Configurer la fonction d'autorisation de support à distance Catalyst Center

Introduction

Ce document décrit comment configurer la fonction d'autorisation de support à distance dans Cisco Catalyst Center (anciennement Cisco DNA Center).

Conditions préalables

Pour pouvoir utiliser pleinement la nouvelle fonction d'autorisation de support à distance dans Cisco Catalyst Center, certains critères doivent être remplis :

· Cisco Catalyst Center doit être version 2.3.7.6 ou ultérieure.
· Le package Services d'assistance doit être installé dans Cisco Catalyst Center.
· Autorisez la prise en charge de l’autorisation à distance via le pare-feu ou le proxy : wss://prod.radkit-cloud.cisco.com:443 .

Description

Cisco RADKit (radkit.cisco.com) fournit une connectivité interactive sécurisée aux terminaux distants et aux interfaces utilisateur Web. Les fonctionnalités Cisco RADKit sont intégrées dans Cisco Catalyst Center et sont appelées Autorisation de support à distance. Lorsque les utilisateurs utilisent la fonction d'autorisation d'assistance à distance, ils peuvent faire appel au centre d'assistance technique Cisco pour accéder à distance à leur environnement Cisco Catalyst Center afin de recueillir des informations ou de résoudre des problèmes. Cela permet de réduire le temps nécessaire aux utilisateurs pour passer des appels vidéo pendant que le TAC enquête sur les problèmes qui se sont produits.

Limites

La version actuelle de l'autorisation de support à distance présente les limitations suivantes par rapport à la version autonome de RADKit :

- Lorsque l'ingénieur d'assistance exécute les commandes « maglev », « sudo » ou « rca » sur votre Cisco Catalyst Center, il vous demande des informations d'identification. L'autorisation de support à distance n'automatise pas la gestion de ces informations d'identification. Vous devez donc les partager avec l'ingénieur du support technique. (Fonctionnalité ajoutée dans Cisco Catalyst Center 2.3.7.6+)

- Grâce au service d'autorisation de suppression de l'assistance, il n'est pas possible de se connecter à l'interface graphique utilisateur (GUI) de Cisco Catalyst Center ou à toute interface graphique utilisateur des périphériques réseau. (Fonctionnalité ajoutée dans Cisco Catalyst Center 2.3.7.6+)

- Il n'est pas possible de fournir un accès à distance à des périphériques qui ne figurent pas dans l'inventaire de Cisco Catalyst Center, mais qui doivent être nécessaires pour le dépannage (par exemple ISE).

- Il n'est pas possible de fournir un accès à distance aux points d'accès sans fil, même s'ils figurent dans l'inventaire Cisco Catalyst Center.

- L'accès à distance est limité à 24 heures à la fois, afin de fournir un accès plus long, une nouvelle autorisation doit être créée toutes les 24 heures.

- En créant une autorisation, vous autorisez l'accès à tous les périphériques de l'inventaire Cisco Catalyst Center. Il n'est pas possible de restreindre l'accès à certains périphériques réseau.

Pour surmonter ces limitations, vous pouvez envisager d'installer le service RADKit autonome à la place. Les programmes d'installation sont disponibles pour Windows, Mac et Linux. Pour plus d'informations, consultez le site https://radkit.cisco.com

- 

Connectivité réseau

Cisco Catalyst Center se connecte au connecteur Cisco RADKit sur AWS. Le connecteur Cisco RADKit est intégré à la fonction d'autorisation de support à distance. Le TAC se connecte au connecteur Cisco RADKit sur AWS et utilise un client Cisco RADKit. Une fois qu'un ID de support est généré par l'environnement Cisco Catalyst Center, le client Cisco RADKit utilise l'ID de support pour se connecter à Cisco Catalyst Center.

Configurer l'autorisation de support à distance

Pour que l'autorisation de support à distance soit activée afin que le TAC puisse s'engager à distance, les étapes suivantes doivent être effectuées :
1. Assurez-vous que le pare-feu autorise le passage de l'URL requise.
2. Installez le package Services d'assistance.
3. Configurez les informations d'identification SSH pour le workflow d'autorisation de support à distance. (Plus nécessaire dans les versions 2.3.7.6 et ultérieures de Cisco Catalyst Center)
4. Créez une nouvelle autorisation.

Étape 1

Pour que l'autorisation de support à distance fonctionne, le connecteur Cisco Catalyst Center doit pouvoir communiquer avec le connecteur AWS. Pour assurer cette communication, cette URL doit être autorisée à travers le pare-feu si l'un d'entre eux est configuré :
wss://prod.radkit-cloud.cisco.com:443

Étape 2

Une fois qu'une nouvelle installation ou une mise à niveau de Cisco Catalyst Center vers la version 2.3.5.x ou ultérieure est terminée, le package Services de support doit être installé manuellement. Il s'agit d'un package facultatif qui n'est pas installé par défaut. Accédez à l'interface utilisateur de Cisco Catalyst Center. Dans l'écran d'accueil de l'interface utilisateur de Cisco Catalyst Center, sélectionnez l'icône de cloud en haut à droite de l'écran et sélectionnez Go to Software Management.

Une fois sur la page Software Management, vous voyez la version actuellement installée, toute version disponible pour la mise à niveau et tous les packages facultatifs disponibles. Le package Services de support est un package facultatif qui n'est pas installé automatiquement après une nouvelle installation ou une mise à niveau terminée lorsque le package n'a pas été précédemment déployé. Cliquez sur la case du package Services de support dans la liste des packages disponibles, puis cliquez sur le bouton Installer en bas à droite de l'écran.

Une fenêtre contextuelle apparaît pour une vérification de dépendance pour le ou les packages sélectionnés. Lorsque la vérification est terminée, cliquez sur Continuer.
Le(s) package(s) sélectionné(s) commence(nt) ensuite à être installé. La longueur de ce processus dépend du nombre de packages actuellement dans le processus de déploiement. Lorsque le package est en cours de déploiement, une bannière orange apparaît en haut de l'écran indiquant que les services d'automatisation et d'assurance ont été temporairement interrompus. Cela se produit en raison du nouveau pod de service de support qui est créé et qui est en cours de démarrage.

Après environ 10 à 20 minutes, le nouveau pod est entièrement opérationnel et l'installation du package Services d'assistance est terminée. Une fois le package installé, actualisez le navigateur et passez à l'étape 3.

Étape 3

L'accès complet à la fonctionnalité d'autorisation de support à distance nécessite que les informations d'identification SSH soient configurées dans les paramètres d'autorisation de support à distance. Sans ces informations d'identification définies, le TAC ne peut pas utiliser Cisco RADKit pour effectuer un dépannage à distance. Pour configurer les informations d'identification SSH, accédez à l'icône représentant un point d'interrogation en haut à droite de l'interface utilisateur de Cisco Catalyst Center. Dans la liste, sélectionnez Remote Support Authorization.

Vous êtes redirigé vers la page d'autorisation du support à distance. Comme c'est la première fois que vous accédez à cette page après l'installation du package Services de support, vous ne voyez que l'écran Créer une nouvelle autorisation.

Étape 4

Sélectionnez Créer une autorisation de support à distance.

Vous êtes redirigé vers la page Accord d'autorisation d'accès. Cette page propose deux options :
· Nouvelles connexions VTY entre Cisco Catalyst Center et les périphériques gérés dans l'inventaire.
· Accès à l'interface de ligne de commande des appareils Cisco Catalyst Center
Pour établir une connexion SSH avec les périphériques réseau gérés par Cisco Catalyst Center, la première option doit être sélectionnée. Si cette option n'est pas sélectionnée, les ingénieurs du centre d'assistance technique n'ont pas la possibilité d'installer SSH dans les périphériques avec Cisco RADKit. Pour établir une connexion SSH avec les appareils Cisco Catalyst Center, vous devez sélectionner la deuxième option. Si cette option n'est pas sélectionnée, les ingénieurs du TAC ne peuvent pas accéder au Cisco Catalyst Center avec Cisco RADKit. Pour optimiser l'utilisation de la fonction d'autorisation de support à distance, il est recommandé de sélectionner les deux options. Une fois les options sélectionnées, cliquez sur Next (Suivant).

Vous êtes redirigé vers une page de workflow pour démarrer la configuration de l'autorisation. Vous devez saisir l'adresse e-mail de l'ingénieur TAC et le rôle d'accès. Par exemple : « ciscotac@cisco.com » et « OBSERVER-ROLE ».
Ces deux champs sont facultatifs :
· Numéro(s) SR existant(s)

· Justification de l'accès
Si vous avez une demande de service TAC ouverte, veuillez saisir ce numéro de demande de service dans le champ Numéro(s) de demande de service existant(s).
Si vous souhaitez ajouter de la documentation pour l'autorisation de support à distance, indiquez-la dans le champ Access Justification, par exemple « Required by the TAC to help troubleshoot an issue seen » (Requis par le TAC pour aider à résoudre un problème détecté). Cliquez sur Next (Suivant).

Vous êtes redirigé vers l'étape Programmer l'accès. À partir de là, vous devez choisir Maintenant ou Plus tard. Vous pouvez commencer l'autorisation immédiatement ou la programmer à l'avance.

Vous êtes redirigé vers la page Résumé qui répertorie tous les éléments configurés avec le workflow Créer une autorisation de support à distance. Vous pouvez confirmer que les paramètres sont corrects. Si les paramètres sont corrects, cliquez sur Créer.

Cliquez sur Créer pour passer à l'étape finale. Vous êtes redirigé vers une page qui indique que l'autorisation a été créée. Les éléments clés de cette page sont les suivants :
· Adresse e-mail du technicien TAC
· Heure de début prévue et durée de l'autorisation
· ID de support

Dans cette page, vous avez la possibilité de choisir Créer une autre autorisation, Afficher toutes les autorisations, Afficher la page Activité ou Afficher les flux de travail. S'il n'est pas nécessaire de créer une autre autorisation, vous pouvez choisir Afficher toutes les autorisations pour afficher toutes les autorisations actuelles et passées. La page Visualiser l'activité vous redirige vers la page Journaux d'audit. L'option Afficher toutes les autorisations vous redirige vers la page Autorisations actuelles de la section Autorisation de support à distance. Vous pouvez afficher toutes les autorisations, planifiées ou actives. Cliquez sur une autorisation pour ouvrir une fenêtre latérale qui affiche les paramètres configurés avec le workflow Créer une autorisation de support à distance.

Vous pouvez choisir d'annuler l'autorisation ou d'afficher les journaux d'audit de ce que l'ingénieur du centre d'assistance technique a fait de votre déploiement. Vous pouvez choisir de passer à l'onglet Autorisations passées pour obtenir des informations historiques sur les autorisations précédentes. Sélectionnez Afficher les journaux à rediriger vers la page Journaux d'audit. Dans la page Journaux d'audit, vous pouvez choisir Filtrer, puis filtrer par Description avec l'adresse e-mail de l'ingénieur TAC.

Cliquez sur Appliquer. Cela ajoute un filtre basé sur l'adresse e-mail de l'ingénieur TAC, comme indiqué dans la description des journaux d'audit lorsque Cisco RADKit est utilisé pour accéder à distance au déploiement.

À partir des journaux d'audit, vous pouvez voir exactement ce qu'a fait l'ingénieur du centre d'assistance technique et quand il s'est connecté.