簡介
本文檔介紹如何在Cisco DNA Center中設定遠端支援授權功能。
必要條件
為了能夠充分利用思科DNA中心中的新遠端支援授權功能,必須滿足以下某些標準:
· Cisco DNA Center的版本必須是2.3.5.x或更高版本。
·支援服務包需要安裝在Cisco DNA Center中。
·允許通過防火牆或代理提供遠端授權支援:wss://prod.radkit-cloud.cisco.com:443。
註:Cisco DNA Center 2.3.3.x版引入了遠端支援授權,但功能有限。只允許訪問網路裝置,在此早期版本中不存在Cisco DNA Center CLI訪問。
說明
Cisco RADKit(radkit.cisco.com)提供到遠端終端和Web UI的安全互動式連線。Cisco RADKit功能整合在Cisco DNA Center中,稱為遠端支援授權。當使用者使用遠端支援授權功能時,使用者可以將思科的TAC遠端接入其Cisco DNA Center環境,以幫助收集資訊或排除問題。這有助於減少在TAC調查已發生的問題時,使用者需要等待影片呼叫的時間。
限制
與RADKit獨立版本相比,當前版本的遠端支援授權具有以下限制:
— 支援工程師在您的Cisco DNA中心上執行「maglev」、「sudo」或「rca」命令時,會提示輸入憑證。 遠端支援授權不會自動處理這些憑據,因此您可能需要與支援工程師共用這些憑據。
— 通過Remore支援授權服務,無法連線到Cisco DNA Center的圖形使用者介面(GUI)或網路裝置的任何GUI。
— 無法提供對不在Cisco DNA Center清單中但可能需要進行故障排除的裝置(例如ISE)的遠端訪問。
— 無法提供對無線接入點的遠端訪問,即使無線接入點位於Cisco DNA Center庫存中。
— 遠端訪問限製為一次24小時,為提供更長的訪問許可權,需要每24小時建立一個新授權。
— 通過建立授權,您可以允許訪問Cisco DNA Center資產中的所有裝置。無法限制對特定網路裝置的訪問。
要克服這些限制,可以考慮安裝獨立的RADKit服務。安裝程式可用於Windows、Mac和Linux。有關詳細資訊,請訪問https://radkit.cisco.com
-
網路連線
Cisco DNA Center通過AWS連線到Cisco RADKit聯結器。Cisco RADKit聯結器內建於遠端支援授權功能中。TAC通過AWS連線到Cisco RADKit聯結器並使用Cisco RADKit客戶端。在思科DNA中心環境生成支援ID後,思科RADKit客戶端使用支援ID連線到思科DNA中心。
設定遠端支援授權
要啟用遠端支援授權以使TAC可以遠端參與,必須完成以下步驟:
1.確保防火牆允許所需的URL通過。
2.安裝支援服務軟體包。
3.為遠端支援授權工作流程配置SSH憑證。
4.建立新授權。
步驟 1
要使用Cisco DNA Center聯結器進行遠端支援授權,必須能夠與AWS聯結器通訊。為確保此通訊,如果配置了以下URL,則必須允許此URL通過防火牆:
wss://prod.radkit-cloud.cisco.com:443
提示:有關為Cisco DNA Center功能正常工作而允許/開啟的特定埠和URL的詳細資訊,請參閱《安裝指南》的「規劃部署」部分。
步驟 2
完成全新安裝或將Cisco DNA Center升級到2.3.5.x版或更高版本後,必須手動安裝支援服務軟體包。這是一個可選程式包,預設情況下不安裝。導航至Cisco DNA Center UI。在Cisco DNA Center UI的「Home(首頁)」螢幕中,選擇螢幕右上角的雲圖示,然後選擇「Go to Software Management(轉至軟體管理)」。
在「軟體管理」(Software Management)頁面上,您會看到當前安裝的版本、任何可升級的版本,以及任何可用的可選軟體包。支援服務軟體包是可選軟體包,在完成全新安裝或以前未部署該軟體包的升級後不會自動安裝。按一下「可用軟體包」清單下支援服務軟體包的框,然後按一下螢幕右下角的「安裝」按鈕。
出現一個彈出視窗,用於檢查選定包的依賴項。檢查完成後,選擇繼續。
然後,選定的軟體包開始安裝。此進程的長度取決於當前處於部署進程中的包數。由於部署過程中,自動化和保證服務已暫時中斷的橙色標語出現在螢幕頂部。之所以會出現這種情況,是因為建立了新的支援服務Pod,並且正在啟動過程中。
大約10到20分鐘後,新Pod將處於完全啟動狀態,支援服務軟體包安裝完成。安裝軟體包後,請刷新瀏覽器,然後繼續執行步驟3。
步驟 3
要完全訪問遠端支援授權功能,需要在遠端支援授權設定中配置SSH憑證。如果沒有定義這些憑證,TAC將無法使用Cisco RADKit進行遠端故障排除。要配置SSH憑證,請導航至Cisco DNA Center UI右上方的問號圖示。從清單中選擇Remote Support Authorization。
注意:請注意,遠端支援授權僅在安裝支援服務軟體包並刷新瀏覽器後顯示。請參閱有關如何完成此操作的步驟2。
您將重定向到「遠端支援授權」頁。列出了四個頁籤:
·建立新授權
·當前授權
·過去的授權
·管理SSH憑證
導航到管理SSH憑據頁籤。選擇Add New SSH Credential。
將開啟一個新視窗。輸入Cisco DNA Center裝置的當前SSH密碼和說明。密碼必須與當前用於通過SSH連線到Cisco DNA Center裝置的密碼相匹配。選擇Add。一個條目現在顯示在EXISTING SSH CREDENTIALS下。
注意:請注意,對於單節點部署,只能建立一個憑據。對於三個節點部署,最多可建立三個憑據。但是,如果所有三個節點的SSH密碼相同,則只能建立一個憑據。
步驟 4
導航到Remote Support Authorization頁中的Create New Authorization頁籤。選擇Create a Remote Support Authorization。
系統會將您重新導向至工作流程頁面以開始授權設定。您必須輸入TAC工程師的電子郵件地址。例如:「ciscotac@cisco.com」。
這兩個欄位是可選的:
·現有SR編號
·訪問理由
如果您有開放的TAC服務請求,請在「現有SR編號」欄位中輸入該服務請求編號。
如果您想新增遠端支援授權的文檔,請在「訪問理由」欄位中提供該文檔,例如「TAC需要幫助解決出現的問題」。按「Next」(下一步)。
系統會將您重新導向至「Schedule the Access(計畫訪問)」步驟。在此處,必須選擇「Now(現在)」或「Later(以後)」。您可以立即開始授權,也可以預先安排授權。
註意:請注意,自當前建立授權請求之日起,授權只能提前計畫最多30天。
註:請注意,授權請求的持續時間為24小時。雖然可以提前取消授權,但持續時間不能從24小時更改。
選擇「Now(現在)」 ,然後按一下「Next(下一步)」。
系統會將您重新導向至「Access Permission Agreement」(訪問許可權協定)頁面。此頁有兩個選項:
·在思科DNA中心與庫存中管理的裝置之間建立新的VTY連線。
·訪問Cisco DNA Center裝置的CLI
要與Cisco DNA Center管理的網路裝置建立SSH連線,必須選擇第一個選項。如果未選擇此選項,TAC工程師將無法通過SSH連線到使用Cisco RADKit的裝置。要建立到Cisco DNA Center裝置的SSH連線,則必須選擇第二個選項。如果未選擇此選項,TAC工程師將無法通過Cisco RADKit訪問Cisco DNA中心。為了最好地利用遠端支援授權功能,建議同時選擇這兩個選項。選擇所需選項後,按一下「下一步」。
您將重定向到「摘要」頁面,該頁面列出了使用「建立遠端支援授權」工作流配置的所有內容。在這裡,您可以確認設定是否正確。如果設定正確,請按一下「建立」。
按一下「建立」(Create)繼續執行最後的步驟。系統會將您重新導向至說明已建立授權的頁面。此頁上的關鍵專案包括:
· TAC工程師的電子郵件地址
·授權的預定開始時間和持續時間
·支援ID
注意:請注意,TAC工程師需要支援ID才能與Cisco RADKit客戶端連線到此授權請求。複製提供的資訊並將其傳送給TAC工程師。
在此頁面中,您可以選擇建立其他授權、檢視所有授權、檢視活動頁面或工作流首頁。如果不需要建立其他授權,則可以選擇「檢視所有授權」以檢視所有當前和過去的授權。「檢視活動」頁將您重定向到「稽核日誌」頁。檢視所有授權重定向至「遠端支援授權」部分的「當前授權」頁。您可以檢視「全部」、「已計畫」或「有效」授權。按一下授權可開啟一個側視窗,其中顯示使用「建立遠端支援授權」工作流配置的設定。
您可以選擇取消授權或檢視TAC工程師對您的部署所做工作的稽核日誌。您可以選擇切換到「過去的授權」頁籤來獲取有關以前的授權的歷史資訊。選擇View Logs以重定向到Audit Logs頁。在「稽核日誌」頁中,可以選擇「篩選器」,然後使用TAC工程師的電子郵件地址按說明進行篩選。
選擇應用。這會根據TAC工程師的電子郵件地址新增過濾器,如使用Cisco RADKit遠端登入到部署時審計日誌說明中所顯示的那樣。
從稽核日誌中,您可以看到TAC工程師究竟做了什麼,以及他們何時登入。
警告:Cisco DNA Center 2.3.5.x版的遠端支援授權功能已通過Cisco RADKit客戶端1.4.x測試。