Introduction
Ce document décrit comment configurer la fonction d'autorisation de support à distance dans Cisco DNA Center.
Conditions préalables
Pour pouvoir utiliser pleinement la nouvelle fonctionnalité d'autorisation d'assistance à distance dans Cisco DNA Center, certains critères doivent être remplis :
· Cisco DNA Center doit être version 2.3.5.x ou ultérieure.
· Le package de services d'assistance doit être installé dans Cisco DNA Center.
· Autorisez la prise en charge de l’autorisation à distance via le pare-feu ou le proxy : wss://prod.radkit-cloud.cisco.com:443 .
Remarque : l'autorisation de support à distance est introduite dans Cisco DNA Center version 2.3.3.x, mais ses fonctionnalités sont limitées. Seul l'accès aux périphériques réseau est autorisé. L'accès à l'interface de ligne de commande Cisco DNA Center n'est pas disponible dans cette version antérieure.
Description
Cisco RADKit (radkit.cisco.com) fournit une connectivité interactive sécurisée aux terminaux distants et aux interfaces utilisateur Web. Les fonctionnalités de Cisco RADKit sont intégrées dans Cisco DNA Center et sont appelées Autorisation de support à distance. Lorsque les utilisateurs utilisent la fonction d'autorisation d'assistance à distance, ils peuvent faire appel au centre d'assistance technique de Cisco à distance dans leur environnement Cisco DNA Center pour recueillir des informations ou résoudre des problèmes. Cela permet de réduire le temps nécessaire aux utilisateurs pour passer des appels vidéo pendant que le TAC enquête sur les problèmes qui se sont produits.
Limites
La version actuelle de l'autorisation de support à distance présente les limitations suivantes par rapport à la version autonome de RADKit :
- Lorsque l'ingénieur d'assistance exécute les commandes « maglev », « sudo » ou « rca » sur votre Cisco DNA Center, il vous demande des informations d'identification. L'autorisation de support à distance n'automatise pas la gestion de ces informations d'identification. Vous devrez peut-être les partager avec l'ingénieur du support technique.
- Grâce au service d'autorisation de suppression de l'assistance, il n'est pas possible de se connecter à l'interface graphique utilisateur (GUI) de Cisco DNA Center ou à une interface graphique utilisateur des périphériques réseau.
- Il n'est pas possible de fournir un accès à distance à des périphériques qui ne figurent pas dans l'inventaire Cisco DNA Center, mais qui peuvent être nécessaires pour le dépannage (par exemple ISE).
- Il n'est pas possible de fournir un accès à distance aux points d'accès sans fil, même s'ils figurent dans l'inventaire Cisco DNA Center.
- L'accès à distance est limité à 24 heures à la fois, afin de fournir un accès plus long, une nouvelle autorisation doit être créée toutes les 24 heures.
- En créant une autorisation, vous autorisez l'accès à tous les périphériques de l'inventaire Cisco DNA Center. Il n'est pas possible de restreindre l'accès à certains périphériques réseau.
Pour surmonter ces limitations, vous pouvez envisager d'installer le service RADKit autonome à la place. Les programmes d'installation sont disponibles pour Windows, Mac et Linux. Pour plus d'informations, consultez le site https://radkit.cisco.com
-
Connectivité réseau
Cisco DNA Center se connecte au connecteur Cisco RADKit sur AWS. Le connecteur Cisco RADKit est intégré à la fonction d'autorisation de support à distance. Le TAC se connecte au connecteur Cisco RADKit sur AWS et utilise un client Cisco RADKit. Une fois l'ID d'assistance généré par l'environnement Cisco DNA Center, le client Cisco RADKit utilise l'ID d'assistance pour se connecter à Cisco DNA Center.
Configurer l'autorisation de support à distance
Pour que l'autorisation de support à distance soit activée afin que le TAC puisse s'engager à distance, les étapes suivantes doivent être effectuées :
1. Assurez-vous que le pare-feu autorise le passage de l'URL requise.
2. Installez le package Services d'assistance.
3. Configurez les informations d'identification SSH pour le workflow d'autorisation de support à distance.
4. Créez une nouvelle autorisation.
Étape 1
Pour que l'autorisation d'assistance à distance fonctionne, le connecteur Cisco DNA Center doit pouvoir communiquer avec le connecteur AWS. Pour assurer cette communication, cette URL doit être autorisée à travers le pare-feu si l'un d'entre eux est configuré :
wss://prod.radkit-cloud.cisco.com:443
Conseil : pour plus d'informations sur les ports et les URL spécifiques qui doivent être autorisés/ouverts pour que les fonctionnalités de Cisco DNA Center fonctionnent, consultez la section Planifier le déploiement du Guide d'installation.
Étape 2
Une fois une nouvelle installation ou une mise à niveau de Cisco DNA Center vers la version 2.3.5.x ou ultérieure terminée, le package Services d'assistance doit être installé manuellement. Il s'agit d'un package facultatif qui n'est pas installé par défaut. Accédez à l'interface utilisateur de Cisco DNA Center. Dans l'écran d'accueil de l'interface utilisateur de Cisco DNA Center, sélectionnez l'icône Cloud en haut à droite de l'écran et sélectionnez Go to Software Management.
Une fois sur la page Software Management, vous voyez la version actuellement installée, toute version disponible pour la mise à niveau et tous les packages facultatifs disponibles. Le package Services de support est un package facultatif qui n'est pas installé automatiquement après une nouvelle installation ou une mise à niveau terminée lorsque le package n'a pas été précédemment déployé. Cliquez sur la case du package Services de support dans la liste des packages disponibles, puis cliquez sur le bouton Installer en bas à droite de l'écran.
Une fenêtre contextuelle apparaît pour une vérification de dépendance pour le ou les packages sélectionnés. Lorsque la vérification est terminée, cliquez sur Continuer.
Le(s) package(s) sélectionné(s) commence(nt) ensuite à être installé. La longueur de ce processus dépend du nombre de packages actuellement dans le processus de déploiement. Lorsque le package est en cours de déploiement, une bannière orange apparaît en haut de l'écran indiquant que les services d'automatisation et d'assurance ont été temporairement interrompus. Cela se produit en raison du nouveau pod de service de support qui est créé et qui est en cours de démarrage.
Au bout de 10 à 20 minutes environ, le nouveau pod est entièrement opérationnel et l'installation du package Services d'assistance est terminée. Une fois le package installé, actualisez le navigateur et passez à l'étape 3.
Étape 3
L'accès complet à la fonctionnalité d'autorisation de support à distance nécessite que les informations d'identification SSH soient configurées dans les paramètres d'autorisation de support à distance. Sans ces informations d'identification définies, le TAC ne pourra pas utiliser Cisco RADKit pour effectuer un dépannage à distance. Pour configurer les informations d'identification SSH, accédez à l'icône représentant un point d'interrogation en haut à droite de l'interface utilisateur de Cisco DNA Center. Dans la liste, sélectionnez Remote Support Authorization.
Remarque : l'autorisation de support à distance s'affiche uniquement après l'installation du package Services de support et l'actualisation du navigateur. Reportez-vous à l'étape 2 pour savoir comment y parvenir.
Vous êtes redirigé vers la page d'autorisation du support à distance. Quatre onglets sont répertoriés :
· Créer une nouvelle autorisation
· Autorisations actuelles
· Autorisations antérieures
· Gérer les identifiants SSH
Accédez à l'onglet Manage SSH Credential. Sélectionnez Ajouter de nouvelles informations d'identification SSH.
Une nouvelle fenêtre s'ouvre. Saisissez le mot de passe SSH actuel pour l'appliance Cisco DNA Center et une description. Le mot de passe doit correspondre à ce qui est actuellement utilisé pour SSH dans l'appliance Cisco DNA Center. Sélectionnez Ajouter. Une entrée s'affiche désormais sous EXISTING SSH CREDENTIALS.
Remarque : pour les déploiements à un seul noeud, une seule information d'identification peut être créée. Pour les déploiements à trois noeuds, il est possible de créer jusqu'à trois informations d'identification. Toutefois, si le mot de passe SSH est le même pour les trois noeuds, une seule information d'identification doit être créée.
Étape 4
Accédez à l'onglet Créer une nouvelle autorisation de la page Autorisation de support à distance. Sélectionnez Créer une autorisation de support à distance.
Vous êtes redirigé vers une page de workflow pour démarrer la configuration de l'autorisation. Vous devez saisir l'adresse e-mail de l'ingénieur TAC. Par exemple : « ciscotac@cisco.com ».
Ces deux champs sont facultatifs :
· Numéro(s) SR existant(s)
· Justification de l'accès
Si vous avez une demande de service TAC ouverte, veuillez saisir ce numéro de demande de service dans le champ Numéro(s) de demande de service existant(s).
Si vous souhaitez ajouter de la documentation pour l'autorisation de support à distance, indiquez-la dans le champ Access Justification, par exemple « Required by the TAC to help troubleshoot an issue seen » (Requis par le TAC pour aider à résoudre un problème détecté). Cliquez sur Next (Suivant).
Vous êtes redirigé vers l'étape Programmer l'accès. À partir de là, vous devez choisir Maintenant ou Plus tard. Vous pouvez commencer l'autorisation immédiatement ou la programmer à l'avance.
Remarque : l'autorisation ne peut être planifiée à l'avance que pendant 30 jours à compter de la date de création de la demande d'autorisation.
Remarque : veuillez noter que la demande d'autorisation a une durée de 24 heures. Bien que l'autorisation puisse être annulée plus tôt, la durée ne peut pas être modifiée à partir de 24 heures.
Choisissez Maintenant, puis cliquez sur Suivant.
Vous êtes redirigé vers la page Accord d'autorisation d'accès. Cette page propose deux options :
· Nouvelles connexions VTY entre Cisco DNA Center et les périphériques gérés dans l'inventaire.
· Accès à l'interface de ligne de commande des appareils Cisco DNA Center
Pour établir une connexion SSH avec les périphériques réseau gérés par Cisco DNA Center, la première option doit être sélectionnée. Si cette option n'est pas sélectionnée, les ingénieurs du TAC ne pourront pas établir de connexion SSH dans les périphériques avec Cisco RADKit. Pour établir une connexion SSH avec les appareils Cisco DNA Center, vous devez sélectionner la deuxième option. Si cette option n'est pas sélectionnée, les ingénieurs du TAC ne pourront pas accéder au Cisco DNA Center avec Cisco RADKit. Pour optimiser l'utilisation de la fonction d'autorisation de support à distance, il est recommandé de sélectionner les deux options. Une fois les options sélectionnées, cliquez sur Next (Suivant).
Vous êtes redirigé vers la page Résumé qui répertorie tous les éléments configurés avec le workflow Créer une autorisation de support à distance. Vous pouvez confirmer que les paramètres sont corrects. Si les paramètres sont corrects, cliquez sur Créer.
Cliquez sur Créer pour passer à l'étape finale. Vous êtes redirigé vers une page qui indique que l'autorisation a été créée. Les éléments clés de cette page sont les suivants :
· Adresse e-mail de l'ingénieur TAC
· Heure de début prévue et durée de l'autorisation
· ID de support
Remarque : l'ingénieur TAC a besoin de l'ID d'assistance pour pouvoir se connecter au client Cisco RADKit à cette demande d'autorisation. Copiez les informations fournies et envoyez-les à l'ingénieur TAC.
Dans cette page, vous avez la possibilité de choisir Créer une autre autorisation, Afficher toutes les autorisations, Afficher la page d'activité ou Accueil du workflow. S'il n'est pas nécessaire de créer une autre autorisation, vous pouvez choisir Afficher toutes les autorisations pour afficher toutes les autorisations actuelles et passées. La page Visualiser l'activité vous redirige vers la page Journaux d'audit. L'option Afficher toutes les autorisations vous redirige vers la page Autorisations actuelles de la section Autorisation de support à distance. Vous pouvez afficher toutes les autorisations, planifiées ou actives. Cliquez sur une autorisation pour ouvrir une fenêtre latérale qui affiche les paramètres configurés avec le workflow Créer une autorisation de support à distance.
Vous pouvez choisir d'annuler l'autorisation ou d'afficher les journaux d'audit de ce que l'ingénieur du centre d'assistance technique a fait de votre déploiement. Vous pouvez choisir de passer à l'onglet Autorisations passées pour obtenir des informations historiques sur les autorisations précédentes. Sélectionnez Afficher les journaux à rediriger vers la page Journaux d'audit. Dans la page Journaux d'audit, vous pouvez choisir Filtrer, puis filtrer par Description avec l'adresse e-mail de l'ingénieur TAC.
Cliquez sur Appliquer. Cela ajoute un filtre basé sur l'adresse e-mail de l'ingénieur TAC, comme indiqué dans la description des journaux d'audit lorsque Cisco RADKit est utilisé pour accéder à distance au déploiement.
À partir des journaux d'audit, vous pouvez voir exactement ce qu'a fait l'ingénieur du centre d'assistance technique et quand il s'est connecté.
Avertissement : la fonctionnalité d'autorisation de support à distance de Cisco DNA Center version 2.3.5.x est testée avec le client Cisco RADKit 1.4.x.