简介
本文档介绍如何在Cisco DNA Center中设置远程支持授权功能。
先决条件
要充分利用思科DNA Center中的新远程支持授权功能,必须满足以下某些条件:
· Cisco DNA Center必须是2.3.5.x或更高版本。
·支持服务包需要安装在Cisco DNA Center中。
·允许通过防火墙或代理进行远程授权支持:wss://prod.radkit-cloud.cisco.com:443。
注意:Cisco DNA Center 2.3.3.x版中引入了远程支持授权,但功能有限。仅允许网络设备访问,此较早版本中不提供Cisco DNA Center CLI访问。
描述
Cisco RADKit(radkit.cisco.com)提供到远程终端和Web UI的安全交互式连接。Cisco RADKit功能集成在Cisco DNA Center中,称为远程支持授权。当用户使用远程支持授权功能时,用户可以让思科的TAC远程进入其Cisco DNA Center环境,以帮助收集信息或排除故障。这有助于在TAC调查已发生的问题时减少用户进行视频呼叫所需的时间。
限制
与RADKit独立版本相比,当前版本的远程支持授权具有以下限制:
— 支持工程师在您的Cisco DNA中心上执行“maglev”、“sudo”或“rca”命令时,会提示输入凭证。 远程支持授权不会自动处理这些凭证,因此您可能需要与支持工程师共享这些凭证。
— 通过Remore支持授权服务,无法连接到Cisco DNA Center的图形用户界面(GUI)或网络设备的任何GUI。
— 无法提供对Cisco DNA Center资产中未包含但排除故障所必需的设备(例如ISE)的远程访问。
— 无法提供对无线接入点的远程访问,即使无线接入点在Cisco DNA Center库存中。
— 远程访问限制为24小时一次,为了提供更长的访问权限,需要每24小时创建一个新授权。
— 通过创建授权,您可以访问思科DNA中心资产中的所有设备。无法限制对特定网络设备的访问。
要克服这些限制,可以考虑安装独立的RADKit服务。安装程序可用于Windows、Mac和Linux。有关详细信息,请访问https://radkit.cisco.com
-
网络连接
Cisco DNA Center通过AWS连接到Cisco RADKit连接器。Cisco RADKit连接器内置于远程支持授权功能中。TAC通过AWS连接到Cisco RADKit连接器并使用Cisco RADKit客户端。Cisco DNA Center环境生成支持ID后,Cisco RADKit客户端使用支持ID连接到Cisco DNA Center。
设置远程支持授权
要启用远程支持授权,以便TAC可以远程参与,必须完成以下步骤:
1.确保防火墙允许所需的URL通过。
2.安装支持服务软件包。
3.为远程支持授权工作流程配置SSH凭证。
4.创建新授权。
第 1 步
要使用Cisco DNA Center连接器进行远程支持授权,必须能够与AWS连接器通信。为确保此通信,如果配置了以下URL,则必须允许此URL通过防火墙:
wss://prod.radkit-cloud.cisco.com:443
提示:有关允许/打开Cisco DNA Center功能才能正常运行的特定端口和URL的详细信息,请查看《安装指南》的“规划部署”部分。
步骤 2
完成全新安装或将Cisco DNA Center升级到版本2.3.5.x或更高版本后,必须手动安装支持服务软件包。这是可选的软件包,默认情况下不安装。导航至Cisco DNA Center UI。在Cisco DNA Center UI的主屏幕中,选择屏幕右上角的云图标,然后选择Go to Software Management。
在“软件管理”(Software Management)页面上,您会看到当前安装的版本、任何可升级的版本,以及任何可用的可选软件包。支持服务软件包是可选软件包,在完成全新安装或以前未部署该软件包的升级后不会自动安装。单击“可用软件包”列表下支持服务软件包的框,然后单击屏幕右下角的“安装”按钮。
系统将显示一个弹出窗口,用于对所选包进行依赖性检查。检查完成后,选择Continue。
然后,选定软件包开始安装。此进程的长度取决于部署进程中当前包含的包的数量。由于软件包处于部署过程中,屏幕顶部将显示橙色横幅,表明自动化和保证服务已暂时中断。出现这种情况是因为创建了新的支持服务Pod,并且正在启动过程中。
大约10到20分钟后,新Pod将处于完全启动状态,支持服务软件包安装完成。安装软件包后,请刷新浏览器,然后继续执行步骤3。
步骤 3
要完全访问远程支持授权功能,需要在远程支持授权设置中配置SSH凭证。如果未定义这些凭证,TAC将无法使用Cisco RADKit进行远程故障排除。要配置SSH凭证,请导航至Cisco DNA Center UI右上角的问号图标。从列表中选择Remote Support Authorization。
注意:请注意,只有在安装支持服务软件包并刷新浏览器之后,才会显示远程支持授权。请参阅有关如何完成此任务的步骤2。
您将重定向到Remote Support Authorization页面。列出了四个选项卡:
·创建新授权
·当前授权
·过去的授权
·管理SSH凭证
导航到管理SSH凭证选项卡。选择Add New SSH Credential。
A new window opens.输入Cisco DNA Center设备的当前SSH密码和说明。密码必须与当前用于通过SSH连接到Cisco DNA Center设备的密码匹配。选择 Add。条目现在显示在EXISTING SSH CREDENTIALS下。
注意:请注意,对于单节点部署,只能创建一个凭据。对于三个节点部署,最多可以创建三个凭证。但是,如果所有三个节点的SSH密码相同,则只需创建一个凭证。
步骤 4
导航到Remote Support Authorization页面中的Create New Authorization选项卡。选择Create a Remote Support Authorization。
系统会将您重定向到工作流程页面以开始设置授权。您必须输入TAC工程师的电邮地址。例如:“ciscotac@cisco.com”。
这两个字段是可选的:
·现有SR编号
·访问理由
如果您有未决的TAC服务请求,请在“现有SR编号”字段中输入该服务请求编号。
如果您希望添加远程支持授权的文档,请在“访问理由”字段中提供此文档,例如“TAC需要帮助解决发现的问题”。单击 Next。
系统会将您重定向至“计划访问”步骤。在此处,您必须选择“Now(现在)”或“Later(以后)”。您可以立即开始授权,也可以提前安排授权。
注意:请注意,授权只能从当前创建授权请求之日起30天内进行高级计划。
注:请注意,授权请求的期限为24小时。虽然可以提前取消授权,但持续时间不能从24小时更改。
选择立即,然后点击下一步。
系统会将您重定向到“访问权限协议”页面。此页面有两个选项:
·在思科DNA中心和资产中管理的设备之间建立新的VTY连接。
·访问Cisco DNA Center设备的CLI
要与Cisco DNA Center管理的网络设备建立SSH连接,必须选择第一个选项。如果未选择此选项,TAC工程师将无法通过SSH连接到使用Cisco RADKit的设备。要建立到Cisco DNA Center设备的SSH连接,则必须选择第二个选项。如果未选择此选项,TAC工程师将无法通过Cisco RADKit访问Cisco DNA中心。为充分利用远程支持授权功能,建议同时选择这两个选项。选择所需选项后,单击“下一步”。
您将重定向到列出所有已使用Create a Remote Support Authorization工作流程配置的摘要页面。在此您可以确认设置是否正确。如果设置正确,请点击Create。
点击Create以继续执行最后步骤。系统会将您重定向到表明授权已创建的页面。此页上的关键项目包括:
· TAC工程师的电邮地址
·授权的预定开始时间和持续时间
·支持ID
注意:请注意,TAC工程师需要支持ID才能与Cisco RADKit客户端连接到此授权请求。复制提供的信息并将其发送给TAC工程师。
在此页面中,您可以选择创建其他授权、查看所有授权、查看活动页面或工作流程主页。如果不需要创建其他授权,则可以选择“查看所有授权”以查看所有当前和过去的授权。“查看活动”页将您重定向到“审核日志”页。View All Authorizations(查看所有授权)将您重定向到Remote Support Authorization(远程支持授权)部分上的Current Authorizations(当前授权)页面。您可以查看全部、已计划或有效授权。点击授权可打开一个侧窗口,其中显示使用“创建远程支持授权”工作流程配置的设置。
您可以选择取消授权或查看TAC工程师对您的部署所做的审核日志。您可以选择切换到Past Authorizations选项卡,以获取有关之前授权的历史信息。选择View Logs以重定向到Audit Logs页面。在“审核日志”页面中,您可以选择“过滤器”,然后使用TAC工程师的电子邮件地址按“描述”进行过滤。
选择 Apply。当Cisco RADKit用于远程部署时,这会根据TAC工程师的邮件地址(如审核日志说明所示)添加过滤器。
从审核日志中,您可以看到TAC工程师所做的具体操作以及他们登录的时间。
警告:Cisco DNA Center 2.3.5.x版的远程支持授权功能已通过Cisco RADKit客户端1.4.x测试。