本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
本文檔介紹思科的客戶體驗(CX)雲代理。
CX Cloud Agent 以虛擬機器 (VM) 的形式執行,並且可做為開放式虛擬裝置 (OVA) 或虛擬硬碟 (VHD) 下載。
部署要求:
思科(CX)雲代理是一個高度可擴展的平台,從客戶網路裝置收集遙測資料,為客戶提供可行的見解。CX Cloud Agent支援將活動運行配置資料轉換為在CX Cloud中顯示的主動和預測性見解的人工智慧(AI)/機器學習(ML)。
本指南針對CX Cloud Agent v2.2及後續版本。請參閱Cisco CX Cloud Agent頁以訪問以前的版本。
附註:本指南中的影像(以及其中的內容)僅供參考。實際內容可能有所不同。
要開始CX雲之旅,使用者需要訪問這些域。僅使用提供的主機名;不使用靜態IP地址。
主要網域 |
其他網域 |
cisco.com |
mixpanel.com |
csco.cloud |
cloudfront.net |
split.io |
eum-appdynamics.com |
appdynamics.com |
|
tiqcdn.com |
|
jquery.com |
美洲 |
歐洲、中東與非洲地區 |
亞太地區、日本及中國 |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud |
agent.us.csco.cloud |
agent.us.csco.cloud |
ng.acs.agent.us.csco.cloud |
agent.emea.csco.cloud |
agent.apjc.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
注意:必須在埠443上為指定的FQDN啟用重定向的情況下,允許出站訪問。
支援的單節點和HA集群Cisco DNA中心版本為2.1.2.x到2.2.3.x、2.3.3.x、2.3.5.x和Cisco Catalyst Center Virtual Appliance和Cisco DNA Center Virtual Appliance。
要獲得Cisco.com上的最佳體驗,建議使用以下瀏覽器的最新正式版本:
要檢視CX Cloud Agent支援的產品清單,請參閱支援的產品清單。
若要連線資料來源:
注意:僅當以前未配置直接裝置連線時,才能使用「其他資產」選項。
如果之前未完成連線,則在連線資料來源時會提示CX雲代理設定。
要設定CX雲代理,請執行以下操作:
開始遙測收集需要將CX雲代理連線到CX雲,以便可以更新UI中的資訊以顯示當前資產和見解。本節提供完成連線和故障排除指南的詳細資訊。
要將CX Cloud Agent連線到CX Cloud:
註:在部署下載的OVA檔案後收到配對代碼。
從資料來源連線窗口中選擇Cisco DNA Center(請參閱連線資料來源部分中的連線資料來源影象),此窗口將打開:
要增加Cisco DNA Center作為資料來源,請執行以下操作:
注意:請勿使用個別叢集節點IP。
註:第一次資產收集最多需要75分鐘。
遙測收集已擴展至非思科DNA中心管理的裝置,使客戶能夠檢視遙測衍生的見解和分析功能並與其互動,從而獲得更廣泛的裝置。在最初設定CX Cloud Agent後,使用者可選擇將CX Cloud Agent配置為連線到CX Cloud監控的基礎設施中的20個其他Cisco DNA中心。使用者還可以將CX Cloud Agent直接連線到其環境中的其他硬體資產,最多可連線10,000個直連裝置。
使用者可以透過使用種子檔案唯一標識此類裝置或指定IP範圍(CX Cloud Agent可以對其進行掃描)來標識要合併到CX雲中的裝置。這兩種方法都依賴簡單網路管理協定(SNMP)進行發現(SNMP),並依賴安全外殼(SSH)進行連線。這些必須正確配置才能成功進行遙測收集。
附註:
可以使用種子檔案或IP範圍。初始設定後無法變更此選擇。
附註:
初始種子檔案可以用另一個種子檔案替換,而初始IP範圍可以編輯為新的IP範圍。
從資料來源連線窗口中選擇其他資產時,將打開以下窗口:
若要新增其他資產作為資料來源,請執行下列動作:
基於種子檔案的直接裝置發現和基於IP範圍的發現都依賴於SNMP作為發現協定。存在不同版本的SNMP,但CX Cloud Agent支援SNMPV2c和SNMP V3,並且可配置其中任一版本或同時配置兩者。使用者必須提供下面完整詳細介紹的相同資訊,才能完成配置並啟用SNMP管理的裝置與SNMP服務管理器之間的連線。
SNMPV2c和SNMPV3在安全性和遠端配置模型方面不同。SNMPV3使用支援SHA加密的增強型加密安全系統來驗證消息並確保其隱私。建議在所有面向公共和網際網路的網路上使用SNMPv3,以防範安全風險和威脅。在CX Cloud上,最好配置SNMPv3而不是SNMPv2c,但舊版裝置缺乏內建的SNMPv3支援除外。如果兩個版本的SNMP都由使用者配置,預設情況下,CX Cloud Agent可以嘗試使用SNMPv3與各個裝置通訊,如果通訊無法成功協商,則恢復為SNMPv2c。
作為直接裝置連線設定的一部分,使用者必須指定裝置連線協定的詳細資訊:SSH(或者telnet)。可以使用SSHv2,但缺少適當內建支援的單個舊資產除外。請注意,SSHv1協定包含基本漏洞。在依賴SSHv1時,如果沒有額外的安全性,則遙測資料和底層資產可能會因這些漏洞受損。Telnet也不安全。透過telnet提交的憑證資訊(使用者名稱和密碼)不會加密,因此很容易受到危害,並且沒有額外的安全性。
關於種子檔案
種子檔案是逗號分隔值(csv)檔案,其中每一行代表系統資料記錄。在種子檔案中,每個種子檔案記錄都對應於一個唯一裝置,CX雲代理可從該裝置中收集遙測。從要匯入的種子檔案中擷取每個裝置專案的所有錯誤或資訊訊息,作為工作記錄詳細資訊的一部份。種子檔案中的所有裝置都被視為受管裝置,即使裝置在初始配置時不可訪問。如果正在上載新的種子檔案以替換以前的種子檔案,上次上載的日期將顯示在CX雲中。
CX Cloud Agent可以嘗試連線到裝置,但在無法確定PID或序列號的情況下,無法處理每個要顯示在「資產」頁中的裝置。種子檔案中以分號開頭的任何行將被忽略。種子檔案中的標頭列以分號開頭,可在建立客戶種子檔案時保持原樣(建議選項)或刪除。
範例種子檔案的格式(包括欄標題)必須不作任何變更。按一下提供的連結以檢視PDF格式的種子檔案。此PDF僅供參考,可用於建立需要以.csv格式儲存的種子檔案。
按一下此連結可檢視可用於建立.csv格式種子檔案的種子檔案。
附註:此PDF僅供參考,可用於建立需要以.csv格式儲存的種子檔案。
此表標識所有必要的種子檔案列以及必須包括在每個列中的資料。
種子檔案欄 |
欄標題/辨識碼 |
列的用途 |
A |
IP地址或主機名 |
提供裝置的有效、唯一的IP地址或主機名。 |
B |
SNMP協定版本 |
SNMP協定是CX Cloud Agent所必需的,用於客戶網路中的裝置發現。值可以是snmpv2c或snmpv3,但由於安全考慮,建議使用snmpv3。 |
思 |
snmpRo:如果將col#=3選擇為「snmpv2c」,則為必填項 |
如果為特定裝置選擇了SNMPv2的舊變體,則必須為裝置SNMP集合指定snmpRO(只讀)憑證。否則,條目可以為空白。 |
D |
snmpv3UserName:如果將col#=3選為「snmpv3」,則為必填項 |
如果選擇SNMPv3與特定裝置通訊,則必須提供各自的登入使用者名稱。 |
E |
snmpv3AuthAlgorithm:值可以是MD5或SHA |
SNMPv3協定允許透過MD5或SHA演算法執行身份驗證。如果裝置配置了安全身份驗證,則必須提供相應的身份驗證演算法。 注意:MD5被認為是不安全的,SHA可用於支援它的所有裝置上。 |
思 |
snmpv3AuthPassword:password |
如果在裝置上配置了MD5或SHA加密演算法,則需要為裝置訪問提供相關的身份驗證密碼。 |
G |
snmpv3PrivAlgorithm:值可以是DES、3DES |
如果裝置配置了SNMPv3隱私演算法(此演算法用於加密響應),則需要提供相應的演算法。 注意:DES所使用的56位金鑰太短,無法提供加密安全性;3DES可用於支援它的所有裝置上。 |
H |
snmpv3PrivPassword:password |
如果在裝置上配置了SNMPv3隱私演算法,則需要為裝置連線提供其各自的隱私密碼。 |
I |
snmpv3EngineId:engineID,表示裝置的唯一ID,如果手動在裝置上配置,請指定引擎ID |
SNMPv3引擎ID是代表每個裝置的唯一ID。在收集CX Cloud Agent的SNMP資料集時,會傳送此引擎ID作為參考。如果客戶手動配置EngineID,則需要提供相應的EngineID。 |
J |
cliProtocol:值可以是'telnet'、'sshv1'、'sshv2'。如果為空,則預設情況下可以設定為「sshv2」 |
CLI用於直接與裝置互動。CX Cloud Agent使用此協定為特定裝置進行CLI收集。此CLI收集資料用於CX雲中的資產和其他見解報告。建議使用SSHv2;如果沒有其他網路安全措施,SSHv1和Telnet協定本身無法提供足夠的傳輸安全性。 |
K |
cliPort:CLI協定埠號 |
如果選擇了任何CLI協定,則需要提供其各自的埠號。例如,22代表SSH,23代表telnet。 |
L |
CliUser:CLI使用者名稱(可以提供CLI使用者名稱/密碼或同時提供BOTH,但兩列(col#=12和col#=13)不能為空。) |
需要提供裝置的相應CLI使用者名稱。CX Cloud Agent在CLI收集期間連線到裝置時使用此功能。 |
M |
CliPassword:CLI使用者密碼(可以提供CLI使用者名稱/密碼或兩者,但兩列(col#=12和col#=13)不能為空。) |
需要提供裝置相應的CLI密碼。CX Cloud Agent在CLI收集期間連線到裝置時使用此功能。 |
否 |
cliEnableUser |
如果在裝置上配置了啟用,則需要提供裝置的enableUsername值。 |
O |
cliEnablePassword |
如果在裝置上配置了啟用,則需要提供裝置的enablePassword值。 |
P |
未來支援(無需輸入) |
保留供未來使用 |
Q |
未來支援(無需輸入) |
保留供未來使用 |
R |
未來支援(無需輸入) |
保留供未來使用 |
S |
未來支援(無需輸入) |
保留供未來使用 |
以下是處理裝置遙測資料時的限制:
使用新的種子檔案新增裝置:
注意:下載初始種子檔案後,配置與CX雲的連線窗口中的連結將不再可用。
使用目前的種子檔案新增、修改或刪除裝置:
注意:若要將資源新增至種子檔案,請將那些資源附加到先前建立的種子檔案並重新載入該檔案。這是必要的,因為上傳新的種子檔案會取代目前的種子檔案。只有最新上傳的種子檔案可用於探索和收集。
IP範圍允許使用者辨識硬體資產,然後根據IP地址從這些裝置收集遙測。透過指定單個網路級IP範圍(CX Cloud Agent可以使用SNMP協定對其進行掃描),可以唯一標識用於遙測收集的裝置。如果選擇IP範圍來標識直連裝置,則所引用的IP地址可以儘可能受到限制,同時允許覆蓋所有必需的資產。
CX Cloud Agent可以嘗試連線到裝置,但如果無法確定PID或序列號,則無法處理資產檢視中顯示的每個裝置。
附註:
點選Edit IP Address Range發起按需裝置發現。向指定的IP範圍增加或刪除(內部或外部)任何新裝置時,客戶必須始終點選編輯IP地址範圍(請參閱編輯IP範圍)並完成啟動按需裝置發現所需的步驟,以將任何新增加的裝置包含到CX Cloud Agent收集資產中。
使用IP範圍增加裝置需要使用者透過配置UI指定所有適用的憑據。顯示的欄位會根據先前視窗中選取的協定而有所不同。如果為同一協定選擇了多個選項(例如,同時選擇SNMPv2c和SNMPv3或同時選擇SSHv2和SSHv1),則CX Cloud Agent會根據各個裝置功能自動協商協定選擇。
使用IP地址連線裝置時,客戶可以確保IP範圍內所有相關協定以及SSH版本和Telnet憑證有效,否則連線可能會失敗。
使用IP範圍增加裝置:
編輯IP範圍;
注意:確認消息不能確保可訪問已編輯範圍內的裝置,並且已接受憑據。
關於從多個控制器中發現的裝置
Cisco DNA Center和直接連線到CX雲代理的裝置可能會發現某些裝置,從而導致從這些裝置收集重複資料。為避免收集重複資料,並且僅由一個控制器來管理裝置,需要確定CX Cloud Agent管理裝置的優先順序。
客戶可以在CX雲中按需安排診斷掃描。
注意:思科建議計畫診斷掃描或啟動按需掃描,這些掃描應在資產收集計畫以外至少運行6-7小時,以便不會重疊。同時執行多個診斷掃描可能會減慢掃描過程,並可能導致掃描失敗。
若要排定診斷掃描:
診斷掃描和資產收集計畫可從「資料收集」頁面編輯和刪除。
選擇以下任一選項以部署CX雲代理:
此客戶端允許使用vSphere厚客戶端部署CX雲代理OVA。
部署可能需要幾分鐘的時間。成功部署後顯示確認。
此客戶端使用vSphere Web部署CX雲代理OVA。
執行下列步驟:
此客戶端透過Oracle Virtual Box部署CX Cloud Agent OVA。
執行下列步驟:
如果選擇Auto Generate Password,則複製生成的口令並將其儲存以備將來使用。按一下「Save Password」(儲存密碼),並前往步驟 4。
注意:如果域無法成功訪問,客戶必須透過在其防火牆中進行更改來修復域可接通性,以確保域可訪問。域可接通性問題得到解決後,按一下Check Again。
使用者還可以使用CLI選項生成配對代碼。
使用CLI生成配對代碼:
支援的Cisco DNA Center版本為2.1.2.0到2.2.3.5、2.3.3.4到2.3.3.6、2.3.5.0和Cisco DNA Center Virtual Appliance
要在Cisco DNA Center中配置Syslog Forwarding to CX Cloud Agent,請執行以下步驟:
附註:
配置完成後,與該站點關聯的所有裝置都將配置為向CX雲代理傳送級別為「關鍵」的系統日誌。裝置必須關聯到站點,才能啟用從裝置到CX雲代理的系統日誌轉發。 更新syslog伺服器設定後,與該站點關聯的所有裝置將自動設定為預設關鍵級別。
必須將裝置配置為將系統日誌消息傳送到CX Cloud Agent,以使用CX Cloud的故障管理功能。
注意:只有園區成功跟蹤第2級裝置才有資格配置其他資產以轉發系統日誌。
執行系統日誌伺服器軟體的配置說明,並將CX雲代理IP地址增加為新目標。
注意:轉發syslog時,請確保保留原始syslog消息的源IP地址。
將每台裝置配置為將系統日誌直接傳送到CX雲代理IP地址。如需特定組態步驟,請參閱本檔案。
要顯示Syslog Information級別,請執行以下步驟:
選擇所需站點並使用裝置名稱覈取方塊選擇所有裝置。
建議使用快照功能在特定時間點保留CX Cloud Agent VM的狀態和資料。此功能可促進CX雲虛擬機器恢復到拍攝快照的特定時間。
要備份CX雲虛擬機器,請執行以下操作:
注意:驗證是否已清除「快照虛擬機器的記憶體」覈取方塊。
3. 按一下確定。建立虛擬機器快照狀態在「最近的任務」清單中顯示為已完成。
要恢復CX雲虛擬機器:
CX Cloud Agent可確保客戶的端到端安全性。CX Cloud和CX Cloud Agent之間的連線受到TLS保護。雲代理的預設SSH使用者只能執行基本操作。
在安全的VMware伺服器公司中部署CX雲代理OVA映像。OVA 是透過思科軟體下載中心所安全分享。開機載入器(單一使用者模式)密碼是使用隨機的唯一密碼設定的。使用者必須參閱此常見問題才能設定此引導載入程式(單使用者模式)口令。
在部署期間,會建立cxcadmin使用者帳戶。在初始配置期間,使用者將被強制設定密碼。cxcadmin使用者/憑據用於訪問CX雲代理API和透過SSH連線到裝置。
cxcadmin使用者具有限制存取權,但許可權最少。cxcadmin密碼遵循安全性原則,是單向雜湊密碼,到期期間為90天。cxcadmin使用者可以使用名為remoteaccount的公用程式建立cxcroot使用者。cxcroot使用者可以取得root許可權。
CX雲代理VM可使用SSH和cxcadmin使用者憑據進行訪問。傳入連接埠限制為 22 (ssh),514(Syslog)。
基於密碼的身份驗證:裝置維護一個使用者(cxcadmin),該使用者可透過該使用者與CX雲代理進行身份驗證和通訊。
cxcadmin使用者可以使用名為remoteaccount的實用程式建立cxcroot使用者。此公用程式會顯示RSA/ECB/PKCS1v1_5加密密碼,該密碼只能從SWIM入口網站解密(DECRYPT要求表單)。只有授權人員可以存取此入口網站。cxcroot使用者可以使用此解密的密碼取得root許可權。密碼短語的有效期僅為兩天。cxcadmin使用者必須在密碼到期後重新建立帳戶並從SWIM門戶獲取密碼。
CX Cloud Agent裝置遵循Center of Internet Security強化標準。
CX Cloud Agent 設備不會儲存任何客戶個人資訊。 裝置憑證應用程式(作為其中一個pod運行)將加密的伺服器憑證儲存在安全資料庫中。除了處理時,收集的資料不會以任何形式儲存在裝置內。收集完成之後,遙測資料將儘快上傳到CX雲,並在確認上傳成功後,立即從本地儲存中刪除。
註冊包包含所需的唯一X.509裝置證書和金鑰,用於與Iot核心建立安全連線。使用該代理透過傳輸層安全(TLS) v1.2使用消息隊列遙測傳輸(MQTT)建立安全連線
日誌不包含任何形式的個人辨識資訊(PII)資料。稽核日誌捕獲在CX Cloud Agent裝置上執行的所有安全敏感型操作。
CX雲使用Cisco遙測命令中列出的API和命令檢索資產遙測。本文檔根據命令對Cisco DNA Center清單、診斷網橋、Intersight、合規性見解、故障以及CX雲代理收集的所有其他遙測源的適用性對命令進行分類。
資產遙測中的敏感資訊在傳輸到雲之前會被掩蔽。CX Cloud Agent遮蔽直接向CX Cloud Agent傳送遙測資訊的所有收集資產的敏感資料。這包括密碼、金鑰、社群字串、使用者名稱等。在將資訊傳輸到CX雲代理之前,控制器為所有由控制器管理的資產提供資料掩碼。在某些情況下,控制器管理的資產遙測可以進一步匿名化。請參閱相應的產品支援文檔以瞭解有關遙測匿名化的詳細資訊(例如《Cisco DNA Center管理員指南》中的匿名資料部分)。
雖然無法自定義遙測命令清單並且無法修改資料掩碼規則,但是客戶可以透過指定資料來源來控制哪些資產的CX雲遙測訪問,如控制器受管裝置的產品支援文檔或本文檔的「連線資料來源」部分(針對CX雲代理收集的其他資產)中所述。
安全性功能 |
說明 |
開機載入器密碼 |
開機載入器(單一使用者模式)密碼是使用隨機的唯一密碼設定的。使用者必須參閱常見問題才能設定其引導載入程式(單使用者模式)口令。 |
使用者存取 |
SSH: ·使用 cxcadmin 使用者存取設備需要安裝期間建立的認證。 · 使用cxcroot使用者訪問裝置需要授權人員使用SWIM門戶解密憑證。 |
使用者帳戶 |
· cxcadmin:已建立預設使用者帳戶;使用者可以使用cxcli執行CX Cloud Agent應用程式命令,並且在裝置上具有最低許可權;cxcroot使用者及其加密密碼使用cxcadmin使用者生成。 · cxcroot: cxcadmin可以使用實用程式remoteaccount建立此使用者;使用者可使用此帳戶獲得root許可權。 |
cxcadmin 密碼原則 |
·密碼是使用 SHA-256 的單向雜湊,並安全地存放。 · 最少八(8)個字元,包含下列三種:大寫、小寫、數字及特殊字元。 |
cxcroot 密碼原則 |
· cxcroot密碼已加密RSA/ECB/PKCS1v1_5 ·產生的複雜密碼需要在 SWIM 入口網站中解密。 · cxcroot使用者和密碼的有效期為兩天,可以使用cxcadmin使用者重新產生。 |
ssh 登入密碼原則 |
· 最少八個字元,包含下列三種類別:大寫、小寫、數字及特殊字元。 · 五次失敗的登入嘗試將方塊鎖定30分鐘;密碼將在90天後過期。 |
連接埠 |
開啟傳入連接埠 – 514(Syslog) 和 22 (ssh) |
資料安全 |
·未儲存任何客戶資訊。 ·未儲存任何裝置資料。 ·Cisco DNA 中心伺服器認證已加密並儲存在資料庫中。 |
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
26-Jun-2024 |
初始版本 |