この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、シスコのカスタマーエクスペリエンス(CX)エージェントについて説明します。シスコのCX Agentは、お客様のネットワークデバイスからテレメトリデータを収集し、お客様に実用的な洞察を提供する、拡張性の高いプラットフォームです。CX Agentを使用すると、アクティブな実行コンフィグレーションデータを人工知能(AI)/機械学習(ML)に変換し、CX Cloudに表示される予防的かつ予測的な洞察を得ることができます(Success Tracks、Smart Net Total Care(SNTC)、Business Critical Services(BCS)、Lifecycle Services(LCS)など)。
CX Cloudアーキテクチャ
このマニュアルは、CX Cloudおよびパートナーアドミニストレータのみを対象としています。スーパーユーザ管理者(SUA)および管理者ロールを持つユーザは、このガイドで説明されているアクションを実行するために必要な権限を持ちます。
このガイドは、CXエージェントv3.1専用です。以前のバージョンにアクセスするには、「Cisco CX Agent」ページを参照してください。
注:このガイドの画像は参照用です。実際の内容はさまざまです。
CX Agentは仮想マシン(VM)として実行され、Open Virtual Appliance(OVA)または仮想ハードディスク(VHD)としてダウンロードできます。
導入の要件
CXエージェントの導入タイプ |
CPUコアの数 |
RAM |
ハード ディスク |
* 直接資産の最大数 |
サポートされるハイパーバイザ |
小さいOVA |
8C |
16 GB |
200 GB |
10,000 |
VMware ESXi、Oracle VirtualBox、およびWindows Hyper-V |
中OVA |
16C |
32 GB |
600 GB |
20,000 |
VMware ESXi |
大きいOVA |
32C |
64 GB |
1200 GB |
50,000 : |
VMware ESXi |
* 各CX Cloud Agentインスタンスについて、20のCisco Catalyst Center(Catalyst Center)非クラスタまたは10のCatalyst Centerクラスタを接続することに加えて、
注:RADKitサービスは、中規模および大規模のOVAタイプのCXエージェントの導入でのみ利用できます。
CX Cloud ジャーニーを開始するには、次のドメインにアクセスする必要があります。提供されたホスト名のみを使用します。固定IPアドレスは使用しないでください。
主要なドメイン |
その他のドメイン |
csco.cloud |
cloudfront.net |
split.io |
eum-appdynamics.com |
appdynamics.com |
|
tiqcdn.com |
|
jquery.com |
AMERICAS |
EMEA |
APJC |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud(クラウド) |
agent.us.csco.cloud(クラウド) |
agent.us.csco.cloud(クラウド) |
ng.acs.agent.us.csco.cloud(クラウド) |
エージェント.emea.csco.cloud |
エージェント.apjc.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
注:指定したFQDNのポート443でリダイレクションを有効にして、発信アクセスを許可する必要があります。
サポートされるシングルノードおよびHAクラスタCatalyst Centerのバージョンは、2.1.2.x ~ 2.2.3.x、2.3.3.x、2.3.5.x、2.3.7.x、およびCatalyst Center仮想アプライアンスとCatalyst Center仮想アプライアンスです。
マルチノード HA クラスタ Cisco DNA Center
Cisco.comで快適にご利用いただくために、次のブラウザの最新の公式リリースをお勧めします。
CXエージェントでサポートされている製品のリストを表示するには、「サポートされている製品のリスト」を参照してください。
お客様は、ネットワークのサイズと複雑さに基づいて、Flexible OVAオプションを使用して既存のVM構成を中規模または大規模にアップグレードできます。
既存のVM構成を小規模から中規模または大規模にアップグレードする方法については、「CXエージェントVMの中規模および大規模構成へのアップグレード」のセクションを参照してください。
既存のお客様は、自動アップグレードを有効にするか、既存のバージョンから手動でアップグレードすることにより、最新バージョンにアップグレードできます。
自動ソフトウェアアップグレード切り替えを有効にすると、新しいバージョンがリリースされたときにシステムが確実に更新されます。このオプションは、新規インストールではデフォルトで有効になっていますが、会社のポリシーに合わせるため、または予定されたメンテナンス期間中にアップグレードをスケジュールするために、いつでも変更できます。
自動アップグレード
注:既存のCXエージェントインスタンスの自動アップグレードはデフォルトで無効になっていますが、ユーザはいつでも有効にできます。
自動アップグレードを使用せず、自動ソフトウェアアップグレードをイネーブルにしていないお客様は、手動アップグレードを選択できます。CX Agent v2.4.x以降では、このセクションで説明する手順に従って、v3.1への直接アップグレードをサポートしています。
注:CXエージェントv2.3.x以前をご使用のお客様は、v3.1にアップグレードする前にv2.4.xに段階的にアップグレードするか、新規OVAインストールを実行する必要があります。
CX CloudからCX Agentアップグレードv3.1をインストールするには、以下の手順に従ってください。
注:お客様は、スケジュールオプションを表示するInstall Nowチェックボックスをオフにすることで、後で更新するようにスケジュールできます。
お客様は、CX Cloudで最大20のCX Agentインスタンスを追加できます。
CXエージェントを追加するには、以下の手順に従ってください。
CX Cloudホームページ
データソース
データソースの追加
CXエージェントの追加
注:「OVA」ファイルを導入した後、CXエージェントのセットアップを完了するために必要なペアリングコードが生成されます。
名前CXエージェント
9. Continueをクリックします。Deploy and pair with your virtual machineウィンドウが開きます。
ペアリングコード
10. ダウンロードした「OVA」ファイルの展開後に受信したペアコードを入力します。
11. Continueをクリックします。登録の進行状況が表示され、確認メッセージが表示されます。
注:データソースとしてCXエージェントインスタンスを追加するには、上記の手順を繰り返します。
シスコの新しいConverged Collection機能は、BCS/LCS用のCX Agent v3.1の設定を合理化し、カスタマーエクスペリエンスを簡素化します。
注:この設定は、BCS/LCSのお客様のコレクタの設定を担当するシスコサポートエンジニアに固有のものです。
BCS/LCSをご利用のお客様は、CX Cloud Communityにアクセスして、ユーザのオンボーディングやその他の関連情報に関する詳細情報を確認できます。
SUA(Super User Administrator)および管理者アクセス権を持つサポート・エンジニアは、BCS/LCSのCXエージェント構成のみを実行できます。
CX Agent for BCS/LCSを構成するには、シスコサポートにお問い合わせください。
CX Agent v3.1は、CX Cloudのシスコデバイスのリモート管理とトラブルシューティングを強化するために設計された、オプションのRADKit構成を提供します。有効にすると、認証されたユーザは、データのキャプチャ、設定、およびソフトウェアのアップグレードなどの操作をリモートで安全に実行できます。これらの設定は、お客様の運用要件に基づいて、いつでも有効または無効にすることができます。
RADKitの包括的な詳細については、『Cisco RADKit』を参照してください。
RADKitクライアントサービスを統合するには、管理者アカウントを作成し、次の手順に従ってサービスを登録します。
注:次の手順では、CXエージェントVMへのルートアクセスが必要です。
ssh your_username@your_vm_ip
kubectl get netpol deny-from-other-namespaces -o yaml > /home/cxcadmin/deny-from-other-namespaces.yaml
kubectl delete netpol deny-from-other-namespaces
次の例は、cURLを使用してこの要求を送信する方法を示しています。
curl -X POST \
http://<your_vm_ip>:30100/radkitmanager/v1/createAdmin \
-H "Content-Type: application/json" \
-d '{
"admin_name": "admin_user123",
"email": "admin@example.com",
"full_name": "管理者ユーザー",
「説明」: 「システムを管理するための管理者アカウント」
}'
管理者アカウントが正常に作成されると、サーバは管理者アカウントが正常に作成されたことを示す確認メッセージで応答します。この応答には、最初のログイン時に変更する必要がある一時的なパスワードも含まれています。ただし、管理者アカウントがすでに存在する場合、サーバは「Admin already created」というメッセージとともにステータスコード400を返します。
注:最初のログイン時に、ユーザはパスワードの変更を求められます。指示に従って、新しいパスワードを設定します。
参考grant_service_otp()
次の例は、cURLを使用してこの要求を送信する方法を示しています。
curl -X POST \
http://<your_vm_ip>:30100/radkitmanager/v1/enrollService \
-H "Content-Type: application/json" \
-d '{
「one_time_password」:「PROD:1234-1234-1234」
}'
登録に成功すると、確認メッセージが表示され、ユーザは管理者アカウントを使用してRADKitサービスを管理できます。
ネットワーク接続を無効にするには、次のコマンドを実行します。
kubectl適用 – f /home/cxcadmin/deny-from-other-namespaces.yaml
オプションのVault設定機能を使用すると、CX CloudはVaultサービスに安全に接続して、最新のクレデンシャルを使用してトークンやインベントリリストなどの機密データにアクセスできます。有効にすると、CX Cloudは設定されたアドレスとトークンを自動的に使用します。この設定はいつでも有効または無効にできます。現在、HashiCorpのVault構成のみがサポートされています。
Vaultは、次の2つの方法で設定できます。
既存のCXエージェント用にHashiCorp資格情報コンテナーを構成するには、次の手順に従います。
Settings
Vaultの設定
5. AddressフィールドとTokenフィールドに詳細を入力します。
6. Submitをクリックします。確認と追加したIPアドレスが表示されます。
Removeをクリックすると、設定済みのVaultを削除できます。
このセクションでは、Cisco CX AgentとHashiCorp Vaultインスタンス間の接続を設定する手順の概要を説明します。この統合により、デバイスクレデンシャルの安全な保存と取得が可能になり、全体的なセキュリティポスチャが強化されます。
cxcli agent vaultオン
cxcliエージェントボールトオフ
cxcliエージェントボールトステータス
Vault統合を有効にするには
sudo su(スドス)
3. 次のコマンドを実行して、現在のボールト統合ステータスを確認します。
root@cxcloudagent:/home/cxcroot# cxcli agent vault status
vault統合が無効
4. 次のコマンドを実行して、ボールト統合を有効にします。
cxcli agent vaultオン
5. 次のフィールドを更新します。
6. 検証するには、Vaultとの統合のステータスを確認します。応答メッセージで、統合が有効になっていることを確認する必要があります。
root@cxcloudagent:/home/cxcroot# cxcli agent vault on
HashiCorpのVaultアドレスを入力:
HashiCorp Vault Tokenを入力:
vault統合の有効化root@cxcloudagent:/home/cxcroot#
CXエージェントにアクセスするには、以下の手順に従ってください。
sudo su(スドス)
3. 次のコマンドを実行して、HashiCorp Vault統合を無効にします。
root@cxcloudagent:/home/cxcroot# cxcli agent vault off
vault統合が無効
root@cxcloudagent: /home/cxcroot# |
Vault Credentials Schema:デバイスクレデンシャルの使用可能なオプションとサポートされるフィールドの詳細については、「Vault Credentials schema」ファイル(vault-credentials-schema.json)をダウンロードしてください。
例:スキーマに基づくJSONクレデンシャルの例を次に示します。
{
"targetIp": "5.0.1.*",
"credentials": {
"snmpv3": {
"user": "cisco",
"authPassword": "*******",
"authAlgorithm": "MD5",
"privacyPassword": "*******",
"privacyAlgorithm": "AES-256"
},
"telnet": {
"user": "cisco",
"password": "*******",
"enableUser": "cisco",
"enablePassword": "*******"
}
}
}
注:ユーザは、1つのクレデンシャルJSONファイル内で複数のプロトコルを指定できます。ただし、同じファミリからの重複したプロトコルを含めないでください(たとえば、同じクレデンシャルファイルにSNMPv2cとSNMPv3の両方を含めないでください)。
秘密鍵
キー値のシークレット
クライアントシークレット
5. 次のフィールドを更新します。
6. 「保存」をクリックします。これで、シークレットがHashiCorp Vaultに保存されます。
Credentials
資格情報の追加
バージョンの作成
3. 「新規バージョンの作成」をクリックします。
4. 必要に応じて任意の数のキーと値のペアを指定して、新しいシークレットを追加します。
5. Saveをクリックします。
IPまたはホスト名
IPまたはホスト名
スーパー管理者ユーザロールを持つユーザは、Catalyst Centerデータソースを追加できます。
Catalyst Centerをデータソースとして追加するには、次の手順を実行します。
データソースの追加
CXエージェントの選択
周波数
注意:コレクションを今すぐ実行するには、「最初のコレクションを今すぐ実行」チェック・ボックスを選択します。
注:SolarWinds®データソースを追加する必要がある場合は、シスコサポートにお問い合わせください。
BCS/LCSのお客様は、CX Agent機能を使用してSolarWinds®を外部統合できるようになりました。自動化の向上により、透過性の向上、管理性の向上、ユーザー・エクスペリエンスの向上が実現します。CX Agentは、インベントリやその他の必要なデータを収集し、Operational Insights Collectorによって生成された最新のレポートと形式、データの完全性、データの正確性に関して一貫性のある各種レポートを生成します。CX Agentは、BCS/LCSの顧客がSolarwinds®からデータを収集するためにOICをCX Agentに置きき換かせることによって、Solar®との統合をサポートできます。Solarwinds®データソースを含むこの機能は、BCS/LCSのお客様だけが利用できます。
最初の収集の前に、CXエージェントをBCS転送で設定する必要があります。設定しないと、ファイルは未処理のままになります。BCS転送の構成の詳細については、「CX Agent for BCS or LCSの構成」のセクションを参照してください。
注:
テレメトリの収集は、Catalyst Centerで管理されていないデバイスにも拡張され、ユーザはテレメトリに由来する洞察や分析を表示して、幅広いデバイスと対話できます。CXエージェントの初期設定後、CX Cloudが監視するインフラストラクチャ内の20の追加のCatalystセンターに接続するようにCXエージェントを構成できます。
CX Cloudに組み込むデバイスを識別するには、シード・ファイルを使用してデバイスを一意に識別するか、CXエージェントでスキャンするIP範囲を指定します。どちらの方法も、ディスカバリの目的ではSimple Network Management Protocol(SNMP)を使用し、接続の目的ではSecure Shell(SSH)を使用します。適切に設定して、テレメトリ収集を正常に行う必要があります。
他のアセットをデータソースとして追加するには、次のいずれかのオプションを使用します。
シードファイルベースの直接デバイス検出とIP範囲ベースの検出の両方で、検出プロトコルとしてSNMPが使用されます。SNMPにはさまざまなバージョンがありますが、CX AgentはSNMPv2cとSNMPv3をサポートし、一方または両方のバージョンを構成できます。設定を完了し、SNMP管理対象デバイスとSNMPサービスマネージャの間の接続を有効にするには、同じ情報をユーザが入力する必要があります。この情報の詳細については、次に説明します。
SNMPv2cとSNMPv3は、セキュリティとリモート設定モデルが異なります。SNMPV3では、SHA暗号化をサポートする拡張暗号化セキュリティシステムを使用して、メッセージを認証し、メッセージのプライバシーを保護します。SNMPv3は、セキュリティリスクと脅威から保護するために、すべてのパブリックおよびインターネット側のネットワークで使用することを推奨します。CX Cloudでは、SNMPv3のサポートが組み込まれていない古いレガシーデバイスを除いて、SNMPv2cではなくSNMPv3を設定することが推奨されます。両方のバージョンのSNMPがユーザーによって構成されている場合、CX AgentはデフォルトでSNMPv3を使用してそれぞれのデバイスと通信しようと試み、通信が正常にネゴシエートできない場合はSNMPv2cに戻ります。
デバイスの直接接続のセットアップの一環として、ユーザはデバイス接続プロトコルの詳細を指定する必要があります。具体的には、SSH(またはTelnet)です。 適切な組み込みサポートがない個別のレガシー資産の場合を除き、SSHv2を使用する必要があります。SSHv1プロトコルには基本的な脆弱性が含まれることに注意してください。追加のセキュリティがない場合、テレメトリデータと基盤となる資産は、SSHv1に依存するとこれらの脆弱性のために侵害される可能性があります。Telnetも安全ではありません。Telnet経由で送信されるクレデンシャル情報(ユーザ名やパスワードなど)は暗号化されないため、セキュリティが強化されていなくてもセキュリティ侵害に対して脆弱です。
デバイスのテレメトリデータを処理する際には、次の制限事項があります。
シードファイルは、各行がシステムデータレコードを表す.csvファイルです。シードファイルでは、すべてのシードファイルレコードは、テレメトリがCXエージェントによって収集される必要がある固有のデバイスに対応します。インポートされるシードファイルの各デバイスエントリのすべてのエラーメッセージまたは情報メッセージは、ジョブログの詳細の一部としてキャプチャされます。シードファイル内のすべてのデバイスは、初期設定時に到達不能であったとしても、管理対象デバイスと見なされます。新しいシードファイルをアップロードして以前のシードファイルと置き換える場合は、最後にアップロードした日付がCX Cloudに表示されます。
CXエージェントはデバイスへの接続を試みますが、PIDまたはシリアル番号を特定できない場合は、各デバイスを処理して資産ページに表示できない可能性があります。
セミコロンで始まるシードファイルの行はすべて無視されます。シードファイルのヘッダー行はセミコロンで始まり、そのまま保持することも(推奨オプション)、顧客シードファイルの作成中に削除することもできます。
Common Services Platform Collector(CSPC)シードファイルは、標準のCX Cloudシードファイルと同じ方法でアップロードできます。また、必要な再フォーマットはすべてCX Cloudで管理されます。
CX Agent v3.1以降では、CSPC形式またはCX形式のいずれかでシードファイルをアップロードできます。以前のバージョンのCX Agentでは、CX形式のシードファイルのみがサポートされています。
列ヘッダーを含むサンプルシードファイルの形式は、一切変更しないことが重要です。
次の表に、必要なすべてのシードファイル列と、各列に含める必要のあるデータを示します。
シードファイル列 |
列ヘッダー/識別子 |
柱の目的 |
A |
IPアドレスまたはホスト名 |
デバイスの有効な一意のIPアドレスまたはホスト名を指定します。 |
B |
SNMPプロトコルバージョン |
SNMPプロトコルは、CXエージェントで必要とされ、お客様のネットワーク内のデバイス検出に使用されます。値にはsnmpv2cまたはsnmpv3を使用できますが、セキュリティ上の理由からsnmpv3を使用することを推奨します。 |
C |
snmpRo: col#=3が「snmpv2c」として選択されている場合は必須 |
特定のデバイスに対してSNMPv2の従来のバリアントを選択した場合は、デバイスのSNMPコレクションに対してsnmpRO(読み取り専用)クレデンシャルを指定する必要があります。それ以外の場合は、空白を入力できます。 |
D |
snmpv3UserName:col#=3が「snmpv3」として選択されている場合は必須 |
特定のデバイスとの通信にSNMPv3を選択した場合は、それぞれのログインユーザ名を指定する必要があります。 |
E |
snmpv3AuthAlgorithm:値はMD5またはSHAです。 |
SNMPv3プロトコルでは、メッセージダイジェスト(MD5)またはセキュアハッシュアルゴリズム(SHA)による認証が許可されます。 デバイスにセキュア認証が設定されている場合、それぞれの認証アルゴリズムを指定する必要があります。 ![]() 注:MD5は安全でないと見なされており、SHAはMD5をサポートするすべてのデバイスで使用できます。 |
F |
snmpv3AuthPassword:パスワード |
デバイスにMD5またはSHA暗号化アルゴリズムが設定されている場合、デバイスアクセス用に関連する認証パスワードを指定する必要があります。 |
G |
snmpv3PrivAlgorithm:値はDES、3DES |
デバイスにSNMPv3プライバシーアルゴリズムが設定されている場合(このアルゴリズムは応答の暗号化に使用されます)、それぞれのアルゴリズムを指定する必要があります。 ![]() 注:Data Encryption Standard(DES;データ暗号規格)で使用されている56ビットキーは、暗号化セキュリティを提供するには短すぎるとみなされており、Triple Data Encryption Standard(3DES;トリプルデータ暗号規格)は、それをサポートするすべてのデバイスで使用できます。 |
H |
snmpv3PrivPassword:パスワード |
デバイスでSNMPv3プライバシーアルゴリズムが設定されている場合、デバイス接続に対応するプライバシーパスワードを提供する必要があります。 |
I |
snmpv3EngineId:engineID、デバイスを表す一意のID、デバイスで手動で設定されている場合はエンジンIDを指定 |
SNMPv3 EngineIDは、各デバイスを表す一意のIDです。このエンジンIDは、CXエージェントがSNMPデータセットを収集するときに参照として送信されます。お客様がEngineIDを手動で設定する場合は、それぞれのEngineIDを指定する必要があります。 |
J |
cliProtocol:値は'telnet'、'sshv1'、'sshv2'です。 空の場合は、デフォルトで'sshv2'に設定できます |
コマンドラインインターフェイス(CLI)は、デバイスと直接やり取りすることを目的としています。CXエージェントは、特定のデバイスのCLI収集にこのプロトコルを使用します。このCLI収集データは、CX Cloud内のアセットおよびその他のインサイトレポートに使用されます。SSHv2が推奨されます。他のネットワークセキュリティ対策がない場合、それ自体では、SSHv1およびTelnetプロトコルは十分なトランスポートセキュリティを提供しません。 |
K |
cliPort:CLIプロトコルポート番号 |
いずれかのCLIプロトコルを選択した場合は、対応するポート番号を指定する必要があります。たとえば、SSHの場合は22、Telnetの場合は23です。 |
起 |
cliUser:CLIユーザ名(CLIユーザ名/パスワードまたはBOTHのいずれかを指定できますが、両方のカラム(col#=12およびcol#=13)を空にすることはできません)。 |
デバイスのそれぞれのCLIユーザ名を指定する必要があります。これは、CLI収集中のデバイスへの接続時にCX Cloud Agentによって使用されます。 |
M |
cliPassword:CLIユーザパスワード(CLIユーザ名/パスワードまたはBOTHのいずれかを指定できますが、両方のカラム(col#=12およびcol#=13)を空にすることはできません)。 |
デバイスのそれぞれのCLIパスワードを指定する必要があります。これは、CLI収集時にデバイスに接続するときにCXエージェントによって使用されます。 |
N |
cliEnableUser |
デバイスでenableが設定されている場合は、デバイスのenableUsername値を指定する必要があります。 |
O |
cliEnablePassword |
デバイスでenableが設定されている場合、デバイスのenablePassword値を指定する必要があります。 |
P |
将来のサポート(入力は不要) |
将来の使用のために予約 |
Q |
将来のサポート(入力は不要) |
将来の使用のために予約 |
R |
将来のサポート(入力は不要) |
将来の使用のために予約 |
S |
将来のサポート(入力は不要) |
将来の使用のために予約 |
新規シードファイルを使用して他のアセットを追加するには:
注:CX Cloudの初期設定が完了する前に、CX Cloud Agentはシードファイルを処理し、特定されたすべてのデバイスとの接続を確立して、最初のテレメトリコレクションを実行する必要があります。収集は、オンデマンドで開始することも、ここで定義したスケジュールに従って実行することもできます。最初のテレメトリ接続を実行するには、[最初のコレクションを今すぐ実行する]チェックボックスをオンにします。シードファイルで指定されているエントリの数やその他の要因によっては、このプロセスにかなりの時間がかかる場合があります。
現在のシードファイルを使用してデバイスを追加、変更、または削除するには、次の手順に従います。
注:シードファイルにアセットを追加するには、以前に作成したシードファイルにアセットを追加してから、ファイルを再ロードします。現在のシードファイルが新しいシードファイルに置き換えられるため、これが必要になります。検出と収集には、アップロードされた最新のシードファイルのみが使用されます。
CXエージェントは、お客様がエージェント内でローカルに設定できるデフォルトの認証情報を提供するため、シードファイルに機密パスワードを直接含める必要がなくなります。これにより、機密情報の漏えいが減り、お客様の主な懸念事項に対処することで、セキュリティが強化されます。
IP範囲を使用すると、ユーザはハードウェア資産を特定し、その後IPアドレスに基づいてそれらのデバイスからテレメトリを収集できます。テレメトリ収集用のデバイスは、単一のネットワークレベルのIP範囲を指定することで一意に識別できます。この範囲は、SNMPプロトコルを使用してCXエージェントによってスキャンできます。直接接続されたデバイスを識別するためにIP範囲を選択した場合、参照されるIPアドレスはできるだけ制限され、必要なすべての資産をカバーできます。
CXエージェントはデバイスに接続を試みますが、PIDまたはシリアル番号を特定できない場合は、各デバイスを処理してAssetsビューに表示できない可能性があります。
注:
Edit IP Address Rangeをクリックすると、オンデマンドデバイス検出が開始されます。指定したIP範囲に新しいデバイスを追加または削除する場合、お客様は必ずEdit IP Address Rangeをクリックし(「IP範囲の編集」の項を参照)、オンデマンド・デバイス検出を開始するために必要な手順を実行して、新しく追加されたデバイスをCXエージェントの収集インベントリに含める必要があります。
IP範囲を使用してデバイスを追加するには、設定UIを使用して適用可能なすべてのクレデンシャルを指定する必要があります。表示されるフィールドは、前のウィンドウで選択したプロトコルによって異なります。SNMPv2cとSNMPv3の両方を選択したり、SSHv2とSSHv1の両方を選択するなど、同じプロトコルに対して複数の選択を行った場合、CX Agentは個々のデバイスの機能に基づいてプロトコルの選択を自動的に自動ネゴシエートします。
IPアドレスを使用してデバイスを接続する際は、SSHバージョンおよびTelnetクレデンシャルとともに、IP範囲内の関連プロトコルがすべて有効であることを確認する必要があります。有効でない場合、接続は失敗します。
IP範囲を使用してデバイスを追加するには、次の手順に従います。
注:選択したCXエージェントに別のIP範囲を追加するには、[Add Another IP Range]をクリックして[Set Your Protocol]ウィンドウに戻り、このセクションの手順を繰り返します。
IP範囲を編集するには、次の手順に従います。
6. 必要に応じて詳細を編集し、Complete Setupをクリックします。Data Sourcesウィンドウが開き、新しく追加したIPアドレス範囲の追加を確認するメッセージが表示されます。
注:この確認メッセージでは、変更された範囲内のデバイスが到達可能かどうか、またはそのクレデンシャルが受け入れられているかどうかは確認されません。この確認は、お客様がディスカバリプロセスを開始したときに行われます。
IP範囲を削除するには、次の手順に従います。
Catalyst CenterとCXエージェントが収集するその他の資産(ダイレクト・デバイス接続)が同じCXエージェント上にある場合は、Cisco Catalyst CenterとCXエージェントへのダイレクト・デバイス接続の両方がデバイスを検出し、それらのデバイスから重複データが収集される可能性があります。重複したデータを収集し、1つのコントローラのみがデバイスを管理するようにするには、CXエージェントがデバイスを管理する優先順位を決定する必要があります。
お客様は、該当するSuccess Tracksとその対象デバイスに関してCX Cloudでオンデマンド診断スキャンをスケジュールし、アドバイザリのPriority Bugsに情報を入力できます。
注:診断スキャンをスケジュールするか、インベントリ収集スケジュールとは少なくとも6 ~ 7時間離れた場所でオンデマンドスキャンを開始して、それらが重複しないようにすることをお勧めします。複数の診断スキャンを同時に実行すると、スキャンプロセスの速度が低下し、スキャンが失敗する可能性があります。
診断スキャンをスケジュールするには、次の手順に従います。
診断スキャンとインベントリ収集のスケジュールは、[データ収集]ページで編集および削除できます。
スケジュールの編集および削除オプションを使用したデータ・コレクション
VMをアップグレードした後は、次の操作を実行できません。
VMをアップグレードする前に、障害発生時のリカバリのためにスナップショットを作成することをお勧めします。詳細については、『CX Cloud VMのバックアップおよび復元』を参照してください。
既存のVMware vSphere Thick Clientを使用してVM設定をアップグレードするには、次の手順を実行します。
vSphere クライアント
注:設定の変更は、完了するまで約5分かかります。
Web Client ESXi v6.0を使用してVM構成を更新するには、次の手順を実行します。
ESXiクライアント
WebクライアントvCenterを使用してVM設定を更新するには、次の手順を実行します。
vCenter
CXエージェントを導入するには、次のいずれかのオプションを選択します。
このクライアントでは、vSphereシッククライアントを使用してCXエージェントOVAを導入できます。
導入には数分かかる場合があります。導入が成功すると、確認の画面が表示されます。
このクライアントは、vSphere Webを使用してCX Cloud OVAを導入します。
このクライアントでは、WebクライアントvCenterを使用してCXエージェントOVAを導入できます。
このクライアントは、Oracle Virtual Boxを介してCXエージェントOVAを導入します。
このクライアントは、Microsoft Hyper-Vのインストールを通じてCXエージェントOVAを導入します。
cxcadminユーザ名のCX Cloud Agentパスワードを設定するには、次のコマンドを実行します。
パスワードの設定
Auto Generate Passwordが選択されている場合、生成されたパスワードをコピーし、後で使用するために保存します。[パスワードの保存(Save Password)] をクリックして手順 4 に進みます。
注:ドメインに正常に到達できない場合、顧客はドメインが到達可能になるようにファイアウォールを変更して、ドメインの到達可能性を修正する必要があります。ドメインの到達可能性の問題を解決したら、Check Againをクリックします。
注:ペアリングコードの有効期限が切れた場合は、CX Cloudに登録するをクリックして新しいペアリングコードを生成します(ステップ13)。
15. OKをクリックします。
ユーザは、CLIオプションを使用してペアリングコードを生成することもできます。
CLIを使用してペアリングコードを生成するには、次の手順に従います。
サポートされるCisco Catalyst Centerのバージョンは、2.1.2.0 ~ 2.2.3.5、2.3.3.4 ~ 2.3.3.6、2.3.5.0、およびCisco Catalyst Center仮想アプライアンスです
Cisco Catalyst CenterでCXエージェントへのSyslog転送を設定するには、次の手順を実行します。
注:設定が完了すると、そのサイトに関連付けられたすべてのデバイスが、CXエージェントに対してクリティカルなレベルでsyslogを送信するように設定されます。デバイスからCX Cloud Agentへのsyslog転送を有効にするには、デバイスをサイトに関連付ける必要があります。 syslogサーバの設定が更新されると、そのサイトに関連付けられているすべてのデバイスは、デフォルトの重大レベルに自動的に設定されます。
CX Cloudの障害管理機能を使用するには、CXエージェントにsyslogメッセージを送信するようにデバイスを構成する必要があります。
注:CXエージェントは、Campus Success Trackレベル2アセットからCX Cloudへのsyslog情報のみを報告します。その他の資産では、syslogがCX Agentに設定されず、CX Cloudでsyslogデータが報告されません。
syslogサーバソフトウェアの設定手順を実行し、新しい宛先としてCXエージェントのIPアドレスを追加します。
注:syslogを転送するときは、元のsyslogメッセージの送信元IPアドレスが保持されていることを確認してください。
CXエージェントのIPアドレスにsyslogを直接送信するように各デバイスを構成します。特定の設定手順については、次のドキュメントを参照してください。
AireOSワイヤレスコントローラコンフィギュレーションガイド
Syslog情報レベルを表示するには、次の手順を実行します。
必要なサイトを選択し、Device nameチェックボックスを使用してすべてのデバイスを選択します。
スナップショット機能を使用して、CXエージェントVMの状態とデータを特定の時点で保持することを推奨します。この機能により、CX Cloud VMをスナップショットが作成された特定の時刻に復元できます。
CX Cloud VMをバックアップするには、次の手順を実行します。
注:[仮想マシンのメモリのスナップショットを作成する]チェックボックスがオフになっていることを確認します。
3. OKをクリックします。最近使ったタスクの一覧で、仮想マシンスナップショットの作成ステータスが完了と表示されます。
最近のタスク
CX Cloud VMを復元するには、次の手順を実行します。
CX Agentは、お客様のエンド・ツー・エンドのセキュリティを確保します。CX CloudとCX Agent間の接続はTLSで保護されます。Cloud AgentのデフォルトSSHユーザは、基本操作のみを実行するように制限されています。
セキュリティ保護されたVMwareサーバ会社にCXエージェントOVAイメージを導入します。OVA は、シスコ ソフトウェア ダウンロード センターを通じて安全に共有されます。ブートローダー(シングルユーザーモード)には、一意のパスワードがランダムに設定されます。このブートローダ(シングルユーザモード)パスワードを設定するには、ユーザはこのFAQを参照する必要があります。
導入時に、cxcadminユーザアカウントが作成されます。ユーザーは初期設定時にパスワードを設定する必要があります。cxcadminユーザー/認証情報は、CXエージェントAPIへのアクセスとSSH経由でのアプライアンスへの接続に使用されます。
cxcadminユーザは、最小限の権限でアクセスが制限されています。cxcadminパスワードはセキュリティ・ポリシーに従い、90日間の有効期限で一方向ハッシュされます。cxcadminユーザーは、remoteaccountというユーティリティを使用してcxcrootユーザーを作成できます。cxcrootユーザーはroot権限を取得できます。
CXエージェントVMには、cxcadminユーザクレデンシャルを使用してSSHを使用してアクセスできます。着信ポートは 22(SSH)、514(Syslog)に制限されます。
パスワード・ベースの認証:アプライアンスは、単一のユーザー(cxcadmin)を維持します。このユーザーは、このユーザーを使用してCXエージェントの認証と通信を行うことができます。
cxcadminユーザは、remoteaccountというユーティリティを使用してcxcrootユーザを作成できます。このユーティリティは、RSA/ECB/PKCS1v1_5暗号化パスワードを表示します。このパスワードは、SWIMポータル(DECRYPT Request Form)からのみ復号できます。 このポータルへのアクセス権を持つのは、承認されたユーザーのみです。cxcrootユーザーは、この復号化されたパスワードを使用してルート権限を取得できます。パスフレーズは2日間だけ有効です。cxcadminユーザはアカウントを再作成し、パスワードの有効期限が切れた後にSWIMポータルからパスワードを取得する必要があります。
CX Agentアプライアンスは、Center of Internet Securityの強化標準に準拠しています。
CX Agentアプライアンスは、お客様の個人情報を保存しません。 デバイスクレデンシャルアプリケーション(ポッドの1つとして実行)は、暗号化されたサーバクレデンシャルをセキュアなデータベース内に保存します。収集されたデータは、アプライアンスの処理中を除き、アプライアンス内に一時的に保存されることはありません。テレメトリデータは、収集が完了するとすぐにCX Cloudにアップロードされ、アップロードが成功したことが確認された後、ローカルストレージからすぐに削除されます。
登録パッケージには、Iot Coreとのセキュアな接続を確立するために必要な固有のX.509デバイス証明書とキーが含まれています。そのエージェントを使用して、Transport Layer Security(TLS)v1.2上でメッセージキューテレメトリトランスポート(MQTT)を使用してセキュアな接続を確立します
ログには、個人識別情報(PII)データの形式は含まれません。監査ログには、CX Cloud Agentアプライアンスで実行された、セキュリティに影響を受けるすべてのアクションが記録されます。
CX Cloudは、シスコテレメトリコマンドに記載されているAPIおよびコマンドを使用して、資産テレメトリを取得します。このドキュメントでは、Cisco Catalyst Centerインベントリ、Diagnostic Bridge、Intersight、Compliance Insights、Faults、およびCXエージェントによって収集されたその他すべてのテレメトリ源へのコマンドの適用性に基づいて、コマンドを分類しています。
資産テレメトリ内の機密情報は、クラウドに送信される前にマスクされます。CXエージェントは、テレメトリをCXエージェントに直接送信するすべての収集されたアセットの機密データをマスキングします。これには、パスワード、キー、コミュニティストリング、ユーザ名などが含まれます。コントローラは、すべてのコントローラ管理資産に対してデータ・マスキングを行ってから、この情報をCXエージェントに転送します。場合によっては、コントローラ管理資産のテレメトリをさらに匿名化できます。テレメトリの匿名化の詳細については、対応する製品サポートドキュメントを参照してください(例:『Cisco Catalyst Centerアドミニストレータガイド』の「データの匿名化」セクション)。
テレメトリコマンドのリストはカスタマイズできず、データマスキングルールは変更できませんが、お客様はコントローラ管理デバイスの製品サポートドキュメントまたはこのドキュメントの「データソースの接続」セクション(CXエージェントが収集するその他の資産の場合)で説明されているように、データソースを指定することで、テレメトリCX Cloudでアクセスする資産を制御できます。
セキュリティ機能 |
説明 |
ブートローダーのパスワード |
ブートローダー(シングルユーザーモード)には、一意のパスワードがランダムに設定されます。ユーザはFAQを参照して、ブートローダ(シングルユーザモード)のパスワードを設定する必要があります。 |
ユーザーアクセス |
SSH: ·cxcadmin ユーザーを使用してアプライアンスにアクセスするには、インストール時に作成されたログイン情報が必要です。 ・ cxcrootユーザを使用してアプライアンスにアクセスするには、権限のあるユーザがSWIMポータルを使用してクレデンシャルを復号化する必要があります。 |
ユーザアカウント |
・ cxcadmin:デフォルトのユーザー・アカウントが作成されます。ユーザーはcxcliを使用してCXエージェントのアプリケーション・コマンドを実行でき、アプライアンスに対して最小限の権限を持ちます。 cxcrootユーザーとその暗号化パスワードはcxcadminユーザーを使用して生成されます。 ・ cxcroot: cxcadminは、ユーティリティremoteaccountを使用してこのユーザーを作成できます。ユーザーはこのアカウントでルート権限を取得できます。 |
cxcadmin パスワードポリシー |
·パスワードは SHA-256 を使用して一方向ハッシュされ、安全に保存されます。 ・ 大文字、小文字、数字、特殊文字のうち3つのカテゴリを含む、8文字以上 |
cxcroot パスワードポリシー |
・ cxcrootのパスワードはRSA/ECB/PKCS1v1_5で暗号化 ·生成されたパスフレーズは、SWIM ポータルで復号する必要があります。 ・ cxcrootのユーザとパスワードは2日間有効で、cxcadminユーザを使用して再生成できます。 |
ssh ログインパスワードポリシー |
・ 8文字以上で、大文字、小文字、数字、特殊文字の3つのカテゴリを含みます。 ・ ログイン試行に5回失敗すると、ボックスが30分間ロックされます。パスワードは90日で期限切れになります。 |
ポート |
オープンな着信ポート - 514(Syslog)と 22(SSH) |
データセキュリティ |
·顧客情報は保存されません。 ·デバイスデータは保存されません。 ・ Cisco Catalyst Centerサーバのクレデンシャルは暗号化され、データベースに保存されます。 |
改定 | 発行日 | コメント |
---|---|---|
1.0 |
04-Sep-2025
|
初版 |