はじめに
このドキュメントでは、Cisco Catalyst Center(旧称Cisco DNA Center)でリモートサポート許可機能を設定する方法について説明します。
前提条件
Cisco Catalyst Centerの新しいリモートサポート許可機能をフルに活用するには、次の特定の条件を満たす必要があります。
・ Cisco Catalyst Centerは、バージョン2.3.7.6以上である必要があります。
・ Support Servicesパッケージは、Cisco Catalyst Centerにインストールする必要があります。
・ ファイアウォールまたはプロキシ(wss://prod.radkit-cloud.cisco.com:443)経由のリモート認証サポートを許可します。
注:リモートサポート許可は、Cisco Catalyst Centerバージョン2.3.3.xで導入されましたが、機能が制限されています。ネットワークデバイスへのアクセスのみが許可され、Cisco Catalyst CenterのCLIアクセスはこの旧バージョンにはありません。Cisco Catalyst Centerバージョン2.3.7.6+では、Web UIプロキシアクセス、ロールベースアクセスコントロール(RBAC)プロファイリング、およびパスワードレスコマンドアクセスが提供されます。
説明
Cisco RADKit(radkit.cisco.com)は、リモート端末とWeb UIへの安全なインタラクティブ接続を提供します。Cisco RADKit機能はCisco Catalyst Centerに統合され、リモートサポート許可と呼ばれます。ユーザがリモートサポート許可機能を使用すると、Cisco TACをCisco Catalyst Center環境にリモートで接続し、情報の収集や問題のトラブルシューティングに役立てることができます。これにより、TACが発生した問題を調査する際に、ユーザがビデオ通話に参加する時間を短縮できます。
制限事項
現在のバージョンのRemote Support Authorizationには、RADKitスタンドアロンバージョンと比較して、次の制限があります。
– サポートエンジニアがCisco Catalyst Centerで「maglev」、「sudo」、または「rca」コマンドを実行すると、クレデンシャルの入力を求められます。 Remote Support Authorizationでは、これらの認証情報の処理は自動化されないため、これらの認証情報をサポートエンジニアと共有する必要があります。(Cisco Catalyst Center 2.3.7.6+で追加された機能)
- Remore Support Authorizationサービスを通じて、Cisco Catalyst Centerのグラフィカルユーザインターフェイス(GUI)やネットワークデバイスのGUIに接続することはできません。 (Cisco Catalyst Center 2.3.7.6+で追加された機能)
- Cisco Catalyst Centerのインベントリに含まれていないが、トラブルシューティングに必要なデバイス(ISEなど)へのリモートアクセスを提供できません。
– ワイヤレスアクセスポイントがCisco Catalyst Centerのインベントリ内にある場合でも、アクセスポイントへのリモートアクセスを提供できません。
– リモートアクセスは一度に24時間に制限されています。より長いアクセスを提供するには、24時間ごとに新しい認証を作成する必要があります。
– 認可を作成することで、Cisco Catalyst Centerインベントリ内のすべてのデバイスへのアクセスを許可します。特定のネットワークデバイスへのアクセスを制限することはできません。
これらの制限を克服するには、代わりにスタンドアロンのRADKitサービスをインストールすることを検討できます。インストーラは、Windows、Mac、およびLinuxで使用できます。詳細については、https://radkit.cisco.comを参照してください。
-
ネットワーク接続
Cisco Catalyst Centerは、AWSを介してCisco RADKitコネクタに接続します。Cisco RADKitコネクタは、リモートサポート認証機能に組み込まれています。TACはAWS経由でCisco RADKitコネクタに接続し、Cisco RADKitクライアントを使用します。Cisco Catalyst Center環境でサポートIDが生成されると、Cisco RADKitクライアントはサポートIDを使用してCisco Catalyst Centerに接続します。

リモートサポート認証の設定
TACがリモートで作業できるようにリモートサポート認証を有効にするには、次の手順を実行する必要があります。
1. ファイアウォールが必要なURLの通過を許可していることを確認します。
2. サポートサービスパッケージをインストールします。
3. リモートサポート承認ワークフローのSSH資格情報を構成します。(Cisco Catalyst Centerバージョン2.3.7.6+では不要)
4. 新しい承認を作成します。
手順 1
リモートサポート認証を機能させるには、Cisco Catalyst CenterコネクタがAWSコネクタと通信できる必要があります。この通信を確実にするには、このURLが設定されている場合は、ファイアウォールの通過を許可する必要があります。
wss://prod.radkit-cloud.cisco.com:443
ヒント:Cisco Catalyst Centerの機能を動作させるために許可/オープンする必要がある特定のポートおよびURLの詳細については、インストールガイドの「導入の計画」セクションを参照してください。
手順 2
Cisco Catalyst Centerの新規インストールまたはバージョン2.3.5.x以降へのアップグレードが完了したら、サポートサービスパッケージを手動でインストールする必要があります。これはオプションのパッケージであり、デフォルトではインストールされません。Cisco Catalyst Center UIに移動します。Cisco Catalyst Center UIのホーム画面から、画面右上のクラウドアイコンを選択し、Go to Software Managementを選択します。

Software Managementページに、現在インストールされているリリース、アップグレード可能なリリース、および利用可能なオプションパッケージが表示されます。Support Servicesパッケージはオプションのパッケージであり、新規インストールが完了した後や、パッケージが以前に展開されていないアップグレード後には自動的にインストールされません。使用可能なパッケージのリストの下にあるSupport Servicesパッケージのボックスをクリックし、画面右下のInstallボタンをクリックします。

選択したパッケージの依存関係チェック用のポップアップウィンドウが表示されます。 チェックが終了したら、「続行」を選択します。
選択したパッケージのインストールが開始されます。このプロセスの長さは、展開プロセスに現在含まれているパッケージの数によって異なります。パッケージの導入プロセス中は、画面の上部に、自動化および保証サービスが一時的に中断されたことを示すオレンジ色のバナーが表示されます。これは、これが作成され、起動中である新しいサポートサービスポッドが原因で発生します。

約10 ~ 20分後に、新しいポッドは完全に起動した状態になり、サポートサービスパッケージのインストールが完了します。パッケージがインストールされたら、ブラウザを更新し、手順3に進みます。
手順 3
リモートサポート認証機能に完全にアクセスするには、リモートサポート認証設定でSSH資格情報を構成する必要があります。これらのクレデンシャルが定義されていないと、TACはCisco RADKitを使用してリモートでトラブルシューティングを行うことができません。SSHクレデンシャルを設定するには、Cisco Catalyst Center UIの右上にある疑問符のアイコンに移動します。リストからRemote Support Authorizationを選択します。
注:リモートサポート承認は、サポートサービスパッケージがインストールされ、ブラウザが更新された後にのみ表示されます。これを行う方法については、ステップ2を参照してください。
注:バージョン2.3.7.6以降では、SSHクレデンシャルをRemote Support Authorizationページで設定する必要はなくなりました。これは、新しいパスワードレス機能の一部です。Cisco Catalyst Centerは、すでに内部に保存されているクレデンシャルを取得するため、TACのためにクレデンシャルを設定したり共有したりする必要はありません。
リモートサポートの承認ページにリダイレクトされます。Support Servicesパッケージのインストール後にこのページにアクセスするのは今回が初めてのため、[Create New Authorization]画面のみが表示されます。
手順 4
Create a Remote Support Authorizationを選択します。

「アクセス権アグリーメント」ページにリダイレクトされます。このページには2つのオプションがあります。
・ Cisco Catalyst Centerとインベントリで管理されるデバイス間の新しいVTY接続
・ Cisco Catalyst CenterアプライアンスのCLIへのアクセス
Cisco Catalyst Centerで管理されるネットワークデバイスとのSSH接続を確立するには、最初のオプションを選択する必要があります。このオプションが選択されていない場合、TACエンジニアはCisco RDKitを使用してデバイスにSSH接続できません。Cisco Catalyst CenterアプライアンスへのSSH接続を確立するには、2番目のオプションを選択する必要があります。このオプションが選択されていない場合、TACエンジニアはCisco RADKitでCisco Catalyst Centerにアクセスできません。リモートサポート認証機能を最大限に活用するには、両方のオプションを選択することをお勧めします。必要なオプションを選択したら、[次へ]をクリックします。

承認の設定を開始するためのワークフローページにリダイレクトされます。TACエンジニアのメールアドレスとアクセスロールを入力する必要があります。例:「ciscotac@cisco.com」および「OBSERVER-ROLE」。
次の2つのフィールドはオプションです。
・ 既存のSR番号
・ アクセスの正当性
オープンなTACサービスリクエストがある場合は、そのサービスリクエスト番号を既存のSR番号フィールドに入力してください。
リモートサポート許可に関するドキュメントを追加する場合は、アクセス許可フィールドに「発生した問題のトラブルシューティングにTACが必要」などのドキュメントを入力してください。[Next] をクリックします。
注:GUIを使用してRCAまたはmini-RCAを生成したり、検証ツールのチェックを実行したり、レポートを実行したりする機能は、現時点では読み取り専用アクセスロールであるため、OBSERVER-ROLEアクセスでは無効になっていることに注意してください。

「アクセスのスケジュール」の手順にリダイレクトされます。ここから、[今すぐ]または[後で]を選択する必要があります。すぐに認可を開始することも、事前に認可をスケジュールすることもできます。
注:承認は、現在の承認要求の作成日から最大30日間、詳細スケジュールでのみスケジュールできます。
注:認可要求の期間は24時間です。承認は早期にキャンセルできますが、期間を24時間から変更することはできません。

リモートサポート承認の作成ワークフローで構成されたすべての内容が記載された[概要]ページにリダイレクトされます。ここで、設定が正しいことを確認できます。設定が正しければ、[作成]をクリックします。

[作成]をクリックして、最後の手順に進みます。承認が作成されたことを示すページにリダイレクトされます。このページの主な項目は次のとおりです。
・ TACエンジニアの電子メールアドレス
・ 認可のスケジュールされた開始時間と期間
・ サポートID
注:TACエンジニアがCisco RADKitクライアントでこの認証要求に接続するには、サポートIDが必要です。提供された情報をコピーして、TACエンジニアに送信します。

このページから、[別の承認の作成]、[すべての承認の表示]、[アクティビティページの表示]、または[ワークフローの表示]を選択できます。別の承認を作成する必要がない場合は、「すべての承認の表示」を選択して、現在および過去のすべての承認を表示できます。「アクティビティの表示」ページをクリックすると、「監査ログ」ページにリダイレクトされます。「すべての承認を表示」を選択すると、「リモート・サポート承認」セクションの「現在の承認」ページにリダイレクトされます。すべての承認、スケジュール済み承認、またはアクティブな承認を表示できます。承認をクリックすると、サイド・ウィンドウが開き、リモート・サポート承認の作成ワークフローで構成された設定が表示されます。

認証をキャンセルするか、TACエンジニアが導入環境で行った作業の監査ログを表示するかを選択できます。「過去の承認」タブに切り替えて、過去の承認に関する履歴情報を取得できます。「ログの表示」を選択して、「監査ログ」ページにリダイレクトします。「監査ログ」ページで、「フィルタ」、「説明によるフィルタ」の順に選択し、TACエンジニアの電子メールアドレスを入力します。

Apply を選択します。これにより、Cisco RADKitを使用してリモートで展開する際の監査ログの説明に示すように、TACエンジニアの電子メールアドレスに基づくフィルタが追加されます。


監査ログから、TACエンジニアが行った操作とサインオンした日時を正確に確認できます。
警告:Cisco Catalyst Centerバージョン2.3.7.6のリモートサポート認証機能は、Cisco RADKitクライアント1.6.11でテストされています。