本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
本文檔介紹思科的客戶體驗(CX)雲代理。思科(CX)雲代理是一個現代化的模組化本地軟體平台,託管輕型容器化微服務功能。這些功能可從雲端的客戶端安裝、設定和管理。CX Cloud Agent加速新產品的商業化,擴展功能,並幫助開發由大資料、分析、自動化、機器學習/人工智慧(ML/AI)和流驅動的下一代服務。
注意:本指南僅供CX Cloud Agent v2.0使用者使用。請參閱Cisco CX雲代理以獲取其他相關資訊。
CX Cloud Agent 架構
附註:本指南中的影像(以及其中的內容)僅供參考。實際內容可能有所不同。
CX Cloud Agent 以虛擬機器 (VM) 的形式執行,並且可做為開放式虛擬裝置 (OVA) 或虛擬硬碟 (VHD) 下載。
部署要求:
CX Cloud Agent 的其他附註:
要開始CX雲之旅,使用者需要訪問這些域。
主要網域 |
其他網域 |
cisco.com |
mixpanel.com |
csco.cloud |
cloudfront.net |
split.io |
eum-appdynamics.com |
appdynamics.com |
|
tiqcdn.com |
|
jquery.com |
區域特定的領域:
美洲 |
歐洲、中東與非洲地區 |
亞太地區、日本及中國 |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud |
agent.us.csco.cloud |
agent.us.csco.cloud |
ng.acs.agent.us.csco.cloud |
agent.emea.csco.cloud |
agent.apjc.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
在升級到CX Cloud Agent v2.0之前,必須滿足本節中列出的前提條件。
Exit。
- 確保客戶的網路允許關鍵域訪問中的域名在遷移期間完成雲代理重新註冊。CX雲代理必須能夠訪問這些域,並且這些域必須可以從DNS伺服器進行解析。 如果任何網域無法連線,請連絡網路小組。
- 在啟動v2.0升級前拍攝雲代理VM快照(需要正確的訪問)。
注意:1.10之前的版本必須首先升級到v1.10,然後升級到v1.12.x,再升級到v2.0。使用者可以從CX雲門戶中的管理員設定>資料來源進行升級。按一下View Update按一下完成升級。
成功安裝必須符合以下條件:
- DNAC及其憑據的清單
- 具有管理員或觀察者角色訪問許可權的DNAC使用者
- DNAC群集的虛擬IP地址或獨立/物理IP地址
- 雲代理和DNAC之間的成功可接通性
- DNAC必須至少有一個(1)受管裝置
Cisco DNA 中心認證版本
需要通過認證的單一節點和 HA 叢集思科數位網路架構 (DNA) 中心版本,從 1.2.8 至 1.3.3.9 和 2.1.2.0 至 2.2.3.5。
多節點 HA 叢集 Cisco DNA 中心
支援的瀏覽器
要獲得Cisco.com上的最佳體驗,我們建議使用以下瀏覽器的最新正式版本:
- Google Chrome
- Microsoft Edge
- Mozilla Firefox
部署CX雲代理
若要部署 CX Cloud Agent:
- 按一下 cx.cisco.com 以登入 CX Cloud。
- 選擇
Campus Network,然後導航到ASSETS & COVERAGE磁貼。
- 按一下標語中的Set Up CX Cloud Agent。設定CX雲代理- 稽核部署要求窗口即會打開。
- 閱讀檢視部署要求中的必備條件,並選中I set up this configuration on port 443對應的覈取方塊。
附註:本指南中的影像(以及其中的內容)僅供參考。實際內容可能有所不同。
5. 按一下繼續。Set Up CX Cloud Agent - Accept the strong encryption agreement窗口打開。
6. 驗證「名字」、「姓氏」、「電子郵件」和「CCO使用者ID」欄位中預先填入的資訊。
7. 選取適當的 Business division’s function.
8. 選取Confirmation核取方塊,以同意使用條件。
9. 按一下繼續。Set Up CX Cloud Agent - Download image file窗口打開。
10. 選取適當的檔案格式,下載安裝所需的影像檔案。
11. 選中I accept覈取方塊同意思科終端使用者許可協定。
12. 按一下下載並繼續。將打開設定CX雲代理-部署並配對虛擬機器窗口。
13. 請參閱OVA安裝的網路配置,然後繼續下一部分安裝CX雲代理。
將CX雲代理連線到CX雲
- 輸入控制檯對話方塊或命令列介面(CLI)中提供的配對代碼。
- 按一下Continue以註冊CX雲代理。Set Up CX Cloud Agent - Registration successful 窗口顯示幾秒鐘,然後自動導航至Configure Connection to CX Cloud窗口
3. 輸入資料,然後按一下連線此資料來源。系統將顯示確認消息「Successfully Connected」。
註:點選Add Another Cisco DNA Center以增加多個DNAC。
4. 按一下完成連線資料來源。Data Sources 窗口打開。
部署和網路組態
可以選擇以下任一選項來部署CX雲代理:
- 如果您選取 VMware vSphere/vCenter Thick Client ESXi 5.5/6.0,請前往複雜型用戶端
- 如果您選取 VMware vSphere/vCenter Web Client ESXi 6.0,請前往 Web Client vSphere 或中心
- 如果您選取 Oracle Virtual Box 5.2.30,請前往 Oracle VM
- 如果您選取 Microsoft Hyper-V,請前往 Hyper-V
OVA 部署
複雜型用戶端 ESXi 5.5/6.0 安裝
此客戶端允許使用vSphere厚客戶端部署CX雲代理OVA。
- 下載映像後,請啟動VMware vSphere客戶端並登入。
登入
- 導覽至
File > Deploy OVF Template.
vSphere 用戶端
- 瀏覽並選擇OVA檔案並按一下
Next。
OVA 路徑
- 驗證
OVF Details並按一下Next。
範本詳細資料
- 輸入
Unique Name(應使用介面編號替換此處的x),然後按一下Next。
名稱與位置
- 選擇
Disk Format並按一下Next (建議使用「精簡配置」)。
磁碟格式
- 選中
Power on after deployment複選框,然後按一下Finish。
準備完成
部署可能需要幾分鐘的時間。請稍候,直到收到成功訊息為止。
部署進行中
部署已完成
- 選擇剛部署的VM,打開控制檯並轉到Network Configuration。
Web 用戶端 ESXi 6.0 安裝
此客戶端使用vSphere Web部署CX雲代理OVA。
- 使用用於部署VM的ESXi/Hypervisor憑證登入到VMWare UI。
VMware ESXi 登入
- 選擇
Virtual Machine > Create / Register VM。
建立 VM
OVA 部署
- 選擇
Deploy a virtual machine from an OVF or OVA file,然後按一下Next。
- 輸入VM的名稱,瀏覽以選擇檔案,或拖放下載的OVA檔案。
- 按一下
Next。
OVA 選擇
- 選擇
Standard Storage,然後按一下Next。
選取儲存裝置
部署選項
- 選擇適當的部署選項,然後按一下
Next。
準備完成
成功完成
- 檢視設定並按一下
Finish。
- 選擇剛部署的VM,然後選擇
Console > Open browser console。
開啟主控台
- 導覽至「Network Configuration」(網路組態)。
Web 用戶端 vCenter 安裝
- 使用ESXi/Hypervisor憑證登入vCenter客戶端。
登入
主螢幕
- 在「首頁」上,按一下
Hosts and Clusters。
- 選擇VM並按一下
Action > Deploy OVF Template。
動作
選取範本
- 直接增加URL或瀏覽以選擇OVA檔案,然後按一下
Next。
- 輸入唯一名稱,並在需要時瀏覽至該位置。
- 按一下
Next。
名稱和資料夾
- 選擇計算資源並按一下
Next。
選取計算資源
- 檢視詳細資訊並按一下
Next。
檢閱詳細資料
- 選擇虛擬磁碟格式並按一下
Next。
選取儲存裝置
- 按一下
Next。
選取網路
- 按一下
Finish。
準備完成
- 增加了一個新的VM。按一下其名稱以檢視狀態。
已增加VM
- 安裝後,請打開虛擬機器並打開控制檯。
開啟主控台 - 導覽至「Network Configuration」(網路組態)。
Oracle Virtual Box 5.2.30 安裝
此客戶端透過Oracle Virtual Box部署CX Cloud Agent OVA。
Oracle VM
- 打開Oracle VM UI,然後選擇
File>Import Appliance。
- 瀏覽以匯入 OVA 檔案。
選取檔案
- 按一下
Import。
匯入檔案
- 選擇剛部署的VM,然後按一下
Start。
VM 主控台啟動
匯入進行中
- 開啟虛擬機器器電源。控制檯會顯示出來。
開啟主控台
- 導覽至「Network Configuration」(網路組態)。
Microsoft Hyper-V 安裝
- 選擇
Import Virtual Machine。
Hyper-V 管理員
- 瀏覽並選取下載資料夾。
- 按一下
Next。
要匯入的資料
- 選擇VM並按一下
Next。
選取 VM
- 選擇
Copy the virtual machine (create a new unique ID) 單選按鈕,然後按一下Next。
匯入類型
- 瀏覽以選取 VM 檔案的資料夾。建議使用預設路徑。
- 按一下
Next。
選擇資料夾
- 瀏覽並選取要存放 VM 硬碟的資料夾。建議使用預設路徑。
- 按一下
Next。
要存放虛擬硬碟的資料夾
- 將顯示VM摘要。驗證所有輸入並按一下
Finish。
摘要
- 成功完成匯入後,會在Hyper-V上建立新的VM。請開啟VM設定。
- 在左窗格中選擇網路介面卡,並從下拉選單中選擇可用
Virtual Switch。
虛擬交換器
- 選擇
Connect以啟動VM。
正在啟動 VM
- 導覽至「Network Configuration」(網路組態)。
網路設定
VM 主控台
- 按一下
Set Password為cxcadmin增加新口令,或按一下Auto Generate Password獲取新口令。
設定密碼
- 如果選擇
Set Password,請輸入cxcadmin的密碼並進行確認。按一下Set Password並轉到步驟3。
新密碼
或者,如果選擇Auto Generate Password,則複製生成的密碼並儲存它以供將來使用。按一下Save Password並轉到步驟4。
自動產生密碼
- 按一下
Save Password以將其用於身份驗證。
儲存密碼
- 輸入
IP Address、 Subnet Mask、 Gateway和DNS Server ,然後按一下Continue。
網路設定
- 確認條目並按一下
Yes,Continue。
確認
- 要設定代理詳細資訊,請按一下
Yes,Set Up Proxy 或按一下No, Continue to Configuration完成配置並轉到步驟8。
Proxy
- 輸入
Proxy Address、Port Number、Username和Password。
Proxy 組態
- 按一下
Begin Configuration。完成配置可能需要幾分鐘的時間。
設定進行中
- 複製
Pairing Code並返回到CX雲以繼續安裝。
配對程式碼
10. 如果「配對代碼」過期,請按一下Register to CX Cloud以再次獲取代碼。
程式碼已到期
11. 按一下OK。
註冊成功
12. 返回將CX雲代理連線到CX雲部分並執行所列的步驟。
使用CLI生成配對代碼的備選方法
使用者還可以使用CLI選項生成配對代碼。
要使用CLI生成配對代碼,請執行以下操作:
- 使用cxcadmin使用者憑證透過SSH登入到Cloud Agent。
- 使用 cxcli agent generatePairingCode 命令產生配對程式碼。
產生配對程式碼 CLI
- 複製
Pairing Code並返回到CX雲以繼續安裝。有關詳細資訊,請參閱連線到客戶門戶。
配置Cisco DNA Center以將Syslog轉發到CX雲代理
必備條件
支援的Cisco DNA Center版本為1.2.8到1.3.3.9和2.1.2.0到2.2.3.5。
設定系統日誌轉送設定
要使用UI在Cisco DNA Center中配置Syslog Forwarding to CX Cloud Agent,請執行以下步驟:
- 啟動 Cisco DNA 中心。
- 轉至
Design > Network Settings>Network。
- 對於每個站台,新增 CX Cloud Agent IP 做為系統日誌伺服器。
系統日誌伺服器
附註:
- 配置完成後,與該站點關聯的所有裝置都將配置為向CX雲代理傳送級別為「關鍵」的系統日誌。
- 裝置必須關聯到站點,才能啟用從裝置到CX雲代理的系統日誌轉發。
- 更新syslog伺服器設定時,與該站點關聯的所有裝置將自動設定為預設關鍵級別。
啟用資訊級別系統日誌設定
要顯示Syslog Information級別,請執行以下步驟:
- 導覽至
Tools > Telemetry
.
工具功能表
2. 選取並展開Site View 並從地點階層中選取地點。
站台檢視
3. 使用Device name核取方塊選取所需地點並選取所有裝置。
4. 從Actions下拉清單中選擇Optimal Visibility。
動作
安全性
CX Cloud Agent可確保客戶的端到端安全性。CX Cloud和CX Cloud Agent之間的連線已加密。CX雲代理的安全套接字外殼(SSH)支援11個不同的密碼。
實體安全
在安全的VMware伺服器公司中部署CX雲代理OVA映像。OVA 是透過思科軟體下載中心所安全分享。開機載入器(單一使用者模式)密碼是使用隨機的唯一密碼設定的。使用者必須參閱常見問題來設定此開機載入器(單一使用者模式)密碼。
使用者存取
CX雲使用者只能獲得身份驗證並訪問雲代理API。
帳戶安全性
在部署時,會建立cxcadmin使用者帳戶。在初始配置期間,使用者將被強制設定密碼。cxcadmin使用者/憑據用於訪問CX雲代理API和透過SSH連線裝置。
cxcadmin使用者以最低許可權限制存取。cxcadmin密碼遵循安全策略,是單向雜湊密碼,有效期為90天。cxcadmin使用者可以使用名為remoteaccount的實用程式建立cxcroot使用者。cxcroot 使用者可獲得根權限。複雜密碼將在兩天後過期。
網路安全
CX雲代理VM可使用ssh和cxcadmin使用者憑據進行訪問。傳入連接埠限制為 22 (ssh),514(Syslog)。
驗證
基於密碼的身份驗證:裝置維護單個使用者-「cxcadmin」,使使用者能夠進行身份驗證並與CX雲代理通訊。
- 使用 ssh 在設備上進行根權限動作
cxcadmin使用者可以使用名為remoteaccount的實用程式建立cxcroot使用者。此公用程式顯示RSA/ECB/PKCS1v1_5加密密碼,該密碼只能從SWIM入口網站(https://swims.cisco.com/abraxas/decrypt)解密。只有授權人員可以存取此入口網站。cxcroot使用者可以使用此解密密碼取得root許可權。密碼短語的有效期僅為兩天。cxcadmin使用者需要重新建立帳戶並從SWIM門戶獲取密碼過期後的密碼。
強化
CX Cloud Agent裝置遵循CIS強化標準。
資料安全
CX Cloud Agent 設備不會儲存任何客戶個人資訊。
裝置認證應用程式(以其中一個 Pod 執行)會將加密的 Cisco DNA 中心伺服器認證儲存在安全的資料庫內。Cisco DNA 中心收集的資料不會以任何形式儲存在設備內部。收集完成後,收集的資料會很快地上傳至後端,並從代理清除資料。
資料傳輸
註冊包包含所需的唯一X.509裝置證書和金鑰,用於與Iot核心建立安全連線。使用該代理透過TLS v1.2使用MQTT建立安全連線
記錄與監視
記錄不包含任何形式的敏感資訊。稽核日誌捕獲在CX Cloud Agent裝置上執行的所有安全敏感型操作。
安全摘要
安全性功能
說明
開機載入器密碼
開機載入器(單一使用者模式)密碼是使用隨機的唯一密碼設定的。使用者必須參照常見問題來設定此開機載入器(單一使用者模式)密碼。
使用者存取
SSH:
- 使用 cxcadmin 使用者存取設備需要安裝期間建立的認證。
- 使用cxcroot使用者訪問裝置需要授權人員使用SWIM門戶解密憑證。
使用者帳戶
- cxcadmin:這是建立的預設使用者帳戶。使用者可以使用cxcli執行CX Cloud Agent應用程式命令,並且對該裝置的許可權最低。cxcroot使用者及其加密密碼是使用cxcadmin使用者生成的
- cxcroot: cxcadmin可以使用實用程式「remoteaccount」建立此使用者。使用者可獲得此帳戶的根權限。
cxcadmin 密碼原則
- 密碼是使用 SHA-256 的單向雜湊,並安全地存放。
- 最少八(8)個字元,包含下列三種類別:大寫、小寫、數字及特殊字元
cxcroot 密碼原則
- cxcroot 密碼為加密的 RSA/ECB/PKCS1v1_5。
- 產生的複雜密碼需要在 SWIM 入口網站中解密。
- cxcroot 使用者和密碼的有效期限最多兩天,並且可使用 cxcadmin 使用者重新產生。
ssh 登入密碼原則
- 最少八(8)個字元,包含下列三種類別:大寫、小寫、數字及特殊字元。
- 5次失敗的登入嘗試會將方塊鎖定30分鐘。密碼將於 90 天後到期。
連接埠
開啟傳入連接埠 – 514(Syslog) 和 22 (ssh)
資料安全
未儲存任何客戶資訊。
未儲存任何裝置資料。
Cisco DNA 中心伺服器認證已加密並儲存在資料庫中。
常見問題
CX Cloud Agent
部署
問 - 使用者是否可透過「Re-install」(重新安裝)選項來部署帶有新 IP 位址的新 Cloud Agent?
答 - 是
問:安裝可用的檔案格式有哪些?
答 - OVA 和 VHD
問 - 可部署的安裝環境為何?
答 - OVA
VMWare ESXi 5.5或更高版本
Oracle Virtual Box 5.2.30或更高版本
VHD
Windows Hypervisor 2012至2016
問 - CX Cloud Agent 是否可在 DHCP 環境中偵測 IP 位址?
答 - 是,如果是在 DHCP 環境中,會在 IP 設定期間處理 IP 位址指派。不過,不支援未來任何時候對 CX Cloud Agent 預期的 IP 位址變更。此外,建議客戶在其 DHCP 環境中,對 Cloud Agent 保留 IP。
問 - CX Cloud Agent 是否同時支援 IPv4 和 IPv6 組態?
答 - 否,僅支援 IPV4。
問 - 在 IP 設定期間,是否對 IP 位址進行驗證?
答 - 是,將驗證 IP 位址語法和重複的 IP 位址指派。
問 - OVA 部署和 IP 設定大約需要多久時間?
答 - OVA 部署取決於網路複製資料的速度而定。IP 設定大約需要 8-10 分鐘,包括 Kubernetes 和容器建立。
問 - 對於任何硬體類型是否有任何限制?
答:部署OVA的主機必須滿足作為CX門戶設定的一部分提供的要求。CX Cloud Agent使用運行在硬體上的VMware/Virtual box進行測試,該硬體的Intel Xeon E5處理器將vCPU與CPU的比率設定為2:1。如果使用效能較低的處理器CPU或較大的比率,效能可能會降低。
問 - 我們是否可以隨時產生配對程式嗎?
答 - 否,只有在未註冊 Cloud Agent 時,才會產生配對程式碼。
問:DNAC (最多10個群集或20個非群集)與代理的頻寬要求是什麼?
A -當Agent和DNAC位於客戶環境中的同一個LAN/WAN網路時,頻寬不是限制。對於5000台裝置的資產收集,最低必需的網路頻寬為2.7 Mbit/秒,對於代理到DNAC的連線來說,此值等於13000個存取點。如果為L2洞察收集系統日誌,則所需的最低頻寬為3.5 Mb/秒,涵蓋5000台裝置,其中13000台存取點用於清點,5000台裝置系統日誌和2000台裝置用於掃描-所有裝置均從代理並行運行。
版本與修補程式
問 - 針對 CX Cloud Agent 的升級所列出的不同版本有哪些?
A -此處顯示的是列出的CX Cloud Agent的發佈版本集:
- A.x.0(其中 x 是最新生產主要功能版本,例如:1.3.0)
- A.x.y (其中A.x.0是必須啟動的增量升級,x是最新的生產主要功能版本,而y是最新的即時升級修補程式,例如:1.3.1)。
- A.x.y-z (其中A.x.0是必須啟動且增量升級,x是最新生產主要功能版本,y是最新啟用的升級修補程式,z是即刻修補程式,可在很短的時間範圍內進行即時修復,例如:1.3.1-1)
其中A是跨越3-5年的長期釋放。
問:哪裡可以找到最新發佈的CX Cloud Agent版本?如何升級現有的CX Cloud Agent?
A -轉至Admin Settings>Data Sources。按一下View Update,然後執行螢幕上共用的指令。
驗證與 Proxy 組態
問 - 什麼是 CX Cloud Agent 應用程式的預設使用者?
答 - cxcadmin
問:如何設定預設使用者的密碼?
答 - 密碼是在網路設定期間設定的。
問 - 在第 0 天之後,是否有任何選項可用來重設密碼?
答 - 代理未提供任何特定選項來重設密碼,但您可以使用 linux 命令來重設 cxcadmin 的密碼。
問 - 設定 CX Cloud Agent 的密碼原則為何?
答 - 密碼原則是:
- 密碼最長使用期限(長度)設為 90 天
- 密碼最短使用期限(長度)設為 8
- 密碼長度上限為 127 個字元。
- 必須至少提供一個大寫字母和一個小寫字母。
- 必須至少包含一個特殊字元(例如,!$%^&*()_+|~-=\'{}[]:";'<>?,/)。
- 不允許使用這些字元
- 特殊的 8 位元字元(例如,¬£、√Å √´、√¥、√ë、¬ø、√ü)
- Spaces
- 密碼不能是最近使用過的10個密碼。
- 不得包含正規表示式,即
- 不得包含以下詞或其衍生詞:cisco、sanjose和sanfran
問 - 如何設定 Grub 密碼?
A -若要設定Grub密碼,請執行下列步驟:
- 以 cxcroot 執行 ssh,並提供權杖 [請聯絡支援團隊取得 cxcroot 權杖]
- 執行 sudo su,提供相同的權杖
- 執行命令 grub-mkpasswd-pbkdf2,並設定 GRUB 密碼。將列印提供之密碼的雜湊,複製該內容。
- vi to the file /etc/grub.d/00_header。導航到檔案末尾,將雜湊輸出替換為content password_pbkdf2 root*****,然後替換為您在步驟3中獲得的密碼所獲取的雜湊
- 使用 :wq! 命令儲存檔案
- 執行命令 update-grub
問:密碼cxcadmin的到期期限是多長?
答 - 密碼將於 90 天後到期。
問 - 連續嘗試登入失敗後,系統是否會停用帳戶?
答 - 是,5 次連續嘗試登入失敗後,系統會停用帳戶。鎖定期間為 30 分鐘。
問 - 如何產生複雜密碼?
A -執行這些步驟,
- 執行 ssh,並以 cxcadmin 使用者登入
- 執行remoteaccount cleanup -f命令
- 執行remoteaccount create命令
問 - Proxy 主機是否同時支援主機名稱和 IP?
A -是,但是要使用主機名,使用者必須在網路配置期間提供DNS IP。
安全殼層 SSH
問 - ssh 殼層支援的密碼是什麼?
答 - chacha20-poly1305@openssh.com、aes256-gcm@openssh.com、aes128-gcm@openssh.com、aes256-ctr、aes192-ctr、aes128-ctr
問 - 如何登入主控台?
答 - 請依照以下步驟登入:
- 以 cxcadmin 使用者身分登入。
- 提供cxcadmin密碼。
問 - ssh 登入是否有記錄?
A -是,它們記錄為var/logs/audit/audit.log的一部分。
問 - 什麼是閒置作業階段逾時?
A -如果雲代理空閒五(5)分鐘,則會發生SSH會話超時。
連接埠與服務
問 - 在 CX Cloud Agent 上,哪些連接埠會保持開啟?
A -以下埠可用:
Outbound port:部署的CX雲代理可以連線到Cisco後端,如HTTPS埠443上的表所示,也可以透過代理將資料傳送到思科。部署的 CX Cloud Agent 可以在 HTTPS 連接埠 443 連線至 Cisco DNA 中心.
.
美洲
歐洲、中東與非洲地區
亞太地區、日本及中國
cloudsso.cisco.com
cloudsso.cisco.com
cloudsso.cisco.com
api-cx.cisco.com
api-cx.cisco.com
api-cx.cisco.com
agent.us.csco.cloud
agent.emea.csco.cloud
agent.apjc.csco.cloud
ng.acs.agent.us.csco.cloud
ng.acs.agent.emea.csco.cloud
ng.acs.agent.apjc.csco.cloud
注意:除了列出的域外,當EMEA或APJC客戶重新安裝雲代理時,客戶防火牆中必須允許使用域agent.us.csco.cloud。
成功重新安裝後,不再需要域agent.us.csco.cloud。
注意:請確保埠443上必須允許返回資料流。
Inbound port:對於CX雲代理的本地管理,必須可以訪問514(Syslog)和22 (ssh)。客戶必須允許其防火牆中的埠443從CX雲接收資料。
CX Cloud Agent 與 Cisco DNA 中心的連線
問 - Cisco DNA 中心與 CX Cloud Agent 之間的目的和關係為何?
答:思科DNA中心是管理客戶駐地網路裝置的雲代理。CX Cloud Agent 會從設定的 Cisco DNA 中心收集裝置的清查資訊,並上傳在 CX Cloud 可當做「資產檢視」使用的清查資訊。
問 - 在 CX Cloud Agent 上,使用者可以在哪裡提供 Cisco DNA 中心詳細資料?
答:在「第0天- CX雲代理」設定期間,使用者可以從CX雲門戶增加思科DNA中心詳細資訊。此外,在「第N天」操作期間,使用者可從Admin Settings > Data source增加其他DNA中心。
問 - 可新增多少個 Cisco DNA 中心?
A - 10個Cisco DNAC集群或20個DNAC非集群。
問:Cisco DNA Center使用者可以扮演什麼角色?
A -使用者角色可以是admin 或observer。
問:如何反映由於連線的DNA Center憑證發生變化而對CX Agent進行的修改?
A -從CX雲代理控制檯執行以下命令:
cxcli agent modifyController
在DNAC憑證更新期間,若有任何問題,請連絡支援部門。
問 - Cisco DNA 中心詳細資料如何儲存在 CX Cloud Agent?
答 - Cisco DNA 中心認證會使用 AES-256 加密,並儲存在 CX Cloud Agent 資料庫中。CX Cloud Agent 資料庫受到安全使用者 ID 和密碼的保護。
問 - 從 CX Cloud Agent 存取 Cisco DNA Center API 時,將使用哪種加密方式?
答 - HTTPS over TLS 1.2 用於 Cisco DNA 中心和 CX Cloud Agent 之間的通訊。
問 - CX Cloud Agent 在整合的 Cisco DNA Center Cloud Agent 上執行那些操作?
答- CX雲代理收集Cisco DNA Center擁有的網路裝置相關資料,並使用Cisco DNA Center命令運行程式介面與終端裝置通話並執行CLI命令(show命令)。 不執行任何配置更改命令
問 - 從 Cisco DNA 中心收集並上傳至後端的預設資料是什麼?
答 -
- 網路實體
- 模組
- 顯示版本
- 設定
- 裝置影像資訊
- 標記
問 - 從 Cisco DNA 中心收集並上傳至思科後端的其他資料是什麼?
答 - 您可以在這裡取得所有資訊。
問 - 清查資料如何上傳至後端?
答 - CX Cloud Agent 透過 TLS 1.2 通訊協定將資料上傳至思科後端伺服器。
問 - 清查上傳頻率為何?
答:收集根據使用者定義的計畫觸發,並上傳到思科後端。
問 - 使用者是否可以重新排程清查?
A -是,可以選擇一個選項來修改來自Admin Settings> Data Sources的計畫資訊。
問 - Cisco DNA 中心和 Cloud Agent 之間何時會發生連線逾時?
答 - 逾時分類如下:
- 對於初始連線,逾時上限為 300 秒。如果 Cisco DNA 中心和 Cloud Agent 在 5 分鐘上限之內未建立連線,則連線會終止。
- 對於循環、典型或更新:響應超時為1800秒。如果在 30 分鐘內沒有收到回應或無法讀取,連線會終止。
CX Cloud Agent 使用的診斷掃描
問 - 在裝置上執行的掃描命令是什麼?
A -在掃描過程中動態確定需要在掃描裝置上執行的命令。即使對於同一裝置,命令集也可能會隨著時間的推移而變化(並且不由診斷掃描控制)。
問 - 掃描結果會儲存在哪裡並進行分析?
答 - 掃描的結果會儲存在思科後端並進行分析。
問 - 外掛 Cisco DNA 中心來源時,Cisco DNA 中心的重複項目(依主機名稱或 IP)是否會新增至診斷掃描?
A -否,將過濾重複項,僅提取唯一裝置。
問 - 其中一個命令掃描失敗時,會發生什麼情況?
答 - 裝置掃描將完全停止,並且會標記為未成功。
CX Cloud Agent 系統日誌
問:哪些運行狀況資訊傳送到CX雲?
答 - 應用程式記錄、Pod 狀態、Cisco DNA 中心詳細資料、稽核記錄、系統詳細資料,以及硬體詳細資料。
問 - 收集哪些系統詳細資料和硬體詳細資料?
答 - 範例輸出:
system_details":{
"os_details":{
"containerRuntimeVersion":"docker://19.3.12",
"kernelVersion":"5.4.0-47-generic",
"kubeProxyVersion":"v1.15.12",
"kubeletVersion":"v1.15.12",
"machineID":"81edd7df1c1145e7bcc1ab4fe778615f",
"作業系統":"linux",
"osImage":"Ubuntu 20.04.1 LTS",
"systemUUID":"42002151-4131-2ad8-4443-8682911bdadb"
},
"hardware_details":{
"total_cpu":"8",
"cpu_utilization":"12.5%",
"total_memory":"16007MB",
"free_memory":"9994MB",
"hdd_size":"214G",
"free_hdd_size":"202G"
}
}
}
問 - 健康狀況資料如何傳送至後端?
答:藉助CX雲代理,運行狀況服務(可服務性)將資料流傳輸到思科後端。
問 - CX Cloud Agent 在後端的健康狀況資料記錄保留原則是什麼?
答 - 後端的 CX Cloud Agent 健康狀況資料記錄保留原則是 120 天。
問 - 可用的上傳類型為何?
A -提供三種上傳型別,
- 資產上傳
- 系統日誌上傳
- 代理健康上傳:健康上傳的3件事
- 服務運行狀況-每5分鐘
- Podlog -每1小時
- 稽核記錄-每1小時
疑難排解
問題:無法訪問已配置的IP。
解決方案:使用配置的IP執行ssh。如果連線超時,可能原因是IP配置錯誤。在這種情況下,可設定有效 IP 來重新安裝。這可透過入口網站完成,只需使用Admin Setting頁面中提供的重新安裝選項。
問題:如何在註冊後驗證服務是否啟動並正常運行?
解決方案:執行此處顯示的命令,驗證Pod是否啟動並正常運行。
- 以 cxcadmin 身分進行 ssh 至設定的 IP。
- 提供密碼。
- 執行kubettl get pods命令。
Pod可以處於任何狀態,例如正在運行、初始化或容器建立,但在20分鐘後,Pod必須處於運行狀態。
如果狀態為not running或Pod Initializing,請使用此處顯示的命令檢查Pod說明
kubectl describe pod <podname>
輸出將具備與 Pod 狀態相關的資訊。
問題:如何驗證是否在客戶代理上停用了SSL攔截器?
解決方案:執行此處顯示的curl命令以驗證伺服器證書部分。 響應包含concsoweb伺服器的證書詳細資訊。
curl -v —header 'Authorization: Basic xxxxxx' https://concsoweb-prd.cisco.com/
* 伺服器憑證:
* 主題:C=美國;ST=加州;L=聖荷西;O=思科系統公司;CN=concsoweb-prd.cisco.com
* 開始日期:2月16日11:55:11 2021 GMT
* 截止日期:2月16日12:05:00 2022 GMT
* subjectAltName:主機「concsoweb-prd.cisco.com」與證書的「concsoweb-prd.cisco.com」匹配
* 頒發機構:C=US;O=HydrantID (Avalanche Cloud Corporation);CN=HydrantID SSL CA G3
* SSL證書驗證正常。
> GET / HTTP/1.1
問題:kubettl命令失敗,並顯示以下錯誤:「The connection to the server X.X.X.X:6443 was rejected - dy you specify the right host or port」(與伺服器X.X.X.X:6443的連線被拒絕-您指定了正確的主機或埠)
解決方案:
- 驗證資源可用性。[示例:CPU、記憶體]
- 等待 Kubernetes 服務開始
問題:如何獲取命令/裝置的收集故障詳細資訊
解決方案:
- 執行
kubectl get pods 並獲取收集Pod名稱。
- 執行
kubectl logs <collectionPodName> 以獲取命令/裝置特定的詳細資訊。
問題: kubettl命令無法處理錯誤「[authentication.go:64]由於以下錯誤無法驗證請求: [x509:證書已過期或尚未生效,x509:證書已過期或尚未生效]」
解決方案:以cxcroot使用者身份運行此處顯示的命令
rm /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3
kubectl —insecure-skip-tls-verify=true delete secret -n kube-system k3s-serving
systemctl restart k3
收集失敗回應
收集失敗的原因可能是任何限制,或已新增控制器或控制器中出現的裝置問題。
此處顯示的表格含有收集處理作業期間,在「收集微服務」下所見的使用案例的錯誤片段。
使用案例
收集微服務中的記錄程式碼片段
如果在 Cisco DNA 中心找不到要求的裝置
{
"command": "show version",
"status": "Failed",
"commandResponse": "",
"errorMessage": " No device found with id 02eb08be-b13f-4d25-9d63-eaf4e882f71a "
}
如果無法從 Cisco DNA 中心連線要求的裝置
{
"command": "show version",
"status": "Failed",
"commandResponse": "",
"errorMessage": "Error occurred while executing command: show version\nError connecting to device [Host: 172.21.137.221:22]No route to host : No route to host "
}
如果無法從 Cisco DNA 中心連線要求的裝置
{
"command": "show version",
"status": "Failed",
"commandResponse": "",
"errorMessage": "Error occured while executing command : show version\nError connecting to device [Host: X.X.X.X]Connection timed out: /X.X.X.X:22 : Connection timed out: /X.X.X.X:22"
}
如果在裝置中無法使用要求的命令
{
"command": "show run-config",
"status": "Success",
"commandResponse": " Error occured while executing command : show run-config\n\nshow run-config\n ^\n% Invalid input detected at \u0027^\u0027 marker.\n\nXXCT5760#",
"errorMessage": ""
}
如果請求的裝置沒有SSHv2,並且Cisco DNA Center嘗試使用SSHv2連線裝置
{
"command": "show version",
"status": "Failed",
"commandResponse": "",
"errorMessage": "Error occured while executing command : show version\nSSH2 channel closed : Remote party uses incompatible protocol, it is not SSH-2 compatible."
}
如果命令在收集微服務中已停用
{
"command": "config paging disable",
"status": "Command_Disabled",
"commandResponse": "Command collection is disabled",
"errorMessage": ""
}
如果命令執行器任務失敗,而且 Cisco DNA 中心未傳回任務 URL
{
"command": "show version",
"status": "Failed",
"commandResponse": "",
"errorMessage": "The command runner task failed for device %s. Task URL is empty."
}
如果無法在 Cisco DNA 中心建立命令執行器任務
{
"command": "show version",
"status": "Failed",
"commandResponse": "",
"errorMessage": "The command runner task failed for device %s, RequestURL: %s. No task details."
}
如果收集微服務未從 Cisco DNA 中心收到命令執行器要求的回應
{
"command": "show version",
"status": "Failed",
"commandResponse": "",
"errorMessage": "The command runner task failed for device %s, RequestURL: %s."
}
如果 Cisco DNA 中心沒有在設定的逾時時間內完成任務(收集微服務中的每個命令為 5 分鐘)
{
"command": "show version",
"status": "Failed",
"commandResponse": "",
"errorMessage": "Operation Timedout. The command runner task failed for device %s, RequestURL: %s. No progress details."
}
如果命令執行器任務失敗,而且 Cisco DNA 中心提交之任務的檔案 ID 為空白
{
"command": "show version",
"status": "Failed",
"commandResponse": "",
"errorMessage": "The command runner task failed for device %s, RequestURL: %s. File id is empty."
}
如果命令執行器任務失敗,而且 Cisco DNA 中心未傳回檔案 ID 標籤
{
"command": "show version",
"status": "Failed",
"commandResponse": "",
"errorMessage": "The command runner task failed for device %s, RequestURL: %s. No file id details."
}
如果裝置不符合命令執行器執行的資格
{
"command": "config paging disable",
"status": "Failed",
"commandResponse": "",
"errorMessage": "Requested devices are not in inventory,try with other devices available in inventory"
}
如果使用者的命令執行器已停用
{
"command": "show version",
"status": "Failed",
"commandResponse": "",
"errorMessage": "{\"message\":\"Role does not have valid permissions to access the API\"}\n"
}
診斷掃描失敗回應
掃描失敗,原因可能來自列出的任一元件
使用者從門戶啟動掃描時,有時會顯示「失敗:內部伺服器錯誤」
問題的原因可能是列出的任何元件
- 控制點
- 網路資料閘道
- 聯結器
- 診斷掃描
- CX Cloud Agent 微服務 [devicemanager, collection]
- Cisco DNA 中心
- APIX
- Mashery
- Ping 存取
- IRONBANK
- IRONBANK GW
- 大資料代理(BDB)
若要檢視記錄,請執行下列動作:
- 登入到CX Cloud Agent控制檯
- ssh 至 cxcadmin,並提供密碼
- 執行
kubectl get pods
- 獲取集合、聯結器和可維護性的Pod名稱。
- 驗證收集、聯結器和可服務性微服務日誌
- 執行
kubectl logs <collectionpodname>
- 執行
kubectl logs <connector>
- 執行
kubectl logs <servicability>
此處顯示的表格顯示在收集微服務及可服務性微服務記錄下由於元件問題/限制而發生的錯誤片段。
使用案例
收集微服務中的記錄程式碼片段
裝置可以訪問和受支援,但在該裝置上執行的命令在收集微服務上以塊形式列出
{
"command": "config paging disable",
"status": "Command_Disabled",
"commandResponse": "Command collection is disabled",
}
如果嘗試進行掃描的裝置無法使用。
當入口網站、診斷掃描、CX 元件和 Cisco DNA 中心等元件之間發生同步問題時,就會出現此情況
No device found with id 02eb08be-b13f-4d25-9d63-eaf4e882f71a
如果嘗試掃描的裝置狀態為忙碌,(在某種情況下)相同裝置是其他作業的一部分,而且沒有從 Cisco DNA 中心處理該裝置的平行要求。
All requested devices are already being queried by command runner in another session. Please try other devices".
如果裝置不支援掃描
Requested devices are not in inventory, try with other devices available in inventory
如果嘗試掃描的裝置無法訪問
"Error occurred while executing command: show udi\nError connecting to device [Host: x.x.x.x:22] No route to host : No route to host
如果無法從 Cloud Agent 連線 Cisco DNA 中心,或 Cloud Agent 的收集微服務未從 Cisco DNA 中心收到命令執行器要求的回應
{
"command": "show version",
"status": "Failed",
"commandResponse": "",
"errorMessage": "The command runner task failed for device %s, RequestURL: %s."
}
使用案例
控制點代理微服務中的記錄程式碼片段
如果掃描要求缺少排程詳細資料
Failed to execute request
{"message":"23502: null value in column \"schedule\" violates not-null constraint"}
如果掃描要求缺少裝置詳細資料
Failed to create scan policy. No valid devices in the request
如果 CPA 和連線之間的連線無法運作
Failed to execute request.
如果掃描的要求裝置在診斷掃描中無法使用
Failed to submit the request to scan. Reason = {\"message\":\"Device with Hostname=x.x.x.x' was not found\"}
修訂 | 發佈日期 | 意見 |
---|---|---|
7.0 |
22-Mar-2022 |
版本2.0 |
6.0 |
21-Oct-2021 |
次要更新 |
5.0 |
08-Oct-2021 |
次要格式更新 |
4.0 |
08-Oct-2021 |
次要格式更新。 |
3.0 |
28-Sep-2021 |
次要格式化 |
2.0 |
22-Sep-2021 |
初始版本 |
1.0 |
05-Aug-2021 |
初始版本 |