配置Cisco DNA Center远程支持授权功能

简介

本文档介绍如何在Cisco DNA Center中设置远程支持授权功能。

先决条件

要充分利用思科DNA Center中的新远程支持授权功能，必须满足以下某些条件：

· Cisco DNA Center必须是2.3.5.x或更高版本。
·支持服务包需要安装在Cisco DNA Center中。
·允许通过防火墙或代理进行远程授权支持：wss://prod.radkit-cloud.cisco.com:443。

描述

Cisco RADKit(radkit.cisco.com)提供到远程终端和Web UI的安全交互式连接。Cisco RADKit功能集成在Cisco DNA Center中，称为远程支持授权。当用户使用远程支持授权功能时，用户可以让思科的TAC远程进入其Cisco DNA Center环境，以帮助收集信息或排除故障。这有助于在TAC调查已发生的问题时减少用户进行视频呼叫所需的时间。

限制

与RADKit独立版本相比，当前版本的远程支持授权具有以下限制：

— 支持工程师在您的Cisco DNA中心上执行“maglev”、“sudo”或“rca”命令时，会提示输入凭证。 远程支持授权不会自动处理这些凭证，因此您可能需要与支持工程师共享这些凭证。

— 通过Remore支持授权服务，无法连接到Cisco DNA Center的图形用户界面(GUI)或网络设备的任何GUI。

— 无法提供对Cisco DNA Center资产中未包含但排除故障所必需的设备（例如ISE）的远程访问。

— 无法提供对无线接入点的远程访问，即使无线接入点在Cisco DNA Center库存中。

— 远程访问限制为24小时一次，为了提供更长的访问权限，需要每24小时创建一个新授权。

— 通过创建授权，您可以访问思科DNA中心资产中的所有设备。无法限制对特定网络设备的访问。

要克服这些限制，可以考虑安装独立的RADKit服务。安装程序可用于Windows、Mac和Linux。有关详细信息，请访问https://radkit.cisco.com

- 

网络连接

Cisco DNA Center通过AWS连接到Cisco RADKit连接器。Cisco RADKit连接器内置于远程支持授权功能中。TAC通过AWS连接到Cisco RADKit连接器并使用Cisco RADKit客户端。Cisco DNA Center环境生成支持ID后，Cisco RADKit客户端使用支持ID连接到Cisco DNA Center。

设置远程支持授权

要启用远程支持授权，以便TAC可以远程参与，必须完成以下步骤：
1.确保防火墙允许所需的URL通过。
2.安装支持服务软件包。
3.为远程支持授权工作流程配置SSH凭证。
4.创建新授权。

第 1 步

要使用Cisco DNA Center连接器进行远程支持授权，必须能够与AWS连接器通信。为确保此通信，如果配置了以下URL，则必须允许此URL通过防火墙：
wss://prod.radkit-cloud.cisco.com:443

步骤 2

完成全新安装或将Cisco DNA Center升级到版本2.3.5.x或更高版本后，必须手动安装支持服务软件包。这是可选的软件包，默认情况下不安装。导航至Cisco DNA Center UI。在Cisco DNA Center UI的主屏幕中，选择屏幕右上角的云图标，然后选择Go to Software Management。

在“软件管理”(Software Management)页面上，您会看到当前安装的版本、任何可升级的版本，以及任何可用的可选软件包。支持服务软件包是可选软件包，在完成全新安装或以前未部署该软件包的升级后不会自动安装。单击“可用软件包”列表下支持服务软件包的框，然后单击屏幕右下角的“安装”按钮。

系统将显示一个弹出窗口，用于对所选包进行依赖性检查。检查完成后，选择Continue。
然后，选定软件包开始安装。此进程的长度取决于部署进程中当前包含的包的数量。由于软件包处于部署过程中，屏幕顶部将显示橙色横幅，表明自动化和保证服务已暂时中断。出现这种情况是因为创建了新的支持服务Pod，并且正在启动过程中。

大约10到20分钟后，新Pod将处于完全启动状态，支持服务软件包安装完成。安装软件包后，请刷新浏览器，然后继续执行步骤3。

步骤 3

要完全访问远程支持授权功能，需要在远程支持授权设置中配置SSH凭证。如果未定义这些凭证，TAC将无法使用Cisco RADKit进行远程故障排除。要配置SSH凭证，请导航至Cisco DNA Center UI右上角的问号图标。从列表中选择Remote Support Authorization。

您将重定向到Remote Support Authorization页面。列出了四个选项卡：
·创建新授权
·当前授权
·过去的授权
·管理SSH凭证
导航到管理SSH凭证选项卡。选择Add New SSH Credential。

A new window opens.输入Cisco DNA Center设备的当前SSH密码和说明。密码必须与当前用于通过SSH连接到Cisco DNA Center设备的密码匹配。选择 Add。条目现在显示在EXISTING SSH CREDENTIALS下。

步骤 4

导航到Remote Support Authorization页面中的Create New Authorization选项卡。选择Create a Remote Support Authorization。

系统会将您重定向到工作流程页面以开始设置授权。您必须输入TAC工程师的电邮地址。例如：“ciscotac@cisco.com”。
这两个字段是可选的：
·现有SR编号
·访问理由
如果您有未决的TAC服务请求，请在“现有SR编号”字段中输入该服务请求编号。
如果您希望添加远程支持授权的文档，请在“访问理由”字段中提供此文档，例如“TAC需要帮助解决发现的问题”。单击 Next。

系统会将您重定向至“计划访问”步骤。在此处，您必须选择“Now（现在）”或“Later（以后）”。您可以立即开始授权，也可以提前安排授权。

选择立即，然后点击下一步。

系统会将您重定向到“访问权限协议”页面。此页面有两个选项：
·在思科DNA中心和资产中管理的设备之间建立新的VTY连接。
·访问Cisco DNA Center设备的CLI
要与Cisco DNA Center管理的网络设备建立SSH连接，必须选择第一个选项。如果未选择此选项，TAC工程师将无法通过SSH连接到使用Cisco RADKit的设备。要建立到Cisco DNA Center设备的SSH连接，则必须选择第二个选项。如果未选择此选项，TAC工程师将无法通过Cisco RADKit访问Cisco DNA中心。为充分利用远程支持授权功能，建议同时选择这两个选项。选择所需选项后，单击“下一步”。

您将重定向到列出所有已使用Create a Remote Support Authorization工作流程配置的摘要页面。在此您可以确认设置是否正确。如果设置正确，请点击Create。

点击Create以继续执行最后步骤。系统会将您重定向到表明授权已创建的页面。此页上的关键项目包括：
· TAC工程师的电邮地址
·授权的预定开始时间和持续时间
·支持ID

在此页面中，您可以选择创建其他授权、查看所有授权、查看活动页面或工作流程主页。如果不需要创建其他授权，则可以选择“查看所有授权”以查看所有当前和过去的授权。“查看活动”页将您重定向到“审核日志”页。View All Authorizations（查看所有授权）将您重定向到Remote Support Authorization（远程支持授权）部分上的Current Authorizations（当前授权）页面。您可以查看全部、已计划或有效授权。点击授权可打开一个侧窗口，其中显示使用“创建远程支持授权”工作流程配置的设置。

您可以选择取消授权或查看TAC工程师对您的部署所做的审核日志。您可以选择切换到Past Authorizations选项卡，以获取有关之前授权的历史信息。选择View Logs以重定向到Audit Logs页面。在“审核日志”页面中，您可以选择“过滤器”，然后使用TAC工程师的电子邮件地址按“描述”进行过滤。

选择 Apply。当Cisco RADKit用于远程部署时，这会根据TAC工程师的邮件地址（如审核日志说明所示）添加过滤器。

从审核日志中，您可以看到TAC工程师所做的具体操作以及他们登录的时间。