Cisco DNA Center para ayudar a recopilar información o solucionar problemas. Esto ayuda a reducir el tiempo que los usuarios necesitan para realizar videollamadas mientras el TAC investiga los problemas que se han producido.
Limitaciones
La versión actual de Remote Support Authorization tiene estas limitaciones en comparación con la versión independiente de RADKit:
- Cuando el ingeniero de soporte ejecuta los comandos "maglev", "sudo" o "rca" en su Cisco DNA Center, solicita las credenciales. La autorización de soporte remoto no automatiza la administración de estas credenciales, por lo que es posible que deba compartir estas credenciales con el ingeniero de soporte técnico.
- A través del servicio de autorización de asistencia remota no es posible conectarse a la interfaz gráfica de usuario (GUI) del Cisco DNA Center ni a ninguna GUI de los dispositivos de red.
- No es posible proporcionar acceso remoto a dispositivos que no se encuentran en el inventario de Cisco DNA Center, pero que pueden ser necesarios para la resolución de problemas (por ejemplo, ISE).
- No es posible proporcionar acceso remoto a los puntos de acceso inalámbricos, incluso cuando se encuentran en el inventario de Cisco DNA Center.
- El acceso remoto está limitado a 24 horas a la vez. Para proporcionar un acceso más largo, debe crearse una nueva autorización cada 24 horas.
- Mediante la creación de una autorización, se permite el acceso a todos los dispositivos del inventario de Cisco DNA Center. No es posible restringir el acceso a ciertos dispositivos de red.
Para superar estas limitaciones, puede considerar la instalación del servicio RADKit independiente en su lugar. Los instaladores están disponibles para Windows, Mac y Linux. Para obtener más información, visite https://radkit.cisco.com
-
Conectividad de red
Cisco DNA Center se conecta al conector Cisco RADKIT a través de AWS. El conector Cisco RADKit está incorporado en la función Remote Support Authorization. TAC se conecta al conector Cisco RADKit a través de AWS y utiliza un cliente RADKit de Cisco. Una vez que el entorno Cisco DNA Center genera un ID de soporte, el cliente Cisco RADKit utiliza el ID de soporte para conectarse al Cisco DNA Center.
Configuración de la autorización de soporte remoto
Para que la autorización de soporte remoto esté habilitada de modo que el TAC pueda participar de forma remota, se deben completar estos pasos:
1. Asegúrese de que el firewall permite el paso de la URL necesaria.
2. Instale el paquete de servicios de soporte.
3. Configure las credenciales SSH para el flujo de trabajo de autorización de soporte remoto.
4. Cree una nueva autorización.
Paso 1
Para que la autorización de soporte remoto funcione, el conector Cisco DNA Center debe poder comunicarse con el conector AWS. Para garantizar esta comunicación, se debe permitir que esta URL pase a través del firewall si se ha configurado una:
wss://prod.radkit-cloud.cisco.com:443
Paso 2
Después de completar una instalación nueva o una actualización de Cisco DNA Center a la versión 2.3.5.x o superior, el paquete de servicios de soporte debe instalarse manualmente. Se trata de un paquete opcional y no se instala de forma predeterminada. Vaya a la interfaz de usuario de Cisco DNA Center. En la pantalla de inicio de la interfaz de usuario de Cisco DNA Center, seleccione el icono de nube en la parte superior derecha de la pantalla y seleccione Ir a administración de software.
Una vez en la página Software Management (Administración de software), verá la versión instalada actual, cualquier versión disponible a la que actualizar y cualquier paquete opcional disponible. El paquete de servicios de soporte es un paquete opcional y no se instala automáticamente después de una instalación nueva completa o una actualización en la que el paquete no se haya implementado previamente. Haga clic en la casilla del paquete de servicios de asistencia de la lista de paquetes disponibles y, a continuación, haga clic en el botón Install (Instalar) en la parte inferior derecha de la pantalla.
Aparecerá una ventana emergente para una comprobación de dependencias de los paquetes seleccionados. Una vez finalizada la comprobación, seleccione Continuar.
El paquete o paquetes seleccionados se comenzarán a instalar. La duración de este proceso depende del número de paquetes que se encuentran actualmente en el proceso de implementación. Mientras el paquete se encuentra en el proceso de implementación, aparece un banner naranja en la parte superior de la pantalla que indica que los servicios de automatización y garantía se han interrumpido temporalmente. Esto ocurre debido al nuevo grupo de dispositivos de servicio de soporte que se crea y está en proceso de arranque.
Después de aproximadamente 10 a 20 minutos, el nuevo grupo de dispositivos estará en un estado completamente activo y la instalación del paquete de servicios de soporte se completará. Una vez instalado el paquete, actualice el explorador y vaya al paso 3.
Paso 3
El acceso completo a la función Remote Support Authorization requiere que las credenciales SSH se configuren en los ajustes de Remote Support Authorization . Sin estas credenciales definidas, el TAC no podrá utilizar Cisco RADKit para resolver problemas de forma remota. Para configurar las credenciales de SSH, navegue hasta el icono de signo de interrogación en la parte superior derecha de la interfaz de usuario de Cisco DNA Center. En la lista, seleccione Autorización de soporte remoto.
Nota: Tenga en cuenta que la autorización de soporte remoto solo se muestra después de instalar el paquete de servicios de soporte y de actualizar el navegador. Consulte el paso 2 para saber cómo conseguirlo.
Se le redirigirá a la página de autorización de soporte remoto. Se enumeran cuatro fichas:
· Crear nueva autorización
· Autorizaciones actuales
· Autorizaciones pasadas
· Administrar credenciales de SSH
Acceda a la pestaña Gestionar Credenciales SSH. Seleccione Agregar nueva credencial SSH.
A new window opens. Introduzca la contraseña SSH actual para el dispositivo Cisco DNA Center y una descripción. La contraseña debe coincidir con la que se utiliza actualmente para SSH en el dispositivo Cisco DNA Center. Seleccione Agregar. Una entrada ahora se muestra bajo EXISTING SSH CREDENTIALS.
Nota: Tenga en cuenta que para las implementaciones de nodo único, solo se puede crear una credencial. Para implementaciones de tres nodos, se pueden crear hasta tres credenciales. Sin embargo, si la contraseña SSH es la misma para los tres nodos, sólo se debe crear una credencial.
Paso 4
Vaya a la ficha Crear nueva autorización en la página Autorización de soporte remoto. Seleccione Crear una autorización de soporte remoto.
Se le redirige a una página de flujo de trabajo para iniciar la configuración de la autorización. Debe introducir la dirección de correo electrónico del ingeniero del TAC. Por ejemplo: "ciscotac@cisco.com".
Estos dos campos son opcionales:
· Número(s) de SR existente(s)
· Justificación de acceso
Si tiene una solicitud de servicio de TAC abierta, introduzca el número de la solicitud de servicio en el campo Número de SR existente.
Si desea agregar documentación para la autorización de soporte remoto, indíquelo en el campo Access Justification (Justificación de acceso) como, "Required by the TAC to help troubleshooting an issue seen" (Requerido por el TAC para ayudar a resolver un problema detectado). Haga clic en Next (Siguiente).
Se le redirigirá al paso Programar el acceso. Desde aquí, debe elegir Ahora o Más tarde. Puede iniciar la autorización inmediatamente o programarla con antelación.
Nota: Tenga en cuenta que la autorización solo se puede programar con antelación durante un máximo de 30 días a partir de la fecha actual en la que se crea la solicitud de autorización.
Nota: Tenga en cuenta que la solicitud de autorización dura 24 horas. Aunque la autorización se puede cancelar antes, la duración no se puede cambiar de 24 horas.
Elija Ahora y haga clic en Siguiente.
Se le redirigirá a la página Acuerdo de permiso de acceso. Esta página tiene dos opciones:
· Nuevas conexiones VTY entre Cisco DNA Center y los dispositivos administrados en Inventory.
· Acceso a la CLI de los dispositivos Cisco DNA Center
Para establecer una conexión SSH con los dispositivos de red gestionados por Cisco DNA Center, debe seleccionarse la primera opción. Si no se selecciona esta opción, los ingenieros del TAC no podrán introducir SSH en los dispositivos con Cisco RADKit. Para establecer una conexión SSH con los dispositivos Cisco DNA Center, debe seleccionarse la segunda opción. Si no se selecciona esta opción, los ingenieros del TAC no podrán acceder al Cisco DNA Center con Cisco RADKit. Para optimizar el uso de la función de autorización de soporte remoto, se recomienda seleccionar ambas opciones. Una vez seleccionadas las opciones deseadas, haga clic en Next (Siguiente).
Se le redirigirá a la página Resumen, que enumera todo lo que se configuró con el flujo de trabajo Crear una autorización de soporte remoto. Aquí puede confirmar que los parámetros son correctos. Si los parámetros son correctos, haga clic en Create (Crear).
Haga clic en Create (Crear) para continuar con el paso final. Se le redirige a una página que indica que se ha creado la autorización. Los elementos clave de esta página incluyen:
· Dirección de correo electrónico del ingeniero del TAC
· Hora de inicio programada y duración de la autorización
· ID de soporte
Nota: Tenga en cuenta que el ingeniero del TAC necesita la ID de soporte técnico para poder conectarse con el cliente RADKit de Cisco a esta solicitud de autorización. Copie la información proporcionada y envíela al ingeniero del TAC.
En esta página puede seleccionar Crear Otra Autorización, Ver Todas las Autorizaciones, Ver Página Actividad o Directorio Raíz del Flujo de Trabajo. Si no es necesario crear otra autorización, puede elegir Ver todas las autorizaciones para ver todas las autorizaciones actuales y pasadas. La página Ver actividad le redirige a la página Registros de auditoría. Ver todas las autorizaciones le redirige a la página Autorizaciones actuales de la sección Autorización de soporte remoto. Puede ver todas las autorizaciones, programadas o activas. Haga clic en una autorización para abrir una ventana lateral que muestra los ajustes configurados con el flujo de trabajo Crear una autorización de soporte remoto.
Puede optar por cancelar la autorización o ver los registros de auditoría de lo que el ingeniero del TAC ha hecho con su implementación. Puede optar por cambiar a la ficha Autorizaciones pasadas para obtener información histórica sobre autorizaciones anteriores. Seleccione Ver registros para redirigirlos a la página Registros de auditoría. En la página Registros de auditoría, puede seleccionar Filtro y, a continuación, filtrar por Descripción con la dirección de correo electrónico del ingeniero del TAC.
Seleccione Aplicar. Esto añade un filtro basado en la dirección de correo electrónico del ingeniero del TAC, como se muestra en la descripción de los registros de auditoría cuando se utiliza Cisco RADKit para acceder de forma remota a la implementación.
En los registros de auditoría puede ver exactamente qué hizo el ingeniero del TAC y cuándo inició sesión.
Advertencia: la función Remote Support Authorization de Cisco DNA Center versión 2.3.5.x se ha probado con el cliente Cisco RADKit 1.4.x.