Introduzione
In questo documento viene descritto come configurare la funzionalità di autorizzazione del supporto remoto in Cisco DNA Center.
Prerequisiti
Per poter utilizzare appieno la nuova funzionalità di autorizzazione del supporto remoto in Cisco DNA Center, è necessario che siano soddisfatti alcuni criteri:
· Cisco DNA Center deve essere versione 2.3.5.x o successiva.
· Il pacchetto di servizi di supporto deve essere installato in Cisco DNA Center.
· Consentire il supporto delle autorizzazioni remote attraverso il firewall o il proxy: wss://prod.radkit-cloud.cisco.com:443 .
Nota: l'autorizzazione al supporto remoto è stata introdotta in Cisco DNA Center versione 2.3.3.x, ma ha funzionalità limitate. Solo l'accesso ai dispositivi di rete è consentito. L'accesso CLI a Cisco DNA Center non è presente in questa versione precedente.
Descrizione
Cisco RADKit (radkit.cisco.com) offre connettività interattiva sicura a terminali remoti e interfacce utente Web. Le funzionalità di Cisco RADKit sono integrate in Cisco DNA Center e vengono denominate autorizzazione del supporto remoto. Quando gli utenti utilizzano la funzione di autorizzazione del supporto remoto, possono utilizzare TAC di Cisco in modalità remota nell'ambiente Cisco DNA Center per raccogliere informazioni o risolvere problemi. Ciò contribuisce a ridurre il tempo necessario agli utenti per partecipare alle videochiamate mentre TAC analizza i problemi che si sono verificati.
Limitazioni
La versione corrente di Autorizzazione supporto remoto presenta le seguenti limitazioni rispetto alla versione indipendente RADKit:
- Quando il tecnico dell'assistenza esegue i comandi "maglev", "sudo" o "rca" sul Cisco DNA Center, chiede le credenziali. Autorizzazione supporto remoto non automatizza la gestione di queste credenziali, pertanto potrebbe essere necessario condividerle con il tecnico di assistenza.
- Il servizio di autorizzazione del supporto remoto non consente il collegamento all'interfaccia grafica (GUI) del Cisco DNA Center o a nessuna GUI dei dispositivi di rete.
- Non è possibile fornire accesso remoto a dispositivi che non sono presenti nell'inventario Cisco DNA Center, ma che potrebbero essere necessari per la risoluzione dei problemi (ad esempio ISE).
- Non è possibile fornire l'accesso remoto ai punti di accesso wireless, anche se si trovano nell'inventario di Cisco DNA Center.
- L'accesso remoto è limitato a 24 ore alla volta; per garantire un accesso più lungo è necessario creare una nuova autorizzazione ogni 24 ore.
- La creazione di un'autorizzazione consente di accedere a tutti i dispositivi nell'inventario di Cisco DNA Center. Non è possibile limitare l'accesso a determinati dispositivi di rete.
Per superare questi limiti, è possibile installare il servizio RADKit standalone. Sono disponibili programmi di installazione per Windows, Mac e Linux. Per maggiori informazioni, visitare https://radkit.cisco.com
-
Connettività di rete
Cisco DNA Center si connette al connettore Cisco RADKit su AWS. Il connettore Cisco RADKit è incorporato nella funzione di autorizzazione del supporto remoto. TAC si connette al connettore Cisco RADKit su AWS e utilizza un client Cisco RADKit. Una volta generato un ID supporto dall'ambiente Cisco DNA Center, il client Cisco RADKit utilizza l'ID supporto per connettersi al Cisco DNA Center.
Configura autorizzazione supporto remoto
Affinché l'autorizzazione per il supporto remoto sia attivata in modo che TAC possa essere attivato in remoto, è necessario completare i seguenti passaggi:
1. Verificare che il firewall consenta il passaggio dell'URL richiesto.
2. Installare il pacchetto di servizi di supporto.
3. Configurare le credenziali SSH per il flusso di lavoro Autorizzazione supporto remoto.
4. Creare una nuova autorizzazione.
Passaggio 1
Affinché l'autorizzazione al supporto remoto funzioni, il connettore Cisco DNA Center deve essere in grado di comunicare con il connettore AWS. Per garantire questa comunicazione, l'URL deve essere consentito attraverso il firewall, se configurato:
wss://prod.radkit-cloud.cisco.com:443
Passaggio 2
Al termine di una nuova installazione o di un aggiornamento di Cisco DNA Center alla versione 2.3.5.x o successive, il pacchetto dei servizi di supporto deve essere installato manualmente. Si tratta di un pacchetto facoltativo che non viene installato per impostazione predefinita. Passare all'interfaccia utente di Cisco DNA Center. Dalla schermata Home dell'interfaccia utente di Cisco DNA Center selezionare l'icona del cloud nella parte superiore destra dello schermo e scegliere Vai a Gestione software.
Nella pagina Gestione software viene visualizzata la release installata corrente, qualsiasi release disponibile per l'aggiornamento a e qualsiasi pacchetto opzionale disponibile. Il pacchetto di Servizi di supporto è un pacchetto facoltativo e non viene installato automaticamente dopo una nuova installazione completata o un aggiornamento in cui il pacchetto non è stato distribuito in precedenza. Fare clic sulla casella relativa al pacchetto di servizi di supporto nell'elenco dei pacchetti disponibili, quindi fare clic sul pulsante Installa nella parte inferiore destra della schermata.
Viene visualizzata una finestra popup per il controllo delle dipendenze per i pacchetti selezionati. Al termine del controllo, scegliere Continua.
I pacchetti selezionati verranno installati. La lunghezza di questo processo dipende dal numero di pacchetti attualmente presenti nel processo di distribuzione. Mentre il pacchetto è in fase di distribuzione, nella parte superiore dello schermo viene visualizzato un banner arancione che indica che i servizi di automazione e verifica sono stati temporaneamente interrotti. Ciò si verifica a causa del nuovo pod del servizio di supporto che viene creato ed è in fase di avvio.
Dopo circa 10-20 minuti, il nuovo pod sarà completamente attivo e l'installazione del pacchetto dei servizi di supporto sarà completata. Una volta installato il pacchetto, aggiornare il browser e procedere al passaggio 3.
Passaggio 3
Per l'accesso completo alla funzionalità di autorizzazione del supporto remoto è necessario configurare le credenziali SSH nelle impostazioni di autorizzazione del supporto remoto. Senza queste credenziali, TAC non sarà in grado di utilizzare Cisco RADKit per la risoluzione dei problemi in remoto. Per configurare le credenziali SSH, passare all'icona con il punto interrogativo nell'angolo in alto a destra dell'interfaccia utente di Cisco DNA Center. Dall'elenco, scegliere Autorizzazione supporto remoto.
Nota: l'autorizzazione del supporto remoto viene visualizzata solo dopo l'installazione del pacchetto di Servizi di supporto e l'aggiornamento del browser. A tale scopo, consultare il punto 2.
L'utente viene reindirizzato alla pagina Autorizzazione supporto remoto. Sono elencate quattro schede:
· Crea nuova autorizzazione
· Autorizzazioni correnti
· Autorizzazioni passate
· Gestione delle credenziali SSH
Passare alla scheda Gestisci credenziali SSH. Scegliere Aggiungi nuova credenziale SSH.
Viene visualizzata una nuova finestra. Immettere la password SSH corrente per l'accessorio Cisco DNA Center e una descrizione. La password deve corrispondere a quella attualmente utilizzata per il protocollo SSH nell'appliance Cisco DNA Center. Scegliere Aggiungi. In CREDENZIALI SSH ESISTENTI, è ora visualizzata una voce.
Nota: per le distribuzioni a nodo singolo è possibile creare una sola credenziale. Per le distribuzioni a tre nodi, è possibile creare fino a tre credenziali. Tuttavia, se la password SSH è la stessa per tutti e tre i nodi, sarà necessario creare solo una credenziale.
Passaggio 4
Passare alla scheda Crea nuova autorizzazione nella pagina Autorizzazione supporto remoto. Scegliere Crea autorizzazione supporto remoto.
L'utente viene reindirizzato a una pagina del flusso di lavoro per avviare l'impostazione dell'autorizzazione. Immettere l'indirizzo e-mail del tecnico TAC. Ad esempio: "ciscotac@cisco.com".
Questi due campi sono facoltativi:
· Numero/i SR esistente/i
· Giustificazione dell'accesso
Se si dispone di una richiesta di assistenza TAC aperta, immettere tale numero nel campo Numero/i SR esistente/i.
Se si desidera aggiungere documentazione per l'autorizzazione del supporto remoto, specificarla nel campo Motivazione accesso, ad esempio "Richiesta da TAC per risolvere un problema riscontrato". Fare clic su Next (Avanti).
Viene eseguito il reindirizzamento alla fase Pianifica accesso. Da qui, è necessario scegliere Ora o In seguito. È possibile avviare l'autorizzazione immediatamente o pianificarla in anticipo.
Nota: l'autorizzazione può essere pianificata solo in anticipo per un massimo di 30 giorni dalla data corrente di creazione della richiesta di autorizzazione.
Nota: la durata della richiesta di autorizzazione è di 24 ore. Anche se l'autorizzazione può essere annullata in anticipo, la durata non può essere modificata da 24 ore.
Scegliere Adesso, quindi fare clic su Avanti.
L'utente viene reindirizzato alla pagina Contratto di autorizzazione di accesso. In questa pagina sono disponibili due opzioni:
· Nuove connessioni VTY tra Cisco DNA Center e i dispositivi gestiti nell'inventario.
· Accesso alla CLI degli accessori di Cisco DNA Center
Per stabilire una connessione SSH con i dispositivi di rete gestiti da Cisco DNA Center, è necessario selezionare la prima opzione. Se questa opzione non è selezionata, i tecnici TAC non saranno in grado di eseguire il protocollo SSH sui dispositivi con Cisco RADKit. Per stabilire una connessione SSH con gli accessori Cisco DNA Center, selezionare la seconda opzione. Se questa opzione non è selezionata, i tecnici TAC non saranno in grado di accedere al Cisco DNA Center con Cisco RADKit. Per un utilizzo ottimale della funzionalità Autorizzazione supporto remoto, si consiglia di selezionare entrambe le opzioni. Dopo aver selezionato le opzioni desiderate, fare clic su Avanti.
Viene visualizzata la pagina Riepilogo in cui sono elencati tutti gli elementi configurati con il flusso di lavoro Crea autorizzazione supporto remoto. Qui è possibile verificare che le impostazioni siano corrette. Se le impostazioni sono corrette, fare clic su Crea.
Fate clic su Crea (Create) per proseguire con il passo finale. L'utente viene reindirizzato a una pagina che indica che l'autorizzazione è stata creata. Gli elementi chiave di questa pagina sono:
· Indirizzo e-mail del tecnico TAC
· Ora di inizio programmata e durata dell'autorizzazione
· ID supporto
Nota: il tecnico TAC richiede l'ID supporto per poter connettersi al client Cisco RADKit per questa richiesta di autorizzazione. Copiare le informazioni fornite e inviarle al tecnico TAC.
In questa pagina è possibile scegliere Crea un'altra autorizzazione, Visualizza tutte le autorizzazioni, Visualizza pagina attività o Home page flusso di lavoro. Se non è necessario creare un'altra autorizzazione, è possibile scegliere Visualizza tutte le autorizzazioni per visualizzare tutte le autorizzazioni correnti e passate. Visualizza pagina attività consente di reindirizzare l'utente alla pagina Log di audit. Visualizza tutte le autorizzazioni reindirizza l'utente alla pagina Autorizzazioni correnti nella sezione Autorizzazione supporto remoto. È possibile visualizzare le autorizzazioni Tutto, Programmato o Attivo. Fare clic su un'autorizzazione per aprire una finestra laterale in cui vengono visualizzate le impostazioni configurate con il flusso di lavoro Crea autorizzazione supporto remoto.
È possibile scegliere di annullare l'autorizzazione o visualizzare i log di controllo delle attività eseguite dal tecnico TAC nella distribuzione. È possibile scegliere di passare alla scheda Autorizzazioni passate per ottenere informazioni cronologiche sulle autorizzazioni precedenti. Scegliere Visualizza log da reindirizzare alla pagina Log di audit. Nella pagina Log di audit, è possibile scegliere Filtro, quindi filtrare in base alla descrizione con l'indirizzo e-mail del tecnico TAC.
Scegliere Applica. In questo modo viene aggiunto un filtro basato sull'indirizzo e-mail del tecnico TAC, come mostrato nella descrizione dei log di controllo quando Cisco RADKit viene utilizzato per connettersi in remoto all'implementazione.
Dai registri di verifica è possibile verificare esattamente le operazioni eseguite dal tecnico TAC e la data di accesso.
Avviso: la funzionalità di autorizzazione del supporto remoto di Cisco DNA Center versione 2.3.5.x è testata con Cisco RADKit client 1.4.x.