配置Catalyst Center远程支持授权功能

简介

本文档介绍如何在Catalyst Center（以前称为Cisco DNA Center）中设置远程支持授权功能。

先决条件

要充分利用Catalyst Center中的远程支持授权功能，必须满足以下某些标准：

• Catalyst Center必须是2.3.7.6或更高版本。
• 必须在Catalyst Center中安装支持服务软件包。
• 通过防火墙或代理允许远程授权支持。

描述

RADKit提供到远程终端和Web UI的安全交互式连接。RADKit功能集成到Catalyst Center中，并用作远程支持授权。当用户使用远程支持授权功能时，用户可以让TAC远程访问他们的Catalyst Center环境，以帮助收集信息或排除故障。这减少了用户在TAC调查已发生的问题时必须等待的视频呼叫的时间。

限制

与RADKit独立版本相比，当前版本的远程支持授权具有以下限制：

• 当支持工程师在您的Catalyst Center上执行“maglev”、“sudo”或“rca”命令时，这些命令会提示输入凭据。远程支持授权不会自动处理这些凭据，因此您必须与支持工程师共享这些凭据(Catalyst Center 2.3.7.6及更高版本中已添加该功能)。
• 通过远程支持授权服务，无法连接到网络设备的图形用户界面(GUI)。
• 无法提供对不在Catalyst Center资产中但排除故障所必需的设备（例如ISE）的远程访问。
• 即使无线接入点在Catalyst Center库存中，也不能提供无线接入点的远程访问。
• 在2.3.7.9版本之前，远程访问限制为24小时。  在2.3.7.10中，限制增加到4天。
• 通过创建授权，您可以允许访问Catalyst Center资产中的所有设备。无法限制对特定网络设备的访问。

要克服这些限制，可以考虑安装独立的RADKit服务。安装适用于Windows、Mac和Linux。有关详细信息，请参阅：RADKit

- 

网络连接

Catalyst Center通过AWS连接到RADKit连接器。RADKit连接器内置于远程支持授权功能中。TAC通过AWS连接到RADKit连接器并使用RADKit客户端。Catalyst Center环境生成支持ID后，RADKit客户端使用支持ID连接到Catalyst Center。

设置远程支持授权

要启用远程支持授权以允许TAC工程师远程参与，必须完成以下步骤：
1.确保防火墙允许所需的URL。
2.安装支持服务软件包。
3.为远程支持授权工作流程配置SSH凭证(Catalyst Center 2.3.7.6版及更高版本不再需要)。
4.创建新授权。

第 1 步

1.要使Remote Support Authorization正常工作，Catalyst Center连接器必须与AWS连接器通信。为确保此通信，如果配置了此URL，则必须允许此URL通过防火墙：Prod RADKit

第 2 步

1.完成Catalyst Center 2.3.5.x或更高版本的全新安装或升级后，必须手动安装支持服务包。这是可选的软件包，默认情况下不安装。

2.导航至Catalyst Center UI。

3.从Catalyst Center UI的主屏幕中，选择屏幕右上方的Cloud Icon，然后选择Go to Software Management。

4.进入“软件管理”页面后，您可以看到当前安装的版本以及要升级到的任何可用版本（以及任何可用的可选软件包）。

5.支持服务软件包是可选软件包，在完成全新安装或以前未部署该软件包的升级后不会自动安装。

6.单击“可用包”列表下Support Services Package的框，然后单击屏幕右下方的Install按钮。

7.系统将显示一个弹出窗口，用于对选定包进行相关性检查。

8.检查完成后，选择继续。

9.然后，开始安装选定的软件包。此进程的长度取决于部署进程中当前包含的包的数量。由于软件包处于部署过程中，屏幕顶部将显示橙色横幅，表明自动化和保证服务已暂时中断。出现这种情况是因为创建了新的支持服务Pod，并且正在启动。

10.大约10到20分钟后，新Pod将处于完全启动状态，支持服务软件包安装完成。安装软件包后，请刷新浏览器，然后继续执行步骤3。

第 3 步

1. 要完全访问远程支持授权功能，需要在远程支持授权设置中配置SSH凭证。如果未定义这些凭证，TAC将无法使用RADKit进行远程故障排除。
2. 要配置SSH凭证，请导航到Catalyst Center UI右上角的问号图标。
3. 从列表中选择远程支持授权。

4.接下来，您将重定向到“远程支持授权”页面。如果这是安装Support Services软件包后首次访问此页面，则您只能看到Create New Authorization屏幕。

第 4 步

1.选择创建远程支持授权。

2.系统会将您重定向到“访问权限协议”页。此页面有两个选项：

• Catalyst Center和资产中管理的设备之间的新VTY连接。
• 访问Catalyst Center设备的CLI

3.要与Catalyst Center管理的网络设备建立SSH连接，必须选择第一个选项。如果未选择此选项，则TAC工程师无法通过SSH连接到使用RADKit的设备。

4.要建立到Catalyst Center设备的SSH连接，必须选择第二个选项。如果未选择此选项，则TAC工程师无法通过RADKit访问Catalyst Center。为充分利用远程支持授权功能，建议同时选择这两个选项。

5.选择所需选项后，单击下一步。

6.然后，系统会将您重定向至一个工作流程页面，以开始设置授权。您必须输入TAC工程师的电子邮件地址及其访问角色。例如：“ciscotac@cisco.com”和“OBSERVER-ROLE”。 这两个字段是可选的：

• 现有SR编号
• 访问理由

7.如果您有未结的TAC服务请求，请在“现有SR编号”字段中输入该服务请求编号。如果您有远程支持授权的其他文档，请在“访问理由”字段中添加该文档，例如“TAC需要帮助解决发现的问题”。

8.单击下一步。

9.现在，系统会将您重定向至“计划访问”步骤。您必须选择“现在”或“以后”。您可以立即开始授权，也可以提前安排授权。

10.您将被重定向到“摘要”页面，该页面列出了从“创建远程支持授权”工作流的响应中计划的配置更改。检查并确认设置正确。如果设置正确，请单击Create。

11.单击创建以继续执行最后一个步骤。系统会将您重定向到表明授权已创建的页面。此页上的关键项目包括：

• TAC工程师电子邮件地址
• 计划的授权开始时间和持续时间
• 支持标识

12.在此页中，您可以选择创建另一个授权、查看所有授权、查看活动页或查看工作流。

13.如果不需要创建另一个授权，您可以选择“查看所有授权”以查看所有当前和过去的授权。

• “查看活动”页将您重定向到“审核日志”页。
• View All Authorizations（查看所有授权）将您重定向到Remote Support Authorization（远程支持授权）部分上的Current Authorizations（当前授权）页面。
• 您可以查看全部、已计划或有效授权。
• 点击授权可打开一个侧窗口，其中显示使用“创建远程支持授权”工作流程配置的设置。

14.您可以取消授权或查看TAC工程师对部署所做工作的审核日志。您可以选择切换到“过去的授权”选项卡以查看有关以前的授权的历史信息。

15.选择“查看日志”以重定向至“审核日志”页。在“审核日志”页面中，您可以选择“过滤器”，然后使用TAC工程师的电子邮件地址按“描述”进行过滤。

16.选择“应用”。这会根据TAC工程师的电子邮件地址添加过滤器，并显示使用RADKit远程访问部署时的审核日志说明。

17.从审计日志中，您可以看到TAC工程师做了什么以及他们登录的时间。  

分步视频指南

请参阅此链接，查看作为分步指南创建的视频：

• Cisco Catalyst中心：重置磁悬浮密码视频

修订历史记录

版本	发布日期	备注
6.0	15-Jun-2026	更新的拼写、语法、句子结构、间距、编号、图片上的替换文本，以及更新的注释和提示，以便对齐。
4.0	13-Aug-2024	将Cisco DNA Center更新为Cisco Catalyst Center。已更新标题。更新了文档，以显示在2.3.7.6+上启用的新工作流程
3.0	01-Mar-2024	添加了“限制”部分
2.0	07-Apr-2023	首次公开发布
1.0	29-Mar-2023	初始版本