Kontni
kache
CISCO DNA Configure Settings System
Enfòmasyon sou pwodwi
Cisco DNA Center se yon platfòm jesyon rezo ki pèmèt itilizatè yo konfigirasyon anviwònman sistèm, kontwole sante rezo a, ak jere otantifikasyon ak sèvè politik. Li bay enfòmasyon yon ti koutje sou sistèm nan epi li pèmèt konfigirasyon fasil atravè yon koòdone itilizatè grafik.
Espesifikasyon
- Platfòm: Sant ADN Cisco
- Kondisyon sistèm: Konpatib ak enfrastrikti rezo estanda
- Otantifikasyon: Sipòte serveurs AAA ak Cisco ISE
Enstriksyon Itilizasyon Pwodwi
Konfigirasyon Anviwònman Sistèm
Pou kòmanse itilize Cisco DNA Center, ou bezwen konfigirasyon anviwònman sistèm yo. Sa a asire ke sèvè a ka kominike deyò rezo a, etabli kominikasyon an sekirite, otantifye itilizatè yo, ak fè lòt travay enpòtan.
- Soti nan kwen anwo-gòch ekran an, klike sou ikòn meni an epi chwazi System > System 360.
- Review mezi done yo parèt sou tablodbò System 360 la, ki gen ladan estati gwoup la ak endikatè sante lame yo.
- Si sa nesesè, pase kurseur ou sou yon estati lame malsen pou view enfòmasyon depanaj.
- Pou pèmèt High Availability (HA), al gade nan dokiman sou High Availability.
Konfigirasyon Otantifikasyon ak Règleman Sèvè
Cisco DNA Center itilize sèvè AAA pou otantifikasyon itilizatè ak Cisco ISE pou tou de otantifikasyon itilizatè ak kontwòl aksè. Swiv etap sa yo pou konfigirasyon sèvè AAA:
- Soti nan kwen anwo-gòch ekran an, klike sou ikòn meni an epi chwazi Sistèm > Anviwònman > Sèvis Ekstèn > Otantifikasyon ak Sèvè Règleman yo.
- Soti nan lis la Add deroulant, chwazi AAA oswa ISE.
- Antre enfòmasyon ki nesesè yo konfigirasyon sèvè prensipal AAA la.
- Pou Non Domèn Totalman Kalifye (FQDN), antre non host la ak non domèn nan fòma: hostname.domainname.com.
- Klike sou Anviwònman Avanse pou konfigirasyon lòt anviwònman si sa nesesè.
- Asire w ke opsyon yo aktive oswa enfim jan sa nesesè.
FAQ
- Kouman mwen ka configured High Availability (HA) nan Cisco DNA Center?
Pou pèmèt High Availability, al gade nan dokiman sou High Availability pou jwenn enstriksyon detaye. - Ki sa ki sèvi ak sèvè AAA ak Cisco ISE?
Sèvè AAA yo itilize pou otantifikasyon itilizatè, pandan y ap Cisco ISE yo itilize pou tou de otantifikasyon itilizatè ak kontwòl aksè nan Cisco DNA Center. - Èske mwen ka configured paramèt backup nan Cisco DNA Center?
Wi, ou ka configured paramèt backup. Estati pwochen backup pwograme a parèt, epi ou ka aktive oswa enfim konfigirasyon backup jan sa nesesè.
Konsènan Anviwònman Sistèm
Pou kòmanse itilize Cisco DNA Center, ou dwe premye konfigirasyon anviwònman sistèm yo pou sèvè a ka kominike deyò rezo a, asire kominikasyon an sekirite, otantifye itilizatè yo, ak fè lòt travay kle. Sèvi ak pwosedi ki dekri nan chapit sa a pou konfigirasyon paramèt sistèm yo.
Remak
- Nenpòt chanjman ou fè nan konfigirasyon Cisco DNA Center-ki gen ladan chanjman nan paramèt sèvè proxy-yo dwe fèt nan Cisco DNA Center GUI.
- Nenpòt chanjman nan adrès IP, wout estatik, sèvè DNS, oswa modpas itilizatè maglev dwe fèt nan CLI a ak kòmandman aktyalizasyon sudo maglev-config.
- Pa default, zòn tan sistèm Cisco DNA Center a mete sou UTC. Pa chanje zòn tan sa a nan anviwònman paske Cisco DNA Center GUI travay ak zòn lè navigatè w la.
Sèvi ak System 360
Tab System 360 la bay enfòmasyon yon ti koutje sou Cisco DNA Center.
- Etap 1 Soti nan kwen anlè agoch, klike sou ikòn meni an epi chwazi System > System 360.
- Etap 2 Sou tablodbò System 360 la, review mezi done sa yo ki parèt:
- Cluster
- Lame: Montre enfòmasyon sou hôte Cisco DNA Center yo. Enfòmasyon ki parèt la gen ladan adrès IP lame yo ak done detaye sou sèvis yo kouri sou lame yo. Klike la View Sèvis lyen pou view done detaye sou sèvis yo kouri sou gen tout pouvwa a.
Remak Adrès IP lame a gen yon badj koulè akote li. Yon badj vèt endike ke lame a an sante. Yon badj wouj endike ke lame a pa bon pou lasante.
Panèl bò a montre enfòmasyon sa yo:- Estati ne: Montre eta sante a nan ne la. Si sante nan ne se Malsen, pase kurseur ou sou estati a view plis enfòmasyon depanaj.
- Estati Sèvis: Montre eta sante sèvis yo. Menm si yon sèvis ki desann, estati a se Malsen.
- Non: Non sèvis la.
- Appstack: Non pile aplikasyon an.
Yon pile app se yon koleksyon sèvis ki fèk makonnen. Yon sèvis nan anviwònman sa a se yon aplikasyon orizontal évolutive ki ajoute egzanp tèt li lè demann ogmante, epi li libere egzanp tèt li lè demann diminye. - Sante: Estati sèvis la.
- Vèsyon: Vèsyon sèvis la.
- Zouti: Montre mezi ak mòso bwa pou sèvis la. Klike sou lyen Metrics pou view done siveyans sèvis nan Grafana. Grafana se yon analiz metrik ak vizyalizasyon sous louvri. Ou ka rezoud pwoblèm pa reviewing done siveyans sèvis yo. Pou enfòmasyon sou Grafana, gade https://grafana.com/. Klike sou lyen Logs pou view mòso bwa sèvis nan Kibana. Kibana se yon platfòm vizyalizasyon ak analiz sous louvri. Ou ka rezoud pwoblèm pa reviewnan mòso bwa sèvis yo. Pou enfòmasyon sou Kibana, gade https://www.elastic.co/products/kibana.
- Aksyon: Opsyon ki disponib pou rekòmanse sèvis la. Pou kèk nan sèvis entèn ak sistèm espesifik yo, opsyon Aksyon an enfim.
- Segondè Disponibilite: Montre si HA aktive ak aktif.
Pou pèmèt HA, gade Disponibilite segondè. - Zouti Cluster: Pèmèt ou jwenn aksè nan zouti sa yo:
- Siveyans: Aksede plizyè tablodbò eleman Cisco DNA Center lè l sèvi avèk Grafana, ki se yon analiz metrik ak vizyalizasyon sous louvri. Sèvi ak zouti Siveyans pou review epi analize mezi kle Cisco DNA Center, tankou memwa ak itilizasyon CPU. Pou enfòmasyon sou Grafana, gade https://grafana.com/. Remak Nan yon anviwònman Cisco DNA Center multihost, espere repetisyon nan done Grafana yo akòz plizyè lame yo.
- Log Explorer: Aksede aktivite Cisco DNA Center ak mòso sistèm lè l sèvi avèk Kibana. Kibana se yon platfòm vizyalizasyon ak analiz sous louvri ki fèt pou travay avèk Elasticsearch. Sèvi ak zouti Log Explorer pou review aktivite detaye ak mòso bwa sistèm. Nan fenèt navigasyon Kibana gòch la, klike sou Dashboard. Lè sa a, klike sou System Overview epi view tout mòso bwa sistèm yo. Pou enfòmasyon sou Kibana, gade https://www.elastic.co/guide/en/kibana/current/index.html. Pou enfòmasyon sou Elasticsearch, gade https://www.elastic.co/guide/index.html.
Remak Tout antre nan Cisco DNA Center aktive pa default.
- Lame: Montre enfòmasyon sou hôte Cisco DNA Center yo. Enfòmasyon ki parèt la gen ladan adrès IP lame yo ak done detaye sou sèvis yo kouri sou lame yo. Klike la View Sèvis lyen pou view done detaye sou sèvis yo kouri sou gen tout pouvwa a.
- Jesyon Sistèm
- Mizajou lojisyèl: Montre enfòmasyon sou estati vèsyon enstale a ak mizajou sistèm. Klike la View lyen pou view detay aktyalizasyon yo. Dashlet a fè konnen lè mòd airgap la aktive.
Remak Yon aktyalizasyon gen yon badj koulè akote li. Yon badj vèt endike aktyalizasyon a oswa aksyon ki gen rapò ak aktyalizasyon a reyisi. Yon badj jòn endike ke gen yon aktyalizasyon ki disponib. - Sovgad: Montre estati backup ki pi resan an. Klike la View lyen pou view tout detay backup. Anplis de sa, li montre estati pwochen backup pwograme a (oswa endike ke pa gen okenn backup pwograme). Lè mòd airgap aktive, konfigirasyon backup la pa jwenn.
Remak- Yon backup gen yon badj koulè akote li. Yon badj vèt endike yon backup siksè ak yon timestamp.
- Yon badj jòn endike ke pwochen backup la poko pwograme.
- Mizajou lojisyèl: Montre enfòmasyon sou estati vèsyon enstale a ak mizajou sistèm. Klike la View lyen pou view detay aktyalizasyon yo. Dashlet a fè konnen lè mòd airgap la aktive.
- Cluster
Konfigirasyon Otantifikasyon ak Règleman Sèvè
Cisco DNA Center itilize sèvè AAA pou otantifikasyon itilizatè ak Cisco ISE pou tou de otantifikasyon itilizatè ak kontwòl aksè. Sèvi ak pwosedi sa a pou konfigirasyon serveurs AAA, ki gen ladan Cisco ISE.
Anvan ou kòmanse
- Si w ap itilize Cisco ISE pou fè tou de politik ak fonksyon AAA, asire w ke Cisco DNA Center ak Cisco ISE yo entegre.
- Si w ap itilize yon lòt pwodwi (pa Cisco ISE) pou fè fonksyon AAA, asire w ou fè bagay sa yo:
- Anrejistre Cisco DNA Center ak sèvè AAA a, tankou defini sekrè pataje sou tou de sèvè AAA ak Cisco DNA Center.
- Defini yon non atribi pou Cisco DNA Center sou sèvè AAA la.
- Pou yon konfigirasyon gwoup multihost Cisco DNA Center, defini tout adrès IP lame endividyèl yo ak adrès IP vityèl la pou gwoup multihost la sou sèvè AAA la.
- Anvan ou konfigirasyon Cisco ISE, konfime ke:
- Ou te deplwaye Cisco ISE sou rezo ou. Pou jwenn enfòmasyon sou vèsyon Cisco ISE ki sipòte, gade Cisco DNA Center Compatibility Matrix la. Pou jwenn enfòmasyon sou enstale Cisco ISE, gade Gid Enstale ak Mizajou Cisco Identity Services Engine.
- Si ou gen yon deplwaman Cisco ISE otonòm, ou dwe entegre Cisco DNA Center ak ne Cisco ISE a epi pèmèt sèvis pxGrid la ak Sèvis RESTful Ekstèn (ERS) sou ne sa a.
- Si ou gen yon deplwaman Cisco ISE distribye:
- Ou dwe entegre Cisco DNA Center ak nod administrasyon politik prensipal (PAN), epi pèmèt ERS sou PAN la.
Remak Nou rekòmande pou w itilize ERS atravè PAN. Sepandan, pou backup, ou ka aktive ERS sou Policy Service Nodes (PSNs). - Ou dwe pèmèt sèvis pxGrid la sou youn nan nœuds Cisco ISE nan deplwaman distribiye a. Malgre ke ou ka chwazi fè sa, ou pa oblije aktive pxGrid sou PAN la. Ou ka pèmèt pxGrid sou nenpòt ne Cisco ISE nan deplwaman distribiye ou.
- PSN yo ke ou konfigirasyon nan Cisco ISE pou okipe TrustSec oswa SD Aksè kontni ak Pwoteje Aksè Credentials (PACs) yo dwe defini tou nan Sant Travay > Trustsec > Sèvè Trustsec > Sèvè Trustsec AAA. Pou plis enfòmasyon, gade Gid Administratè Cisco Identity Services Engine.
- Ou dwe entegre Cisco DNA Center ak nod administrasyon politik prensipal (PAN), epi pèmèt ERS sou PAN la.
- Ou dwe pèmèt kominikasyon ant Cisco DNA Center ak Cisco ISE sou pò sa yo: 443, 5222, 8910, ak 9060.
- Lame a Cisco ISE sou ki pxGrid pèmèt yo dwe jwenn nan Cisco DNA Center sou adrès IP la nan koòdone Cisco ISE eth0.
- Nœuds Cisco ISE a ka rive jwenn rezo twal la atravè NIC aparèy la.
- Sètifika ne admin Cisco ISE a dwe genyen adrès IP Cisco ISE a oswa non domèn totalman kalifye (FQDN) nan swa non sijè sètifika a oswa non sijè altènatif (SAN).
- Sètifika sistèm Cisco DNA Center a dwe lis ni adrès IP aparèy Cisco DNA Center ak FQDN nan jaden SAN.
Remak- Pou Cisco ISE 2.4 Patch 13, 2.6 Patch 7, ak 2.7 Patch 3, si w ap itilize sètifika Cisco ISE default ki siyen pwòp tèt ou kòm sètifika pxGrid la, Cisco ISE ta ka rejte sètifika sa a apre ou fin aplike sa yo.
- plak. Sa a se paske ansyen vèsyon sètifika sa a gen ekstansyon Netscape Cert Type ki espesifye kòm sèvè SSL la, ki kounye a echwe (paske yon sètifika kliyan obligatwa).
- Pwoblèm sa a pa rive nan Cisco ISE 3.0 ak pita. Pou plis enfòmasyon, gade Nòt lage Cisco ISE yo.
- Etap 1 Soti nan kwen anlè goch la, klike sou ikòn meni an epi chwazi Sistèm > Anviwònman > Sèvis Ekstèn > Otantifikasyon ak Sèvè Règleman yo.
- Etap 2 Soti nan lis deroule Add, chwazi AAA oswa ISE.
- Etap 3 Pou konfigirasyon sèvè prensipal AAA a, antre enfòmasyon sa yo:
- Adrès IP sèvè: adrès IP sèvè AAA a.
- Sekrè pataje: kle pou otantifikasyon aparèy. Sekrè pataje a dwe genyen ant 4 ak 100 karaktè. Li pa kapab genyen yon espas, yon mak kesyon (?), oswa yon parantèz ang mwens pase (<).
Asire w ke ou pa configured yon PSN ki fè pati yon gwoup Cisco ISE ki deja egziste kòm yon sèvè prensipal AAA.
- Etap 4 Pou konfigirasyon yon sèvè Cisco ISE, antre detay sa yo:
- Adrès IP sèvè: Adrès IP sèvè Cisco ISE la.
- Sekrè pataje: Kle pou otantifikasyon aparèy. Sekrè pataje a dwe genyen ant 4 ak 100 karaktè. Li pa kapab genyen yon espas, yon mak kesyon (?), oswa yon parantèz ang mwens pase (<).
- Non itilizatè: Non itilizatè ki itilize pou konekte nan Cisco ISE atravè HTTPS.
- Modpas: Modpas pou non itilizatè Cisco ISE HTTPS la.
Remak Non itilizatè a ak modpas la dwe yon kont admin ISE ki fè pati Super Admin la. - FQDN: Non domèn konplètman kalifye (FQDN) nan sèvè Cisco ISE la.
Remak- Nou rekòmande pou w kopye FQDN ki defini nan Cisco ISE (Administrasyon> Deplwaman> Deplwaman Nœuds> Lis) epi kole li dirèkteman nan jaden sa a.
- FQDN ke ou antre a dwe matche ak FQDN, Non komen (CN), oswa Subject Alternative Name (SAN) defini nan sètifika Cisco ISE a.
FQDN a konsiste de de pati, yon hostname ak non domèn nan, nan fòma sa a: hostname.domainname.com
Pou egzanpample, FQDN pou yon sèvè Cisco ISE ka ise.cisco.com.
- Adrès IP vityèl (es): Adrès IP Virtuel balans chaj la dèyè kote nœuds sèvis politik Cisco ISE (PSN) yo ye. Si ou gen plizyè fèm PSN dèyè balans chaj diferan, ou ka antre nan yon maksimòm de sis adrès IP vityèl.
- Etap 5 Klike sou Anviwònman Avanse ak konfigirasyon anviwònman yo:
- Konekte ak pxGrid: Tcheke kaz sa a pou pèmèt yon koneksyon pxGrid. Si ou vle sèvi ak sètifika sistèm Cisco DNA Center kòm sètifika kliyan pxGrid (voye bay Cisco ISE pou otantifye sistèm Cisco DNA Center kòm yon kliyan pxGrid), tcheke kare Sèvi ak Sètifika Sant ADN Cisco pou pxGrid. Ou ka sèvi ak opsyon sa a si tout sètifika yo itilize nan anviwònman fonksyònman ou yo dwe pwodwi pa menm Otorite Sètifika (CA). Si opsyon sa a enfim, Cisco DNA Center pral voye yon demann bay Cisco ISE pou jenere yon sètifika kliyan pxGrid pou sistèm nan itilize.
Lè ou aktive opsyon sa a, asire w ke:- Sètifika Sant ADN Cisco a te pwodwi pa menm CA a ki itilize pa Cisco ISE (otreman, otantifikasyon pxGrid la echwe).
- Jaden Sètifika Itilizasyon Kle Pwolonje (EKU) gen ladan "Otantifikasyon Kliyan."
- Pwotokòl: TACACS ak RADIUS (defo a). Ou ka chwazi tou de pwotokòl yo.
Atansyon
Si ou pa pèmèt TACACS pou yon sèvè Cisco ISE isit la, ou pa ka konfigirasyon sèvè Cisco ISE a kòm yon sèvè TACACS anba Design > Network Settings > Network lè konfigirasyon yon sèvè AAA pou otantifikasyon aparèy rezo. - Pò Otantifikasyon: Pò UDP yo itilize pou transmèt mesaj otantifikasyon nan sèvè AAA la. Pò UDP default yo itilize pou otantifikasyon se 1812.
- Kontablite Port: pò UDP yo itilize pou retransmèt evènman enpòtan nan sèvè AAA la. Defo a se UDP pò 1812.
- Pò: Pò TCP yo itilize pou kominike ak sèvè TACACS la. Pò TCP default yo itilize pou TACACS se 49.
- Eseye: Kantite fwa Cisco DNA Center eseye konekte ak sèvè AAA a anvan li abandone tantativ pou konekte. Nimewo a defo tantativ se 3.
- Delè: Peryòd tan aparèy la ap tann sèvè AAA a reponn anvan li abandone tantativ la
konekte. Delè defo a se 4 segonn.
Remak Apre yo fin bay enfòmasyon ki nesesè yo, Cisco ISE entegre ak Cisco DNA Center nan de faz. Li pran plizyè minit pou entegrasyon an fini. Estati entegrasyon an faz montre nan fenèt Otantifikasyon ak Sèvè Règleman yo ak fenèt System 360.- Faz enskripsyon sèvè Cisco ISE:
- Fenèt Sèvè Otantifikasyon ak Règleman: "An Pwogrè"
- Fenèt System 360: "Primè Disponib"
- Faz enskripsyon abònman pxGrid:
- Fenèt Sèvè Otantifikasyon ak Règleman: "Aktif"
- Fenèt System 360: "Primè Disponib" ak "pxGrid Disponib"
Si yo montre estati sèvè Cisco ISE configuré a kòm "FAILED" akòz yon chanjman modpas, klike sou Reeseye, epi mete ajou modpas la pou resenkronize koneksyon Cisco ISE la.
- Faz enskripsyon sèvè Cisco ISE:
- Konekte ak pxGrid: Tcheke kaz sa a pou pèmèt yon koneksyon pxGrid. Si ou vle sèvi ak sètifika sistèm Cisco DNA Center kòm sètifika kliyan pxGrid (voye bay Cisco ISE pou otantifye sistèm Cisco DNA Center kòm yon kliyan pxGrid), tcheke kare Sèvi ak Sètifika Sant ADN Cisco pou pxGrid. Ou ka sèvi ak opsyon sa a si tout sètifika yo itilize nan anviwònman fonksyònman ou yo dwe pwodwi pa menm Otorite Sètifika (CA). Si opsyon sa a enfim, Cisco DNA Center pral voye yon demann bay Cisco ISE pou jenere yon sètifika kliyan pxGrid pou sistèm nan itilize.
- Etap 6 Klike sou Ajoute.
- Etap 7 Pou ajoute yon sèvè segondè, repete etap anvan yo.
- Etap 8 Pou view estati entegrasyon Cisco ISE yon aparèy, fè bagay sa yo:
- Soti nan kwen anlè agoch, klike sou ikòn meni an epi chwazi Pwovizyon > Envantè. Fenèt Envantè a montre enfòmasyon sou aparèy la.
- Soti nan meni dewoulman Konsantre, chwazi Pwovizyon.
- Nan tablo Aparèy la, kolòn Estati Pwovizyonman an montre enfòmasyon sou estati apwovizyonman aparèy ou an (Siksè, Echwe oswa Pa Pwovizyon pou). Klike sou Gade detay pou ouvri yon glise-nan fenèt ak plis enfòmasyon.
- Nan fenèt glise-an ki parèt la, klike sou Gade detay.
- Scroll down to the ISE Device Integration mosaïque pou view enfòmasyon detaye sou estati entegrasyon aparèy la.
Konfigirasyon mòso bwa debogaj
Pou ede nan depanaj pwoblèm sèvis yo, ou ka chanje nivo anrejistreman an pou sèvis Cisco DNA Center yo
- Yon nivo anrejistreman detèmine kantite done ki kaptire nan boutèy la files. Chak nivo anrejistreman se kimilatif; sa vle di, chak nivo gen tout done ki te pwodwi pa nivo espesifye a ak nivo ki pi wo, si genyen. Pou egzanpample, mete nivo a antre nan Enfòmasyon tou captures Warn ak Error journaux. Nou rekòmande pou w ajiste nivo anrejistreman an pou ede w rezoud pwoblèm lè w pran plis done. Pou egzanpample, pa ajiste nivo antre, ou ka pran plis done pou review nan yon analiz kòz rasin oswa sipò RCA file.
- Nivo anrejistreman defo pou sèvis yo se enfòmasyon (Enfo). Ou ka chanje nivo enregistrement de informational pou yon lòt enregistrement nivo (Debug ou Trace) pou pran plis enfòmasyon.
Cation Akòz kalite enfòmasyon ki ta ka divilge, mòso bwa yo kolekte nan nivo Debug oswa pi wo yo ta dwe gen aksè restriksyon.
Remak Log fileyo kreye ak estoke nan yon kote santralize sou lame Cisco DNA Center ou a pou ekspozisyon nan
entèfas. Soti nan kote sa a, Cisco DNA Center ka mande epi montre mòso bwa nan entèfas (System > System 360 >
Log Explorer). Jounal yo disponib pou rechèch sèlman pou 2 dènye jou yo. Yo retire mòso bwa ki gen plis pase 2 jou
otomatikman soti nan kote sa a.
Anvan ou kòmanse
Se sèlman yon itilizatè ki gen otorizasyon SUPER-ADMIN-ROLE ki ka fè pwosedi sa a.
- Etap 1 Soti nan kwen an tèt gòch, klike sou ikòn meni an epi chwazi Sistèm > Anviwònman > Konfigirasyon Sistèm > Debogaj mòso bwa.
Fenèt Debugging Logs yo parèt. - Etap 2 Soti nan lis deroulant Sèvis la, chwazi yon sèvis pou ajiste nivo anrejistreman li yo.
Lis deroulant Sèvis la montre sèvis ki kounye a configuré ak kouri sou Cisco DNA Center. - Etap 3 Antre Non Logger la.
Sa a se yon karakteristik avanse ki te ajoute pou kontwole ki konpozan lojisyèl emèt mesaj nan fondasyon an antre. Sèvi ak karakteristik sa a ak anpil atansyon. Move itilizasyon karakteristik sa a ka lakòz pèt enfòmasyon ki nesesè pou sipò teknik. Mesaj Log yo pral ekri sèlman pou loggers yo (pake) espesifye isit la. Pa default, Non Logger la gen ladan pakè ki kòmanse ak com.cisco. Ou ka antre non pake adisyonèl kòm valè ki separe ak vigil. Pa retire valè default yo sof si yo mande w klèman pou w fè sa. Sèvi ak * pou konekte tout pakè yo. - Etap 4 Soti nan lis deroulant Nivo Logging, chwazi nouvo nivo loging pou sèvis la.
Cisco DNA Center sipòte nivo anrejistreman sa yo nan lòd desandan detay:- Tras: Trace mesaj yo
- Debug: Debogaj mesaj
- Info: Mesaj kondisyon nòmal, men enpòtan
- Avèti: Mesaj avètisman kondisyon
- Erè: Mesaj kondisyon erè
- Etap 5 Soti nan jaden an Tan soti, chwazi peryòd tan pou nivo anrejistreman an.
Konfigirasyon peryòd tan nan nivo anrejistreman an ogmantasyon de 15 minit jiska yon peryòd tan san limit. Si ou presize yon peryòd tan san limit, yo ta dwe reset nivo defo a chak fwa yon aktivite depanaj fini. - Etap 6 Review seleksyon ou a epi klike sou Save.
View Jounal Odit
Jounal odit yo pran enfòmasyon sou divès aplikasyon ki ap kouri sou Cisco DNA Center. Jounal odit yo pran tou enfòmasyon sou notifikasyon enfrastrikti kle piblik (PKI) aparèy. Enfòmasyon ki nan mòso kontwòl kontab sa yo ka itilize pou ede nan depanaj pwoblèm, si genyen, ki enplike aplikasyon yo oswa sètifika CA aparèy yo.
Jounal odit yo anrejistre tou evènman sistèm ki te fèt, ki lè ak ki kote yo te fèt, ak ki itilizatè ki te inisye yo. Avèk anrejistreman kontwòl kontab, chanjman konfigirasyon nan sistèm nan jwenn konekte nan yon boutèy demi lit separe files pou odit.
- Etap 1 Soti nan kwen anlè agoch la, klike sou ikòn meni an epi chwazi Aktivite > Jounal Odit.
Fenèt Jounal Odit la ouvri, kote ou kapab view mòso bwa sou règleman aktyèl yo nan rezo w la. Règleman sa yo aplike nan aparèy rezo pa aplikasyon yo enstale sou Cisco DNA Center. - Etap 2 Klike kurseur delè a pou presize seri tan done ou vle parèt sou fenèt la:
- Nan zòn Tan an, chwazi yon seri tan—Dènye 2 Semèn, 7 Dènye Jou, 24 Dènye èdtan, oswa 3 Dènye èdtan.
- Pou presize yon seri koutim, klike sou Dat epi presize dat ak lè kòmansman ak fen.
- Klike sou Aplike.
- Etap 3 Klike sou flèch ki akote yon jounal odit pou view jounal odit timoun korespondan yo.
Chak mòso odit ka paran plizyè mòso odit timoun. Lè w klike sou flèch la, ou kapab view yon seri de jounal odit timoun adisyonèl.
Remak Yon jounal kontwòl kontab pran done sou yon travay ki fèt pa Cisco DNA Center. Jounal odit timoun yo se travay sou yon travay ki fèt pa Cisco DNA Center. - Etap 4 (Si ou vle) Soti nan lis mòso kontwòl kontab ki nan fenèt gòch la, klike sou yon mesaj mòso kontwòl kontab espesifik. Nan fenèt dwat la, klike sou Evènman
Remak ID > Kopi ID Evènman nan Clipboard. Avèk ID kopye a, ou ka itilize API a pou rekipere mesaj log odit la ki baze sou ID evènman an.
Jounal kontwòl kontab la montre Deskripsyon, Itilizatè, Entèfas, ak Destinasyon chak politik nan fenèt dwat la. Jounal odit la montre detay operasyon nan direksyon nò yo tankou POST, DELETE, ak PUT ak enfòmasyon sou chaj, ak detay operasyon nan direksyon sid tankou konfigirasyon an pouse nan yon aparèy. Pou enfòmasyon detaye sou API yo sou Cisco DevNet, gade API Intent Cisco DNA Center Platform. - Etap 5 (Si ou vle) Klike sou Filtre pou filtre boutèy demi lit la pa ID itilizatè, ID Log, oswa Deskripsyon.
Etap 6 Klike sou Subscribe pou abònman nan evènman jounal odit yo.
Yon lis sèvè syslog parèt. - Etap 7 Tcheke bwat syslog sèvè ou vle abònman epi klike sou Save.
Remak Dezaktive kare chèk sèvè syslog la pou dezabònman nan evènman log odit la epi klike sou Save. - Etap 8 Nan fenèt dwat la, sèvi ak jaden rechèch la pou chèche tèks espesifik nan mesaj boutèy la.
- Etap 9 Soti nan kwen anlè goch la, klike sou ikòn meni an epi chwazi Aktivite > Travay ki pwograme pou yo view travay administratif k ap vini, k ap fèt yo, ki fini ak echwe, tankou mizajou sistèm operasyon oswa ranplasman aparèy.
Etap 10 Soti nan kwen anlè goch la, klike sou ikòn meni an epi chwazi Aktivite > Atik Travay tab pou view atik travay yo an pwogrè, fini ak echwe yo.
Ekspòtasyon Logs Odit nan sèvè Syslog
- Rekòmandasyon Sekirite: Nou ankouraje w ekspòte mòso kontwòl kontab soti nan Cisco DNA Center nan yon sèvè syslog aleka nan rezo ou a, pou siveyans log pi an sekirite ak pi fasil.
- Ou ka ekspòte mòso kontwòl kontab yo soti nan Cisco DNA Center nan plizyè sèvè syslog lè w abònman ak yo.
Anvan ou kòmanse
Konfigure sèvè syslog yo nan Sistèm > Anviwònman > Sèvis ekstèn > Destinasyon > zòn Syslog.
- Etap 1 Soti nan kwen anlè agoch la, klike sou ikòn meni an epi chwazi Aktivite > Jounal Odit.
- Etap 2 Klike sou Subscribe.
- Etap 3 Chwazi sèvè syslog ou vle abònman epi klike sou Save.
- Etap 4 (Si ou vle) Pou dezabòne, deseleksyone sèvè syslog yo epi klike sou Save.
View Odit Logs nan Syslog Server Sèvi ak APIs
- Avèk platfòm Cisco DNA Center, ou ka itilize API pou view journaux odit nan sèvè syslog. Sèvi ak Create Syslog Event Subscription API ki soti nan Developer Toolkit la, kreye yon abònman syslog pou evènman log odit.
- Chak fwa yon evènman jounal kontwòl kontab rive, sèvè syslog la bay lis evènman jounal odit yo.
Konfigirasyon Proxy la
Si Cisco DNA Center sou ESXi gen yon sèvè prokurasyon configuré kòm yon entèmedyè ant tèt li ak aparèy rezo ke li jere, ou dwe konfigirasyon aksè a sèvè prokurasyon an.
Remak Cisco DNA Center sou ESXi pa sipòte yon sèvè prokurasyon ki sèvi ak otantifikasyon Windows New Technology LAN Manager (NTLM).
Anvan ou kòmanse
Se sèlman yon itilizatè ki gen otorizasyon SUPER-ADMIN-ROLE ki ka fè pwosedi sa a. Pou plis enfòmasyon, gade sou wòl itilizatè.
- Etap 1 Soti nan kwen anlè gòch, klike sou ikòn meni an epi chwazi Sistèm > Anviwònman > Konfigirasyon Sistèm.
- Etap 2 Soti nan lis deroulant System Configuration, chwazi Proxy > Sortant Proxy.
- Etap 3 Antre nan sèvè prokurasyon an URL adrès.
- Etap 4 Antre nimewo pò sèvè proxy a.
Remak- Pou HTTP, nimewo pò a anjeneral 80.
- Nimewo pò a varye ant 0 jiska 65535.
- Etap 5 (Si ou vle) Si sèvè prokurasyon an mande otantifikasyon, klike sou Mizajou epi antre non itilizatè a ak modpas pou jwenn aksè nan sèvè prokurasyon an.
- Etap 6 Tcheke kare Validate Anviwònman yo pou fè Cisco DNA Center sou ESXi valide paramèt konfigirasyon proxy ou yo lè w ap aplike yo.
- Etap 7 Review seleksyon ou yo epi klike sou Save.
- Pou anile seleksyon ou a, klike sou Reyajiste. Pou efase yon konfigirasyon proxy ki deja egziste, klike sou Efase.
- Apre konfigirasyon proxy a, ou kapab view konfigirasyon an nan fenèt la Proxy.
- Li ka pran jiska senk minit pou Cisco DNA Center sou sèvis ESXi jwenn mete ajou ak konfigirasyon sèvè prokurasyon an.
Konsènan Shell restriksyon
- Pou plis sekirite, aksè nan koki rasin lan enfim. Avèk koki ki genyen restriksyon, itilizatè yo pa ka jwenn aksè nan sistèm opere ki kache ak file sistèm, ki diminye risk operasyonèl.
- Koki restriksyon pèmèt pou rezon sekirite. Sepandan, si ou vle jwenn aksè nan koki rasin lan pou yon ti tan, ou dwe kontakte Cisco TAC a pou asistans.
- Si sa nesesè, ou ka itilize lis restriksyon sa a nan kòmandman:
Segondè Disponibilite
- VMware vSphere High Availability (HA) bay gwo disponiblite pou Cisco DNA Center sou ESXi lè li konekte machin vityèl yo ak lame yo nan menm gwoup vSphere la. vSphere HA mande pou vSphere Distributed
- Resous Scheduler (DRS) ak depo pataje pou fonksyone. Si yon echèk lame rive, machin vityèl yo rekòmanse sou lòt lame. vSphere HA reponn a echèk la dapre konfigirasyon li yo, epi vSphere HA detekte echèk la nan nivo sa yo:
- Nivo lame
- Nivo machin vityèl (VM).
- Nivo aplikasyon
- Nan vèsyon aktyèl la, Cisco DNA Center sèlman sipòte disponiblite segondè pou echèk nan nivo lame.
Konfigure VMware vSphere HA pou echèk nan nivo lame
Pou konfigirasyon vSphere HA pou echèk nan nivo lame, ranpli pwosedi sa a.
Anvan ou kòmanse
Pou machin vityèl Cisco DNA Center a pran plas nan men lame ki echwe yo, omwen de gen tout pouvwa a dwe gen resous CPU/Memwa san rezèv ki dekri nan Sant ADN Cisco sou Nòt Release ESXi.
Remak Pèmèt kontwòl admisyon HA ak konfigirasyon apwopriye a pou asire ke machin vityèl Cisco DNA Center a gen ase resous pou pran plas pou lame ki echwe a. Konfigirasyon an ta dwe pèmèt machin vityèl la rekòmanse sou yon lòt lame san okenn enpak sou sistèm nan. Si resous ki nesesè yo pa rezève, machin vityèl rekòmanse sou lame a failover ka echwe akòz resous shor.tage.
- Etap 1 Konekte nan kliyan an vSphere.
- Etap 2 Chwazi gwoup Cisco DNA Center ki apwopriye a nan meni aparèy la.
- Etap 3 Pou konfigirasyon gwoup la, chwazi Configure > Services > vSphere Availability.
- Etap 4 Soti nan kwen an tèt dwat, klike sou Edit.
- Etap 5 Klike sou bouton an aktive pou pèmèt vSphere HA.
- Etap 6 Chwazi Echèk ak repons ak konfigirasyon paramèt sa yo:
- Klike sou bouton an aktive pou pèmèt Siveyans lame.
- Ale nan lis deroulant Repons Echèk Host epi chwazi Rekòmanse VMs.
- Etap 7 Klike sou OK.
Konfigure Cisco DNA Center sou ESXi Virtual Machine pou rekòmanse priyorite
Pou Sant ADN Cisco sou machin vityèl ESXi gen priyorite rekòmanse lè echèk lame a, ranpli pwosedi sa a.
- Etap 1 Konekte nan kliyan an vSphere.
- Etap 2 Chwazi apwopriye Cisco DNA Center sou grap ESXi nan meni aparèy la.
- Etap 3 Pou konfigirasyon gwoup la, chwazi Configure > VM Overrides > ADD.
- Etap 4 Nan fenèt Chwazi yon VM, chwazi Cisco DNA Center ki deplwaye sou machin vityèl ESXi.
- Etap 5 Klike sou OK.
- Etap 6 Nan fenèt Add VM Override, ale nan vSphere HA > Priyorite VM rekòmanse epi konfigirasyon paramèt sa yo:
- Tcheke kazye a.
- Soti nan lis deroule a, chwazi Pi wo.
- Etap 7 Klike sou FINI
Dokimantasyon pwodwi VMware vSphere
Cisco DNA Center sou ESXi sipòte disponiblite segondè atravè fonksyonalite VMware vSphere HA. Pou jwenn enfòmasyon sou aplikasyon VMware vSphere ak kondisyon pou kreye ak itilize yon gwoup vSphere HA, gade dokimantasyon pwodwi VMware vSphere sa a:
- Fèy done pwodwi VMware segondè disponiblite (PDF)
- Enfrastrikti VMware: Otomatik sèvis segondè disponiblite (HA) ak VMware HA (PDF)
- Ki jan vSphere HA travay (HTML)
- vSphere HA Checklist (HTML)
Mete ajou Sètifika Sèvè Cisco DNA Center la
Cisco DNA Center sipòte enpòte ak depo yon sètifika X.509 ak kle prive nan Cisco DNA Center. Apre enpòte, sètifika a ak kle prive yo ka itilize pou kreye yon anviwònman an sekirite ak ou fè konfyans ant Cisco DNA Center, aplikasyon API nan direksyon nò, ak aparèy rezo.
Ou ka enpòte yon sètifika ak yon kle prive lè l sèvi avèk fenèt Sètifika nan entèfas la.
Anvan ou kòmanse
Jwenn yon sètifika X.509 valab ke Otorite Sètifika entèn ou bay. Sètifika a dwe koresponn ak yon kle prive nan posesyon ou.
- Etap 1 Soti nan kwen anlè goch la, klike sou ikòn meni an epi chwazi > Sistèm > Anviwònman > Konfidans ak konfidansyalite > Sètifika Sistèm.
- Etap 2 Nan tab la Sistèm, view done sètifika aktyèl la.
Lè w premye view fenèt sa a, done sètifika aktyèl la ki parèt nan sètifika Cisco DNA Center ki siyen tèt li. Sètifika ki te siyen pwòp tèt ou a ap fikse pou plizyè ane alavni.
Remak- Dat ak lè ekspirasyon an parèt kòm yon valè Greenwich Mean Time (GMT). Yon notifikasyon sistèm parèt nan Cisco DNA Center GUI de mwa anvan sètifika a ekspire.
- Tab Sistèm nan montre jaden sa yo:
- Non Sètifika Aktyèl: Non sètifika aktyèl la.
- Emetteur: Non antite ki te siyen ak bay sètifika a.
- Ekspire: Dat ekspirasyon sètifika a.
- Etap 3 Nan fenèt Sètifika Sistèm, klike sou Ranplase Sètifika.
Si w ap jenere CSR la pou premye fwa, lyen Generate New CSR ap parèt. Sinon, telechaje lyen CSR ki egziste deja parèt. Ou ka telechaje CSR ki egziste deja epi soumèt li bay founisè w la pou jenere sètifika w la. Si ou pa vle sèvi ak CSR ki deja egziste a, klike sou Efase CSR ki egziste deja, epi klike sou Aksepte nan fenèt Konfimasyon ki vin apre a. Ou kapab kounye a wè lyen Jenere Nouvo CSR. - Etap 4 Klike sou lyen Jenere Nouvo CSR.
- Etap 5 Nan fennèt Jeneratè demann pou siyen sètifika a, bay enfòmasyon nan jaden obligatwa yo.
- Etap 6 Klike sou Jenere nouvo CSR.
- Nouvo CSR ki te pwodwi a telechaje otomatikman.
- Fenèt Sètifika Siyen an montre pwopriyete CSR yo epi li pèmèt ou fè bagay sa yo:
- Kopi pwopriyete CSR yo nan tèks klè.
- Kopi Base64 epi kole nan nenpòt Otorite Sètifika. Pou egzanpample, ou ka kole Base64 nan Microsoft Sètifika Otorite.
- Telechaje Base64.
- Etap 7 Chwazi a file kalite fòma pou sètifika w ap enpòte nan Cisco DNA Center:
- PEM- Lapòs Enhanced Privacy file fòma.
- PKCS- Estanda kriptografi kle piblik file fòma.
Remak PKCS file kalite a enfim si w chwazi opsyon Jenere Nouvo CSR pou mande yon sètifika.
- Etap 8 Konfime ke konpayi sètifika a bay sètifika a plen chèn (sèvè ak CA) nan p7b. Lè w gen dout, fè bagay sa yo pou egzamine ak rasanble chèn lan:
- Telechaje pake p7b la nan fòma DER epi sove li kòm dnac-chain.p7b.
- Kopi sètifika dnac-chain.p7b nan gwoup Cisco DNA Center atravè SSH.
- Antre kòmandman sa a:
openssl pkcs7 -in dnac-chain.p7b -inform DER -out dnac-chain.pem -print_certs - Konfime ke tout sètifika yo konte nan pwodiksyon an, ak emeteur a ak Cisco DNA Center sètifika enkli. Kontinye telechaje kòm PEM. Si sètifika yo nan ki lach files, ranpli pwochen etap la pou telechaje ak rasanble moun nan files.
- Etap 9 Si konpayi sètifika a bay sètifika a ak chèn CA emeteur li an ki lach files, fè bagay sa yo:
- Rasanble PEM a (baz64) files oswa itilize openssl pou konvèti DER an PEM.
- Konkatene sètifika a ak CA emèt li a, kòmanse ak sètifika a, ki te swiv pa CA sibòdone, tout wout la nan rasin CA a, epi sòti li nan dnac-chain.pem. file. Pou egzanpample:
cat certificate.pem subCA.pem rootCA.pem > dnac-chain.pem - Kontinye telechaje kòm PEM.
- Etap 10 Pou yon PEM file, fè travay sa yo:
- Enpòte PEM la file pa trenen ak jete a file nan zòn nan trennen ak gout.
Remak Yon PEM file dwe gen yon ekstansyon fòma PEM valab (.pem). Maksimòm lan file gwosè pou sètifika a se 10 MB. Apre upload la reyisi, sètifika sistèm lan valide. - Enpòte kle prive a pa trenen epi jete a file nan zòn nan trennen ak gout.
Remak- Kle prive yo dwe gen yon ekstansyon fòma kle prive ki valab (.key). Maksimòm lan file gwosè pou kle prive a se 10 MB.
- Apre upload la reyisi, kle prive a valide.
- Chwazi opsyon an chifreman nan zòn nan chifreman pou kle prive a.
- Si w chwazi chifreman, antre modpas la pou kle prive a nan jaden Modpas la.
- Enpòte PEM la file pa trenen ak jete a file nan zòn nan trennen ak gout.
- Etap 11 Pou yon PKCS file, fè travay sa yo:
- Enpòte PKCS la file pa trenen ak jete a file nan zòn nan trennen ak gout.
Remak Yon PKCS file dwe genyen yon ekstansyon fòma PKCS ki valab (.pfx oswa .p12). Maksimòm lan file gwosè pou sètifika a se 10 MB.
Apre upload la reyisi, sètifika sistèm lan valide. - Antre pasfraz pou sètifika a nan jaden Modpas.
Remak Pou PKCS, sètifika enpòte a mande tou yon pasfraz. - Pou jaden an Kle Prive, chwazi opsyon an chifreman pou kle prive a.
- Pou jaden an Kle Prive, si yo chwazi chifreman, antre modpas la pou kle prive a nan jaden an Modpas.
- Enpòte PKCS la file pa trenen ak jete a file nan zòn nan trennen ak gout.
- Etap 12 Klike sou Save.
Remak Apre yo fin ranplase sètifika SSL sèvè Cisco DNA Center a, ou dekonekte otomatikman, epi ou dwe konekte ankò. - Etap 13 Retounen nan fennèt Sètifika pou view done sètifika yo mete ajou.
Enfòmasyon ki parèt nan tab la Sistèm ta dwe chanje pou reflete nouvo non sètifika a, emèt la, ak otorite sètifika a.
Kontwòl Aksè IP
Kontwòl aksè IP pèmèt ou kontwole aksè nan Cisco DNA Center ki baze sou adrès IP lame a oswa rezo a. Cisco DNA Center bay opsyon sa yo pou kontwòl aksè IP:
- Pèmèt tout adrès IP jwenn aksè nan Cisco DNA Center. Pa default, tout adrès IP ka jwenn aksè nan Cisco DNA Center.
- Pèmèt sèlman adrès IP yo chwazi pou jwenn aksè nan Cisco DNA Center.
Konfigirasyon IP Aksè Kontwòl
Pou konfigirasyon kontwòl aksè IP epi pèmèt sèlman adrès IP yo chwazi jwenn aksè nan Cisco DNA Center, fè etap sa yo:
- Aktive Kontwòl Aksè IP, nan paj 17
- Ajoute yon Adrès IP nan Lis Aksè IP, nan paj 17
- (Si ou vle) Efase yon Adrès IP nan Lis Aksè IP, nan paj 18
Pèmèt kontwòl IP Aksè
Anvan ou kòmanse
- Asire w ke w gen otorizasyon SUPER-ADMIN-ROLE.
- Ajoute sous-rezo sèvis Cisco DNA Center, sous-rezo sèvis gwoup, ak sous-rezo koòdone gwoup nan lis sous-rezo ki pèmèt yo.
- Etap 1 Soti nan kwen anlè goch la, klike sou ikòn meni an epi chwazi Sistèm > Anviwònman > Konfidans ak Konfidansyalite > Kontwòl Aksè IP.
- Etap 2 Klike bouton radyo Pèmèt sèlman adrès IP ki nan lis la pou konekte.
- Etap 3 Klike sou Add IP List.
- Etap 4 Nan jaden Adrès IP nan fenèt Add IP glise-nan, antre adrès IPv4 ou.
Si w remake pa ajoute adrès IP ou nan lis aksè IP la, ou ka pèdi aksè a Cisco DNA Center. - Etap 5 Nan jaden Subnet Mask la, antre mask subnet la.
Ranje valab pou mask subnet se ant 0 jiska 32. - Etap 6 Klike sou Save.
Ajoute yon adrès IP nan Lis Aksè IP la
Pou ajoute plis adrès IP nan lis aksè IP, fè etap sa yo.
Anvan ou kòmanse
Asire w ke ou pèmèt kontwòl aksè IP. Pou plis enfòmasyon, gade Aktive Kontwòl Aksè IP, nan paj 17.
- Etap 1 Soti nan kwen anlè goch la, klike sou ikòn meni an epi chwazi Sistèm > Anviwònman > Konfidans ak Konfidansyalite > Kontwòl Aksè IP.
- Etap 2 Klike sou Ajoute.
- Etap 3 Nan jaden Adrès IP nan fenèt Add IP glise-nan, antre adrès IPv4 lame a oswa rezo a.
- Etap 4 Nan jaden Subnet Mask la, antre mask subnet la.
Ranje valab pou mask subnet se ant 0 jiska 32.
- Etap 5 Klike sou Save.
Efase yon adrès IP nan Lis Aksè IP la
Pou efase yon adrès IP nan lis aksè IP la epi enfim aksè li nan Cisco DNA Center, fè etap sa yo.
Anvan ou kòmanse
Asire w ke ou te pèmèt kontwòl aksè IP epi ajoute adrès IP nan lis aksè IP la. Pou plis enfòmasyon, gade Aktive kontwòl IP Aksè, nan paj 17 ak Ajoute yon Adrès IP nan Lis Aksè IP, nan paj 17.
- Etap 1 Soti nan kwen anlè goch la, klike sou ikòn meni an epi chwazi Sistèm > Anviwònman > Konfidans ak Konfidansyalite > Kontwòl Aksè IP.
- Etap 2 Nan kolòn Aksyon an, klike sou ikòn Efase pou adrès IP ki koresponn lan.
- Etap 3 Klike sou Efase.
Enfim kontwòl IP Aksè
Pou enfim kontwòl aksè IP epi pèmèt tout adrès IP jwenn aksè nan Cisco DNA Center, fè etap sa yo.
Anvan ou kòmanse
Asire w ke w gen otorizasyon SUPER-ADMIN-ROLE
- Etap 1 Soti nan kwen anlè goch la, klike sou ikòn meni an epi chwazi Sistèm > Anviwònman > Konfidans ak Konfidansyalite > Kontwòl Aksè IP.
- Etap 2 Klike sou bouton radyo Pèmèt tout adrès IP konekte.
Dokiman / Resous
 |
CISCO DNA Configure Settings System [pdfGid Itilizatè ADN Konfigirasyon Anviwònman Sistèm, Konfigirasyon Anviwònman Sistèm, Anviwònman Sistèm, Anviwònman |
