Introduction
Ce document décrit comment configurer la fonction d'autorisation de support à distance dans Cisco Catalyst Center (anciennement Cisco DNA Center).
Conditions préalables
Pour pouvoir utiliser pleinement la nouvelle fonction d'autorisation de support à distance dans Cisco Catalyst Center, certains critères doivent être remplis :
· Cisco Catalyst Center doit être version 2.3.7.6 ou ultérieure.
· Le package Services d'assistance doit être installé dans Cisco Catalyst Center.
· Autorisez la prise en charge de l’autorisation à distance via le pare-feu ou le proxy : wss://prod.radkit-cloud.cisco.com:443 .
Remarque : l'autorisation de support à distance est introduite dans la version 2.3.3.x de Cisco Catalyst Center, mais ses fonctionnalités sont limitées. Seul l'accès aux périphériques réseau est autorisé. L'accès à l'interface de ligne de commande Cisco Catalyst Center n'est pas disponible dans cette version antérieure. Cisco Catalyst Center version 2.3.7.6+ offre un accès proxy à l'interface utilisateur Web, un profilage RBAC (contrôle d'accès basé sur les rôles) et un accès aux commandes sans mot de passe.
Description
Cisco RADKit (radkit.cisco.com) fournit une connectivité interactive sécurisée aux terminaux distants et aux interfaces utilisateur Web. Les fonctionnalités Cisco RADKit sont intégrées dans Cisco Catalyst Center et sont appelées Autorisation de support à distance. Lorsque les utilisateurs utilisent la fonction d'autorisation d'assistance à distance, ils peuvent faire appel au centre d'assistance technique Cisco pour accéder à distance à leur environnement Cisco Catalyst Center afin de recueillir des informations ou de résoudre des problèmes. Cela permet de réduire le temps nécessaire aux utilisateurs pour passer des appels vidéo pendant que le TAC enquête sur les problèmes qui se sont produits.
Limites
La version actuelle de l'autorisation de support à distance présente les limitations suivantes par rapport à la version autonome de RADKit :
- Lorsque l'ingénieur d'assistance exécute les commandes « maglev », « sudo » ou « rca » sur votre Cisco Catalyst Center, il vous demande des informations d'identification. L'autorisation de support à distance n'automatise pas la gestion de ces informations d'identification. Vous devez donc les partager avec l'ingénieur du support technique. (Fonctionnalité ajoutée dans Cisco Catalyst Center 2.3.7.6+)
- Grâce au service d'autorisation de suppression de l'assistance, il n'est pas possible de se connecter à l'interface graphique utilisateur (GUI) de Cisco Catalyst Center ou à toute interface graphique utilisateur des périphériques réseau. (Fonctionnalité ajoutée dans Cisco Catalyst Center 2.3.7.6+)
- Il n'est pas possible de fournir un accès à distance à des périphériques qui ne figurent pas dans l'inventaire de Cisco Catalyst Center, mais qui doivent être nécessaires pour le dépannage (par exemple ISE).
- Il n'est pas possible de fournir un accès à distance aux points d'accès sans fil, même s'ils figurent dans l'inventaire Cisco Catalyst Center.
- L'accès à distance est limité à 24 heures à la fois, afin de fournir un accès plus long, une nouvelle autorisation doit être créée toutes les 24 heures.
- En créant une autorisation, vous autorisez l'accès à tous les périphériques de l'inventaire Cisco Catalyst Center. Il n'est pas possible de restreindre l'accès à certains périphériques réseau.
Pour surmonter ces limitations, vous pouvez envisager d'installer le service RADKit autonome à la place. Les programmes d'installation sont disponibles pour Windows, Mac et Linux. Pour plus d'informations, consultez le site https://radkit.cisco.com
-
Connectivité réseau
Cisco Catalyst Center se connecte au connecteur Cisco RADKit sur AWS. Le connecteur Cisco RADKit est intégré à la fonction d'autorisation de support à distance. Le TAC se connecte au connecteur Cisco RADKit sur AWS et utilise un client Cisco RADKit. Une fois qu'un ID de support est généré par l'environnement Cisco Catalyst Center, le client Cisco RADKit utilise l'ID de support pour se connecter à Cisco Catalyst Center.
Configurer l'autorisation de support à distance
Pour que l'autorisation de support à distance soit activée afin que le TAC puisse s'engager à distance, les étapes suivantes doivent être effectuées :
1. Assurez-vous que le pare-feu autorise le passage de l'URL requise.
2. Installez le package Services d'assistance.
3. Configurez les informations d'identification SSH pour le workflow d'autorisation de support à distance. (Plus nécessaire dans les versions 2.3.7.6 et ultérieures de Cisco Catalyst Center)
4. Créez une nouvelle autorisation.
Étape 1
Pour que l'autorisation de support à distance fonctionne, le connecteur Cisco Catalyst Center doit pouvoir communiquer avec le connecteur AWS. Pour assurer cette communication, cette URL doit être autorisée à travers le pare-feu si l'un d'entre eux est configuré :
wss://prod.radkit-cloud.cisco.com:443
Conseil : pour plus d'informations sur les ports et les URL spécifiques qui doivent être autorisés/ouverts pour que les fonctionnalités de Cisco Catalyst Center fonctionnent, consultez la section Planifier le déploiement du Guide d'installation.
Étape 2
Une fois qu'une nouvelle installation ou une mise à niveau de Cisco Catalyst Center vers la version 2.3.5.x ou ultérieure est terminée, le package Services de support doit être installé manuellement. Il s'agit d'un package facultatif qui n'est pas installé par défaut. Accédez à l'interface utilisateur de Cisco Catalyst Center. Dans l'écran d'accueil de l'interface utilisateur de Cisco Catalyst Center, sélectionnez l'icône de cloud en haut à droite de l'écran et sélectionnez Go to Software Management.
Une fois sur la page Software Management, vous voyez la version actuellement installée, toute version disponible pour la mise à niveau et tous les packages facultatifs disponibles. Le package Services de support est un package facultatif qui n'est pas installé automatiquement après une nouvelle installation ou une mise à niveau terminée lorsque le package n'a pas été précédemment déployé. Cliquez sur la case du package Services de support dans la liste des packages disponibles, puis cliquez sur le bouton Installer en bas à droite de l'écran.
Une fenêtre contextuelle apparaît pour une vérification de dépendance pour le ou les packages sélectionnés. Lorsque la vérification est terminée, cliquez sur Continuer.
Le(s) package(s) sélectionné(s) commence(nt) ensuite à être installé. La longueur de ce processus dépend du nombre de packages actuellement dans le processus de déploiement. Lorsque le package est en cours de déploiement, une bannière orange apparaît en haut de l'écran indiquant que les services d'automatisation et d'assurance ont été temporairement interrompus. Cela se produit en raison du nouveau pod de service de support qui est créé et qui est en cours de démarrage.
Après environ 10 à 20 minutes, le nouveau pod est entièrement opérationnel et l'installation du package Services d'assistance est terminée. Une fois le package installé, actualisez le navigateur et passez à l'étape 3.
Étape 3
L'accès complet à la fonctionnalité d'autorisation de support à distance nécessite que les informations d'identification SSH soient configurées dans les paramètres d'autorisation de support à distance. Sans ces informations d'identification définies, le TAC ne peut pas utiliser Cisco RADKit pour effectuer un dépannage à distance. Pour configurer les informations d'identification SSH, accédez à l'icône représentant un point d'interrogation en haut à droite de l'interface utilisateur de Cisco Catalyst Center. Dans la liste, sélectionnez Remote Support Authorization.
Remarque : l'autorisation de support à distance s'affiche uniquement après l'installation du package Services de support et l'actualisation du navigateur. Reportez-vous à l'étape 2 pour savoir comment y parvenir.
Remarque : les informations d'identification SSH ne doivent plus être configurées dans la page Remote Support Authorization à partir de la version 2.3.7.6 et des versions ultérieures. Cela fait partie de la nouvelle fonctionnalité sans mot de passe. Cisco Catalyst Center extrait les informations d'identification déjà stockées en interne, de sorte qu'aucune information d'identification ne doit être configurée ou partagée pour le TAC.
Vous êtes redirigé vers la page d'autorisation du support à distance. Comme c'est la première fois que vous accédez à cette page après l'installation du package Services de support, vous ne voyez que l'écran Créer une nouvelle autorisation.
Étape 4
Sélectionnez Créer une autorisation de support à distance.
Vous êtes redirigé vers la page Accord d'autorisation d'accès. Cette page propose deux options :
· Nouvelles connexions VTY entre Cisco Catalyst Center et les périphériques gérés dans l'inventaire.
· Accès à l'interface de ligne de commande des appareils Cisco Catalyst Center
Pour établir une connexion SSH avec les périphériques réseau gérés par Cisco Catalyst Center, la première option doit être sélectionnée. Si cette option n'est pas sélectionnée, les ingénieurs du centre d'assistance technique n'ont pas la possibilité d'installer SSH dans les périphériques avec Cisco RADKit. Pour établir une connexion SSH avec les appareils Cisco Catalyst Center, vous devez sélectionner la deuxième option. Si cette option n'est pas sélectionnée, les ingénieurs du TAC ne peuvent pas accéder au Cisco Catalyst Center avec Cisco RADKit. Pour optimiser l'utilisation de la fonction d'autorisation de support à distance, il est recommandé de sélectionner les deux options. Une fois les options sélectionnées, cliquez sur Next (Suivant).
Vous êtes redirigé vers une page de workflow pour démarrer la configuration de l'autorisation. Vous devez saisir l'adresse e-mail de l'ingénieur TAC et le rôle d'accès. Par exemple : « ciscotac@cisco.com » et « OBSERVER-ROLE ».
Ces deux champs sont facultatifs :
· Numéro(s) SR existant(s)
· Justification de l'accès
Si vous avez une demande de service TAC ouverte, veuillez saisir ce numéro de demande de service dans le champ Numéro(s) de demande de service existant(s).
Si vous souhaitez ajouter de la documentation pour l'autorisation de support à distance, indiquez-la dans le champ Access Justification, par exemple « Required by the TAC to help troubleshoot an issue seen » (Requis par le TAC pour aider à résoudre un problème détecté). Cliquez sur Next (Suivant).
Remarque : la possibilité d'utiliser l'interface utilisateur graphique pour générer l'analyse RCA ou mini-RCA, exécuter des contrôles d'outil de validation ou exécuter des rapports est désactivée pour l'accès OBSERVER-ROLE, car il s'agit d'un rôle d'accès en lecture seule pour le moment.
Vous êtes redirigé vers l'étape Programmer l'accès. À partir de là, vous devez choisir Maintenant ou Plus tard. Vous pouvez commencer l'autorisation immédiatement ou la programmer à l'avance.
Remarque : l'autorisation ne peut être planifiée à l'avance que pendant 30 jours à compter de la date de création de la demande d'autorisation.
Remarque : veuillez noter que la demande d'autorisation a une durée de 24 heures. Bien que l'autorisation puisse être annulée plus tôt, la durée ne peut pas être modifiée à partir de 24 heures.
Vous êtes redirigé vers la page Résumé qui répertorie tous les éléments configurés avec le workflow Créer une autorisation de support à distance. Vous pouvez confirmer que les paramètres sont corrects. Si les paramètres sont corrects, cliquez sur Créer.
Cliquez sur Créer pour passer à l'étape finale. Vous êtes redirigé vers une page qui indique que l'autorisation a été créée. Les éléments clés de cette page sont les suivants :
· Adresse e-mail du technicien TAC
· Heure de début prévue et durée de l'autorisation
· ID de support
Remarque : l'ingénieur TAC a besoin de l'ID d'assistance pour pouvoir se connecter au client Cisco RADKit à cette demande d'autorisation. Copiez les informations fournies et envoyez-les à l'ingénieur TAC.
Dans cette page, vous avez la possibilité de choisir Créer une autre autorisation, Afficher toutes les autorisations, Afficher la page Activité ou Afficher les flux de travail. S'il n'est pas nécessaire de créer une autre autorisation, vous pouvez choisir Afficher toutes les autorisations pour afficher toutes les autorisations actuelles et passées. La page Visualiser l'activité vous redirige vers la page Journaux d'audit. L'option Afficher toutes les autorisations vous redirige vers la page Autorisations actuelles de la section Autorisation de support à distance. Vous pouvez afficher toutes les autorisations, planifiées ou actives. Cliquez sur une autorisation pour ouvrir une fenêtre latérale qui affiche les paramètres configurés avec le workflow Créer une autorisation de support à distance.
Vous pouvez choisir d'annuler l'autorisation ou d'afficher les journaux d'audit de ce que l'ingénieur du centre d'assistance technique a fait de votre déploiement. Vous pouvez choisir de passer à l'onglet Autorisations passées pour obtenir des informations historiques sur les autorisations précédentes. Sélectionnez Afficher les journaux à rediriger vers la page Journaux d'audit. Dans la page Journaux d'audit, vous pouvez choisir Filtrer, puis filtrer par Description avec l'adresse e-mail de l'ingénieur TAC.
Cliquez sur Appliquer. Cela ajoute un filtre basé sur l'adresse e-mail de l'ingénieur TAC, comme indiqué dans la description des journaux d'audit lorsque Cisco RADKit est utilisé pour accéder à distance au déploiement.
À partir des journaux d'audit, vous pouvez voir exactement ce qu'a fait l'ingénieur du centre d'assistance technique et quand il s'est connecté.
Avertissement : la fonctionnalité d'autorisation de support à distance de Cisco Catalyst Center version 2.3.7.6 est testée avec le client Cisco RADKit 1.6.11.