配置Cisco DNA Center遠端支援授權功能

簡介

本文檔介紹如何在Cisco DNA Center中設定遠端支援授權功能。

必要條件

為了能夠充分利用思科DNA中心中的新遠端支援授權功能，必須滿足以下某些標準：

· Cisco DNA Center的版本必須是2.3.5.x或更高版本。
·支援服務包需要安裝在Cisco DNA Center中。
·允許通過防火牆或代理提供遠端授權支援：wss://prod.radkit-cloud.cisco.com:443。

說明

Cisco RADKit(radkit.cisco.com)提供到遠端終端和Web UI的安全互動式連線。Cisco RADKit功能整合在Cisco DNA Center中，稱為遠端支援授權。當使用者使用遠端支援授權功能時，使用者可以將思科的TAC遠端接入其Cisco DNA Center環境，以幫助收集資訊或排除問題。這有助於減少在TAC調查已發生的問題時，使用者需要等待影片呼叫的時間。

限制

與RADKit獨立版本相比，當前版本的遠端支援授權具有以下限制：

— 支援工程師在您的Cisco DNA中心上執行「maglev」、「sudo」或「rca」命令時，會提示輸入憑證。 遠端支援授權不會自動處理這些憑據，因此您可能需要與支援工程師共用這些憑據。

— 通過Remore支援授權服務，無法連線到Cisco DNA Center的圖形使用者介面(GUI)或網路裝置的任何GUI。

— 無法提供對不在Cisco DNA Center清單中但可能需要進行故障排除的裝置（例如ISE）的遠端訪問。

— 無法提供對無線接入點的遠端訪問，即使無線接入點位於Cisco DNA Center庫存中。

— 遠端訪問限製為一次24小時，為提供更長的訪問許可權，需要每24小時建立一個新授權。

— 通過建立授權，您可以允許訪問Cisco DNA Center資產中的所有裝置。無法限制對特定網路裝置的訪問。

要克服這些限制，可以考慮安裝獨立的RADKit服務。安裝程式可用於Windows、Mac和Linux。有關詳細資訊，請訪問https://radkit.cisco.com

- 

網路連線

Cisco DNA Center通過AWS連線到Cisco RADKit聯結器。Cisco RADKit聯結器內建於遠端支援授權功能中。TAC通過AWS連線到Cisco RADKit聯結器並使用Cisco RADKit客戶端。在思科DNA中心環境生成支援ID後，思科RADKit客戶端使用支援ID連線到思科DNA中心。

設定遠端支援授權

要啟用遠端支援授權以使TAC可以遠端參與，必須完成以下步驟：
1.確保防火牆允許所需的URL通過。
2.安裝支援服務軟體包。
3.為遠端支援授權工作流程配置SSH憑證。
4.建立新授權。

步驟 1

要使用Cisco DNA Center聯結器進行遠端支援授權，必須能夠與AWS聯結器通訊。為確保此通訊，如果配置了以下URL，則必須允許此URL通過防火牆：
wss://prod.radkit-cloud.cisco.com:443

步驟 2

完成全新安裝或將Cisco DNA Center升級到2.3.5.x版或更高版本後，必須手動安裝支援服務軟體包。這是一個可選程式包，預設情況下不安裝。導航至Cisco DNA Center UI。在Cisco DNA Center UI的「Home（首頁）」螢幕中，選擇螢幕右上角的雲圖示，然後選擇「Go to Software Management（轉至軟體管理）」。

在「軟體管理」(Software Management)頁面上，您會看到當前安裝的版本、任何可升級的版本，以及任何可用的可選軟體包。支援服務軟體包是可選軟體包，在完成全新安裝或以前未部署該軟體包的升級後不會自動安裝。按一下「可用軟體包」清單下支援服務軟體包的框，然後按一下螢幕右下角的「安裝」按鈕。

出現一個彈出視窗，用於檢查選定包的依賴項。檢查完成後，選擇繼續。
然後，選定的軟體包開始安裝。此進程的長度取決於當前處於部署進程中的包數。由於部署過程中，自動化和保證服務已暫時中斷的橙色標語出現在螢幕頂部。之所以會出現這種情況，是因為建立了新的支援服務Pod，並且正在啟動過程中。

大約10到20分鐘後，新Pod將處於完全啟動狀態，支援服務軟體包安裝完成。安裝軟體包後，請刷新瀏覽器，然後繼續執行步驟3。

步驟 3

要完全訪問遠端支援授權功能，需要在遠端支援授權設定中配置SSH憑證。如果沒有定義這些憑證，TAC將無法使用Cisco RADKit進行遠端故障排除。要配置SSH憑證，請導航至Cisco DNA Center UI右上方的問號圖示。從清單中選擇Remote Support Authorization。

您將重定向到「遠端支援授權」頁。列出了四個頁籤：
·建立新授權
·當前授權
·過去的授權
·管理SSH憑證
導航到管理SSH憑據頁籤。選擇Add New SSH Credential。

將開啟一個新視窗。輸入Cisco DNA Center裝置的當前SSH密碼和說明。密碼必須與當前用於通過SSH連線到Cisco DNA Center裝置的密碼相匹配。選擇Add。一個條目現在顯示在EXISTING SSH CREDENTIALS下。

步驟 4

導航到Remote Support Authorization頁中的Create New Authorization頁籤。選擇Create a Remote Support Authorization。

系統會將您重新導向至工作流程頁面以開始授權設定。您必須輸入TAC工程師的電子郵件地址。例如：「ciscotac@cisco.com」。
這兩個欄位是可選的：
·現有SR編號
·訪問理由
如果您有開放的TAC服務請求，請在「現有SR編號」欄位中輸入該服務請求編號。
如果您想新增遠端支援授權的文檔，請在「訪問理由」欄位中提供該文檔，例如「TAC需要幫助解決出現的問題」。按「Next」（下一步）。

系統會將您重新導向至「Schedule the Access（計畫訪問）」步驟。在此處，必須選擇「Now（現在）」或「Later（以後）」。您可以立即開始授權，也可以預先安排授權。

選擇「Now（現在）」 ，然後按一下「Next（下一步）」。

系統會將您重新導向至「Access Permission Agreement」（訪問許可權協定）頁面。此頁有兩個選項：
·在思科DNA中心與庫存中管理的裝置之間建立新的VTY連線。
·訪問Cisco DNA Center裝置的CLI
要與Cisco DNA Center管理的網路裝置建立SSH連線，必須選擇第一個選項。如果未選擇此選項，TAC工程師將無法通過SSH連線到使用Cisco RADKit的裝置。要建立到Cisco DNA Center裝置的SSH連線，則必須選擇第二個選項。如果未選擇此選項，TAC工程師將無法通過Cisco RADKit訪問Cisco DNA中心。為了最好地利用遠端支援授權功能，建議同時選擇這兩個選項。選擇所需選項後，按一下「下一步」。

您將重定向到「摘要」頁面，該頁面列出了使用「建立遠端支援授權」工作流配置的所有內容。在這裡，您可以確認設定是否正確。如果設定正確，請按一下「建立」。

按一下「建立」(Create)繼續執行最後的步驟。系統會將您重新導向至說明已建立授權的頁面。此頁上的關鍵專案包括：
· TAC工程師的電子郵件地址
·授權的預定開始時間和持續時間
·支援ID

在此頁面中，您可以選擇建立其他授權、檢視所有授權、檢視活動頁面或工作流首頁。如果不需要建立其他授權，則可以選擇「檢視所有授權」以檢視所有當前和過去的授權。「檢視活動」頁將您重定向到「稽核日誌」頁。檢視所有授權重定向至「遠端支援授權」部分的「當前授權」頁。您可以檢視「全部」、「已計畫」或「有效」授權。按一下授權可開啟一個側視窗，其中顯示使用「建立遠端支援授權」工作流配置的設定。

您可以選擇取消授權或檢視TAC工程師對您的部署所做工作的稽核日誌。您可以選擇切換到「過去的授權」頁籤來獲取有關以前的授權的歷史資訊。選擇View Logs以重定向到Audit Logs頁。在「稽核日誌」頁中，可以選擇「篩選器」，然後使用TAC工程師的電子郵件地址按說明進行篩選。

選擇應用。這會根據TAC工程師的電子郵件地址新增過濾器，如使用Cisco RADKit遠端登入到部署時審計日誌說明中所顯示的那樣。

從稽核日誌中，您可以看到TAC工程師究竟做了什麼，以及他們何時登入。