常见问题解答

本章解答有关 Cisco Business Dashboard功能的常见问题和可能出现的问题。涉及的主题分为以下几类:

一般常见问题

Q. 

Cisco Business Dashboard 支持哪些语言?

A. 

Cisco Business Dashboard 已翻译为以下语言:

  • 中文

  • 英语

  • 法语

  • 德语

  • 日语

  • 西班牙语

发现常见问题

Q. 

Cisco Business Dashboard 使用哪些协议来管理我的设备?

A. 

Cisco Business Dashboard 使用多种协议来发现和管理网络。具体针对某个特定设备使用哪种协议视设备类型而异。

使用的协议包括:

  • 多播 DNS 和 DNS 服务发现协议(亦称 Bonjour,请参阅 RFC 6762 和 6763

  • 思科发现协议 (CDP)

  • 链路层发现协议(请参阅 IEEE 规格 802.1AB

  • 简单网络管理协议 (SNMP)

  • RESTCONF(请参阅 https://datatracker.ietf.org/doc/draft-ietf-netconf-restconf/)

  • 专有 Web 服务 API

Q. 

Cisco Business Dashboard 如何发现我的网络?

A. 

Cisco Business Dashboard Probe 通过侦听 CDP、LLDP 和 mDNS 通告构建网络中的初始设备列表。然后,Probe 将通过支持的协议连接到每个设备并收集其他信息,例如 CDP 和 LLDP 相邻表、MAC 地址表以及关联设备列表。这些信息用于标识网络中的其他设备,该过程将重复执行,直到发现所有设备。

Q. 

Cisco Business Dashboard 是否会执行网络扫描?

A. 

Cisco Business Dashboard 不会主动扫描更广泛的网络。Probe 会使用 ARP 协议扫描其直接连接的 IP 子网,但不会尝试扫描任何其他地址范围。Probe 还会在标准端口上测试每个发现的设备是否存在 Web 服务器和 SNMP 服务器。

配置常见问题

Q. 

当发现新设备时会发生什么情况?新设备的配置是否会发生更改?

A. 

新设备将被添加到默认设备组中。如果已对默认设备组分配了配置文件,系统会对新发现的设备应用该配置。

Q. 

当我将设备从一个设备组移到另一个设备组时,会发生什么情况?

A. 

与当前应用于原始设备组而未应用于新设备组的配置文件相关联的任何 VLAN 或 WLAN 配置都将被删除,而与应用于新组而未应用于原始组的配置文件相关联的 VLAN 或 WLAN 配置将被添加到设备中。系统配置设置将被应用于新组的配置文件覆盖。如果未对新组定义系统配置文件,则设备的系统配置不会改变。

安全注意事项常见问题

Q. 

Cisco Business Dashboard 所需的端口范围和协议是什么?

A. 

下表列出了 Cisco Business Dashboard 使用的协议和端口:

表 1. Cisco Business Dashboard - 协议和端口

端口

方向

协议

使用方式

TCP 22

入站

SSH

通过命令行访问 Dashboard。默认情况下,思科虚拟机映像上禁用 SSH。

TCP 80

入站

HTTP

 通过 Web 访问 Dashboard。重定向到安全 Web 服务器(端口 443)。

TCP 443

入站

HTTPS

多路复用 TCP

通过安全 Web 访问 Dashboard。

Probe 与 Dashboard 之间的通信。

UDP 1812

入站

RADIUS

对用户访问进行身份验证时,通过设备访问 Dashboard。

TCP 50000 - 51000

(从 Microsoft Azure 市场部署的系统使用 TCP 50000-50049)

入站

HTTPS

远程访问设备。

此范围可使用“系统”>“平台设置”页面进行控制。

UDP 53

出站

DNS

域名解析。

UDP 123

出站

NTP

时间同步。

TCP 443

出站

HTTPS

访问思科 Web 服务以获取软件更新、支持状态和生命周期终止通知等信息。访问操作系统和应用更新服务。

UDP 5353

出站

mDNS

面向通告 Dashboard 的本地网络的多播 DNS 服务通告。

Q. 

Cisco Business Dashboard Probe 所需的端口范围和协议是什么?

A. 

下表列出了 Cisco Business Dashboard Probe 使用的协议和端口:

表 2. Cisco Business Dashboard - 协议和端口

端口

方向

协议

使用方式

TCP 22

入站

SSH

通过命令行访问 Probe。默认情况下,思科虚拟机映像上禁用 SSH。

TCP 80

入站

HTTP

通过 Web 访问 Probe。重定向到安全 Web 服务器(端口 443)。

TCP 443

入站

HTTPS

通过安全 Web 访问 Probe。

UDP 5353

入站

mDNS

来自本地网络的多播 DNS 服务通告。用于发现设备。

UDP 53

出站

DNS

域名解析。

UDP 123

出站

NTP

时间同步

TCP 80

出站

HTTP

在不启用安全 Web 服务的情况下管理设备。

UDP 161

出站

SNMP

管理网络设备。

TCP 443

出站

HTTPS

多路复用 TCP

启用安全 Web 服务来管理设备访问思科 Web 服务以获取软件更新、支持状态和生命周期终止通知等信息。

访问操作系统和应用更新服务。

Probe 与 Dashboard 之间的通信。

UDP 5353

出站

mDNS

面向通告 Probe 的本地网络的多播 DNS 服务通告。

Q. 

Cisco Business Dashboard 会与哪些思科服务器通信?通信的目的是什么?

A. 

下表列出了会与 Cisco Business Dashboard 通信的思科服务器及通信目的:

表 3. Cisco Business Dashboard - 思科服务器

主机名

用途

tools.cisco.com

出于智能许可目的,用于验证智能账户中是否有充足的许可证可供 Dashboard 使用。仅当 Dashboard 实例已注册思科智能许可功能时,才会使用此服务器。

api.cisco.com

用于检索软件更新信息和产品生命周期信息。仅当“系统”>“隐私设置”中启用了软件更新或生命周期报告功能时,才会使用此服务器。

dl.cisco.com

download-ssc.cisco.com

用于从思科下载软件更新文件。

仅当“系统”>隐私设置”中启用了软件更新,且用户对网络设备或 Cisco Business Dashboard 执行更新操作时,才会使用这些服务器。

cloudsso.cisco.com

用于在 Cisco Business Dashboard 与 api.cisco.com 建立通信前执行身份验证。仅当“系统>隐私设置”中启用了软件更新或生命周期报告功能时,才会使用此服务器。

ciscoactiveadvisor.cisco.com

用于收集产品改进数据以及支持“CAA 上传”功能。当“系统>隐私设置”中选择了产品改进选项,或者在使用“CAA 上传”功能时,才会使用此服务器。

www.cisco.com

用于检索根 CA(证书颁发机构)签名证书的更新。出于保护网络通信的目的,思科和第三方服务使用这类证书来验证 X509 证书。

Q. 

Cisco Business Dashboard 需要使用哪些进程和系统服务?

A. 

下表列出安装了 Cisco Business Dashboard 的思科服务器所使用的进程和系统服务:

表 4. Cisco Business Dashboard - 进程和系统服务

进程

补充说明
Dashboard 必要的进程

/usr/lib/jvm/java-8-openjdk-amd64/bin/java … -jar /usr/lib/ciscobusiness/dashboard/lib/nm-aio- application-x.x.x-SNAPSHOT.jar

Dashboard 主应用程序

/usr/lib/ciscobusiness/dashboard/bin/nginxsvc /usr/lib/ciscobusiness/dashboard/bin/nginx

Web 服务器

/usr/lib/ciscobusiness/dashboard/bin/mongosvc /usr/lib/ciscobusiness/dashboard/bin/mongod /usr/lib/postgresql/xx/bin/postgres

postgres: xx/main:

数据库服务

/bin/bash /usr/lib/ciscobusiness/dashboard/bin/freeradiussvc /usr/lib/ciscobusiness/dashboard/bin/freeradius

用户身份验证服务

/usr/lib/ciscobusiness/dashboard/bin/redissvc /usr/lib/ciscobusiness/dashboard/bin/redis-server

内存缓存服务

/usr/lib/ciscobusiness/dashboard/bin/rabbitmqsvc /usr/lib/ciscobusiness/dashboard/bin/rabbitmq-server /usr/lib/erlang/erts-xx.x.x.xx/bin/epmd /usr/lib/erlang/erts-xx.x.x.xx/bin/epmd.smp

erl_child_setup

消息代理

/usr/lib/ciscobusiness/dashboard/bin/bonjoursvc avahi-publish

组播 DNS 通告

/bin/sh /usr/share/contuit/contuit

/bin/sh /usr/share/contuit-computations/contuit-computations

/bin/sh /usr/share/contuit-monorepo/contuit-mop

/bin/sh /usr/share/contuit-scheduler/contuit-scheduler

/bin/sh /usr/share/contuit-shim/contuit-shim

仅在启用了外部应用程序集成时需要

Dashboard 必要的系统服务

/usr/sbin/rsyslog

日志记录服务

/usr/sbin/cron

计划服务

systemd-timesyncd

时间服务

avahi-daemon

组播 DNS 侦听程序

Q. 

Cisco Business Dashboard Probe 需要使用哪些进程和系统服务?

A. 

下表列出安装了 Cisco Business Dashboard Probe 的思科服务器所使用的进程和系统服务:

表 5. Cisco Business Dashboard - 进程和系统服务

进程

补充说明
Probe 必要的进程

/usr/lib/ciscobusiness/probe/bin/cbdprobe

chagent

Probe 主应用程序

/usr/lib/ciscobusiness/probe/bin/fpscan

设备扫描工具

/usr/lib/ciscobusiness/probe/bin/main /usr/lib/ciscobusiness/probe/bin/publish avahi-publish

组播 DNS 通告

nginx

Web 服务器

当 Probe 托管在 Dashboard 服务器上时,会使用 Dashboard 的 Web 服务器

Probe 必要的系统服务

/usr/sbin/rsyslogd

日志记录服务

/usr/sbin/cron

计划服务

systemd-timesyncd

时间服务

avahi-daemon

组播 DNS 侦听程序

lldpd

LLDP 邻居发现

Q. 

Cisco Business Dashboard 与 Probe 之间通信的安全状况如何?

A. 

Dashboard 与 Probe 之间的所有通信均使用 TLS 1.2 会话加密,使用客户端和服务器证书进行身份验证。会话由 Probe 向 Dashboard 发起。首次建立 Dashboard 与 Probe 之间的关联时,用户必须通过 Probe 登录到 Dashboard。

Q. 

Cisco Business Dashboard 是否存在可访问我的设备的“后门”?

A. 

不存在。当 Cisco Business Dashboard 发现支持的设备时,会尝试使用该设备的出厂默认凭证访问该设备,凭证中用户名和密码均为:cisco,或者使用 SNMP 社区:public 作为凭证。如果设备配置已与默认值不同,则用户需要向 Cisco Business Dashboard 提供正确的凭据。

Q. 

Cisco Business Dashboard 中存储的凭据的安全状况如何?

A. 

访问 Cisco Business Dashboard 的凭据已使用 SHA512 算法执行不可逆的散列处理。设备和其他服务(例如 Cisco Active Advisor)使用 AES-128 算法进行可逆的加密。

Q. 

如何找回丢失的 Web UI 密码?

A. 

如果 Web UI 的所有管理员账户密码丢失,可登录 Probe 控制台并运行 cbdprobe recoverpassword 工具,或登录 Dashboard 控制台并运行 cisco-business-dashboard recoverpassword 工具来找回密码。此工具会将账户 cisco 的密码重置为默认值 cisco;如果已删除账户 cisco,系统会重新创建该账户及默认密码。下面是使用此工具恢复密码的命令示例。 

cisco@cisco-business-dashboard:~$ cisco-business-dashboard recoverpassword
Are you sure? (y/n) y
Recovered the cisco account to default password
recoverpassword Cisco Business Dashboard successful!
cisco@cisco-buisness-dashboard:~$

使用适用于 AWS 的 Cisco Business Dashboard 时,密码将设置为 AWS 实例 ID。

Q. 

虚拟机引导加载程序的默认用户名和密码是什么?

A. 

虚拟机引导加载程序默认凭证的用户名是 root,密码是 cisco。可以通过运行 config_vm 工具并在系统询问您是否要更改引导加载程序密码时回答 yes 以更改这些密码。

Q. 

Dashboard 如何对网络接入设备进行身份验证?

A. 

Dashboard 使用两个级别的身份验证。

  • 级别一:当使用 NAT 时,将传入请求的源 IP 地址与 Dashboard 管理的网络的外部 IP 地址进行比较,或者当未使用 NAT 时,与网络的内部子网进行比较。

  • 级别二:为每个组织创建一个唯一的随机 RADIUS 密钥,网络访问设备在其请求中必须使用该密钥。

远程访问常见问题

Q. 

当从 Cisco Business Dashboard 连接到设备的管理接口时,会话是否安全?

A. 

Cisco Business Dashboard 在设备与用户之间建立远程会话隧道。Probe 和设备之间使用的协议取决于终端设备配置,但是如果启用了安全协议,Cisco Business Dashboard 将始终使用安全协议建立会话(例如,HTTPS 将优先于 HTTP)。如果用户正在通过 Dashboard 连接到设备,则会话将通过加密隧道传递(就像在 Dashboard 与 Probe 之间传递一样),无论设备上启用何种协议。用户的 Web 浏览器和 Dashboard 之间的连接将始终为 HTTPS。

Q. 

为什么在我打开与另一台设备的远程访问会话时,我与当前设备的远程访问会话会立即退出?

A. 

当您通过 Cisco Business Dashboard 访问设备时,浏览器会将每个连接视为来自同一个 Web 服务器 (Dashboard),所以会将每部设备的 Cookie 提供给所有其他设备。如果多台设备使用相同的 Cookie 名称,则一台设备的 Cookie 可能会被其他设备覆盖。对于会话 Cookie,这种情况最常出现,并导致 Cookie 仅对最新访问的设备有效。而使用相同 Cookie 的所有其他设备则会将该 Cookie 视为无效,并退出会话。

Q. 

为什么我的远程访问会话失败并显示如下错误?访问错误:请求实体过大 HTTP 标头字段超过支持的大小

A. 

在与不同设备执行许多远程访问会话后,浏览器会为 Dashboard 域存储大量 Cookie。要解决此问题,请使用浏览器控件清除该域的 Cookie,然后再重新加载页面。

软件更新常见问题

Q. 

如何确保 Dashboard 操作系统是最新的?

A. 

Dashboard 使用特定版本的 Ubuntu Linux 作为操作系统。程序包和内核可使用标准 Ubuntu 进程进行更新。例如,要执行手动更新,可使用 cisco 用户身份登录控制台,并输入命令 sudo apt-get updatesudo apt-get upgrade。请不要将系统升级到新版 Ubuntu,建议不要安装思科提供的虚拟机映像中未包含的其他程序包,或作为最低 Ubuntu 安装版本组成部分安装的程序包。

Q. 

如何在 Dashboard 上更新 Java?

A. 

Cisco Business Dashboard 使用 Ubuntu 存储库中的 OpenJDK 程序包。在更新核心操作系统的过程中,OpenJDK 将自动进行更新。

Q. 

如何确保 Probe 操作系统是最新的?

A. 

Cisco Business Dashboard 使用特定版本的 Ubuntu Linux 作为操作系统。程序包和内核可使用标准 Ubuntu 进程进行更新。例如,要执行手动更新,可使用 cisco 用户身份登录控制台,并输入命令 sudo apt-get updatesudo apt-get upgrade。请不要将系统升级到新版 Ubuntu,建议不要安装思科提供的虚拟机映像中未包含的其他程序包,或作为最低 Ubuntu 安装版本组成部分安装的程序包。

Q. 

使用 Raspberry Pi 时,如何确保 Probe 操作系统是最新的?

A. 

Raspbian 软件包和内核可以使用用于基于 Debian 的 Linux 发行版的标准流程进行更新。例如,要执行手动更新,可使用 cisco 用户身份登录控制台,并输入命令 sudo apt-get updatesudo apt-get upgrade。系统不应升级到新的 Raspbian 主要版本。建议除了作为 Raspbian 发行版“Lite”版本安装的和 Probe 安装程序添加的软件包之外,不要安装其他软件包。

Q. 

我发现 Cisco Business Dashboard 2.3.0 增加了对 Ubuntu 20.04 (Focal Fossa) 的支持。如果我已将 Dashboard 升级到 2.3.0,可否把我的操作系统从 Ubuntu 16.04 升级到 Ubuntu 20.04?

A. 

很遗憾,由于这两个版本的操作系统差异过多,因此无法执行免重装升级。如果您当前使用的系统运行的是 Ubuntu 16.04,而且您已将 Dashboard 升级到版本 2.3.0,请在系统 > 备份页面中备份 Dashboard。然后,您可以使用 Ubuntu 20.04 重新构建 Dashboard,或者在运行 Ubuntu 20.04 的系统中安装新的 Dashboard。最后,请在新 Dashboard 中恢复旧 Dashboard 的备份数据。

Q. 

我发现 Cisco Business Dashboard 2.3.0 增加了对 Ubuntu 20.04 (Focal Fossa) 的支持。如果我已将 Dashboard 升级到 2.3.0,可否把我的操作系统从 Ubuntu 16.04 升级到 Ubuntu 20.04?

A. 

很遗憾,由于这两个版本的操作系统差异过多,因此无法执行免重装升级。如果您当前使用的系统运行的是 Ubuntu 16.04,而且您已将 Dashboard 升级到版本 2.3.0,请在系统 > 备份页面中备份 Dashboard。然后,您可以使用 Ubuntu 20.04 重新构建 Dashboard,或者在运行 Ubuntu 20.04 的系统中安装新的 Dashboard。最后,请在新 Dashboard 中恢复旧 Dashboard 的备份数据。