本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
本文檔介紹思科的客戶體驗(CX)雲代理。 思科的CX雲代理是一個高度可擴展的平台,可從客戶網路裝置收集遙測資料,為客戶提供可行的見解。CX Cloud Agent支援將活動運行配置資料轉換為在CX Cloud中顯示的主動和預測性見解的人工智慧(AI)/機器學習(ML)。
本指南專為CX Cloud Agent v2.4提供。請參閱Cisco CX Cloud Agent頁以訪問以前的版本。
注意:本指南中的影象僅供參考。實際內容可能有所不同。
CX Cloud Agent 以虛擬機器 (VM) 的形式執行,並且可做為開放式虛擬裝置 (OVA) 或虛擬硬碟 (VHD) 下載。
CX雲代理部署型別 |
CPU核心數量 |
RAM |
硬碟 |
* 直接資產的最大數量 |
支援的Hypervisor |
小型OVA |
8世紀 |
16GB |
200GB |
10,000 |
VMware ESXi、Oracle VirtualBox和Windows Hyper-V |
中型OVA |
16世紀 |
32GB |
600GB |
20,000 |
VMware ESXi |
大型OVA |
攝氏32度 |
64GB |
1200GB |
50,000: |
VMware ESXi |
* 除了為每個CX雲代理例項連線20個Cisco Catalyst Center (Catalyst Center)非集群或10個Catalyst Center集群外,
若要啟動 CX Cloud 歷程,使用者需要存取下列網域。僅使用提供的主機名;不使用靜態IP地址。
主要網域 |
其他網域 |
csco.cloud |
cloudfront.net |
split.io |
eum-appdynamics.com |
appdynamics.com |
|
tiqcdn.com |
|
jquery.com |
美洲 |
歐洲、中東與非洲地區 |
亞太地區、日本及中國 |
cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
agent.us.csco.cloud |
agent.us.csco.cloud |
agent.us.csco.cloud |
ng.acs.agent.us.csco.cloud |
agent.emea.csco.cloud |
agent.apjc.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
注意:必須在埠443上為指定的FQDN啟用重定向的情況下,允許出站訪問。
支援的單節點和HA Cluster Catalyst Center版本為2.1.2.x到2.2.3.x、2.3.3.x、2.3.5.x、2.3.7.x和Catalyst Center Virtual Appliance及Catalyst Center Virtual Appliance。
要獲得Cisco.com上的最佳體驗,建議使用以下瀏覽器的最新正式版本:
要檢視CX Cloud Agent支援的產品清單,請參閱支援的產品清單。
客戶可以根據自己的網路規模和複雜性,使用靈活的OVA選項將其現有VM配置升級到中型或大型。
要將現有VM配置從小型升級到中型或大型,請參閱將CX雲代理VM升級到中型和大型配置部分。
運行CX Cloud Agent v2.3.x及更高版本的客戶可以按照本節中的步驟直接升級到v2.4。
注意:CX Cloud Agent v2.2.x上的客戶應在升級到v2.4之前升級到v2.3.x,或安裝v2.4作為全新OVA安裝。
從CX Cloud安裝CX Cloud Agent升級v2.4:
備註:客戶可以清除顯示排程選項的「立即安裝」核取方塊,將更新排定在稍後。
在CX雲中,客戶最多可增加二十(20)個CX雲代理例項。
增加CX雲代理的步驟:
注意:重複以下步驟,增加其他CX雲代理例項作為資料來源。
注意:在部署OVA檔案之後將生成完成CX雲代理設定所需的配對代碼。
增加Catalyst Center作為資料來源:
附註:選取「立即執行第一個收集」核取方塊,即可立即執行收集。
按一下Connect。此時將顯示包含Catalyst Center IP地址的確認資訊。
遙測收集已擴展至非由Catalyst Center管理的裝置,使客戶能夠檢視遙測衍生的見解和分析範圍更廣泛的裝置,並與之互動。在最初設定CX Cloud Agent後,使用者可選擇將CX Cloud Agent配置為連線到CX Cloud監控的基礎設施中的其他20個Catalyst中心。
使用者可以透過使用種子檔案唯一標識此類裝置或指定IP範圍(CX Cloud Agent可以對其進行掃描)來標識要合併到CX雲中的裝置。這兩種方法都依賴簡單網路管理協定(SNMP)進行發現(SNMP),並依賴安全外殼(SSH)進行連線。這些必須正確配置才能成功進行遙測收集。
若要新增其他資產作為資料來源,請執行下列動作:
基於種子檔案的直接裝置發現和基於IP範圍的發現都依賴於SNMP作為發現協定。存在不同版本的SNMP,但CX Cloud Agent支援SNMPV2c和SNMP V3,並且可配置其中任一版本或同時配置兩者。使用者必須提供下面完整詳細介紹的相同資訊,才能完成配置並啟用SNMP管理的裝置與SNMP服務管理器之間的連線。
SNMPV2c和SNMPV3在安全性和遠端配置模型方面不同。SNMPV3使用支援SHA加密的增強型加密安全系統來驗證消息並確保其隱私。建議在所有面向公共和網際網路的網路上使用SNMPv3,以防範安全風險和威脅。在CX Cloud上,最好配置SNMPv3而不是SNMPv2c,但舊版裝置缺乏內建的SNMPv3支援除外。如果兩個版本的SNMP都由使用者配置,預設情況下,CX Cloud Agent可以嘗試使用SNMPv3與各個裝置通訊,如果通訊無法成功協商,則恢復為SNMPv2c。
作為直接裝置連線設定的一部分,使用者必須指定裝置連線協定的詳細資訊:SSH(或者telnet)。可以使用SSHv2,但缺少適當內建支援的單個舊資產除外。請注意,SSHv1協定包含基本漏洞。在依賴SSHv1時,如果沒有額外的安全性,則遙測資料和底層資產可能會因這些漏洞受損。Telnet也不安全。透過telnet提交的憑證資訊(使用者名稱和密碼)不會加密,因此很容易受到危害,並且沒有額外的安全性。
以下是處理裝置的遙測資料時的限制:
種子檔案是一個.csv檔案,其中每一行代表一個系統資料記錄。在種子檔案中,每個種子檔案記錄都對應於一個唯一裝置,CX雲代理可從該裝置中收集遙測。從要匯入的種子檔案中擷取每個裝置專案的所有錯誤或資訊訊息,作為工作記錄詳細資訊的一部份。種子檔案中的所有裝置都被視為受管裝置,即使裝置在初始配置時不可訪問。如果正在上載新的種子檔案以替換以前的種子檔案,上次上載的日期將顯示在CX雲中。
CX Cloud Agent可以嘗試連線到裝置,但在無法確定PID或序列號的情況下,無法處理每個要顯示在「資產」頁中的裝置。種子檔案中以分號開頭的任何行將被忽略。種子檔案中的標頭列以分號開頭,可在建立客戶種子檔案時保持原樣(建議選項)或刪除。
範例種子檔案的格式(包括欄標題)必須不作任何變更。按一下提供的連結以檢視PDF格式的種子檔案。此PDF僅供參考,可用於建立需要以.csv格式儲存的種子檔案。
按一下此連結可檢視可用於建立.csv格式種子檔案的種子檔案。
附註:此PDF僅供參考,可用於建立需要以.csv格式儲存的種子檔案。
此表標識所有必要的種子檔案列以及必須包括在每個列中的資料。
種子檔案欄 |
欄標題/辨識碼 |
列的用途 |
A |
IP地址或主機名 |
提供裝置的有效、唯一的IP地址或主機名。 |
B |
SNMP協定版本 |
SNMP協定是CX Cloud Agent所必需的,用於客戶網路中的裝置發現。值可以是snmpv2c或snmpv3,但由於安全考慮,建議使用snmpv3。 |
思 |
snmpRo:如果將col#=3選擇為「snmpv2c」,則為必填項 |
如果為特定裝置選擇了SNMPv2的舊變體,則必須為裝置SNMP集合指定snmpRO(只讀)憑證。否則,條目可以為空白。 |
D |
snmpv3UserName:如果將col#=3選為「snmpv3」,則為必填項 |
如果選擇SNMPv3與特定裝置通訊,則必須提供各自的登入使用者名稱。 |
E |
snmpv3AuthAlgorithm:值可以是MD5或SHA |
SNMPv3協定允許透過MD5或SHA演算法執行身份驗證。如果裝置配置了安全身份驗證,則必須提供相應的身份驗證演算法。 注意:MD5被認為是不安全的,SHA可用於支援它的所有裝置上。 |
思 |
snmpv3AuthPassword:password |
如果在裝置上配置了MD5或SHA加密演算法,則需要為裝置訪問提供相關的身份驗證密碼。 |
G |
snmpv3PrivAlgorithm:值可以是DES、3DES |
如果裝置配置了SNMPv3隱私演算法(此演算法用於加密響應),則需要提供相應的演算法。 注意:DES所使用的56位金鑰太短,無法提供加密安全性;3DES可用於支援它的所有裝置上。 |
H |
snmpv3PrivPassword:password |
如果在裝置上配置了SNMPv3隱私演算法,則需要為裝置連線提供其各自的隱私密碼。 |
I |
snmpv3EngineId:engineID,表示裝置的唯一ID,如果手動在裝置上配置,請指定引擎ID |
SNMPv3引擎ID是代表每個裝置的唯一ID。在收集CX Cloud Agent的SNMP資料集時,會傳送此引擎ID作為參考。如果客戶手動配置EngineID,則需要提供相應的EngineID。 |
J |
cliProtocol:值可以是'telnet'、'sshv1'、'sshv2'。如果為空,則預設情況下可以設定為「sshv2」 |
CLI用於直接與裝置互動。CX Cloud Agent使用此協定為特定裝置進行CLI收集。此CLI收集資料用於CX雲中的資產和其他見解報告。建議使用SSHv2;如果沒有其他網路安全措施,SSHv1和Telnet協定本身無法提供足夠的傳輸安全性。 |
K |
cliPort:CLI協定埠號 |
如果選擇了任何CLI協定,則需要提供其各自的埠號。例如,22代表SSH,23代表telnet。 |
L |
CliUser:CLI使用者名稱(可以提供CLI使用者名稱/密碼或同時提供BOTH,但兩列(col#=12和col#=13)不能為空。) |
需要提供裝置的相應CLI使用者名稱。CX Cloud Agent在CLI收集期間連線到裝置時使用此功能。 |
M |
CliPassword:CLI使用者密碼(可以提供CLI使用者名稱/密碼或兩者,但兩列(col#=12和col#=13)不能為空。) |
需要提供裝置相應的CLI密碼。CX Cloud Agent在CLI收集期間連線到裝置時使用此功能。 |
否 |
cliEnableUser |
如果在裝置上配置了啟用,則需要提供裝置的enableUsername值。 |
O |
cliEnablePassword |
如果在裝置上配置了啟用,則需要提供裝置的enablePassword值。 |
P |
未來支援(無需輸入) |
保留供未來使用 |
Q |
未來支援(無需輸入) |
保留供未來使用 |
R |
未來支援(無需輸入) |
保留供未來使用 |
S |
未來支援(無需輸入) |
保留供未來使用 |
使用新的種子檔案新增其他資產:
注意:在完成CX雲的初始配置之前,CX Cloud Agent必須透過處理種子檔案並與所有已標識的裝置建立連線來執行第一次遙測收集。收集可以按需啟動,也可以根據此處定義的計畫運行。使用者可以透過選擇Run the first collection now(立即運行第一個集合)覈取方塊來執行第一個遙測連線。根據種子檔案中指定的條目數和其他因素,此過程可能需要相當長的時間。
使用目前的種子檔案新增、修改或刪除裝置:
注意:若要將資源新增至種子檔案,請將那些資源附加到先前建立的種子檔案並重新載入該檔案。這是必要的,因為上傳新的種子檔案會取代目前的種子檔案。只有最新上傳的種子檔案可用於探索和收集。
IP範圍允許使用者辨識硬體資產,然後根據IP地址從這些裝置收集遙測。透過指定單個網路級IP範圍(CX Cloud Agent可以使用SNMP協定對其進行掃描),可以唯一標識用於遙測收集的裝置。如果選擇IP範圍來標識直連裝置,則所引用的IP地址可以儘可能受到限制,同時允許覆蓋所有必需的資產。
CX Cloud Agent將嘗試連線裝置,但在無法確定PID或序列號的情況下,可能無法處理每個裝置以顯示在Assets檢視中。
附註:
點選Edit IP Address Range發起按需裝置發現。向指定的IP範圍增加或刪除(內部或外部)任何新裝置時,客戶必須始終點選編輯IP地址範圍(請參閱編輯IP範圍)並完成啟動按需裝置發現所需的步驟,以將任何新增加的裝置包含到CX Cloud Agent收集資產中。
使用IP範圍增加裝置需要使用者透過配置UI指定所有適用的憑據。顯示的欄位會根據先前視窗中選取的協定而有所不同。如果為同一協定選擇了多個選項(例如,同時選擇SNMPv2c和SNMPv3或同時選擇SSHv2和SSHv1),則CX Cloud Agent會根據各個裝置功能自動協商協定選擇。
使用IP地址連線裝置時,客戶應確保IP範圍內所有相關協定以及SSH版本和Telnet憑證有效,否則連線將失敗。
使用IP範圍增加裝置:
注意:要為選定的CX Cloud Agent增加其他IP範圍,請按一下增加其他IP範圍以導航回「設定您的協定」窗口,然後重複本部分中的步驟。
編輯IP範圍:
6. 根據需要編輯詳細資訊,然後按一下完成設定。此時將打開Data Sources窗口,顯示一條確認增加新IP地址範圍的消息。
注意:此確認消息不驗證修改後的範圍內的裝置是否可以訪問,或者其憑據是否被接受。當客戶啟動發現過程時,將進行此確認。
.
刪除IP範圍:
Cisco Catalyst Center和直接連線到CX雲代理的裝置都可能會發現某些裝置,從而導致從這些裝置收集重複資料。為避免收集重複資料,並且僅由一個控制器來管理裝置,需要確定CX Cloud Agent管理裝置的優先順序。
客戶可以在CX雲中按需安排診斷掃描。
注意:思科建議計畫診斷掃描或啟動按需掃描,這些掃描應在資產收集計畫以外至少運行6-7小時,以便不會重疊。同時執行多個診斷掃描可能會減慢掃描過程,並可能導致掃描失敗。
若要排定診斷掃描:
診斷掃描和資產收集計畫可從「資料收集」頁面編輯和刪除。
升級虛擬機器後,將無法執行以下操作:
在升級VM之前,思科建議建立快照,以便在發生故障時進行恢復。有關詳細資訊,請參閱備份和恢復CX雲虛擬機器。
要使用現有VMware vSphere厚客戶端升級VM配置,請執行以下操作:
注意:配置更改大約需要五分鐘才能完成。
使用Web客戶端ESXi v6.0更新VM配置:
使用Web客戶端vCenter更新VM配置:
選擇以下任一選項以部署CX雲代理:
此客戶端允許使用vSphere厚客戶端部署CX雲代理OVA。
部署可能需要幾分鐘的時間。成功部署後顯示確認。
此客戶端使用vSphere Web部署CX雲代理OVA。
執行下列步驟:
此客戶端透過Oracle Virtual Box部署CX Cloud Agent OVA。
執行下列步驟:
如果選擇Auto Generate Password,則複製生成的口令並將其儲存以備將來使用。按一下「Save Password」(儲存密碼),並前往步驟 4。
注意:如果域無法成功訪問,客戶必須透過在其防火牆中進行更改來修復域可接通性,以確保域可訪問。域可接通性問題得到解決後,按一下Check Again。
注意:如果配對代碼過期,請按一下Register to CX Cloud以生成新的配對代碼(第13步)。
15. 按一下確定。
使用者還可以使用CLI選項生成配對代碼。
使用CLI生成配對代碼:
支援的Cisco Catalyst Center版本為2.1.2.0到2.2.3.5、2.3.3.4到2.3.3.6、2.3.5.0和Cisco Catalyst Center Virtual Appliance
要在Cisco Catalyst中心中配置Syslog轉發到CX Cloud Agent,請執行以下步驟:
注意:配置完成後,與該站點關聯的所有裝置都將配置為向CX雲代理傳送級別為「關鍵」的系統日誌。裝置必須關聯到站點,才能啟用從裝置到CX雲代理的系統日誌轉發。 更新syslog伺服器設定後,與該站點關聯的所有裝置將自動設定為預設關鍵級別。
必須將裝置配置為將系統日誌消息傳送到CX Cloud Agent,以使用CX Cloud的故障管理功能。
注意:只有園區成功跟蹤第2級裝置才有資格配置其他資產以轉發系統日誌。
執行系統日誌伺服器軟體的配置說明,並將CX雲代理IP地址增加為新目標。
注意:轉發syslog時,請確保保留原始syslog消息的源IP地址。
將每台裝置配置為將系統日誌直接傳送到CX雲代理IP地址。如需特定組態步驟,請參閱本檔案。
要顯示Syslog Information級別,請執行以下步驟:
選擇所需站點並使用裝置名稱覈取方塊選擇所有裝置。
建議使用快照功能在特定時間點保留CX Cloud Agent VM的狀態和資料。此功能可促進CX雲虛擬機器恢復到拍攝快照的特定時間。
要備份CX雲虛擬機器,請執行以下操作:
注意:驗證是否已清除「快照虛擬機器的記憶體」覈取方塊。
3. 按一下確定。建立虛擬機器快照狀態在「最近的任務」清單中顯示為已完成。
要恢復CX雲虛擬機器:
CX Cloud Agent可確保客戶的端到端安全性。CX Cloud和CX Cloud Agent之間的連線受到TLS保護。雲代理的預設SSH使用者只能執行基本操作。
在安全的VMware伺服器公司中部署CX雲代理OVA映像。OVA 是透過思科軟體下載中心所安全分享。開機載入器(單一使用者模式)密碼是使用隨機的唯一密碼設定的。使用者必須參閱此常見問題才能設定此引導載入程式(單使用者模式)口令。
在部署期間,會建立cxcadmin使用者帳戶。在初始配置期間,使用者將被強制設定密碼。cxcadmin使用者/憑據用於訪問CX雲代理API和透過SSH連線到裝置。
cxcadmin使用者具有限制存取權,但許可權最少。cxcadmin密碼遵循安全性原則,是單向雜湊密碼,到期期間為90天。cxcadmin使用者可以使用名為remoteaccount的公用程式建立cxcroot使用者。cxcroot使用者可以取得root許可權。
CX雲代理VM可使用SSH和cxcadmin使用者憑據進行訪問。傳入連接埠限制為 22 (ssh),514(Syslog)。
基於密碼的身份驗證:裝置維護一個使用者(cxcadmin),該使用者可透過該使用者與CX雲代理進行身份驗證和通訊。
cxcadmin使用者可以使用名為remoteaccount的實用程式建立cxcroot使用者。此公用程式會顯示RSA/ECB/PKCS1v1_5加密密碼,該密碼只能從SWIM入口網站解密(DECRYPT要求表單)。只有授權人員可以存取此入口網站。cxcroot使用者可以使用此解密的密碼取得root許可權。密碼短語的有效期僅為兩天。cxcadmin使用者必須在密碼到期後重新建立帳戶並從SWIM門戶獲取密碼。
CX Cloud Agent裝置遵循Center of Internet Security強化標準。
CX Cloud Agent 設備不會儲存任何客戶個人資訊。 裝置憑證應用程式(作為其中一個pod運行)將加密的伺服器憑證儲存在安全資料庫中。除了處理時,收集的資料不會以任何形式儲存在裝置內。收集完成之後,遙測資料將儘快上傳到CX雲,並在確認上傳成功後,立即從本地儲存中刪除。
註冊包包含所需的唯一X.509裝置證書和金鑰,用於與Iot核心建立安全連線。使用該代理透過傳輸層安全(TLS) v1.2使用消息隊列遙測傳輸(MQTT)建立安全連線
日誌不包含任何形式的個人辨識資訊(PII)資料。稽核日誌捕獲在CX Cloud Agent裝置上執行的所有安全敏感型操作。
CX雲使用Cisco遙測命令中列出的API和命令檢索資產遙測。本文檔根據命令對Cisco Catalyst中心清單、診斷網橋、Intersight、合規性見解、故障以及CX雲代理收集的所有其他遙測源的適用性對命令進行分類。
資產遙測中的敏感資訊在傳輸到雲之前會被掩蔽。CX Cloud Agent遮蔽直接向CX Cloud Agent傳送遙測資訊的所有收集資產的敏感資料。這包括密碼、金鑰、社群字串、使用者名稱等。在將資訊傳輸到CX雲代理之前,控制器為所有由控制器管理的資產提供資料掩碼。在某些情況下,控制器管理的資產遙測可以進一步匿名化。請參閱相應的產品支援文檔以瞭解有關遙測匿名化的詳細資訊(例如,Cisco Catalyst Center管理員指南的匿名資料部分)。
雖然無法自定義遙測命令清單並且無法修改資料掩碼規則,但是客戶可以透過指定資料來源來控制哪些資產的CX雲遙測訪問,如控制器受管裝置的產品支援文檔或本文檔的「連線資料來源」部分(針對CX雲代理收集的其他資產)中所述。
安全性功能 |
說明 |
開機載入器密碼 |
開機載入器(單一使用者模式)密碼是使用隨機的唯一密碼設定的。使用者必須參閱常見問題才能設定其引導載入程式(單使用者模式)口令。 |
使用者存取 |
SSH: ·使用 cxcadmin 使用者存取設備需要安裝期間建立的認證。 · 使用cxcroot使用者訪問裝置需要授權人員使用SWIM門戶解密憑證。 |
使用者帳戶 |
· cxcadmin:已建立預設使用者帳戶;使用者可以使用cxcli執行CX Cloud Agent應用程式命令,並且在裝置上具有最低許可權;cxcroot使用者及其加密密碼使用cxcadmin使用者生成。 · cxcroot: cxcadmin可以使用實用程式remoteaccount建立此使用者;使用者可使用此帳戶獲得root許可權。 |
cxcadmin 密碼原則 |
·密碼是使用 SHA-256 的單向雜湊,並安全地存放。 · 最少八(8)個字元,包含下列三種:大寫、小寫、數字及特殊字元。 |
cxcroot 密碼原則 |
· cxcroot密碼已加密RSA/ECB/PKCS1v1_5 ·產生的複雜密碼需要在 SWIM 入口網站中解密。 · cxcroot使用者和密碼的有效期為兩天,可以使用cxcadmin使用者重新產生。 |
ssh 登入密碼原則 |
· 最少八個字元,包含下列三種類別:大寫、小寫、數字及特殊字元。 · 五次失敗的登入嘗試將方塊鎖定30分鐘;密碼將在90天後過期。 |
連接埠 |
開啟傳入連接埠 – 514(Syslog) 和 22 (ssh) |
資料安全 |
·未儲存任何客戶資訊。 ·未儲存任何裝置資料。 · Cisco Catalyst Center伺服器憑證已加密並儲存在資料庫中。 |
修訂 | 發佈日期 | 意見 |
---|---|---|
2.0 |
26-Sep-2024 |
更新了文檔,以將Cisco DNA Center名稱更改反映為Cisco Catalyst Center。 |
1.0 |
25-Jul-2024 |
初始版本 |