Пачніце працу з Cisco DNA Center на AWS

Цэнтр ДНК Cisco на AWS Overview

Заўвага
Cisco DNA Center быў перайменаваны ў Catalyst Center, а Cisco DNA Center VA Launchpad перайменаваны ў Cisco Global Launchpad. У працэсе рэбрэндынгу вы ўбачыце ранейшыя і рэбрэндынгаваныя назвы, якія выкарыстоўваюцца ў розных матэрыялах забеспячэння. Аднак Cisco DNA Center і Catalyst Center адносяцца да аднаго прадукту, а Cisco DNA Center VA Launchpad і Cisco Global Launchpad адносяцца да аднаго і таго ж прадукту.
Cisco DNA Center прапануе цэнтралізаванае, інтуітыўна зразумелае кіраванне, якое дазваляе хутка і лёгка распрацоўваць, прадастаўляць і прымяняць палітыкі ў сеткавым асяроддзі. Карыстальніцкі інтэрфейс Cisco DNA Center забяспечвае скразную бачнасць сеткі і выкарыстоўвае інфармацыю аб сетцы для аптымізацыі прадукцыйнасці сеткі і забеспячэння лепшага карыстання і працы з праграмамі.
Цэнтр ДНК Cisco на Amazon Web Службы (AWS) забяспечваюць поўную функцыянальнасць, якую прапануе разгортванне прылад Cisco DNA Center. Cisco DNA Center на AWS працуе ў воблачным асяроддзі AWS і кіруе вашай сеткай з воблака.

Тыпы злучэнняў

• Прамое падключэнне
• SD-WAN
• Ка-ло
• (Тунэль IPsec

Разгортванне скончанаview

Ёсць тры спосабы разгарнуць Cisco DNA Center на AWS:

• Аўтаматызаванае разгортванне: Cisco Global Launchpad наладжвае Cisco DNA Center на AWS. Гэта дапаможа вам стварыць сэрвісы і кампаненты, неабходныя для воблачнай інфраструктуры. Напрыкладample, гэта дапамагае ствараць віртуальныя прыватныя воблакі (VPC), падсеткі, групы бяспекі, тунэлі IPsec VPN і шлюзы. Затым Cisco DNA Center Amazon Machine Image (AMI) разгортваецца як асобнік Amazon Elastic Compute Cloud (EC2) з прадпісанай канфігурацыяй у новым VPC разам з падсеткамі, транзітнымі шлюзамі і іншымі важнымі рэсурсамі, такімі як Amazon CloudWatch для маніторынгу, Amazon DynamoDB для стан захоўвання, і груп бяспекі.
  Cisco прапануе вам два метады выкарыстання Cisco Global Launchpad. Вы можаце загрузіць і ўсталяваць Cisco Global Launchpad на лакальнай машыне або атрымаць доступ да Cisco Global Launchpad, які размяшчаецца Cisco. Незалежна ад метаду, Cisco Global Launchpad забяспечвае інструменты, неабходныя для ўстаноўкі і кіравання вашым Cisco DNA Center Virtual Appliance (VA).
  Для атрымання дадатковай інфармацыі гл. Разгортванне з дапамогай Cisco Global Launchpad 1.8 або Разгортванне з дапамогай Cisco Global Launchpad 1.7.
• Ручное разгортванне з дапамогай AWS CloudFormation: вы ўручную разгортваеце Cisco DNA Center AMI на сваім AWS. Замест выкарыстання інструмента разгортвання Cisco Global Launchpad вы выкарыстоўваеце AWS CloudFormation, які з'яўляецца інструментам разгортвання ў AWS. Затым вы ўручную наладжваеце Cisco DNA Center, ствараючы інфраструктуру AWS, усталёўваючы VPN-тунэль і разгортваючы Cisco DNA Center VA. Для атрымання дадатковай інфармацыі гл. Разгортванне з дапамогай AWS CloudFormation.
• Ручное разгортванне з дапамогай AWS Marketplace: вы ўручную разгортваеце Cisco DNA Center AMI на сваім уліковым запісе AWS. Замест выкарыстання інструмента разгортвання Cisco Global Launchpad вы выкарыстоўваеце AWS Marketplace, які з'яўляецца інтэрнэт-крамай праграмнага забеспячэння ў AWS. Вы запускаеце праграмнае забеспячэнне праз кансоль запуску Amazon EC2, а затым уручную разгортваеце Cisco DNA Center, ствараючы інфраструктуру AWS, усталёўваючы VPN-тунэль і канфігуруючы свой Cisco DNA Center VA. Звярніце ўвагу, што для гэтага метаду разгортвання падтрымліваецца толькі запуск праз EC2. Астатнія два варыянты запуску (Запуск з Webсайт і Капіраваць у каталог паслуг) не падтрымліваюцца. Для атрымання дадатковай інфармацыі гл. Разгортванне з дапамогай AWS Marketplace.

Калі ў вас мінімальны вопыт адміністравання AWS, аўтаматызаваны метад з Cisco Global Launchpad прапануе найбольш аптымізаваны працэс усталёўкі з падтрымкай. Калі вы знаёмыя з адміністраваннем AWS і маеце існуючыя VPC, ручныя метады прапануюць альтэрнатыўны працэс усталёўкі.
Разгледзьце перавагі і недахопы кожнага метаду з дапамогай наступнай табліцы:

Аўтаматызаванае разгортванне з Cisco Global Launchpad	Ручное разгортванне з дапамогай AWS CloudFormation	Ручное разгортванне з дапамогай AWS Marketplace
• Гэта дапамагае ствараць інфраструктуру AWS, такую ​​як VPC, падсеткі, групы бяспекі, тунэлі IPsec VPN і шлюзы ў вашым уліковым запісе AWS. • Ён аўтаматычна завяршае ўстаноўку Cisco DNA Цэнтр. • Гэта забяспечвае доступ да вашых VA. • Гэта забяспечвае кіравальнасць вашых VA. • Час разгортвання складае прыблізна 1-1½ гадзіны. • Аўтаматызаваныя абвесткі адпраўляюцца на ваш Amazon CloudWatch прыборная панэль. • Вы можаце выбраць паміж аўтаматызаваным воблакам або карпаратыўнай сеткай File Рэзервовае капіраванне сістэмы (NFS). • Любыя ручныя змены, унесеныя ў аўтаматызаваны працоўны працэс канфігурацыі Cisco DNA Center на AWS, могуць выклікаць канфлікт з аўтаматызаваным разгортваннем.	• AWS CloudFormation file патрабуецца для стварэння Cisco DNA Center VA на AWS. • Вы ствараеце інфраструктуру AWS, такую ​​як VPC, падсеткі і групы бяспекі, у сваім уліковым запісе AWS. • Вы ўсталёўваеце VPN-тунэль. • Вы разгарнулі Cisco DNA Center. • Час разгортвання складае прыблізна ад некалькіх гадзін да некалькіх дзён. • Вам трэба ўручную наладзіць маніторынг праз кансоль AWS. • Вы можаце наладзіць толькі лакальную NFS для рэзервовага капіявання.	• AWS CloudFormation file не патрабуецца ствараць a Cisco DNA Center VA на AWS. • Вы ствараеце інфраструктуру AWS, такую ​​як VPC, падсеткі і групы бяспекі, у сваім уліковым запісе AWS. • Вы ўсталёўваеце VPN-тунэль. • Вы разгарнулі Cisco DNA Center. • Час разгортвання складае прыблізна ад некалькіх гадзін да некалькіх дзён. • Вам трэба ўручную наладзіць маніторынг праз кансоль AWS. • Вы можаце наладзіць толькі лакальную NFS для рэзервовага капіявання.

Падрыхтуйцеся да разгортвання

Перш чым разгортваць Cisco DNA Center на AWS, улічвайце свае сеткавыя патрабаванні і неабходнасць укаранення падтрымоўваных інтэграцый Cisco DNA Center на AWS і спосаб доступу да Cisco DNA Center на AWS.
Акрамя таго, Cisco настойліва рэкамендуе вам пераканацца, што Cisco DNA Center VA TAR file запампаваны вамі з'яўляецца сапраўдным Cisco TAR file. Глядзіце праверку ДНК-цэнтра Cisco VA TAR File, на старонцы 6.

Высокая даступнасць і Cisco DNA Center на AWS
Укараненне Cisco DNA Center па высокай даступнасці (HA) AWS выглядае наступным чынам:

• EC2 HA з адным вузлом у зоне даступнасці (AZ) уключана па змаўчанні.
• Калі асобнік Cisco DNA Center EC2 выходзіць з ладу, AWS аўтаматычна стварае іншы асобнік з такім жа IP-адрасам. Гэта забяспечвае бесперабойнае злучэнне і мінімізуе збоі падчас важных сеткавых аперацый.
  Заўвага
  Калі вы разгортваеце Cisco DNA Center на AWS з дапамогай Cisco Global Launchpad, выпуск 1.5.0 або раней, і асобнік Cisco DNA Center EC2 выходзіць з ладу, AWS аўтаматычна адкрывае іншы экземпляр у той жа AZ. У гэтым выпадку AWS можа прызначыць Cisco DNA Center іншы IP-адрас.
• Вопыт і мэтавы час аднаўлення (RTO) падобныя на магутнасцьtage паслядоўнасць у голым металічным прыладзе Cisco DNA Center.

Кіраўніцтва па інтэграцыі Cisco ISE на AWS з Cisco DNA Center на AWS
Cisco ISE на AWS можна інтэграваць з Cisco DNA Center на AWS. Каб інтэграваць іх разам у воблаку, звярніце ўвагу на наступныя рэкамендацыі:

• Cisco ISE на AWS павінен быць разгорнуты ў асобным VPC ад таго, што зарэзерваваны для Cisco Global Launchpad.
• VPC для Cisco ISE на AWS можа знаходзіцца ў тым жа рэгіёне, што і VPC для Cisco DNA Center на AWS, або ў іншым рэгіёне.
• Вы можаце выкарыстоўваць пірынг VPC або Transit Gateway (TGW), у залежнасці ад вашага асяроддзя.
• Каб злучыць Cisco DNA Center на AWS з Cisco ISE на AWS з дапамогай пірынгу VPC або TGW, дадайце неабходныя запісы маршрутызацыі ў табліцы маршрутаў пірынгу VPC або TGW і ў табліцу маршрутаў, якая далучана да падсеткі, звязанай з Cisco DNA Center на AWS або Cisco ISE на AWS.
• Cisco Global Launchpad не можа выявіць пазакантрольныя змены аб'ектаў, якія былі створаны Cisco Global Launchpad. Гэтыя аб'екты ўключаюць VPC, VPN, TGW, далучэнні TGW, падсеткі, маршрутызацыю і гэтак далей. Напрыкладample, можна выдаліць або змяніць модуль VA, які быў створаны Cisco Global Launchpad з іншага прыкладання, і Cisco Global Launchpad не будзе ведаць аб гэтай змене.

У дадатак да асноўных правілаў даступнасці вам трэба дазволіць наступныя ўваходныя парты для далучэння групы бяспекі да асобніка Cisco ISE у воблаку:

• Для Cisco DNA Center на AWS і Cisco ISE на інтэграцыі з AWS дазвольце парты TCP 9060 і 8910.
• Для радыуснай аўтэнтыфікацыі дазвольце UDP-парты 1812, 1813 і любыя іншыя ўключаныя парты.
• Для адміністравання прылады праз TACACS дазвольце TCP-порт 49.
• Для дадатковых налад, такіх як Datagram Transport Layer Security (DTLS) або RADIUS Change of Authorization (CoA), зробленае на Cisco ISE на AWS, дазвольце адпаведныя парты.

Кіраўніцтва па доступе да Cisco DNA Center на AWS
Пасля таго як вы створыце віртуальны асобнік Cisco DNA Center, вы зможаце атрымаць да яго доступ праз графічны інтэрфейс Cisco DNA Center і CLI.

Важны
GUI і CLI Cisco DNA Center даступныя толькі праз сетку Enterprise, а не з агульнадаступнай сеткі. З аўтаматызаваным метадам разгортвання Cisco Global Launchpad гарантуе, што Cisco DNA Center будзе даступны толькі з унутранай сеткі прадпрыемства. Пры ручным метадзе разгортвання вам трэба пераканацца, што Cisco DNA Center недаступны ў агульнадаступным інтэрнэце з меркаванняў бяспекі.
Інструкцыі па доступе да графічнага інтэрфейсу Cisco DNA Center
Каб атрымаць доступ да графічнага інтэрфейсу Cisco DNA Center:

• Выкарыстоўвайце падтрымліваемы браўзер. Бягучы спіс падтрымоўваных браўзераў глядзіце ў Заўвагах да выпуску Cisco Global Launchpad.
• У браўзеры ўвядзіце IP-адрас вашага асобніка Cisco DNA Center у наступным фармаце: http://ip-address/dna/home
  Напрыкладampль: http://192.0.2.27/dna/home
• Для першапачатковага ўваходу выкарыстоўвайце наступныя ўліковыя дадзеныя:
  Імя карыстальніка: admin
  Пароль: maglev1@3

Заўвага
Вам неабходна змяніць гэты пароль, калі вы ўваходзіце ў Cisco DNA Center у першы раз. Пароль павінен:

• Прапусціце любую табуляцыю або разрыў радка
• Мець як мінімум восем сімвалаў
• Змяшчаюць сімвалы як мінімум з трох з наступных катэгорый:
• Малыя літары (az)
• Вялікія літары (AZ)
• Лічбы (0-9)
• Спецыяльныя сімвалы (напрampле,! або #)

Кіраўніцтва па доступе да CLI Cisco DNA Center
Каб атрымаць доступ да CLI Cisco DNA Center:

• Выкарыстоўвайце IP-адрас і ключы, якія адпавядаюць метаду, які вы выкарыстоўвалі для разгортвання Cisco DNA Center:
  • Калі вы разгарнулі Cisco DNA Center з дапамогай Cisco Global Launchpad, выкарыстоўвайце IP-адрас і ключы, прадастаўленыя Cisco Global Launchpad.
  • Калі вы разгарнулі Cisco DNA Center уручную з дапамогай AWS, выкарыстоўвайце IP-адрас і ключы, прадастаўленыя AWS.
    Заўвага
    Ключ павінен быць .pem file. Калі ключ file спампоўваецца як key.cer file, трэба перайменаваць file да ключ.пем.
• Уручную змяніце правы доступу да key.pem file да 400. Выкарыстоўвайце каманду Linux chmod, каб змяніць правы доступу. Напрыкладample: chmod 400 key.pem
• Выкарыстоўвайце наступную каманду Linux для доступу да CLI Cisco DNA Center: ssh -i key.pem maglev@ip-address -p 2222
  Напрыкладample: ssh -i key.pem maglev@192.0.2.27 -p 2222

Праверце Cisco DNA Center VA TAR File
Перад разгортваннем Cisco DNA Center VA мы настойліва рэкамендуем вам пераканацца, што TAR file запампаваны вамі з'яўляецца сапраўдным Cisco TAR file.
Перш чым пачаць
Пераканайцеся, што вы спампавалі Cisco DNA Center VA TAR file з сайта загрузкі праграмнага забеспячэння Cisco.
Працэдура
Крок 1
Спампуйце адкрыты ключ Cisco (cisco_image_verification_key.pub) для праверкі подпісу з месца, указанага Cisco.
Крок 2
Спампуйце кантрольную суму алгарытму бяспечнага хэшавання (SHA512). file для ТАР file з месца, вызначанага Cisco.
Крок 3
Атрымаць TAR fileподпіс file (.sig) ад службы падтрымкі Cisco па электроннай пошце або загрузкай з бяспечнага Cisco webсайт (калі ёсць).
Крок 4
(Неабавязкова) Выканайце праверку SHA, каб вызначыць, ці TAR file пашкоджаны з-за частковай загрузкі.
У залежнасці ад вашай аперацыйнай сістэмы, увядзіце адну з наступных каманд:

• У сістэме Linux: sha512sumfile-fileімя>
• У сістэме Mac: shasum -a 512file-fileімя>

У Microsoft Windows няма ўбудаванай утыліты кантрольнай сумы, але вы можаце выкарыстоўваць інструмент certutil: certutil -hashfile <fileімя> sha256
Напрыкладample: certutil -хэшfile D:\Customers\Launchpad-desktop-server-1.x.0.tar.gz sha256
У Windows вы таксама можаце выкарыстоўваць Windows PowerShell для стварэння дайджэста. Напрыкладampль:
PS C:\Users\Administrator> Get-FileХэш -шлях
D:\Customers\Launchpad-desktop-server-1.x.0.tar.gz
Хэш-шлях алгарытму
SHA256 D:\Customers\Launchpad-desktop-server-1.x.0.tar.gz
Параўнайце вывад каманды з кантрольнай сумай SHA512 file што вы спампавалі. Калі вывад каманды не супадае, загрузіце TAR file зноў і запусціце адпаведную каманду другі раз. Калі вынік па-ранейшаму не адпавядае, звярніцеся ў службу падтрымкі Cisco.
Крок 5
Пераканайцеся, што TAR file з'яўляецца сапраўдным і ад Cisco шляхам праверкі яго подпісу:
openssl dgst -sha512 -verify cisco_image_verification_key.pub -подпіс <подпіс-fileімя> <тар-file-fileімя>
Заўвага
Гэтая каманда працуе як у асяроддзі Mac, так і ў Linux. Для Windows неабходна загрузіць і ўсталяваць OpenSSL (даступны на сайце загрузак OpenSSL), калі вы гэтага яшчэ не зрабілі.
Калі ТАР file з'яўляецца сапраўдным, выкананне гэтай каманды адлюстроўвае паведамленне "Праверана ОК". Калі гэтае паведамленне не з'яўляецца, не ўстанаўлівайце TAR file і звярніцеся ў службу падтрымкі Cisco.

Дакументы / Рэсурсы

CISCO Пачніце працаваць з DNA Center на AWS [pdfКіраўніцтва карыстальніка Пачніце з DNA Center на AWS, Пачніце з DNA Center на AWS, DNA Center на AWS, Center на AWS

Спасылкі

• Кіраўніцтва карыстальніка