配置Catalyst Center遠端支援授權功能

簡介

本文說明如何在Cisco Catalyst Center（前身為Cisco DNA Center）中設定遠端支援授權功能。

必要條件

為了能夠充分利用Cisco Catalyst Center中的新遠端支援授權功能，必須滿足以下某些標準：

· Cisco Catalyst Center的版本必須是2.3.7.6或更高版本。
·支援服務包必須安裝在Cisco Catalyst Center中。
·允許通過防火牆或代理提供遠端授權支援：wss://prod.radkit-cloud.cisco.com:443。

附註：Cisco Catalyst Center 2.3.3.x版引入了遠端支援授權，但功能有限。僅允許網路裝置訪問，此較早版本中不存在Cisco Catalyst Center CLI訪問。Cisco Catalyst Center 2.3.7.6+版提供Web UI代理訪問、基於角色的訪問控制(RBAC)分析和無密碼命令訪問。

說明

Cisco RADKit(radkit.cisco.com)提供到遠端終端和Web UI的安全互動式連線。Cisco RADKit功能整合在Cisco Catalyst Center中，稱為遠端支援授權。當使用者使用遠端支援授權功能時，使用者可將Cisco TAC遠端連線到其Cisco Catalyst Center環境，以幫助收集資訊或排除問題。這有助於在TAC調查已發生的問題時，減少使用者等待影片呼叫的時間。

限制

與RADKit獨立版本相比，當前版本的遠端支援授權具有以下限制：

— 支援工程師在您的Cisco Catalyst中心上執行「磁懸浮列車」、「sudo」或「rca」命令時，會提示輸入憑據。遠端支援授權不會自動處理這些憑據，因此您必須與支援工程師共用這些憑據。(Cisco Catalyst Center 2.3.7.6+中新增的功能)

— 通過Remore支援授權服務，無法連線到Cisco Catalyst Center的圖形使用者介面(GUI)或網路裝置的任何GUI。(Cisco Catalyst Center 2.3.7.6+中新增的功能)

— 無法提供對不在Cisco Catalyst Center清單中但進行故障排除所必需的裝置（例如ISE）的遠端訪問。

— 無法提供對無線接入點的遠端訪問，即使無線接入點位於Cisco Catalyst Center庫存中。

— 遠端訪問限製為一次24小時，為提供更長的訪問許可權，需要每24小時建立一個新授權。

— 通過建立授權，您可以允許訪問Cisco Catalyst Center資產中的所有裝置。無法限制對特定網路裝置的訪問。

要克服這些限制，可以考慮安裝獨立的RADKit服務。安裝程式可用於Windows、Mac和Linux。有關詳細資訊，請訪問https://radkit.cisco.com

- 

網路連線

Cisco Catalyst Center通過AWS連線到Cisco RADKit聯結器。Cisco RADKit聯結器內建於遠端支援授權功能中。TAC通過AWS連線到Cisco RADKit聯結器並使用Cisco RADKit客戶端。Cisco Catalyst中心環境生成支援ID後，Cisco RADKit客戶端使用支援ID連線到Cisco Catalyst中心。

設定遠端支援授權

要啟用遠端支援授權以使TAC可以遠端參與，必須完成以下步驟：
1.確保防火牆允許所需的URL通過。
2.安裝支援服務軟體包。
3.為遠端支援授權工作流程配置SSH憑證。(Cisco Catalyst Center 2.3.7.6+版不再需要此功能)
4.建立新授權。

步驟 1

要使Remote Support Authorization正常工作，Cisco Catalyst Center聯結器必須能夠與AWS聯結器進行通訊。為確保此通訊，如果配置了以下URL，則必須允許此URL通過防火牆：
wss://prod.radkit-cloud.cisco.com:443

提示：有關為Cisco Catalyst Center功能正常工作而需要允許/開啟的特定埠和URL的詳細資訊，請參閱《安裝指南》的規劃部署部分。

步驟 2

完成全新安裝或將Cisco Catalyst Center升級到版本2.3.5.x或更高版本後，必須手動安裝支援服務軟體包。這是一個可選程式包，預設情況下不安裝。導航至Cisco Catalyst Center UI。在Cisco Catalyst Center UI的主螢幕中，選擇螢幕右上角的雲圖示，然後選擇「Go to Software Management（轉至軟體管理）」。

在「軟體管理」(Software Management)頁面上，您會看到當前安裝的版本、任何可升級的版本，以及任何可用的可選軟體包。支援服務軟體包是可選軟體包，在完成全新安裝或以前未部署該軟體包的升級後不會自動安裝。按一下「可用軟體包」清單下支援服務軟體包的框，然後按一下螢幕右下角的「安裝」按鈕。

出現一個彈出視窗，用於檢查選定包的依賴項。 檢查完成後，選擇繼續。
然後，選定的軟體包開始安裝。此進程的長度取決於當前處於部署進程中的包數。由於部署過程中，自動化和保證服務已暫時中斷的橙色標語出現在螢幕頂部。之所以會出現這種情況，是因為建立了新的支援服務Pod，並且正在啟動過程中。

大約10到20分鐘後，新Pod處於完全啟動狀態，支援服務軟體包安裝完成。安裝軟體包後，請刷新瀏覽器，然後繼續執行步驟3。

步驟 3

要完全訪問遠端支援授權功能，需要在遠端支援授權設定中配置SSH憑證。如果沒有定義這些憑證，TAC將無法使用Cisco RADKit進行遠端故障排除。要配置SSH憑證，請導航到Cisco Catalyst Center UI右上角的問號圖示。從清單中選擇Remote Support Authorization。

附註：請注意，遠端支援授權僅在安裝支援服務軟體包並刷新瀏覽器後顯示。請參閱有關如何完成此操作的步驟2。

附註：從2.3.7.6及更高版本開始，不再需要在Remote Support Authorization頁面中配置SSH憑證。這是新的無密碼功能的一部分。Cisco Catalyst Center提取已內部儲存的憑證，因此無需為TAC配置或共用憑證。

擾流器

您將重定向到「遠端支援授權」頁。由於這是在安裝支援服務軟體包後第一次訪問此頁面，因此您只能看到建立新授權螢幕。

步驟 4

選擇Create a Remote Support Authorization。

系統會將您重新導向至「Access Permission Agreement」（訪問許可權協定）頁面。此頁有兩個選項：
·在Cisco Catalyst Center和清單中管理的裝置之間提供新的VTY連線。
·訪問Cisco Catalyst Center裝置的CLI
要與Cisco Catalyst Center管理的網路裝置建立SSH連線，必須選擇第一個選項。如果未選擇此選項，則TAC工程師無法通過SSH連線到使用Cisco RADKit的裝置。要建立與Cisco Catalyst Center裝置的SSH連線，則必須選擇第二個選項。如果未選擇此選項，則TAC工程師無法使用Cisco RADKit訪問Cisco Catalyst Center。為了最好地利用遠端支援授權功能，建議同時選擇這兩個選項。選擇所需選項後，按一下「下一步」。

系統會將您重新導向至工作流程頁面以開始授權設定。您必須輸入TAC工程師的電子郵件地址和訪問角色。舉例來說："ciscotac@cisco.com"和"觀察者角色"。
這兩個欄位是可選的：
·現有SR編號

·訪問理由
如果您有開放的TAC服務請求，請在「現有SR編號」欄位中輸入該服務請求編號。
如果您想新增遠端支援授權的文檔，請在「訪問理由」欄位中提供該文檔，例如「TAC需要幫助解決出現的問題」。按「Next」（下一步）。

附註：請注意，對於OBSERVER-ROLE訪問，已禁用使用GUI生成RCA或迷你RCA、運行驗證工具檢查或運行任何報告的功能，因為此時此角色是只讀訪問角色。

系統會將您重新導向至「Schedule the Access（計畫訪問）」步驟。在此處，必須選擇「Now（現在）」或「Later（以後）」。您可以立即開始授權，也可以預先安排授權。

附註：請注意，授權只能從當前建立授權請求之日起提前計畫最多30天。

附註：請注意，授權請求的持續時間為24小時。雖然可以提前取消授權，但持續時間不能從24小時更改。

您將重定向到「摘要」頁面，該頁面列出了使用「建立遠端支援授權」工作流配置的所有內容。在這裡，您可以確認設定是否正確。如果設定正確，請按一下「建立」。

按一下「建立」(Create)繼續執行最後的步驟。系統會將您重新導向至說明已建立授權的頁面。此頁上的關鍵專案包括：
· TAC工程師電子郵件地址
·授權的預定開始時間和持續時間
·支援ID

附註：請注意，TAC工程師需要支援ID才能與Cisco RADKit客戶端連線到此授權請求。複製提供的資訊並將其傳送給TAC工程師。

在此頁面中，您可以選擇建立其他授權、檢視所有授權、檢視活動頁面或檢視工作流。如果不需要建立其他授權，則可以選擇「檢視所有授權」以檢視所有當前和過去的授權。「檢視活動」頁將您重定向到「稽核日誌」頁。檢視所有授權重定向至「遠端支援授權」部分的「當前授權」頁。您可以檢視「全部」、「已計畫」或「有效」授權。按一下授權可開啟一個側視窗，其中顯示使用「建立遠端支援授權」工作流配置的設定。

您可以選擇取消授權或檢視TAC工程師對您的部署所做工作的稽核日誌。您可以選擇切換到「過去的授權」頁籤來獲取有關以前的授權的歷史資訊。選擇View Logs以重定向到Audit Logs頁。在「稽核日誌」頁中，可以選擇「篩選器」，然後使用TAC工程師的電子郵件地址按說明進行篩選。

選擇應用。這會根據TAC工程師的電子郵件地址新增過濾器，如使用Cisco RADKit遠端登入到部署時審計日誌說明中所顯示的那樣。

從稽核日誌中，您可以看到TAC工程師究竟做了什麼，以及他們何時登入。  

警告：Cisco Catalyst Center 2.3.7.6版的遠端支援授權功能已通過Cisco RADKit客戶端1.6.11測試。