はじめに
このドキュメントでは、Cisco DNA Centerでリモートサポート許可機能を設定する方法について説明します。
前提条件
Cisco DNA Centerの新しいリモートサポート許可機能を完全に利用するには、次の特定の基準を満たす必要があります。
・ Cisco DNA Centerは、バージョン2.3.5.x以降である必要があります。
・ Support ServicesパッケージをCisco DNA Centerにインストールする必要があります。
・ファイアウォールまたはプロキシ経由のリモート認証サポートを許可する:wss://prod.radkit-cloud.cisco.com:443
注:リモートサポート許可はCisco DNA Centerバージョン2.3.3.xで導入されましたが、機能が制限されています。ネットワークデバイスへのアクセスのみが許可され、Cisco DNA CenterのCLIアクセスはこの旧バージョンには存在しません。
説明
Cisco RADKit(radkit.cisco.com)は、リモート端末およびWeb UIへのセキュアでインタラクティブな接続を提供します。Cisco DNA Centerに統合されているCisco RADKit機能は、リモートサポート許可と呼ばれます。ユーザがリモートサポート許可機能を使用すると、ユーザはシスコのTACをCisco DNA Center環境にリモートで接続して、情報の収集や問題のトラブルシューティングに役立てることができます。これにより、TACが発生した問題を調査する際に、ユーザがビデオコールに参加するために必要な時間を短縮できます。
制限事項
現在のバージョンのリモートサポート承認には、RADKitスタンドアロンバージョンと比較して次の制限があります。
– サポートエンジニアがCisco DNA Centerで「maglev」、「sudo」、または「rca」コマンドを実行すると、クレデンシャルの入力を求められます。 リモートサポート承認では、これらの資格情報の処理は自動化されないため、これらの資格情報をサポートエンジニアと共有する必要がある場合があります。
- Remore Support Authorizationサービスを通じて、Cisco DNA Centerのグラフィカルユーザインターフェイス(GUI)やネットワークデバイスのGUIに接続することはできません。
- Cisco DNA Centerインベントリに含まれていないが、トラブルシューティングに必要な可能性があるデバイス(ISEなど)へのリモートアクセスを提供できない。
– ワイヤレスアクセスポイントがCisco DNA Centerインベントリ内にある場合でも、アクセスポイントへのリモートアクセスを提供できません。
– リモートアクセスは一度に24時間に制限されています。より長い時間アクセスを提供するには、24時間ごとに新しい認証を作成する必要があります。
– 許可を作成すると、Cisco DNA Centerインベントリ内のすべてのデバイスへのアクセスが許可されます。特定のネットワークデバイスへのアクセスを制限することはできません。
これらの制限を克服するために、代わりにスタンドアロンRADKitサービスをインストールすることを検討できます。インストーラは、Windows、Mac、およびLinuxで使用できます。詳細については、https://radkit.cisco.comを参照してください。
-
ネットワーク接続
Cisco DNA Centerは、AWSを介してCisco RADKitコネクタに接続します。Cisco RADKitコネクタは、リモートサポート許可機能に組み込まれています。TACはAWS経由でCisco RADKitコネクタに接続し、Cisco RADKitクライアントを使用します。Cisco DNA Center環境でサポートIDが生成されると、Cisco RADKitクライアントはサポートIDを使用してCisco DNA Centerに接続します。
リモートサポート認証の設定
TACがリモートで作業できるようにリモートサポート認証を有効にするには、次の手順を実行する必要があります。
1.ファイアウォールが必要なURLの通過を許可していることを確認します。
2.サポートサービスパッケージをインストールします。
3.リモートサポート承認ワークフローのSSH資格情報を構成します。
4.新しい許可を作成します。
手順 1
リモートサポート認証を機能させるには、Cisco DNA CenterコネクタがAWSコネクタと通信できる必要があります。この通信を確実にするには、このURLが設定されている場合は、ファイアウォールの通過を許可する必要があります。
wss://prod.radkit-cloud.cisco.com:443
ヒント:Cisco DNA Center機能を動作させるために許可またはオープンする必要がある特定のポートおよびURLの詳細については、インストールガイドの「導入の計画」を参照してください。
手順 2
Cisco DNA Centerの新規インストールまたはバージョン2.3.5.x以降へのアップグレードが完了したら、サポートサービスパッケージを手動でインストールする必要があります。これはオプションパッケージであり、デフォルトではインストールされません。Cisco DNA Center UIに移動します。Cisco DNA Center UIのホーム画面から、画面右上のクラウドアイコンを選択し、Go to Software Managementを選択します。
Software Managementページに、現在インストールされているリリース、アップグレード可能なリリース、および利用可能なオプションパッケージが表示されます。Support Servicesパッケージはオプションのパッケージであり、新規インストールが完了した後や、パッケージが以前に展開されていないアップグレード後には自動的にインストールされません。使用可能なパッケージのリストの下にあるSupport Servicesパッケージのボックスをクリックし、画面の右下にあるInstallボタンをクリックします。
選択したパッケージの依存関係チェック用のポップアップウィンドウが表示されます。チェックが終了したら、Continueを選択します。
選択したパッケージのインストールが開始されます。このプロセスの長さは、展開プロセスに現在含まれているパッケージの数によって異なります。パッケージの導入プロセス中に、画面の上部にAutomation and Assuranceサービスが一時的に中断されたことを示すオレンジ色のバナーが表示されます。これは、新しく作成されたサポートサービスポッドがブートアップの処理中であるために発生します。
約10 ~ 20分後、新しいポッドは完全にアップ状態になり、サポートサービスパッケージのインストールが完了します。パッケージがインストールされたら、ブラウザを更新し、手順3に進みます。
手順 3
リモートサポート許可機能へのフルアクセスには、リモートサポート許可設定でSSHクレデンシャルを設定する必要があります。これらのクレデンシャルが定義されていないと、TACはCisco RADKitを使用してリモートでトラブルシューティングを行うことができません。SSHクレデンシャルを設定するには、Cisco DNA Center UIの右上にある疑問符アイコンに移動します。リストからRemote Support Authorizationを選択します。
注:リモートサポート認証は、サポートサービスパッケージがインストールされ、ブラウザが更新された後にのみ表示されます。これを行う方法については、ステップ2を参照してください。
リモートサポート承認ページにリダイレクトされます。次の4つのタブが表示されます。
・新しい承認の作成
・現在の承認
・過去の承認
・ SSH資格証明の管理
Manage SSH Credentialタブに移動します。Add New SSH Credentialを選択します。
新しいウィンドウが開きます。Cisco DNA Centerアプライアンスの現在のSSHパスワードと説明を入力します。パスワードは、Cisco DNA CenterアプライアンスへのSSH接続に現在使用されているパスワードと一致している必要があります。[Add] を選択します。エントリがEXISTING SSH CREDENTIALSの下に表示されます。
注:単一ノードの導入では、クレデンシャルを1つだけ作成できます。3つのノード展開では、最大3つのクレデンシャルを作成できます。ただし、SSHパスワードが3つのノードすべてで同じ場合は、クレデンシャルを1つだけ作成する必要があります。
手順 4
Remote Support AuthorizationページのCreate New Authorizationタブに移動します。Create a Remote Support Authorizationを選択します。
承認の設定を開始するためのワークフローページにリダイレクトされます。TACエンジニアの電子メールアドレスを入力する必要があります。たとえば、「ciscotac@cisco.com」と入力します。
次の2つのフィールドはオプションです。
・既存のSR番号
・アクセスの正当性
オープンなTACサービスリクエストがある場合は、そのサービスリクエスト番号を既存のSR番号フィールドに入力してください。
リモートサポート許可に関する文書を追加する場合は、「Required by the TAC to help an issue seen.のようなAccess Justification」フィールドにその旨を記入してください。[Next] をクリックします。
「アクセスのスケジュール」手順にリダイレクトされます。ここから、[今すぐ]または[後で]を選択する必要があります。すぐに認可を開始することも、事前に認可をスケジュールすることもできます。
注:承認は、現在の承認要求の作成日から最大30日間、詳細でのみスケジュールできます。
注:認可要求の期間は24時間です。承認は早期にキャンセルできますが、期間を24時間から変更することはできません。
Nowを選択し、Nextをクリックします。
「アクセス権アグリーメント」ページにリダイレクトされます。このページには、次の2つのオプションがあります。
・ Cisco DNA Centerとインベントリで管理されるデバイス間の新しいVTY接続
・ Cisco DNA CenterアプライアンスのCLIへのアクセス
Cisco DNA Centerによって管理されるネットワークデバイスとのSSH接続を確立するには、最初のオプションを選択する必要があります。このオプションが選択されていない場合、TACエンジニアはCisco RADKitを使用してデバイスにSSH接続できません。Cisco DNA CenterアプライアンスへのSSH接続を確立するには、2番目のオプションを選択する必要があります。このオプションを選択しないと、TACエンジニアはCisco RADKitを使用してCisco DNA Centerにアクセスできません。リモートサポート許可機能を最大限に活用するには、両方のオプションを選択することをお勧めします。必要なオプションを選択したら、[次へ]をクリックします。
リモートサポート承認の作成ワークフローで構成されたすべての内容を示す概要ページにリダイレクトされます。ここで、設定が正しいことを確認できます。設定が正しければ、[作成]をクリックします。
Createをクリックして、最後のステップに進みます。承認が作成されたことを示すページにリダイレクトされます。このページの主な項目は次のとおりです。
・ TACエンジニアの電子メールアドレス
・認可のスケジュールされた開始時間と期間
・サポートID
注:TACエンジニアは、Cisco RADKitクライアントでこの承認要求に接続するためにサポートIDが必要であることに注意してください。提供された情報をコピーして、TACエンジニアに送信します。
このページから、「別の承認の作成」、「すべての承認の表示」、「アクティビティ・ページの表示」または「ワークフロー・ホーム」を選択できます。別の承認を作成する必要がない場合は、「すべての承認を表示」を選択して、現在および過去のすべての承認を表示できます。「アクティビティの表示」ページをクリックすると、「監査ログ」ページにリダイレクトされます。すべての承認を表示すると、[リモートサポートの承認]セクションの[現在の承認]ページにリダイレクトされます。すべての承認、スケジュール済み承認、またはアクティブな承認を表示できます。承認をクリックすると、サイド・ウィンドウが開き、リモート・サポート承認の作成ワークフローで構成された設定が表示されます。
認証をキャンセルするか、TACエンジニアが導入環境で行った作業の監査ログを表示するかを選択できます。「過去の承認」タブに切り替えて、過去の承認に関する履歴情報を取得できます。「ログの表示」を選択して、「監査ログ」ページにリダイレクトします。[Audit Logs]ページから、[Filter]を選択し、TACエンジニアの電子メールアドレスを使用して[Description]でフィルタできます。
Apply を選択します。これにより、Cisco RADKitを使用してリモートで導入を行う際の監査ログの説明に示すように、TACエンジニアの電子メールアドレスに基づくフィルタが追加されます。
監査ログから、TACエンジニアが何を行い、いつサインオンしたかを正確に確認できます。
警告:Cisco DNA Centerバージョン2.3.5.xのリモートサポート許可機能は、Cisco RADKitクライアント1.4.xでテストされています。