Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit l'agent Cisco Customer Experience (CX). Cisco CX Agent est une plate-forme hautement évolutive qui collecte des données de télémétrie à partir des périphériques réseau des clients afin de fournir des informations exploitables aux clients. CX Agent permet la transformation de l'intelligence artificielle (AI)/apprentissage automatique (ML) des données de configuration en cours actives en informations proactives et prédictives affichées dans le cloud CX (y compris les pistes de réussite, Smart Net Total Care (SNTC) et les offres Business Critical Services (BCS) ou Lifecycle Services (LCS)).
Architecture cloud CX
Ce guide est destiné aux administrateurs cloud et partenaires CX uniquement. Les utilisateurs dotés des rôles Super User Admin (SUA) et Admin disposent des autorisations nécessaires pour effectuer les actions décrites dans ce guide.
Ce guide est spécifique à l'agent CX v3.1. Reportez-vous à la page Agent Cisco CX pour accéder aux versions antérieures.
Remarque : les images de ce guide sont fournies à titre de référence uniquement. Le contenu réel peut varier.
CX Agent fonctionne en tant que machine virtuelle (VM) et peut être téléchargé en tant qu'appliance virtuelle ouverte (OVA) ou disque dur virtuel (VHD).
Exigences de déploiement
Type de déploiement d'agent CX |
Nombre de coeurs de processeur |
BÉLIER |
Disque dur |
*Nombre maximal d'actifs directement |
Hyperviseurs pris en charge |
OVA petite |
8 QUATER |
16 Go |
200 Go |
10,000 |
VMware ESXi, Oracle VirtualBox et Windows Hyper-V |
OVA moyen |
16 TASSES |
32 Go |
600 Go |
20,000 |
VMware ESXi |
OVA volumineux |
32 TASSES |
64 Go |
1 200 Go |
50,000: |
VMware ESXi |
*Outre la connexion de 20 non-clusters Cisco Catalyst Center (Catalyst Center) ou de 10 clusters Catalyst Center pour chaque instance CX Cloud Agent.
Remarque : le service RADKit est disponible exclusivement pour les déploiements d'agents CX de type OVA moyen et grand.
Pour commencer le parcours CX Cloud, les utilisateurs doivent avoir accès aux domaines suivants : Utilisez uniquement les noms d'hôte fournis ; n'utilisez pas d'adresses IP statiques.
Principaux domaines |
Autres domaines |
csco.cloud |
cloudfront.net |
split.io |
eum-appdynamics.com |
appdynamics.com |
|
tiqcdn.com |
|
jquery.com |
AMÉRIQUE |
EMEA |
APJC |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud |
agent.us.csco.cloud |
agent.us.csco.cloud |
ng.acs.agent.us.csco.cloud |
agent.emea.csco.cloud |
agent.apjc.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
Remarque : L'accès sortant doit être autorisé avec la redirection activée sur le port 443 pour les noms de domaine complets spécifiés.
Les versions prises en charge de Catalyst Center à noeud unique et cluster haute disponibilité sont les versions 2.1.2.x à 2.2.3.x, 2.3.3.x, 2.3.5.x, 2.3.7.x et Catalyst Center Virtual Appliance et Catalyst Center Virtual Appliance.
Grappe haute disponibilité multi-nœuds du centre Cisco DNA
Pour une expérience optimale sur Cisco.com, la dernière version officielle de ces navigateurs est recommandée :
Pour afficher la liste des produits pris en charge par CX Agent, reportez-vous à la Liste des produits pris en charge.
Les clients peuvent mettre à niveau leur configuration VM existante vers une configuration moyenne ou grande à l'aide d'options OVA flexibles en fonction de la taille et de la complexité de leur réseau.
Pour mettre à niveau la configuration de machine virtuelle existante de petite à moyenne ou grande, référez-vous à la section Mise à niveau des machines virtuelles de l'agent CX vers une configuration de moyenne et grande.
Les clients existants peuvent effectuer une mise à niveau vers la dernière version en activant des mises à niveau automatiques ou en choisissant de procéder à une mise à niveau manuelle à partir de leur version existante.
Les clients peuvent activer le basculement Mise à niveau logicielle automatique pour s'assurer que leur système est mis à jour lorsque les nouvelles versions sont publiées. Cette option est activée par défaut pour les nouvelles installations, mais elle peut être modifiée à tout moment pour s'aligner sur les politiques de l'entreprise ou pour planifier des mises à niveau pendant les fenêtres de maintenance planifiées.
Mises à niveau automatiques
Remarque : les mises à niveau automatiques sont désactivées par défaut pour les instances d'agent CX existantes, mais les utilisateurs peuvent les activer à tout moment.
Les clients qui préfèrent ne pas utiliser les mises à niveau automatiques et qui n'ont pas activé les mises à niveau automatiques du logiciel peuvent choisir de procéder à une mise à niveau manuelle. CX Agent v2.4.x et versions ultérieures prennent en charge une mise à niveau directe vers v3.1 en suivant les étapes décrites dans cette section.
Remarque : les clients utilisant CX Agent v2.3.x et versions antérieures doivent procéder à une mise à niveau incrémentielle vers la version 2.4.x avant d'effectuer une mise à niveau vers la version 3.1 ou effectuer une nouvelle installation OVA.
Pour installer la mise à niveau CX Agent v3.1 à partir du cloud CX :
Remarque : les clients peuvent programmer la mise à jour pour plus tard en décochant la case Installer maintenant qui affiche les options de planification.
Les clients peuvent ajouter jusqu'à 20 instances d'agent CX dans le cloud CX.
Pour ajouter un agent CX :
Page d'accueil de CX Cloud
Source de données
Ajouter une source de données
Ajout d'un agent CX
Remarque : un code d'appariement requis pour terminer la configuration de l'agent CX est généré après le déploiement du fichier « OVA ».
Nom Agent CX
9. Cliquez sur Continuer. La fenêtre Déployer et associer à votre machine virtuelle s'affiche.
Code de jumelage
10. Entrez le code de couplage reçu après le déploiement du fichier « OVA » téléchargé.
11. Cliquez sur Continuer. La progression de l'inscription s'affiche, suivie d'un message de confirmation.
Remarque : Répétez les étapes ci-dessus pour ajouter des instances d'agent CX supplémentaires en tant que source de données.
La nouvelle fonctionnalité de collecte convergente de Cisco rationalise la configuration de CX Agent v3.1 pour BCS/LCS, simplifiant ainsi l'expérience du client.
Remarque : cette configuration est spécifique aux ingénieurs d'assistance Cisco chargés de la configuration du collecteur pour les clients BCS/LCS.
Les clients BCS/LCS peuvent visiter la communauté cloud CX pour en savoir plus sur l'intégration des utilisateurs et d'autres informations connexes.
Les ingénieurs d'assistance disposant d'un accès Super User Administrator (SUA) et Administrator peuvent uniquement effectuer la configuration de l'agent CX pour BCS/LCS.
Pour configurer CX Agent pour BCS/LCS, contactez le support Cisco.
CX Agent v3.1 propose une configuration RADKit en option conçue pour améliorer la gestion et le dépannage à distance des périphériques Cisco dans le cloud CX. Lorsque cette option est activée, les utilisateurs autorisés peuvent effectuer des opérations à distance, telles que la capture de données, la configuration et les mises à niveau logicielles, en toute sécurité. Ces paramètres peuvent être activés ou désactivés à tout moment en fonction des besoins opérationnels du client.
Pour des détails complets sur RADKit, référez-vous à Cisco RADKit.
Pour intégrer le service client RADKit, créez un compte administrateur et inscrivez-le en procédant comme suit :
Remarque : les étapes suivantes nécessitent un accès racine à la machine virtuelle de l'agent CX.
ssh your_username@your_vm_ip
kubectl get netpol deny-from-other-namespaces -o yaml > /home/cxcadmin/deny-from-other-namespaces.yaml
kubectl delete netpol deny-from-other-namespaces
L'exemple suivant montre comment envoyer cette demande à l'aide de cURL :
curl -X POST \
http://<votre_vm_ip>:30100/radkitmanager/v1/createAdmin \
-H "Content-Type : application/json" \
-d'{
"nom_admin" : "admin_user123",
"e-mail" : "admin@example.com",
"nom_complet" : "Utilisateur admin",
"description" : "Compte administrateur pour la gestion du système"
}'
Une fois le compte administrateur créé, le serveur répond par un message de confirmation indiquant que le compte administrateur a été créé avec succès. Cette réponse inclut également un mot de passe temporaire qui doit être modifié lors de la première connexion. Toutefois, si le compte administrateur existe déjà, le serveur renvoie un code d'état 400 avec le message « Admin already created ».
Remarque : Lors de la première connexion, les utilisateurs sont invités à modifier le mot de passe. Suivez les instructions pour définir un nouveau mot de passe.
grant_service_otp()
L'exemple suivant montre comment envoyer cette demande à l'aide de cURL :
curl -X POST \
http://<your_vm_ip>:30100/radkitmanager/v1/enrollService \
-H "Content-Type : application/json" \
-d'{
"one_time_password" : "PROD : 1234-1234-1234"
}'
Une fois l'inscription réussie, un message de confirmation s'affiche et les utilisateurs peuvent gérer le service RADKit à l'aide d'un compte administrateur.
Pour désactiver la connectivité réseau, exécutez la commande suivante :
kubectl apply -f /home/cxcadmin/deny-from-other-namespaces.yaml
La fonction facultative de configuration du coffre-fort permet à CX Cloud de se connecter en toute sécurité à un service de coffre-fort pour accéder aux données sensibles, telles que les jetons et les listes d'inventaire, à l'aide des informations d'identification les plus récentes. Lorsqu'elle est activée, CX Cloud utilise automatiquement l'adresse et le jeton configurés. Ce paramètre peut être activé ou désactivé à tout moment. Actuellement, seule la configuration de coffre de HashiCorp est prise en charge.
Le coffre-fort peut être configuré de deux manières :
Pour configurer le coffre-fort HashiCorp pour un agent CX existant :
Paramètres
Configuration de coffre-fort
5. Entrez les détails dans les champs Adresse et Jeton.
6. Cliquez sur Soumettre. Une confirmation et l'adresse IP ajoutée s'affichent.
Les clients peuvent supprimer le coffre-fort configuré en cliquant sur Supprimer.
Cette section décrit la procédure de configuration de la connexion entre l'agent Cisco CX et une instance HashiCorp Vault. Cette intégration permet un stockage et une récupération sécurisés des informations d'identification des périphériques, améliorant ainsi la sécurité globale.
cxcli agent vault on
cxcli agent vault off
état cxcli agent vault
Pour activer l'intégration en chambre forte :
sudo su
3. Exécutez la commande suivante pour vérifier l'état actuel de l'intégration du coffre :
root@cxcloudagent: /home/cxcroot# cxcli agent vault status
intégration vault désactivée
4. Exécutez la commande suivante pour activer l'intégration de coffre-fort :
cxcli agent vault on
5. Mettez à jour les champs suivants :
6. Pour vérifier, vérifiez l'état de l'intégration avec le coffre-fort. Le message de réponse doit confirmer que l'intégration est activée :
root@cxcloudagent: /home/cxcroot# cxcli agent vault on
Saisissez l'adresse HashiCorp Vault :
Saisissez le jeton de coffre-fort HashiCorp :
intégration vault activée root@cxcloudagent: /home/cxcroot#
Pour accéder à l'agent CX :
sudo su
3. Exécutez la commande suivante pour désactiver HashiCorp Vault Integration :
root@cxcloudagent: /home/cxcroot# cxcli agent vault off
intégration vault désactivée
root@cxcloudagent: /home/cxcroot# |
Schéma des informations d'identification Vault : Pour obtenir des informations détaillées sur les options disponibles et les champs pris en charge pour les informations d'identification des périphériques, téléchargez le fichier « Vault credentials schema » (vault-credentials-schema.json).
Exemple : Voici un exemple d'informations d'identification JSON basées sur le schéma :
{
"targetIp": "5.0.1.*",
"credentials": {
"snmpv3": {
"user": "cisco",
"authPassword": "*******",
"authAlgorithm": "MD5",
"privacyPassword": "*******",
"privacyAlgorithm": "AES-256"
},
"telnet": {
"user": "cisco",
"password": "*******",
"enableUser": "cisco",
"enablePassword": "*******"
}
}
}
Remarque : les utilisateurs peuvent spécifier plusieurs protocoles dans un seul fichier JSON d'informations d'identification. Cependant, évitez d'inclure des protocoles dupliqués de la même famille (par exemple, n'incluez pas SNMPv2c et SNMPv3 dans le même fichier d'informations d'identification).
Secret
Clé secrète de valeur
Secret client
5. Mettez à jour les champs suivants :
6. Cliquez sur Enregistrer. Le secret devrait maintenant être stocké dans le coffre-fort de HashiCorp.
Identifiants
Ajouter des identifiants
Créer une version
3. Cliquez sur Créer une nouvelle version.
4. Ajoutez de nouveaux secrets en fournissant autant de paires clé-valeur que nécessaire.
5. Cliquez sur Enregistrer.
IP ou nom d'hôte
IP ou nom d'hôte
Les utilisateurs dotés du rôle d'utilisateur super administrateur peuvent ajouter la source de données du centre Catalyst.
Pour ajouter Catalyst Center en tant que source de données :
Ajouter une source de données
Sélectionner un agent CX
Fréquence
Remarque : Activez la case à cocher Exécuter la première collection maintenant pour exécuter la collection maintenant.
Remarque : Si vous devez ajouter la source de données SolarWinds®, contactez l'assistance Cisco pour obtenir de l'aide.
Les clients BCS/LCS peuvent désormais utiliser la fonctionnalité CX Agent pour une intégration externe avec SolarWinds®, offrant ainsi une plus grande transparence, une facilité de gestion améliorée et une expérience utilisateur améliorée grâce à une automatisation accrue. L'agent CX collecte l'inventaire et d'autres données requises pour générer divers rapports cohérents en termes de format, d'exhaustivité et d'exactitude des données par rapport aux rapports actuels générés par Operational Insights Collector. L'agent CX prend en charge l'intégration avec SolarWinds® en permettant à un client BCS/LCS de remplacer OIC par CX Agent pour collecter des données à partir de Solarwinds®. Cette fonctionnalité, y compris la source de données Solarwinds®, est disponible exclusivement pour les clients BCS/LCS.
L'agent CX doit être configuré dans le transfert BCS avant la première collecte ; sinon, les fichiers ne sont pas traités. Référez-vous à la section Configuration de l'agent CX pour BCS ou LCS pour plus d'informations sur la configuration du transfert BCS.
Remarques :
La collecte de données télémétriques a été étendue aux périphériques non gérés par Catalyst Center, ce qui permet aux utilisateurs d'afficher et d'interagir avec les données et analyses issues de la télémétrie pour un plus grand nombre de périphériques. Après la configuration initiale de CX Agent, les utilisateurs ont la possibilité de configurer CX Agent pour qu'il se connecte à 20 Catalyst Centers supplémentaires au sein de l'infrastructure surveillée par CX Cloud.
Les utilisateurs peuvent identifier les périphériques à intégrer dans le cloud CX en les identifiant de manière unique à l'aide d'un fichier d'amorçage ou en spécifiant une plage d'adresses IP, qui doit être analysée par l'agent CX. Les deux approches reposent sur le protocole SNMP (Simple Network Management Protocol) pour la détection et sur SSH (Secure Shell) pour la connectivité. Ils doivent être correctement configurés pour permettre une collecte télémétrique réussie.
Pour ajouter d'autres ressources en tant que sources de données, utilisez l'une des options suivantes :
La détection directe des périphériques basée sur des fichiers d'amorce et la détection basée sur la plage d'adresses IP utilisent SNMP comme protocole de détection. Il existe différentes versions de SNMP, mais CX Agent prend en charge SNMPv2c et SNMPv3 et l'une ou les deux versions peuvent être configurées. Les mêmes informations, décrites ci-dessous en détail, doivent être fournies par l'utilisateur pour terminer la configuration et activer la connectivité entre le périphérique géré par SNMP et le gestionnaire de service SNMP.
SNMPv2c et SNMPv3 diffèrent en termes de sécurité et de modèle de configuration à distance. SNMPV3 utilise un système de sécurité cryptographique amélioré prenant en charge le cryptage SHA pour authentifier les messages et garantir leur confidentialité. Il est recommandé d'utiliser SNMPv3 sur tous les réseaux publics et Internet afin de se protéger contre les risques et les menaces de sécurité. Sur CX Cloud, il est préférable que SNMPv3 soit configuré et non SNMPv2c, sauf pour les périphériques hérités plus anciens qui ne prennent pas en charge SNMPv3. Si les deux versions de SNMP sont configurées par l'utilisateur, l'agent CX tente, par défaut, de communiquer avec chaque périphérique respectif à l'aide de SNMPv3 et revient à SNMPv2c si la communication ne peut pas être négociée avec succès.
Dans le cadre de la configuration de la connectivité directe des périphériques, les utilisateurs doivent spécifier les détails du protocole de connectivité des périphériques : SSH (ou Telnet). SSHv2 doit être utilisé, sauf dans le cas de ressources héritées individuelles qui ne disposent pas de la prise en charge intégrée appropriée. Sachez que le protocole SSHv1 présente des vulnérabilités fondamentales. En l’absence de sécurité supplémentaire, les données de télémétrie et les ressources sous-jacentes peuvent être compromises en raison de ces vulnérabilités lors de l’utilisation de SSHv1. Telnet n’est pas non plus sécurisé. Les informations d'identification (par exemple, les noms d'utilisateur et les mots de passe) soumises via Telnet ne sont pas chiffrées et sont donc vulnérables aux compromissions, en l'absence d'une sécurité supplémentaire.
Les limitations suivantes s'appliquent au traitement des données de télémétrie pour les périphériques :
Un fichier d'amorçage est un fichier .csv dans lequel chaque ligne représente un enregistrement de données système. Dans un fichier d'amorçage, chaque enregistrement de fichier d'amorçage correspond à un périphérique unique à partir duquel la télémétrie doit être collectée par l'agent CX. Tous les messages d'erreur ou d'information pour chaque entrée de périphérique du fichier de départ importé sont capturés dans les détails du journal des travaux. Tous les périphériques d'un fichier d'amorçage sont considérés comme des périphériques gérés, même s'ils sont inaccessibles au moment de la configuration initiale. Dans le cas où un nouveau fichier d'amorce est téléchargé pour remplacer un précédent, la date du dernier téléchargement est affichée dans CX Cloud.
L'agent CX tente de se connecter aux périphériques, mais peut ne pas être en mesure de traiter chacun d'eux pour les afficher dans les pages Ressources dans les cas où il n'est pas en mesure de déterminer les PID ou les numéros de série.
Toute ligne du fichier de départ commençant par un point-virgule est ignorée. La ligne d'en-tête du fichier d'amorce commence par un point-virgule et peut être conservée telle quelle (option recommandée) ou supprimée lors de la création du fichier d'amorce client.
Les utilisateurs peuvent télécharger un fichier d'amorçage CSPC (Common Services Platform Collector) de la même manière qu'un fichier d'amorçage cloud CX standard, et tout reformatage requis est géré dans le cloud CX.
Pour CX Agent v3.1 et versions ultérieures, les clients peuvent télécharger des fichiers d'amorçage au format CSPC ou CX ; seul le fichier d'amorçage au format CX est pris en charge pour les versions antérieures de l'agent CX.
Il est important que le format de l'exemple de fichier d'amorce, y compris les en-têtes de colonne, ne soit en aucune façon modifié.
Le tableau suivant identifie toutes les colonnes du fichier d'amorce nécessaires et les données qui doivent être incluses dans chaque colonne.
Colonne du fichier de démarrage |
En-tête / Identificateur de colonne |
Objet de la colonne |
A |
Adresse IP ou nom d'hôte |
Fournissez une adresse IP ou un nom d'hôte valide et unique pour le périphérique. |
B |
Version du protocole SNMP |
Le protocole SNMP est requis par l'agent CX et est utilisé pour la détection des périphériques sur le réseau du client. Les valeurs peuvent être snmpv2c ou snmpv3, mais snmpv3 est recommandé pour des raisons de sécurité. |
C |
snmpRo : Obligatoire si col#=3 sélectionné comme 'snmpv2c' |
Si la variante héritée de SNMPv2 est sélectionnée pour un périphérique spécifique, alors les informations d'identification snmpRO (lecture seule) pour la collection SNMP du périphérique doivent être spécifiées. Sinon, l'entrée peut être vide. |
D |
snmpv3NomUtilisateur : Obligatoire si col#=3 sélectionné comme 'snmpv3' |
Si SNMPv3 est sélectionné pour communiquer avec un périphérique spécifique, le nom d'utilisateur de connexion correspondant doit être fourni. |
E |
snmpv3AuthAlgorithm : Les valeurs peuvent être MD5 ou SHA |
Le protocole SNMPv3 autorise l'authentification via l'algorithme MD5 (Message Digest) ou SHA (Secure Hash Algorithm). Si le périphérique est configuré avec une authentification sécurisée, l'algorithme d'authentification correspondant doit être fourni. ![]() Remarque : MD5 est considéré comme non sécurisé et SHA peut être utilisé sur tous les périphériques qui le prennent en charge. |
F |
snmpv3AuthPassword : mot de passe |
Si un algorithme de chiffrement MD5 ou SHA est configuré sur le périphérique, le mot de passe d'authentification approprié doit être fourni pour l'accès au périphérique. |
G |
snmpv3PrivAlgorithm : Les valeurs peuvent être DES , 3DES |
Si le périphérique est configuré avec l'algorithme de confidentialité SNMPv3 (cet algorithme est utilisé pour chiffrer la réponse), l'algorithme correspondant doit être fourni. ![]() Remarque : Les clés 56 bits utilisées par la norme DES (Data Encryption Standard) sont considérées comme trop courtes pour assurer la sécurité cryptographique, et la norme 3DES (Triple Data Encryption Standard) peut être utilisée sur tous les périphériques qui la prennent en charge. |
H |
snmpv3PrivPassword : mot de passe |
Si l'algorithme de confidentialité SNMPv3 est configuré sur le périphérique, son mot de passe de confidentialité respectif doit être fourni pour la connexion du périphérique. |
I |
snmpv3EngineId : ID de moteur, ID unique représentant le périphérique, spécifier l'ID de moteur si configuré manuellement sur le périphérique |
L'ID de moteur SNMPv3 est un ID unique représentant chaque périphérique. Cet ID de moteur est envoyé comme référence lors de la collecte des jeux de données SNMP par l'agent CX. Si le client configure l'ID de moteur manuellement, alors l'ID de moteur respectif doit être fourni. |
J |
cliProtocol : les valeurs peuvent être 'telnet', 'sshv1', 'sshv2'. Si vide, peut être défini sur « sshv2 » par défaut |
L'interface de ligne de commande (CLI) est conçue pour interagir directement avec le périphérique. CX Agent utilise ce protocole pour la collecte CLI d'un périphérique spécifique. Ces données de collecte CLI sont utilisées pour les rapports sur les ressources et autres informations dans le cloud CX. SSHv2 est recommandé ; En l'absence d'autres mesures de sécurité réseau, les protocoles SSHv1 et Telnet ne fournissent pas en eux-mêmes une sécurité de transport adéquate. |
K |
cliPort : Numéro de port du protocole CLI |
Si un protocole CLI est sélectionné, son numéro de port respectif doit être fourni. Par exemple, 22 pour SSH et 23 pour Telnet. |
L |
cliUser : Nom d'utilisateur CLI (nom d'utilisateur/mot de passe CLI ou LES DEUX peuvent être fournis, MAIS les deux colonnes (col#=12 et col#=13) ne peuvent pas être vides.) |
Le nom d'utilisateur CLI correspondant du périphérique doit être fourni. Il est utilisé par CX Cloud Agent au moment de la connexion au périphérique lors de la collecte CLI. |
L |
Mot de passe cli : Mot de passe utilisateur CLI (le nom d'utilisateur/mot de passe CLI ou les DEUX peuvent être fournis, MAIS les deux colonnes (col#=12 et col#=13) ne peuvent pas être vides.) |
Le mot de passe CLI correspondant du périphérique doit être fourni. Il est utilisé par l'agent CX au moment de la connexion au périphérique pendant la collecte de l'interface de ligne de commande. |
n |
cliEnableUser |
Si enable est configuré sur le périphérique, la valeur enableUsername du périphérique doit être fournie. |
O |
cliEnablePassword |
Si enable est configuré sur le périphérique, la valeur enablePassword du périphérique doit être fournie. |
P |
Assistance future (aucune entrée requise) |
Réservé pour une utilisation ultérieure |
Q |
Assistance future (aucune entrée requise) |
Réservé pour une utilisation ultérieure |
R |
Assistance future (aucune entrée requise) |
Réservé pour une utilisation ultérieure |
S |
Assistance future (aucune entrée requise) |
Réservé pour une utilisation ultérieure |
Pour ajouter d'autres ressources à l'aide d'un nouveau fichier de démarrage :
Remarque : Avant que la configuration initiale de CX Cloud ne soit terminée, CX Cloud Agent doit effectuer la première collecte télémétrique en traitant le fichier d'amorce et en établissant la connexion avec tous les périphériques identifiés. La collecte peut être lancée à la demande ou exécutée selon un calendrier défini ici. Les utilisateurs peuvent établir la première connexion de télémétrie en cochant la case Exécuter la première collecte maintenant. Selon le nombre d'entrées spécifié dans le fichier de départ et d'autres facteurs, ce processus peut prendre un temps considérable.
Pour ajouter, modifier ou supprimer des périphériques à l'aide du fichier d'amorçage actuel :
Remarque : Pour ajouter des éléments au fichier d'amorçage, ajoutez-les au fichier d'amorçage précédemment créé et rechargez le fichier. Cette opération est nécessaire car le téléchargement d'un nouveau fichier d'amorce remplace le fichier d'amorce actuel. Seul le dernier fichier de départ téléchargé est utilisé pour la détection et la collecte.
CX Agent fournit des informations d'identification par défaut que les clients peuvent configurer localement dans Agent, éliminant ainsi la nécessité d'inclure des mots de passe sensibles directement dans le fichier d'amorçage. Cela renforce la sécurité en réduisant l'exposition des informations confidentielles et en répondant aux principales préoccupations des clients.
Les plages IP permettent aux utilisateurs d'identifier les ressources matérielles et, par la suite, de collecter des données télémétriques à partir de ces périphériques en fonction des adresses IP. Il est possible d'identifier de manière unique les périphériques de collecte télémétrique en spécifiant une plage IP unique au niveau du réseau, qui peut être analysée par CX Agent à l'aide du protocole SNMP. Si la plage IP est choisie pour identifier un périphérique connecté directement, les adresses IP référencées peuvent être aussi restrictives que possible, tout en permettant la couverture de toutes les ressources requises.
L'agent CX tente de se connecter aux périphériques, mais peut ne pas être en mesure de traiter chacun d'eux pour l'afficher dans la vue Assets dans les cas où il n'est pas en mesure de déterminer les PID ou les numéros de série.
Remarques :
Cliquez sur Edit IP Address Range pour lancer la détection des périphériques à la demande. Lorsqu'un nouveau périphérique est ajouté ou supprimé (à l'intérieur ou à l'extérieur) d'une plage d'adresses IP spécifiée, le client doit toujours cliquer sur Modifier la plage d'adresses IP (reportez-vous à la section Modification des plages d'adresses IP) et effectuer les étapes requises pour lancer la détection de périphérique à la demande afin d'inclure tout nouveau périphérique ajouté à l'inventaire de collecte d'agent CX.
L'ajout de périphériques à l'aide d'une plage IP nécessite que les utilisateurs spécifient toutes les informations d'identification applicables via l'interface de configuration. Les champs visibles varient en fonction des protocoles sélectionnés dans les fenêtres précédentes. Si plusieurs sélections sont effectuées pour le même protocole, par exemple, en sélectionnant SNMPv2c et SNMPv3 ou SSHv2 et SSHv1, CX Agent négocie automatiquement la sélection du protocole en fonction des capacités de chaque périphérique.
Lors de la connexion de périphériques à l'aide d'adresses IP, le client doit s'assurer que tous les protocoles appropriés dans la plage IP, ainsi que les versions SSH et les informations d'identification Telnet sont valides, sinon les connexions échoueront.
Pour ajouter des périphériques à l'aide de la plage IP :
Remarque : Pour ajouter une autre plage d'adresses IP pour l'agent CX sélectionné, cliquez sur Add Another IP Range pour revenir à la fenêtre Set Your Protocol et répéter les étapes de cette section.
Pour modifier une plage IP :
6. Modifiez les détails comme requis et cliquez sur Terminer la configuration. La fenêtre Sources de données s'ouvre et affiche un message confirmant l'ajout de la ou des plages d'adresses IP nouvellement ajoutées.
Remarque : Ce message de confirmation ne vérifie pas si les périphériques dans la plage modifiée sont accessibles ou si leurs informations d'identification sont acceptées. Cette confirmation se produit lorsque le client lance le processus de détection.
Pour supprimer une plage IP :
Si le Catalyst Center et les autres ressources collectées par l'agent CX (connexion directe de périphérique) se trouvent sur le même agent CX, il est possible que certains périphériques soient détectés par le Cisco Catalyst Center et que la connexion directe de périphérique à l'agent CX entraîne la collecte de données en double à partir de ces périphériques. Pour éviter de collecter des données en double et d'avoir un seul contrôleur pour gérer les périphériques, il est nécessaire de déterminer une priorité pour laquelle CX Agent gère les périphériques.
Les clients peuvent planifier des analyses de diagnostic à la demande dans CX Cloud pour les Success Tracks éligibles et leurs périphériques couverts afin de renseigner les bogues prioritaires dans les avis.
Remarque : Cisco recommande de planifier des analyses de diagnostic ou de lancer des analyses à la demande au moins 6 à 7 heures à l'écart des calendriers de collecte d'inventaire afin qu'elles ne se chevauchent pas. L'exécution simultanée de plusieurs analyses de diagnostic peut ralentir le processus d'analyse et entraîner des échecs d'analyse.
Pour planifier des analyses de diagnostic :
Les analyses de diagnostic et les planifications de collecte d'inventaire peuvent être modifiées et supprimées de la page Collecte de données.
Collecte de données avec les options Modifier et Supprimer la planification
Une fois les machines virtuelles mises à niveau, il est impossible de :
Avant de mettre à niveau la machine virtuelle, Cisco recommande de prendre un snapshot à des fins de récupération en cas de panne. Référez-vous à Sauvegarde et restauration de la machine virtuelle de cloud CX pour plus de détails.
Pour mettre à niveau la configuration de VM à l'aide du client lourd VMware vSphere existant :
vSphere Client
Remarque : Les modifications de configuration prennent environ cinq minutes.
Pour mettre à jour les configurations de VM à l'aide de Web Client ESXi v6.0 :
Client ESXi
Pour mettre à jour les configurations de VM à l'aide de Web Client vCenter :
vCenter
Sélectionnez l'une des options suivantes pour déployer l'agent CX :
Ce client permet le déploiement de CX Agent OVA en utilisant le client vSphere épais.
Le déploiement peut prendre plusieurs minutes. La confirmation s'affiche après un déploiement réussi.
Ce client déploie CX Cloud OVA en utilisant le Web vSphere.
Ce client permet le déploiement de CX Agent OVA à l'aide de Web Client vCenter.
Ce client déploie CX Agent OVA via Oracle Virtual Box.
Ce client déploie CX Agent OVA via l'installation de Microsoft Hyper-V.
Pour définir le mot de passe CX Cloud Agent pour le nom d'utilisateur cxcadmin :
Définir un mot de passe
Si Auto Generate Password est sélectionné, copiez le mot de passe généré et stockez-le pour une utilisation ultérieure. Cliquez sur Save Password et passez à l’étape 4.
Remarque : Si les domaines ne peuvent pas être atteints correctement, le client doit corriger l'accessibilité des domaines en apportant des modifications à son pare-feu pour s'assurer que les domaines sont accessibles. Cliquez sur Check Again une fois que le problème d'accessibilité des domaines est résolu.
Remarque : Si le code d'appariement expire, cliquez sur Register to CX Cloud pour générer un nouveau code d'appariement (Étape 13).
15. Cliquez sur OK.
Les utilisateurs peuvent également générer un code de jumelage à l'aide des options CLI.
Pour générer un code de jumelage à l'aide de CLI :
Les versions 2.1.2.0 à 2.2.3.5, 2.3.3.4 à 2.3.3.6, 2.3.5.0 et Cisco Catalyst Center Virtual Appliance sont prises en charge par Cisco Catalyst Center
Pour configurer Syslog Forwarding to CX Agent dans Cisco Catalyst Center, procédez comme suit :
Remarque : Une fois configurés, tous les périphériques associés à ce site sont configurés pour envoyer le journal système avec le niveau critique à l'agent CX. Les périphériques doivent être associés à un site pour permettre le transfert syslog du périphérique vers CX Cloud Agent. Lorsqu'un paramètre de serveur syslog est mis à jour, tous les périphériques associés à ce site sont automatiquement définis sur le niveau critique par défaut.
Les périphériques doivent être configurés pour envoyer des messages Syslog à l'agent CX afin d'utiliser la fonctionnalité Fault Management de CX Cloud.
Remarque : L'agent CX signale uniquement les informations syslog des ressources Campus Success Track de niveau 2 vers CX Cloud. Les autres ressources ne peuvent pas configurer leur syslog sur CX Agent et leurs données syslog ne sont pas consignées dans CX Cloud.
Suivez les instructions de configuration du logiciel serveur syslog et ajoutez l'adresse IP de l'agent CX comme nouvelle destination.
Remarque : Lors du transfert des syslogs, assurez-vous que l'adresse IP source du message syslog d'origine est conservée.
Configurez chaque périphérique pour qu'il envoie les syslogs directement à l'adresse IP de l'agent CX. Reportez-vous à cette documentation pour connaître les étapes de configuration spécifiques.
Guide de configuration de Cisco IOS® XE
Guide de configuration du contrôleur sans fil AireOS
Pour rendre le niveau d'informations Syslog visible, procédez comme suit :
Sélectionnez le site requis et activez la case à cocher Device name pour tous les périphériques.
Il est recommandé de préserver l'état et les données d'une machine virtuelle CX Agent à un moment spécifique à l'aide de la fonction de snapshot. Cette fonction facilite la restauration de la VM du cloud CX à l'heure spécifique à laquelle le snapshot est pris.
Pour sauvegarder la machine virtuelle CX Cloud :
Remarque : Vérifiez que la case à cocher Snapshot the virtual machine's memory (Instantané de la mémoire de la machine virtuelle) est désactivée.
3. Cliquez sur OK. L'état Créer un snapshot de machine virtuelle s'affiche comme Terminé dans la liste Tâches récentes.
Tâches récentes
Pour restaurer la machine virtuelle CX Cloud :
CX Agent garantit au client une sécurité de bout en bout. La connexion entre CX Cloud et CX Agent est sécurisée par TLS. L'utilisateur SSH par défaut de Cloud Agent est limité aux opérations de base.
Déployez l'image OVA de l'agent CX dans une entreprise de serveurs VMware sécurisée. L’OVA est partagé en toute sécurité par l’intermédiaire du centre de téléchargement de logiciels Cisco. Le mot de passe du chargeur de démarrage (mode utilisateur unique) est défini avec un mot de passe unique au hasard. Les utilisateurs doivent se référer à cette FAQ pour définir ce mot de passe du chargeur de démarrage (mode mono-utilisateur).
Lors du déploiement, le compte utilisateur cxcadmin est créé. Les utilisateurs sont forcés de définir un mot de passe lors de la configuration initiale. Les identifiants/utilisateurs cxcadmin sont utilisés pour accéder aux API de l'agent CX et pour se connecter à l'appliance via SSH.
les utilisateurs cxcadmin ont un accès restreint avec les privilèges les plus bas. Le mot de passe cxcadmin suit la stratégie de sécurité et est haché dans un sens avec une période d'expiration de 90 jours. les utilisateurs cxcadmin peuvent créer un utilisateur cxcroot à l'aide de l'utilitaire appelé remoteaccount. les utilisateurs cxcroot peuvent obtenir des privilèges root.
La machine virtuelle CX Agent est accessible via SSH avec les informations d'identification de l'utilisateur cxcadmin. Les ports entrants sont limités à 22 (ssh) et à 514 (Syslog).
Authentification par mot de passe : L'appliance gère un utilisateur unique (cxcadmin) qui permet à l'utilisateur de s'authentifier et de communiquer avec l'agent CX.
les utilisateurs cxcadmin peuvent créer un utilisateur cxcroot à l'aide d'un utilitaire appelé remoteaccount. Cet utilitaire affiche un mot de passe chiffré RSA/ECB/PKCS1v1_5 qui ne peut être déchiffré qu'à partir du portail SWIM (formulaire de demande DECRYPT). Seul le personnel autorisé a accès à ce portail. les utilisateurs cxcroot peuvent obtenir des privilèges root en utilisant ce mot de passe déchiffré. La phrase secrète n’est valide que pour deux jours. Les utilisateurs cxcadmin doivent recréer le compte et obtenir le mot de passe à partir du portail SWIM après expiration du mot de passe.
L'appliance CX Agent respecte les normes de renforcement du Centre de sécurité Internet.
L'appliance CX Agent ne stocke aucune information personnelle du client. L'application d'informations d'identification du périphérique (exécutée en tant que l'un des pods) stocke les informations d'identification du serveur chiffrées dans une base de données sécurisée. Les données collectées ne sont stockées sous aucune forme à l'intérieur de l'appareil, sauf temporairement lorsqu'elles sont en cours de traitement. Les données de télémétrie sont téléchargées sur le cloud CX dès que possible après la collecte et sont rapidement supprimées du stockage local après confirmation du succès du téléchargement.
Le package d'enregistrement contient le certificat et les clés du périphérique X.509 uniques requis pour établir une connexion sécurisée avec Iot Core. L'utilisation de cet agent permet d'établir une connexion sécurisée à l'aide de MQTT (Message Queuing Telemetry Transport) sur TLS (Transport Layer Security) v1.2
Les journaux ne contiennent aucune forme de données d'informations personnelles identifiables (PII). Les journaux d'audit capturent toutes les actions sensibles à la sécurité effectuées sur l'appliance CX Cloud Agent.
CX Cloud récupère la télémétrie des ressources à l'aide des API et des commandes répertoriées dans les commandes de télémétrie Cisco. Ce document classe les commandes en fonction de leur applicabilité à l'inventaire Cisco Catalyst Center, à Diagnostic Bridge, à Intersight, à Compliance Insights, à Faults et à toutes les autres sources de télémétrie collectées par l'agent CX.
Les informations sensibles de la télémétrie des ressources sont masquées avant d'être transmises au cloud. L'agent CX masque les données sensibles pour toutes les ressources collectées qui envoient des données de télémétrie directement à l'agent CX. Cela inclut les mots de passe, les clés, les chaînes de communauté, les noms d'utilisateur, etc. Les contrôleurs fournissent un masquage des données pour toutes les ressources gérées par les contrôleurs avant de transférer ces informations à l'agent CX. Dans certains cas, la télémétrie des ressources gérées par le contrôleur peut être rendue plus anonyme. Reportez-vous à la documentation d'assistance produit correspondante pour en savoir plus sur l'anonymisation de la télémétrie (par exemple, la section Anonymize Data du Guide de l'administrateur de Cisco Catalyst Center).
Bien que la liste des commandes de télémétrie ne puisse pas être personnalisée et que les règles de masquage des données ne puissent pas être modifiées, les clients peuvent contrôler les ressources auxquelles CX Cloud accède en spécifiant les sources de données, comme indiqué dans la documentation de support produit pour les périphériques gérés par contrôleur ou dans la section Connexions des sources de données de ce document (pour les autres ressources collectées par CX Agent).
Fonctions de sécurité |
Description |
Mot de passe du chargeur de démarrage |
Le mot de passe du chargeur de démarrage (mode utilisateur unique) est défini avec un mot de passe unique au hasard. Les utilisateurs doivent se référer à la FAQ pour définir son mot de passe du chargeur de démarrage (mode utilisateur unique). |
Accès utilisateur |
SSH : ·L’accès à l’appliance à l’aide de l’utilisateur cxcadmin nécessite des informations d’authentification créées lors de l’installation. · L'accès à l'appliance par l'utilisateur cxcroot nécessite que les identifiants soient décryptés par le personnel autorisé à l'aide du portail SWIM. |
Comptes utilisateurs |
·cxcadmin : compte d'utilisateur par défaut créé ; L'utilisateur peut exécuter les commandes de l'application Agent CX à l'aide de cxcli et dispose des privilèges les plus faibles sur l'appliance ; L’utilisateur cxcroot et son mot de passe chiffré sont générés à l’aide de l’utilisateur cxcadmin. ·cxcroot : cxcadmin peut créer cet utilisateur à l'aide de l'utilitaire remoteaccount ; L’utilisateur peut obtenir les privilèges racine avec ce compte. |
politique de mot de passe cxcadmin |
·Le mot de passe est haché de manière unidirectionnelle à l’aide de SHA-256 et stocké en toute sécurité. · Au moins huit (8) caractères, contenant trois de ces catégories : majuscules, minuscules, chiffres et caractères spéciaux. |
politique de mot de passe cxcroot |
·Le mot de passe cxcroot est chiffré RSA/ECB/PKCS1v1_5 ·La phrase secrète générée doit être déchiffrée dans le portail SWIM. · L'utilisateur et le mot de passe cxcroot sont valides pendant deux jours et peuvent être régénérés à l'aide de cxcadmin user. |
politique de mot de passe de connexion ssh |
· Au moins huit caractères qui contiennent trois de ces catégories : majuscules, minuscules, chiffres et caractères spéciaux. · Cinq tentatives de connexion infructueuses verrouillent la boîte pendant 30 minutes ; Le mot de passe expire dans 90 jours. |
Ports |
Ports entrants ouverts – 514 (Syslog) et 22 (ssh) |
Sécurité des données |
·Aucune information client enregistrée. ·Aucune donnée de périphérique enregistrée. · Les identifiants du serveur Cisco Catalyst Center sont chiffrés et stockés dans la base de données. |
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
04-Sep-2025
|
Première publication |