此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文档介绍思科的客户体验(CX)代理。思科的CX代理是一个高度可扩展的平台,可从客户网络设备收集遥测数据,为客户提供切实可行的见解。CX代理支持将人工智能(AI)/机器学习(ML)将活动运行配置数据转换为CX云中显示的主动预测性见解(包括成功跟踪、智能网络支持服务(SNTC)和业务关键型服务(BCS)或生命周期服务(LCS)产品)。
CX云架构
本指南仅适用于CX云和合作伙伴管理员。具有超级用户管理员(SUA)和管理员角色的用户拥有执行本指南中所述操作所需的权限。
本指南特定于CX Agent v3.1。请参阅Cisco CX Agent页面以访问以前的版本。
注:本指南中的图像仅供参考。实际内容可能有所不同。
CX代理作为虚拟机(VM)运行,可作为开放式虚拟设备(OVA)或虚拟硬盘(VHD)下载。
部署需求
CX代理部署类型 |
CPU核心数 |
RAM |
硬盘 |
*直接资产的最大数量 |
支持的虚拟机监控程序 |
小型OVA |
8核 |
16GB |
200GB |
10,000 |
VMware ESXi、Oracle VirtualBox和Windows Hyper-V |
中型OVA |
16摄氏度 |
32GB |
600GB |
20,000 |
VMware ESXi |
大型OVA |
32摄氏度 |
64GB |
1200GB |
50,000: |
VMware ESXi |
*除连接每个CX云代理实例的20个Cisco Catalyst Center(Catalyst Center)非集群或10个Catalyst Center集群外,
注意:RADKit服务专用于大中型企业的CX代理部署。
要开始 CX Cloud 之旅,用户需要以下域的访问权限。仅使用提供的主机名;请勿使用静态IP地址。
主要域 |
其他域 |
csco.cloud |
cloudfront.net |
split.io |
eum-appdynamics.com |
appdynamics.com |
|
tiqcdn.com |
|
jquery.com |
美洲地区 |
欧洲、中东和非洲 |
亚太地区 |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud |
agent.us.csco.cloud |
agent.us.csco.cloud |
ng.acs.agent.us.csco.cloud |
agent.emea.csco.cloud |
agent.apjc.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
注意:必须在端口443上为指定FQDN启用重定向的情况下允许出站访问。
支持的单节点和高可用性集群Catalyst Center版本为2.1.2.x到2.2.3.x、2.3.3.x、2.3.5.x、2.3.7.x以及Catalyst Center虚拟设备和Catalyst Center虚拟设备。
多节点 HA 集群 Cisco DNA Center
为在Cisco.com上获得最佳体验,建议使用以下浏览器的最新正式版本:
要查看CX代理支持的产品列表,请参阅支持的产品列表。
客户可以根据自己的网络规模和复杂性,使用灵活的OVA选项将其现有的VM配置升级为中或大型。
要将现有VM配置从小型升级到中型或大型,请参阅将CX代理VM升级到中型和大型配置部分。
现有客户可以通过启用自动升级或选择从现有版本手动升级来升级到最新版本。
客户可以启用Automatic Software Upgrade切换以确保其系统在发布新版本时得到更新。默认情况下,此选项为新安装启用,但可随时修改以与公司策略保持一致,或在计划的维护时段内安排升级。
自动升级
注意:默认情况下,现有CX代理实例禁用自动升级,但用户可以随时启用它们。
如果客户不希望使用自动升级且未启用自动软件升级,则可以选择手动升级。CX代理v2.4.x及更高版本支持通过执行本节中概述的步骤直接升级到v3.1。
注意:CX代理v2.3.x及以下版本的客户应先逐步升级到v2.4.x,然后再升级到v3.1或执行新的OVA安装。
从CX云安装CX代理升级v3.1的步骤:
注意:客户可以通过清除显示计划选项的“立即安装”复选框,将更新安排在稍后。
在CX云中,客户最多可添加20个CX代理实例。
添加CX代理的步骤:
CX云主页
数据源
添加数据源
添加CX代理
注意:在部署“OVA”文件后生成完成CX代理设置所需的配对代码。
名称CX代理
9.单击继续。Deploy and pair with your virtual machine窗口打开。
配对代码
10.输入在部署下载的“OVA”文件之后收到的配对代码。
11.单击Continue。系统将显示注册进度,然后显示确认消息。
注意:重复上述步骤,添加其他CX代理实例作为数据源。
思科新的融合收集功能简化了用于BCS/LCS的CX Agent v3.1配置,简化了客户体验。
注意:此配置特定于负责为BCS/LCS客户设置收集器的思科支持工程师。
BCS/LCS客户可以访问CX云社区,了解有关用户自注册及其他相关信息的更多信息。
具有超级用户管理员(SUA)和管理员访问权限的支持工程师只能为BCS/LCS执行CX代理配置。
要配置适用于BCS/LCS的CX代理,请与思科支持部门联系。
CX Agent v3.1提供可选的RADKit配置,旨在增强CX云中思科设备的远程管理和故障排除。启用后,授权用户可以安全地远程执行数据捕获、配置和软件升级等操作。可根据客户的运行要求随时启用或禁用这些设置。
有关RADKit的详细信息,请参阅Cisco RADKit。
要集成RADKit客户端服务,请创建管理员帐户并通过完成以下步骤注册该服务:
注意:以下步骤需要对CX代理VM进行root访问。
ssh your_username@your_vm_ip
kubectl get netpol deny-from-other-namespaces -o yaml > /home/cxcadmin/deny-from-other-namespaces.yaml
kubectl delete netpol deny-from-other-namespaces
以下示例展示如何使用cURL发送此请求:
卷曲 — X POST \
http://<your_vm_ip>:30100/radkitmanager/v1/createAdmin \
-H "内容类型:application/json" \
-d '{
"admin_name":"admin_user123",
"电子邮件":"admin@example.com",
"full_name":"管理员用户",
"说明":"用于管理系统的管理员帐户"
}'
成功创建管理员帐户后,服务器会以确认消息进行响应,指示已成功创建管理员帐户。此响应还包括一个临时密码,首次登录时必须更改该密码。但是,如果管理员帐户已存在,服务器将返回400状态代码,并显示消息“Admin already created”。
注意:首次登录时,系统会提示用户更改密码。按照说明设置新密码。
grant_service_otp()
以下示例展示如何使用cURL发送此请求:
卷曲 — X POST \
http://<your_vm_ip>:30100/radkitmanager/v1/enrollService \
-H "内容类型:application/json" \
-d '{
"one_time_password":"PROD:1234-1234-1234"
}'
成功注册后,系统会显示确认消息,用户可以使用管理员帐户管理RADKit服务。
要禁用网络连接,请运行以下命令:
kubectl apply -f /home/cxcadmin/deny-from-other-namespaces.yaml
可选的Vault配置功能使CX云能够安全地连接到保险存储服务,以使用最新凭证访问敏感数据(如令牌和资产列表)。启用后,CX云会自动使用配置的地址和令牌。可以随时启用或禁用此设置。目前,仅支持HashiCorp的Vault配置。
可以采用两种方式配置电子仓库:
要为现有CX代理配置HashiCorp电子仓库,请执行以下操作:
设置
保管库配置
5.在地址和令牌字段中输入详细信息。
6.单击提交。系统将显示确认消息和添加的IP地址。
客户可以通过单击Remove删除已配置的电子仓库。
本节概述配置Cisco CX代理和HashiCorp Vault实例之间的连接的过程。此集成允许安全存储和检索设备凭证,从而增强整体安全状态。
cxcli agent vault on
cxcli agent vault off
cxcli agent vault status
要启用保险存储集成,请执行以下操作:
须藤市
3.运行以下命令以检查当前电子仓库集成状态:
root@cxcloudagent:/home/cxcroot# cxcli agent vault status
已禁用保管库集成
4.运行以下命令以启用电子仓库集成:
cxcli agent vault on
5.更新以下字段:
6.要验证,请检查与Vault的集成状态。响应消息应确认集成已启用:
root@cxcloudagent:/home/cxcroot# cxcli agent vault on
输入HashiCorp Vault地址:
输入HashiCorp Vault令牌:
已启用存储库集成root@cxcloudagent:/home/cxcroot#
要访问CX代理,请执行以下操作:
须藤市
3.运行以下命令以禁用HashiCorp Vault集成:
root@cxcloudagent:/home/cxcroot# cxcli agent vault off
已禁用保管库集成
root@cxcloudagent:/home/cxcroot# |
保管库凭据方案:有关设备凭据的可用选项和支持字段的详细信息,请下载“保管库凭据架构”文件(vault-credentials-schema.json)。
示例:以下是基于架构的JSON凭据的示例:
{
"targetIp": "5.0.1.*",
"credentials": {
"snmpv3": {
"user": "cisco",
"authPassword": "*******",
"authAlgorithm": "MD5",
"privacyPassword": "*******",
"privacyAlgorithm": "AES-256"
},
"telnet": {
"user": "cisco",
"password": "*******",
"enableUser": "cisco",
"enablePassword": "*******"
}
}
}
注意:用户可以在单个凭证JSON文件中指定多个协议。但是,应避免包含同一系列的重复协议(例如,不要在同一凭证文件中同时包含SNMPv2c和SNMPv3)。
Secret
密钥值密钥
客户端密码
5.更新以下字段:
6.单击保存。机密现在应该储存在HashiCorp Vault中。
凭证
添加凭证
创建版本
3.单击创建新版本。
4.根据需要提供任意数量的密钥值对来添加新的密钥。
5.单击保存。
IP或主机名
IP或主机名
具有超级管理员用户角色的用户可以添加Catalyst Center数据源。
添加Catalyst Center作为数据源的步骤:
添加数据源
选择CX代理
频率
注意:选中Run the first collection now复选框以立即运行收集。
注意:如果需要添加SolarWinds®数据源,请与思科支持联系以获得帮助。
BCS/LCS客户现在可以使用CX Agent功能与SolarWinds®进行外部集成,通过提高自动化程度提供更高的透明度、改进的可管理性和增强的用户体验。CX代理收集资产和其他所需数据,以生成各种报告,这些报告的格式、数据完整性和数据准确性与Operational Insights收集器生成的当前报告一致。CX代理支持SolarWinds®集成,方法是:允许BCS/LCS客户使用CX代理替换OIC,以便从Solarwinds®收集数据。此功能(包括Solarwinds®数据源)仅向BCS/LCS客户提供。
在第一次收集之前,必须在BCS转发中配置CX代理;否则,文件将保持未处理状态。有关BCS转发配置的详细信息,请参阅为BCS或LCS配置CX代理部分。
注意:
遥测收集已扩展至非由Catalyst Center管理的设备,使用户能够查看遥测衍生的见解,并与针对更广泛设备的分析进行交互。在初始CX代理设置后,用户可以选择配置CX代理以连接到CX云监控的基础设施中的20个其他Catalyst中心。
用户可以通过使用种子文件唯一标识要合并到CX云中的设备,或通过指定IP范围(应由CX代理进行扫描)来标识这些设备。两种方法都依赖简单网络管理协议(SNMP)进行发现以及安全外壳(SSH)进行连接。这些必须正确配置才能成功收集遥感勘测数据。
要添加其他资产作为数据源,请使用以下任一选项:
基于种子文件的直接设备发现和基于IP范围的发现都依赖SNMP作为发现协议。存在不同版本的SNMP,但CX代理支持SNMPv2c和SNMPv3,并且可配置任一或两种版本。用户必须提供相同的信息(如下面完整详述)才能完成配置并启用SNMP管理的设备与SNMP服务管理器之间的连接。
SNMPv2c和SNMPv3在安全性和远程配置模型方面有所不同。SNMPV3使用支持SHA加密的增强型加密安全系统来验证消息并确保其隐私。建议在所有公有网络和面向Internet的网络中使用SNMPv3,以防御安全风险和威胁。在CX云上,最好配置SNMPv3而不是SNMPv2c,但缺少内置支持SNMPv3的旧版设备除外。如果两个版本的SNMP均由用户配置,则CX代理会默认尝试使用SNMPv3与各个设备通信,并在无法成功协商通信时恢复为SNMPv2c。
作为直接设备连接设置的一部分,用户必须指定设备连接协议的详细信息:SSH(或者Telnet)。应使用SSHv2,但个别传统资产缺乏相应内置支持的情况除外。请注意,SSHv1协议包含基本漏洞。当依赖SSHv1时,如果没有额外的安全性,遥测数据和底层资产可能会因这些漏洞而受到危害。Telnet也不安全。通过telnet提交的凭证信息(例如,用户名和密码)不加密,因此很容易受到危害,并且没有额外的安全性。
以下是处理设备的遥测数据时的限制:
种子文件是.csv文件,其中每一行代表系统数据记录。在种子文件中,每个种子文件记录都对应于CX代理应从中收集遥测的唯一设备。将从要导入的种子文件中捕获每个设备条目的所有错误或信息消息,作为作业日志详细信息的一部分。种子文件中的所有设备都被视为受管设备,即使设备在初始配置时无法访问。如果上传新的种子文件来替换以前的种子文件,上次上传的日期会显示在CX云中。
CX代理将尝试连接到设备,但是如果无法确定PID或序列号,可能无法处理每个设备以在资产页面中显示。
种子文件中以分号开头的任何行都会被忽略。种子文件中的标题行以分号开头,可在创建客户种子文件时保留为(推荐选项)或删除该标题行。
用户可以采用与标准CX云种子文件相同的方式上传公共服务平台收集器(CSPC)种子文件,并且在CX云中管理任何所需的重新格式化。
对于CX代理v3.1及更高版本,客户可以以CSPC或CX格式上传种子文件;早期的CX代理版本仅支持CX格式种子文件。
示例种子文件(包括列标题)的格式不得以任何方式更改,这一点非常重要。
下表列出了所有必需的种子文件列以及必须包含在每个列中的数据。
种子文件列 |
列标题/标识符 |
列的用途 |
A |
IP 地址或主机名 |
提供设备的有效、唯一的IP地址或主机名。 |
B |
SNMP协议版本 |
SNMP协议是CX代理所必需的,用于客户网络中的设备发现。值可以是snmpv2c或snmpv3,但出于安全考虑,建议使用snmpv3。 |
C |
snmpRo :如果col#=3被选为“snmpv2c”,则为必填项 |
如果为特定设备选择SNMPv2的旧变体,则必须指定设备SNMP集合的snmpRO(只读)凭证。否则,条目可以为空。 |
D |
snmpv3用户名:如果col#=3被选为“snmpv3”,则为必填项 |
如果选择SNMPv3与特定设备进行通信,则必须提供各自的登录用户名。 |
E |
snmpv3AuthAlgorithm:值可以是MD5或SHA |
SNMPv3协议允许通过消息摘要(MD5)或安全散列算法(SHA)进行身份验证。 如果设备配置了安全身份验证,则必须提供相应的身份验证算法。 ![]() 注意:MD5被视为不安全,SHA可在支持它的所有设备上使用。 |
F |
snmpv3AuthPassword :密码 |
如果在设备上配置了MD5或SHA加密算法,则需要为设备访问提供相关身份验证密码。 |
G |
snmpv3PrivAlgorithm:值可以是DES、3DES |
如果设备配置了SNMPv3隐私算法(此算法用于加密响应),则需要提供相应的算法。 ![]() 注意:数据加密标准(DES)使用的56位密钥太短,无法提供加密安全性,并且三重数据加密标准(3DES)可用于支持它的所有设备。 |
H |
snmpv3PrivPassword :密码 |
如果在设备上配置了SNMPv3隐私算法,则需要为设备连接提供其各自的隐私密码。 |
I |
snmpv3EngineId:engineID,表示设备的唯一ID,如果手动在设备上配置,请指定引擎ID |
SNMPv3 EngineID是代表每个设备的唯一ID。在收集CX代理的SNMP数据集时,会发送此引擎ID作为参考。如果客户手动配置EngineID,则需要提供相应的EngineID。 |
J |
cliProtocol:值可以是'telnet'、'sshv1'、'sshv2'。 如果空值默认可设置为“sshv2” |
命令行界面(CLI)用于直接与设备交互。CX代理将此协议用于特定设备的CLI收集。此CLI收集数据用于CX云中的资产和其他见解报告。建议使用SSHv2;如果没有其他网络安全措施,SSHv1和Telnet协议本身无法提供足够的传输安全性。 |
K |
cliPort :CLI协议端口号 |
如果选择了任何CLI协议,则需要提供其各自的端口号。例如,22表示SSH,23表示telnet。 |
L |
cliUser :CLI用户名(可以提供CLI用户名/密码或两者,但两列(col#=12和col#=13)不能为空。) |
需要提供设备的相应CLI用户名。CX云代理在CLI收集期间连接到设备时使用此功能。 |
M |
cliPassword :CLI用户密码(可以提供CLI用户名/密码或两者,但两列(col#=12和col#=13)不能为空。) |
需要提供设备的相应CLI密码。CX代理在CLI收集期间连接到设备时使用此功能。 |
n |
cliEnableUser |
如果在设备上配置了enable,则需要提供设备的enableUsername值。 |
O |
cliEnablePassword |
如果在设备上配置了enable,则需要提供设备的enablePassword值。 |
P |
未来支持(无需输入) |
留作将来使用 |
问 |
未来支持(无需输入) |
留作将来使用 |
R |
未来支持(无需输入) |
留作将来使用 |
S |
未来支持(无需输入) |
留作将来使用 |
要使用新的种子文件添加其他资产,请执行以下操作:
注意:在完成CX云的初始配置之前,CX云代理必须通过处理种子文件并与所有确定的设备建立连接来执行第一次遥测收集。可以按需启动收集,也可以根据此处定义的计划运行收集。用户可以通过选中Run the first collection now复选框执行第一个遥测连接。根据种子文件中指定的条目数量和其他因素,此过程可能需要相当长的时间。
要使用当前种子文件添加、修改或删除设备,请执行以下操作:
注意:要将资源添加到种子文件,请将这些资源附加到以前创建的种子文件,然后重新加载文件。这是必要的,因为上传新的种子文件会替换当前的种子文件。仅最新上传的种子文件用于发现和收集。
CX代理提供客户可在代理中本地设置的默认凭据,无需在种子文件中直接包含敏感密码。这通过减少机密信息的泄露提高了安全性,解决了客户关心的关键问题。
IP范围允许用户识别硬件资产,然后根据IP地址从这些设备收集遥感勘测数据。通过指定单个网络级IP范围(CX代理可使用SNMP协议对其进行扫描),可以唯一标识遥测收集的设备。如果选择IP范围来标识直连设备,则所引用的IP地址可能受到尽可能严格的限制,同时允许覆盖所有需要的资产。
CX代理将尝试连接到设备,但是如果无法确定PID或序列号,则可能无法处理每个设备以在资产视图中显示。
注意:
单击Edit IP Address Range启动按需设备发现。将任何新设备(在指定IP范围之内或之外)添加或删除时,客户必须始终单击Edit IP Address Range(参阅Editing IP Ranges部分),并完成启动按需设备发现所需的步骤,以将任何新添加的设备包含到CX代理程序收集清单中。
使用IP范围添加设备要求用户通过配置UI指定所有适用的凭证。显示的字段因在上一个窗口中选择的协议而异。如果为同一协议选择了多个选项(例如,同时选择SNMPv2c和SNMPv3或同时选择SSHv2和SSHv1),则CX代理将根据各个设备功能自动协商协议选择。
当使用IP地址连接设备时,客户应确保IP范围内所有相关协议以及SSH版本和Telnet凭证有效,否则连接将失败。
要使用IP范围添加设备,请执行以下操作:
注意:要为所选CX代理添加其他IP范围,请单击Add Another IP Range以导航回Set Your Protocol窗口,并重复本节中的步骤。
要编辑IP范围,请执行以下操作:
6.根据需要编辑详细信息,然后单击完成设置。Data Sources窗口打开,显示一条消息,确认新添加的IP地址范围已添加。
注意:此确认消息不会验证修改后的范围内的设备是否可访问,或者其凭证是否被接受。此确认发生在客户启动发现过程时。
删除IP范围的步骤:
如果Catalyst Center和由CX代理收集的其他资产(直接设备连接)位于同一个CX代理上,则可能由Cisco Catalyst Center和直接设备连接到CX代理都会发现某些设备,从而导致从这些设备收集重复数据。为避免收集重复数据,且只有一个控制器管理设备,需要确定CX代理管理设备的优先级。
客户可以在CX云中安排符合条件的成功跟踪及其覆盖的设备按需进行诊断扫描,以填充建议中的优先级错误。
注意:思科建议安排诊断扫描或启动按需扫描,这些扫描应至少与资产收集计划相隔6-7小时,这样它们就不会重叠。同时执行多个诊断扫描可能会减慢扫描过程并可能导致扫描失败。
要计划诊断扫描,请执行以下操作:
诊断扫描和资产收集计划可从“数据收集”页面编辑和删除。
具有编辑和删除计划选项的数据收集
升级VM后,无法执行以下操作:
在升级VM之前,Cisco建议拍摄快照,以便在发生故障时进行恢复。有关详细信息,请参阅备份和恢复CX云虚拟机。
要使用现有VMware vSphere胖客户端升级VM配置,请执行以下操作:
vSphere 客户端
注意:配置更改大约需要五分钟才能完成。
要使用Web客户端ESXi v6.0更新虚拟机配置,请执行以下操作:
ESXi客户端
使用Web客户端vCenter更新VM配置:
vCenter
选择以下任一选项以部署CX代理:
此客户端允许使用vSphere胖客户端部署CX代理OVA。
部署可能需要几分钟。成功部署后会显示确认。
此客户端使用vSphere Web部署CX云OVA。
此客户端允许使用Web客户端vCenter部署CX代理OVA。
此客户端通过Oracle虚拟盒部署CX代理OVA。
此客户端通过Microsoft Hyper-V安装部署CX代理OVA。
要为cxcadmin用户名设置CX云代理密码:
设置密码
如果选择Auto Generate Password,请复制生成的密码并将其存储起来供将来使用。点击保存密码并转至步骤 4。
注意:如果无法成功访问域,则客户必须通过更改其防火墙来修复域的可达性,以确保域可访问。解决域可达性问题后,单击Check Again。
注意:如果配对代码过期,请单击Register to CX Cloud以生成新的配对代码(第13步)。
15.单击OK。
用户还可以使用CLI选项生成配对代码。
使用CLI生成配对代码:
支持的Cisco Catalyst Center版本为2.1.2.0到2.2.3.5、2.3.3.4到2.3.3.6、2.3.5.0和Cisco Catalyst Center虚拟设备
要在Cisco Catalyst Center中配置到CX代理的系统日志转发,请执行以下步骤:
注意:配置后,与该站点关联的所有设备都将配置为向CX代理发送级别为“关键”的系统日志。设备必须关联到站点,才能启用从设备到CX云代理的系统日志转发。更新系统日志服务器设置后,与该站点关联的所有设备将自动设置为默认关键级别。
必须配置设备以将系统日志消息发送到CX代理,才能使用CX云的故障管理功能。
注意:CX代理仅将园区成功跟踪第2级资产的系统日志信息报告给CX云。阻止其他资产将其系统日志配置到CX代理,并且不会在CX云中报告其系统日志数据。
执行系统日志服务器软件的配置说明,并将CX代理IP地址添加为新目标。
注意:转发系统日志时,请确保保留原始系统日志消息的源IP地址。
将每台设备配置为将系统日志直接发送到CX代理IP地址。有关特定配置步骤,请参阅此文档。
要使系统日志信息级别可见,请执行以下步骤:
选择所需站点并选中使用设备名称复选框的所有设备。
建议使用快照功能在特定时间点保留CX代理VM的状态和数据。此功能有助于将CX云VM恢复到拍摄快照的特定时间。
要备份CX云虚拟机,请执行以下操作:
注意:验证是否已清除Snapshot the virtual machine’s memory(为虚拟机内存创建快照)复选框。
3.单击确定。创建虚拟机快照状态在“最近的任务”列表中显示为已完成。
最近的任务
要恢复CX云虚拟机,请执行以下操作:
CX代理可确保客户获得端到端安全性。CX云和CX代理之间的连接是TLS安全的。云代理的默认SSH用户仅限于执行基本操作。
在安全的VMware服务器公司中部署CX代理OVA映像。OVA 通过思科软件下载中心安全共享。引导加载程序(单用户模式)密码设置为随机唯一密码。用户必须参考此FAQ才能设置此引导加载程序(单用户模式)密码。
在部署过程中,会创建cxcadmin用户帐户。用户在初始配置期间必须设置密码。cxcadmin用户/凭证用于访问CX代理API和通过SSH连接到设备。
cxcadmin用户具有权限最低的受限访问权限。cxcadmin密码遵循安全策略,是单向散列密码,有效期限为90天。cxcadmin用户可以使用名为remoteaccount的实用程序创建cxcroot用户。cxcroot用户可以获得root权限。
可以使用SSH和cxcadmin用户凭证访问CX代理VM。传入端口限制为 22 (SSH)、514(系统日志)。
基于密码的身份验证:设备维护单个用户(cxcadmin),使用户能够对CX代理进行身份验证和通信。
cxcadmin用户可以使用名为remoteaccount的实用程序创建cxcroot用户。此实用程序显示RSA/ECB/PKCS1v1_5加密密码,该密码只能从SWIM门户解密(DECRYPT请求表)。 只有授权人员才能访问此门户。cxcroot用户可使用此解密的密码获得root权限。密码有效期仅为两天。cxcadmin用户必须重新创建帐户,并在密码到期后从SWIM门户获取密码。
CX代理设备遵循Center of Internet Security强化标准。
CX代理设备不存储任何客户个人信息。设备凭据应用程序(作为其中一个Pod运行)将加密的服务器凭据存储在安全数据库中。收集的数据不会以任何形式存储在设备内,除非在处理时临时存储。收集完成后,遥测数据会尽快上传到CX云,并在确认上传成功后立即从本地存储中删除。
注册包包含所需的唯一X.509设备证书和密钥,用于与Iot核心建立安全连接。使用该代理通过传输层安全(TLS)v1.2使用消息队列遥测传输(MQTT)建立安全连接
日志不包含任何形式的个人身份信息(PII)数据。审核日志会捕获在CX云代理设备上执行的所有安全敏感型操作。
CX云使用Cisco遥测命令中列出的API和命令检索资产遥测。本文档根据命令对Cisco Catalyst Center库存、诊断网桥、Intersight、合规性见解、故障以及CX代理收集的所有其他遥测源的适用性对命令进行分类。
资产遥测中的敏感信息在传输到云之前会被屏蔽。CX代理屏蔽所有收集到的将遥测直接发送到CX代理的资产的敏感数据。这包括密码、密钥、社区字符串、用户名等。控制器在将此信息传输到CX代理之前,为所有由控制器管理的资产提供数据掩码。在某些情况下,控制器管理的资产遥感勘测可以进一步匿名化。请参阅相应的产品支持文档了解有关遥测匿名化的详细信息(例如,Cisco Catalyst Center管理员指南的匿名数据部分)。
虽然无法自定义遥测命令列表且无法修改数据掩码规则,但客户可以通过指定数据源来控制哪些资产的可遥测CX云访问,如控制器受管设备的产品支持文档或本文档的连接数据源部分所述(针对CX代理收集的其他资产)。
安全特性 |
描述 |
引导加载程序密码 |
引导加载程序(单用户模式)密码设置为随机唯一密码。用户必须参考FAQ来设置其引导加载程序(单用户模式)密码。 |
用户访问权限 |
SSH: ·使用 cxcadmin 用户访问设备需要使用安装期间创建的凭证。 ·使用cxcroot用户访问设备需要授权人员使用SWIM门户解密凭证。 |
用户帐户 |
·cxcadmin:创建的默认用户帐户;用户可以使用cxcli执行CX代理应用程序命令,并且对该设备的权限最低;使用 cxcadmin 用户创建 cxcroot 用户及其加密密码. ·cxcroot:cxcadmin可以使用实用程序remoteaccount创建此用户;用户可以使用此账户获得 root 权限。 |
cxcadmin 密码政策 |
·密码使用 SHA-256 进行单向散列处理并安全存储。 ·至少八(8)个字符,包含以下三类字符:大写、小写、数字和特殊字符。 |
cxcroot 密码政策 |
· cxcroot密码是RSA/ECB/PKCS1v1_5加密的 ·生成的密码需要在 SWIM 门户中解密。 · cxcroot用户和密码有效期为两天,可以使用cxcadmin用户重新生成。 |
SSH 登录密码政策 |
·至少包含下列三个类别的八个字符:大写、小写、数字和特殊字符。 ·五次失败的登录尝试将设备锁定30分钟;密码将在90天后过期。 |
端口 |
开放传入端口 – 514(系统日志)和 22 (SSH) |
数据安全 |
·未存储任何客户信息。 ·未存储设备数据。 · Cisco Catalyst Center服务器凭证已加密并存储在数据库中。 |
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
04-Sep-2025
|
初始版本 |