AWS 上的 Cisco DNA Center 部署指南
产品信息
AWS 上的 Cisco DNA Center 是一份部署指南,提供有关在 Amazon 上设置和管理 Cisco DNA Center 的详细说明 Web 服务 (AWS) 平台。 本指南旨在帮助用户在 AWS 上部署集中式网络管理和自动化平台 Cisco DNA Center。
规格
- 首次发布:2023-08-02
- 最后修改时间:2023-11-17
- 公司:思科系统公司
- 总部:170 West Tasman Drive San Jose, CA 95134-1706 USA
- Web地点: http://www.cisco.com
- 联系方式:电话 – 408 526-4000,传真 – 408 527-0883
产品使用说明
第 1 章:AWS 上的 Cisco DNA Center 入门
在本章中,你会发现一个结束view AWS 上的 Cisco DNA Center 的介绍和部署流程。 它提供了准备和访问 AWS 上的 Cisco DNA Center 的指南。 此外,它还解释了 Cisco DNA Center VA TAR 的验证流程 file.
第 2 章:使用 Cisco DNA Center VA Launchpad 进行部署
本章介绍使用 Cisco DNA Center VA Launchpad 的部署过程。 它提供了在本地计算机上下载和安装 Cisco DNA Center VA Launchpad 的分步说明。 它还包括访问思科提供的 Cisco DNA Center VA Launchpad 的托管版本。 本章最后提供了将 AWS 上的思科 ISE 与 AWS 上的思科 DNA 中心集成的指南。
第 3 章:故障排除
本章提供了部署过程中可能出现的各种问题的故障排除步骤。 它涵盖与 Cisco DNA Center VA Launchpad、区域问题、VA 容器配置错误、网络连接错误、Cisco DNA Center VA 配置错误、并发错误和其他部署问题相关的错误故障排除。
第 4 章:使用 AWS CloudFormation 进行部署
本章介绍使用 AWS CloudFormation 的部署过程。 它提供了有关使用 AWS CloudFormation 在 AWS 上部署 Cisco DNA Center 2.3.5.3 的说明。
第 5 章:使用 AWS 在 AWS 上手动部署 Cisco DNA Center 云形成
本章提供使用 AWS CloudFormation 的手动部署工作流程。 它涵盖了手动部署的先决条件以及使用 AWS CloudFormation 在 AWS 上手动部署 Cisco DNA Center 的分步说明。 本章还包括部署的验证过程。
第 6 章:使用 AWS Marketplace 进行部署
本章介绍使用 AWS Marketplace 的部署过程。 它提供了有关使用 AWS Marketplace 在 AWS 上部署 Cisco DNA Center 2.3.5.3 的说明。 它还涵盖使用 AWS Marketplace 进行手动部署,并包括手动部署的工作流程和先决条件。 本章最后介绍了部署的验证过程。
常问问题
问:AWS 上的 Cisco DNA Center 是什么?
答:AWS 上的 Cisco DNA Center 是一个部署指南,可帮助用户在 Amazon 上设置和管理 Cisco DNA Center Web 服务 (AWS) 平台。
问:有多少种方式部署 Cisco DNA Center? 亚马逊AWS?
答:可以通过三种方式在 AWS 上部署 Cisco DNA Center:使用 Cisco DNA Center VA Launchpad、AWS CloudFormation 或 AWS Marketplace。
问:什么是 Cisco DNA Center VA Launchpad?
答:Cisco DNA Center VA Launchpad 是思科提供的一款工具,可帮助安装和管理 Cisco DNA Center 虚拟设备 (VA)。
问:如何解决部署问题?
答:故障排除章节提供了解决各种部署问题的分步说明,包括与 Cisco DNA Center VA Launchpad、网络连接、配置等相关的错误。
AWS 上的 Cisco DNA Center 部署指南
首次发布:2023-08-02 最后修改:2023-11-17
美洲总部
思科系统公司 170 West Tasman Drive San Jose, CA 95134-1706 USA http://www.cisco.com 联系电话:408 526 4000
800 553-NETS (6387) 传真:408 527-0883
Cisco 和 Cisco 徽标是 Cisco 和/或其附属公司在美国和其他国家/地区的商标或注册商标。 view 思科商标列表,请访问此处 URL: https://www.cisco.com/c/en/us/about/legal/trademarks.html。提及的第三方商标是其各自所有者的财产。合作伙伴一词的使用并不意味着思科与任何其他公司之间存在合作关系。(1721R)
© 2023 Cisco Systems, Inc. 保留所有权利。
第四章
第一部分 第 2 章
开始使用 AWS 上的 Cisco DNA Center 1 AWS 上的 Cisco DNA Center 结束view 1 部署结束view 2 准备部署 3 高可用性和 AWS 上的 Cisco DNA Center 3 将 AWS 上的 Cisco ISE 与 AWS 上的 Cisco DNA Center 集成的指南 4 访问 AWS 上的 Cisco DNA Center 的指南 4 验证 Cisco DNA Center VA TAR File 6
使用 Cisco DNA Center VA Launchpad 9 进行部署
使用 Cisco DNA Center VA Launchpad 2.3.5.3 在 AWS 上部署 Cisco DNA Center 1.6 11 使用自动部署方法在 AWS 上部署 Cisco DNA Center 11 自动部署工作流程 11 自动部署的先决条件 12 安装 Cisco DNA Center VA Launchpad 15 访问托管 Cisco DNA Center VA 启动板 17 创建思科帐户 17 创建 Cisco DNA 门户帐户 19 使用 Cisco 登录 Cisco DNA 门户 22 创建新的 VA 容器 25 在现有中转和客户网关上手动配置路由 35 创建新的 Cisco DNA Center VA 37 故障排除部署 42 排除 Docker 错误 42 排除登录错误 43
AWS 上的 Cisco DNA Center 部署指南 iii
内容
第四章
第二部分第 4 章
对托管 Cisco DNA Center VA 启动板错误进行故障排除 43 对区域问题进行故障排除 44 对 VA 容器配置错误进行故障排除 44 对网络连接错误进行故障排除 46 对 Cisco DNA Center VA 配置错误进行故障排除 47 对并发错误进行故障排除 47 对其他部署问题进行故障排除 47
使用 Cisco DNA Center VA Launchpad 2.3.5.3 在 AWS 上部署 Cisco DNA Center 1.5 49 使用自动部署方法在 AWS 上部署 Cisco DNA Center 49 自动部署工作流程 49 自动部署的先决条件 50 安装 Cisco DNA Center VA Launchpad 53 访问托管的 Cisco DNA Center VA 启动板 55 创建思科帐户 55 创建 Cisco DNA 门户帐户 57 使用 Cisco 登录 Cisco DNA 门户 60 创建新的 VA 容器 63 在现有中转和客户网关上手动配置路由 72 创建新的 Cisco DNA Center VA 74 故障排除部署 78 Docker 错误故障排除 78 登录错误故障排除 79 托管 Cisco DNA Center VA 启动板错误故障排除 79 区域问题故障排除 80 VA 容器配置错误故障排除 80 网络连接错误故障排除 82 Cisco DNA Center VA 配置错误故障排除 83 并发错误故障排除 83其他部署问题 83
使用 AWS CloudFormation 进行部署 85
使用 AWS CloudFormation 在 AWS 上部署 Cisco DNA Center 2.3.5.3 87
AWS 上的 Cisco DNA Center 部署指南 iv
内容
第三部分 第 5 章
使用 AWS CloudFormation 在 AWS 上手动部署 Cisco DNA Center 87 使用 AWS CloudFormation 工作流程手动部署 87 使用 AWS CloudFormation 手动部署的先决条件 88 使用 AWS CloudFormation 在 AWS 上手动部署 Cisco DNA Center 93 验证部署 98
使用 AWS Marketplace 进行部署 99
使用 AWS Marketplace 在 AWS 上部署 Cisco DNA Center 2.3.5.3 101 使用 AWS Marketplace 在 AWS 上手动部署 Cisco DNA Center 101 使用 AWS Marketplace 工作流进行手动部署 101 使用 AWS Marketplace 进行手动部署的先决条件 101 使用 AWS Marketplace 在 AWS 上手动部署 Cisco DNA Center 107验证部署 107
AWS 上的 Cisco DNA Center 部署指南 v
内容
AWS 上的 Cisco DNA Center 部署指南 vi
第一章
开始使用 AWS 上的 Cisco DNA Center
· AWS 上的 Cisco DNA 中心view,第 1 页 · 部署结束view,第 2 页 · 准备部署,第 3 页
AWS 上的 Cisco DNA 中心view
Cisco DNA Center 提供集中、直观的管理,使您可以在整个网络环境中快速轻松地设计、配置和应用策略。 Cisco DNA Center 用户界面提供端到端网络可视性,并利用网络洞察来优化网络性能并提供最佳的用户和应用体验。 亚马逊上的思科 DNA 中心 Web 服务 (AWS) 提供 Cisco DNA Center 设备部署提供的全部功能。 AWS 上的 Cisco DNA Center 在您的 AWS 云环境中运行,并从云中管理您的网络。
AWS 上的 Cisco DNA Center 部署指南 1
部署结束view
开始使用 AWS 上的 Cisco DNA Center
部署结束view
在 AWS 上部署 Cisco DNA Center 的方法有以下三种:
· 自动部署:Cisco DNA Center VA Launchpad 在 AWS 上配置 Cisco DNA Center。 它可以帮助您创建云基础架构所需的服务和组件。 对于前amp文件,它有助于创建虚拟私有云 (VPC)、子网、安全组、IPsec VPN 隧道和网关。 然后,Cisco DNA Center Amazon 系统映像 (AMI) 部署为 Amazon Elastic Compute Cloud (EC2) 实例,并在新 VPC 中采用规定的配置,以及子网、中转网关和其他重要资源,例如用于监控的 Amazon CloudWatch、用于监控的 Amazon DynamoDB状态存储和安全组。
思科为您提供两种使用 Cisco DNA Center VA Launchpad 的方法。 您可以在本地计算机上下载并安装 Cisco DNA Center VA Launchpad,也可以访问由思科托管的 Cisco DNA Center VA Launchpad。 无论采用哪种方法,Cisco DNA Center VA Launchpad 都能提供安装和管理 Cisco DNA Center 虚拟设备 (VA) 所需的工具。
有关高级过程,请参阅使用 Cisco DNA Center VA Launchpad 进行部署,第 9 页。
· 使用 AWS CloudFormation 手动部署:您可以在 AWS 上手动部署 Cisco DNA Center AMI。 您不使用 Cisco DNA Center VA Launchpad 部署工具,而是使用 AWS CloudFormation,它是 AWS 中的部署工具。 然后,您可以通过创建 AWS 基础设施、建立 VPN 隧道和部署 Cisco DNA Center VA 来手动配置 Cisco DNA Center。 有关高级过程,请参阅使用 AWS CloudFormation 进行部署,第 85 页。
· 使用 AWS Marketplace 手动部署:您可以在您的 AWS 账户上手动部署 Cisco DNA Center AMI。 您不使用 Cisco DNA Center VA Launchpad 部署工具,而是使用 AWS Marketplace,它是 AWS 内的在线软件商店。 您通过 Amazon EC2 启动控制台启动该软件,然后通过创建 AWS 基础设施、建立 VPN 隧道和配置 Cisco DNA Center VA 来手动部署 Cisco DNA Center。 请注意,对于此部署方法,仅支持通过 EC2 启动。 另外两个启动选项(从 Web不支持站点和复制到服务目录。 有关过程,请参阅使用 AWS Marketplace 进行部署,第 99 页。
如果您对 AWS 管理的经验很少,Cisco DNA Center VA Launchpad 的自动化方法可提供最简化、最有支持性的安装流程。 如果您熟悉 AWS 管理并拥有现有 VPC,则手动方法提供了替代安装过程。
使用下表考虑每种方法的优点和缺点:
AWS 上的 Cisco DNA Center 部署指南 2
开始使用 AWS 上的 Cisco DNA Center
准备部署
使用 Cisco 自动部署 使用 AWS 进行手动部署 使用 AWS 进行手动部署
DNA 中心 VA 启动板
云形成
市场
· 它有助于在您的 AWS 账户中创建 AWS 基础设施,例如 VPC、子网、安全组、IPsec VPN 隧道和网关。
· 自动完成Cisco DNA Center 的安装。
· AWS CloudFormation file 在 AWS 上创建 Cisco DNA Center VA 需要。
· 您可以在 AWS 账户中创建 AWS 基础设施,例如 VPC、子网和安全组。
· AWS CloudFormation file 不需要在 AWS 上创建 Cisco DNA Center VA。
· 您可以在 AWS 账户中创建 AWS 基础设施,例如 VPC、子网和安全组。
· 它提供对您的 VA 的访问。
· 它提供了您的虚拟设备的可管理性。
· 部署时间约为 1-1 小时。
· 您建立VPN 隧道。
· 您部署 Cisco DNA Center。
· 部署时间大约为几个小时到几天。
· 您建立VPN 隧道。
· 您部署 Cisco DNA Center。
· 部署时间大约为几个小时到几天。
· 自动警报发送到您的 Amazon CloudWatch 控制面板。
· 您需要通过AWS控制台手动配置监控。
· 您需要通过AWS控制台手动配置监控。
· 您可以选择自动化云或企业网络 File 系统(NFS)备份。
· 您只能配置本地 NFS 进行备份。
· 您只能配置本地 NFS 进行备份。
· 对 AWS 上的 Cisco DNA Center 的自动化配置工作流程进行的任何手动更改都可能会导致与自动化部署发生冲突。
准备部署
在 AWS 上部署 Cisco DNA Center 之前,请考虑您的网络要求、是否需要在 AWS 上实施受支持的 Cisco DNA Center 集成以及如何访问 AWS 上的 Cisco DNA Center。 此外,思科强烈建议您验证 Cisco DNA Center VA TAR file 您下载的是正版 Cisco TAR file。 请参阅验证 Cisco DNA Center VA TAR File,第 6 页。
AWS 上的高可用性和 Cisco DNA Center
AWS 上的 Cisco DNA Center 高可用性 (HA) 实施如下: · 默认情况下启用可用区 (AZ) 内的单节点 EC2 HA。
AWS 上的 Cisco DNA Center 部署指南 3
将 AWS 上的思科 ISE 与 AWS 上的思科 DNA 中心集成的指南
开始使用 AWS 上的 Cisco DNA Center
· 如果 Cisco DNA Center EC2 实例崩溃,AWS 会自动启动具有相同 IP 地址的另一个实例。 这可确保不间断的连接并最大限度地减少关键网络操作期间的中断。
注 如果您使用 Cisco DNA Center VA Launchpad 版本 1.5.0 或更早版本在 AWS 上部署 Cisco DNA Center,并且 Cisco DNA Center EC2 实例崩溃,AWS 会自动在同一可用区中启动另一个实例。 在这种情况下,AWS 可能会为 Cisco DNA Center 分配不同的 IP 地址。
· 体验和恢复时间目标(RTO)与电源类似tag裸机 Cisco DNA Center 设备中的序列。
将 AWS 上的思科 ISE 与 AWS 上的思科 DNA 中心集成的指南
AWS 上的思科 ISE 可以与 AWS 上的思科 DNA 中心集成。 要将它们集成到云中,请考虑以下准则:
· AWS 上的思科 ISE 应部署在与为 Cisco DNA Center VA Launchpad 保留的 VPC 不同的 VPC 中。
· AWS 上的思科 ISE 的 VPC 可以与 AWS 上的思科 DNA 中心的 VPC 位于同一区域或不同区域。
· 您可以使用 VPC 或传输网关 (TGW) 对等互连,具体取决于您的环境。
· 要使用 VPC 或 TGW 对等互连将 AWS 上的 Cisco DNA Center 与 AWS 上的 Cisco ISE 连接,请将所需的路由条目添加到 VPC 或 TGW 对等路由表以及附加到与 Cisco DNA Center 关联的子网的路由表中AWS 上或 AWS 上的思科 ISE。
· Cisco DNA Center VA Launchpad 无法检测到由 Cisco DNA Center VA Launchpad 创建的实体的任何带外更改。 这些实体包括 VPC、VPN、TGW、TGW 连接、子网、路由等。 对于前amp文件中,可以从其他应用程序删除或更改由 Cisco DNA Center VA Launchpad 创建的 VA 容器,并且 Cisco DNA Center VA Launchpad 不会知道此更改。
除了基本的可访问性规则之外,您还需要允许以下入站端口以将安全组附加到云中的思科 ISE 实例:
· 对于 AWS 上的 Cisco DNA Center 和 AWS 上的 Cisco ISE 集成,允许 TCP 端口 9060 和 8910。
· 对于 Radius 身份验证,允许 UDP 端口 1812、1813 和任何其他启用的端口。
· 对于通过 TACACS 进行设备管理,允许 TCP 端口 49。
· 对于附加设置,例如 Datag在 AWS 上的 Cisco ISE 上进行的 ram 传输层安全 (DTLS) 或 RADIUS 授权更改 (CoA),允许相应的端口。
访问 AWS 上的 Cisco DNA Center 的指南
创建 Cisco DNA Center 的虚拟实例后,您可以通过 Cisco DNA Center GUI 和 CLI 访问它。
AWS 上的 Cisco DNA Center 部署指南 4
开始使用 AWS 上的 Cisco DNA Center
访问 AWS 上的 Cisco DNA Center 的指南
重要的
Cisco DNA Center GUI 和 CLI 只能通过企业网络访问,而不能从公共网络访问。 通过自动化部署方法,Cisco DNA Center VA Launchpad 可确保只能从企业内联网访问 Cisco DNA Center。 使用手动部署方法时,出于安全原因,您需要确保无法在公共 Intranet 上访问 Cisco DNA Center。
访问 Cisco DNA Center GUI 的指南 要访问 Cisco DNA Center GUI:
· 使用受支持的浏览器。 有关受支持浏览器的最新列表,请参阅 Cisco DNA Center VA Launchpad 版本说明。
· 在浏览器中,按以下格式输入 Cisco DNA Center 实例的 IP 地址:http://ip-address/dna/home 例如amp乐:
http://192.0.2.27/dna/home
· 使用以下凭据进行初始登录: 用户名:admin 密码:maglev1@3
注 首次登录 Cisco DNA Center 时,您需要更改此密码。 密码必须: · 省略任何制表符或换行符 · 至少包含八个字符 · 包含至少以下类别中的三个字符: · 小写字母 (az) · 大写字母 (AZ) · 数字 (0-9) ·特殊字符(例如amp勒,! 或者 #)
访问 Cisco DNA Center CLI 的指南
要访问 Cisco DNA Center CLI: · 使用与您用于部署 Cisco DNA Center 的方法相对应的 IP 地址和密钥: · 如果您使用 Cisco DNA Center VA Launchpad 部署 Cisco DNA Center,请使用 Cisco 提供的 IP 地址和密钥DNA 中心 VA 启动板。
AWS 上的 Cisco DNA Center 部署指南 5
验证 Cisco DNA Center VA TAR File
开始使用 AWS 上的 Cisco DNA Center
· 如果您使用 AWS 手动部署 Cisco DNA Center,请使用 AWS 提供的 IP 地址和密钥。
注意密钥必须是 .pem file。 如果钥匙 file 作为 key.cer 下载 file,您需要重命名 file 到 key.pem。
· 手动更改 key.pem 的访问权限 file 至 400。使用 Linux chmod 命令更改访问权限。 对于前ample: chmod 400 key.pem
· 使用以下 Linux 命令访问 Cisco DNA Center CLI: ssh -i key.pem maglev@ip-address -p 2222 例如amp乐:
ssh -i key.pem maglev@192.0.2.27 -p 2222
验证 Cisco DNA Center VA TAR File
在部署 Cisco DNA Center VA 之前,我们强烈建议您验证 TAR file 您下载的是正版 Cisco TAR file.
开始之前 确保您已下载 Cisco DNA Center VA TAR file 从思科软件下载站点。
程序
步骤 1 步骤 2 步骤 3 步骤 4
从思科指定的位置下载用于签名验证的思科公钥 (cisco_image_verification_key.pub)。 下载安全哈希算法 (SHA512) 校验和 file 对于西藏自治区 file 从思科指定的位置。 获取 TAR file的签名 file (.sig) 来自思科支持人员,通过电子邮件或从安全思科下载 web站点(如果可用)。 (可选)执行SHA验证以确定TAR是否 file 由于部分下载而损坏。
根据您的操作系统,输入以下命令之一:
· 在 Linux 系统上:sha512sumfile-file名称>
· 在 Mac 系统上:shasum -a 512file-file名称>
Microsoft Windows 不包含内置校验和实用程序,但您可以使用 certutil 工具:
certutil-哈希file <file名称> sha256
例如amp乐:
certutil-哈希file D:客户FINALIZE.BIN sha256
AWS 上的 Cisco DNA Center 部署指南 6
开始使用 AWS 上的 Cisco DNA Center
验证 Cisco DNA Center VA TAR File
步骤 5
在 Windows 上,您还可以使用 Windows PowerShell 生成摘要。 对于前amp乐:
PS C:用户管理员>获取-File哈希-路径 D:CustomersFINALIZE.BIN 算法哈希路径 SHA256 B84B6FFD898A370A605476AC7EC94429B445312A5EEDB96166370E99F2838CB5 D:CustomersFINALIZE.BIN
将命令输出与 SHA512 校验和进行比较 file 你下载的。 如果命令输出不匹配,请下载 TAR file 再次运行适当的命令。 如果输出仍然不匹配,请联系 Cisco 支持。
验证 TAR file 通过验证其签名来验证其是否为正品且来自 Cisco:
openssl dgst -sha512 -验证 cisco_image_verification_key.pub -signaturefile名称>file-file名称>
笔记
该命令适用于 Mac 和 Linux 环境。 对于 Windows,您必须下载
并安装 OpenSSL(可在 OpenSSL 下载站点上找到)(如果您尚未安装)
所以。
如果 TAR file 是正版的,运行此命令会显示 Verified OK 消息。 如果此消息未出现,请不要安装 TAR file 并联系思科支持。
AWS 上的 Cisco DNA Center 部署指南 7
验证 Cisco DNA Center VA TAR File
开始使用 AWS 上的 Cisco DNA Center
AWS 上的 Cisco DNA Center 部署指南 8
IPART
使用 Cisco DNA Center VA Launchpad 进行部署
· 使用 Cisco DNA Center VA Launchpad 2.3.5.3 在 AWS 上部署 Cisco DNA Center 1.6,第 11 页 · 使用 Cisco DNA Center VA Launchpad 2.3.5.3 在 AWS 上部署 Cisco DNA Center 1.5,第 49 页
第一章
使用 Cisco DNA Center VA Launchpad 2.3.5.3 在 AWS 上部署 Cisco DNA Center 1.6
· 使用自动部署方法在 AWS 上部署 Cisco DNA Center,第 11 页 · 自动部署工作流程,第 11 页 · 自动部署的先决条件,第 12 页 · 安装 Cisco DNA Center VA Launchpad,第 15 页 · 访问托管的 Cisco DNA Center VA 启动板,第 17 页 · 创建新的 VA 容器,第 25 页 · 在现有中转网关和客户网关上手动配置路由,第 35 页 · 创建新的 Cisco DNA Center VA,第 37 页 · 排除部署故障,第 42 页
使用自动部署方法在 AWS 上部署 Cisco DNA Center
您向 Cisco DNA Center VA Launchpad 提供所需的详细信息,以在您的 AWS 账户中创建 AWS 基础设施,其中包括 VPC、IPsec VPN 隧道、网关、子网和安全组。 因此,Cisco DNA Center VA Launchpad 将 Cisco DNA Center AMI 部署为具有单独 VPC 中规定配置的 Amazon EC2 实例。 配置包括子网、中转网关和其他重要资源,例如用于监控的 Amazon CloudWatch、用于状态存储的 Amazon DynamoDB 和安全组。 使用 Cisco DNA Center VA Launchpad,您还可以访问和管理您的 VA,以及管理用户设置。 有关信息,请参阅《Cisco DNA Center VA Launchpad 1.6 管理员指南》。
自动化部署工作流程
要使用自动化方法在 AWS 上部署 Cisco DNA Center,请遵循以下高级步骤: 1. 满足先决条件。 请参阅自动部署的先决条件,第 12 页。 2. (可选)将 AWS 上的思科 ISE 与您的 Cisco DNA Center VA 集成在一起。 请参阅指南
将 AWS 上的思科 ISE 与 AWS 上的思科 DNA 中心集成,第 4 页。
AWS 上的 Cisco DNA Center 部署指南 11
自动化部署的先决条件
使用 Cisco DNA Center VA Launchpad 进行部署
3. 安装 Cisco DNA Center VA Launchpad 或访问由思科托管的 Cisco DNA Center VA Launchpad。 请参阅安装 Cisco DNA Center VA Launchpad,第 15 页或访问托管的 Cisco DNA Center VA Launchpad,第 17 页。
4. 创建一个新的 VA 容器以包含您的 Cisco DNA Center VA 实例。 请参阅创建新的 VA Pod,第 25 页。
5. (可选)如果您使用现有 TGW 和现有附件(例如 VPC)作为首选本地连接,请在 AWS 上手动配置 TGW 路由表,并将路由配置添加到现有客户网关 (CGW)选项。 请参阅在现有中转网关和客户网关上手动配置路由,第 35 页。
6. 创建 Cisco DNA Center 的新实例。 请参阅创建新的 Cisco DNA Center VA,第 37 页。
7. (可选)如有必要,请解决部署过程中出现的任何问题。 请参阅排除部署故障,第 42 页。
8. 使用 Cisco DNA Center VA Launchpad 管理您的 Cisco DNA Center VA。请参阅《Cisco DNA Center VA Launchpad 1.6 管理员指南》。
自动化部署的先决条件
在开始使用 Cisco DNA Center VA Launchpad 在 AWS 上部署 Cisco DNA Center 之前,请确保满足以下要求:
· 在您的平台上安装 Docker 社区版 (CE)。 Cisco DNA Center VA Launchpad 支持 Mac、Windows 和 Linux 平台上的 Docker CE。 请参阅 Docker 上的文档 web站点了解适合您平台的具体过程。
· 无论您如何访问 Cisco DNA Center VA Launchpad 来部署 Cisco DNA Center VA,请确保您的云环境满足以下规格: · Cisco DNA Center 实例:r5a.8xlarge、32 个 vCPU、256 GB RAM 和 4 个 vCPU。 -TB存储
重要的
Cisco DNA Center 仅支持 r5a.8xlarge 实例大小。 不支持对此配置进行任何更改。 此外,特定可用区不支持 r5a.8xlarge 实例大小。 到 view 有关不支持的可用性区域的列表,请参阅 Cisco DNA Center VA Launchpad 1.6.0 版本说明。
· 备份实例:T3.micro、2 个 vCPU、500 GB 存储和 1 GB RAM
· 您拥有访问您的 AWS 账户的有效凭证。
· 您的AWS账户是子账户(子账户),以保持资源独立性和隔离性。 通过子账户,这可以确保 Cisco DNA Center 部署不会影响您的现有资源。
· 重要提示:您的 AWS 账户已订阅 AWS Marketplace 中的 Cisco DNA Center 虚拟设备 – 自带许可证 (BYOL)。
AWS 上的 Cisco DNA Center 部署指南 12
使用 Cisco DNA Center VA Launchpad 进行部署
自动化部署的先决条件
· 如果您是管理员用户,您必须拥有 AWS 账户的管理员访问权限。 (在 AWS 中,策略名称显示为 AdministratorAccess。)
管理员访问策略必须直接附加到您的 AWS 账户,而不是附加到组。 该应用程序不通过组策略进行枚举。 因此,如果您被添加到具有管理员访问权限的组,您将无法创建所需的基础架构。
· 如果您是子用户,您的管理员必须将您添加到 CiscoDNACenter 用户组。 当管理员用户首次登录 Cisco DNA Center VA Launchpad 时,会在其 AWS 账户上创建 CiscoDNACenter 用户组,并附加所有必需的策略。 管理员用户可以将子用户添加到该组,以允许他们登录到 Cisco DNA Center VA Launchpad。 以下策略附加到 CiscoDNACenter 用户组: · AmazonDynamoDBFullAccess · IAMReadOnlyAccess · AmazonEC2FullAccess · AWSCloudFormationFullAccess · AWSLambda_FullAccess · CloudWatchFullAccess · ServiceQuotasFullAccess · AmazonEventBridgeFullAccess · service-role/AWS_ConfigRole · AmazonS3FullAccess · ClientVPNServiceRolePolicy(版本:2012-10-17) 此策略允许以下规则: · ec2:CreateNetworkInterface
AWS 上的 Cisco DNA Center 部署指南 13
自动化部署的先决条件
使用 Cisco DNA Center VA Launchpad 进行部署
· ec2:CreateNetworkInterfacePermission · ec2:DescribeSecurityGroups · ec2:DescribeVpcs · ec2:DescribeSubnets · ec2:DescribeInternetGateways · ec2:ModifyNetworkInterfaceAttribute · ec2:DeleteNetworkInterface · ec2:DescribeAccountAttributes · ds:AuthorizeApplication · ds:DescribeDirectories · ds:GetDirectoryLimits · ds:Unauthorize应用·日志:DescribeLogStreams · 日志:CreateLogStream · 日志:PutLogEvents · 日志:DescribeLogGroups · acm:GetCertificate · acm:DescribeCertificate · iam:GetSAMLProvider · lambda:GetFunctionConfiguration
· ConfigPermission(版本:2012-10-17,Sid:VisualEditor0) 此策略允许以下规则: · config:Get · config:* · config:*ConfigurationRecorder · config:Describe* · config:Deliver* · config:List* · 配置:选择* · tag:获取资源· tag:得到Tag按键 · cloudtrail:DescribeTrails
AWS 上的 Cisco DNA Center 部署指南 14
使用 Cisco DNA Center VA Launchpad 进行部署
安装 Cisco DNA Center VA Launchpad
· cloudtrail:GetTrailStatus · cloudtrail:LookupEvents · 配置:PutConfigRule · 配置:DeleteConfigRule · 配置:DeleteEvaluationResults
· PassRole(版本:2012-10-17,Sid:VisualEditor0) 此策略允许以下规则: · iam:GetRole · iam:PassRole
安装 Cisco DNA Center VA Launchpad
此过程向您展示如何使用 Docker 容器为服务器和客户端应用程序安装 Cisco DNA Center VA Launchpad。
开始之前 确保您的计算机上安装了 Docker CE。 有关信息,请参阅自动部署的先决条件,第 12 页。
程序
步骤 1
步骤 2 步骤 3 步骤 4
转至 Cisco 软件下载站点并下载以下内容 files: · Launchpad-desktop-client-1.6.0.tar.gz
· Launchpad-desktop-server-1.6.0.tar.gz
验证 TAR file 是正品,来自思科。 有关详细步骤,请参阅验证 Cisco DNA Center VA TAR File,第 6 页。从下载的 Docker 映像中加载 files:
docker load < Launchpad-desktop-client-1.6.0.tar.gz
docker load < Launchpad-desktop-server-1.6.0.tar.gz
使用 docker images 命令显示存储库中的 Docker 映像列表,并验证您是否拥有服务器和客户端应用程序的最新副本。 在里面 files, TAG 列应显示以 1.6 开头的数字。 对于前ample: $ docker 镜像
AWS 上的 Cisco DNA Center 部署指南 15
安装 Cisco DNA Center VA Launchpad
使用 Cisco DNA Center VA Launchpad 进行部署
步骤 5 步骤 6
步骤 7
运行服务器应用程序: docker run -d -p :8080 -e DEBUG=true –name server
例如amp乐:
$ docker run -d -p 9090:8080 -e DEBUG=true –名称服务器 f87ff30d4c6a
运行客户端应用程序:
docker run -d -p :80 -e CHOKIDAR_USEPOLLING=true -e REACT_APP_API_URL= http://本地主机: – 名称客户端
例如amp乐:
$ docker run -d -p 90:80 -e CHOKIDAR_USEPOLLING=true -e REACT_APP_API_URL=http://localhost:9090 –名称客户端dd50d550aa7c
笔记
确保暴露的服务器端口号和 REACT_APP_API_URL 端口号
是相同的。 步骤 5 和步骤 6 中均使用端口号 9090amp莱斯。
使用 docker ps -a 命令验证服务器和客户端应用程序是否正在运行。 状态列应显示应用程序已启动。 对于前amp乐:
$ docker ps -a
步骤 8 步骤 9
笔记
如果您在运行服务器或客户端应用程序时遇到问题,请参阅 Docker 故障排除
错误,第 78 页。
通过输入以下内容验证服务器应用程序是否可访问 URL 采用以下格式:http:// : /api/valaunchpad/api-docs/ 例如amp乐:
http://192.0.2.2:9090/api/valaunchpad/api-docs/
用于 Cisco DNA Center VA 的应用程序编程接口 (API) 显示在窗口中。
通过输入以下内容验证客户端应用程序是否可访问 URL 采用以下格式:http:// : /valaunchpad 对于前amp乐:
http://192.0.2.1:90/valaunchpad
将显示 Cisco DNA Center VA Launchpad 登录窗口。
AWS 上的 Cisco DNA Center 部署指南 16
使用 Cisco DNA Center VA Launchpad 进行部署
访问托管的 Cisco DNA Center VA Launchpad
笔记
加载 Cisco DNA Center VA Launchpad 登录窗口可能需要几分钟时间,而
客户端和服务器应用程序加载工件。
访问托管的 Cisco DNA Center VA Launchpad
您可以通过 Cisco DNA 门户访问 Cisco DNA Center VA Launchpad。 如果您是 Cisco DNA Portal 的新用户,则必须创建一个 Cisco 帐户和一个 Cisco DNA Portal 帐户。 然后您可以登录 Cisco DNA Portal 以访问 Cisco DNA Center VA Launchpad。 如果您熟悉 Cisco DNA Portal,并且拥有 Cisco 帐户和 Cisco DNA Portal 帐户,则可以直接登录 Cisco DNA Portal 来访问 Cisco DNA Center VA Launchpad。
创建思科帐户
要通过 Cisco DNA Portal 访问 Cisco DNA Center VA Launchpad,您必须首先创建思科帐户。
程序
步骤 1
在浏览器中输入:dna.cisco.com 将显示 Cisco DNA Portal 登录窗口。
步骤 2 步骤 3
单击创建新帐户。 在 Cisco DNA Portal 欢迎窗口中,单击创建 Cisco 帐户。
AWS 上的 Cisco DNA Center 部署指南 17
创建思科帐户
使用 Cisco DNA Center VA Launchpad 进行部署
步骤 4 在创建帐户窗口中,填写必填字段,然后单击注册。
步骤 5 通过转至您注册帐户所用的电子邮件并单击激活帐户来验证您的帐户。
AWS 上的 Cisco DNA Center 部署指南 18
使用 Cisco DNA Center VA Launchpad 进行部署
创建 Cisco DNA 门户帐户
创建 Cisco DNA 门户帐户
要通过 Cisco DNA Portal 访问 Cisco DNA Center VA Launchpad,您必须创建 Cisco DNA Portal 帐户。
开始之前 确保您拥有 Cisco 帐户。 有关详细信息,请参阅创建思科帐户,第 17 页。
程序
步骤 1
在浏览器中输入:dna.cisco.com 将显示 Cisco DNA Portal 登录窗口。
AWS 上的 Cisco DNA Center 部署指南 19
创建 Cisco DNA 门户帐户
使用 Cisco DNA Center VA Launchpad 进行部署
步骤 2 步骤 3
单击“通过 Cisco 登录”。 在电子邮件字段中输入您的 Cisco 帐户的电子邮件,然后单击下一步。
步骤 4 在密码字段中输入您的 Cisco 帐户的密码。
AWS 上的 Cisco DNA Center 部署指南 20
使用 Cisco DNA Center VA Launchpad 进行部署
创建 Cisco DNA 门户帐户
步骤 5 步骤 6
单击“登录”。
在 Cisco DNA Portal 欢迎窗口中,在为您的帐户命名字段中输入您的组织或团队的名称。然后单击继续。
步骤 7
在 Cisco DNA 门户上确认 CCO Profile 窗口,执行以下操作:
a) 验证详细信息是否正确。 b) 阅读、确认并同意条件后,勾选复选框。 c) 单击创建帐户。
AWS 上的 Cisco DNA Center 部署指南 21
与 Cisco 一起登录 Cisco DNA 门户
使用 Cisco DNA Center VA Launchpad 进行部署
成功创建帐户后,将显示 Cisco DNA Portal 主页。
与 Cisco 一起登录 Cisco DNA 门户
要通过 Cisco DNA Portal 访问 Cisco DNA Center VA Launchpad,您必须登录 Cisco DNA Portal。
AWS 上的 Cisco DNA Center 部署指南 22
使用 Cisco DNA Center VA Launchpad 进行部署
与 Cisco 一起登录 Cisco DNA 门户
开始之前 确保您拥有 Cisco 帐户和 Cisco DNA Portal 帐户。有关详细信息,请参阅创建 Cisco 帐户,第 17 页和创建 Cisco DNA 门户帐户,第 19 页。
程序
步骤 1
在浏览器中输入:dna.cisco.com 将显示 Cisco DNA Portal 登录窗口。
步骤 2 步骤 3
单击“通过 Cisco 登录”。 在电子邮件字段中输入您的 Cisco 帐户的电子邮件,然后单击下一步。
AWS 上的 Cisco DNA Center 部署指南 23
与 Cisco 一起登录 Cisco DNA 门户
使用 Cisco DNA Center VA Launchpad 进行部署
步骤 4 在密码字段中输入您的 Cisco 帐户的密码。
步骤 5 步骤 6
单击登录。如果您只有一个 Cisco DNA Portal 帐户,则会显示 Cisco DNA Portal 主页。
(可选)如果您有多个 Cisco DNA Portal 帐户,请通过单击帐户旁边的继续按钮来选择要登录的帐户。
将显示 Cisco DNA Portal 主页。
AWS 上的 Cisco DNA Center 部署指南 24
使用 Cisco DNA Center VA Launchpad 进行部署
创建新的 VA Pod
创建新的 VA Pod
VA 容器是 Cisco DNA Center VA 的 AWS 托管环境。 托管环境包括 AWS 资源,例如 Cisco DNA Center VA EC2 实例、Amazon Elastic Block Storage (EBS)、备份 NFS 服务器、安全组、路由表、Amazon CloudWatch 日志、Amazon 简单通知系统 (SNS)、VPN 网关 ( VPN GW)、TGW 等。
使用 Cisco DNA Center VA Launchpad,您可以创建多个 VA 容器 - 每个 Cisco DNA Center VA 一个 VA 容器。
笔记
· AWS 超级管理员用户可以设置每个实例中可以创建的 VA Pod 数量限制
地区。 用于 Cisco DNA Center VA Launchpad 之外的资源的 VPC 对此做出了贡献
数也。 对于前amp文件中,如果您的 AWS 账户限制为 XNUMX 个 VPC 并且有 XNUMX 个正在使用,您可以
仅在所选区域中再创建三个 VA Pod。
· 在某些步骤中,必须成功设置所有资源才能继续下一步。 如果所有资源尚未成功设置,则继续按钮将被禁用。 如果所有资源均已成功设置并且“继续”按钮被禁用,请等待几秒钟,因为资源仍在加载中。 所有配置完成后,该按钮即可启用。
· 当您将 Cisco DNA Center VA Launchpad 更新到更高版本、降级到较早的 Cisco DNA Center VA Launchpad 版本或更新 VA 容器所在的区域设置时,您的 VA 容器配置不会更改。
例如amp文件中,如果您在 Cisco DNA Center VA Launchpad 版本 1.6.0 中创建了 VA 容器,则备份密码是备份实例的堆栈名称和备份服务器的 IP 地址的组合。 如果您在早期版本(例如版本 1.5.0)中访问此 VA 容器,则备份密码不会更改。
此过程将指导您完成创建新 VA 容器的步骤。
AWS 上的 Cisco DNA Center 部署指南 25
创建新的 VA Pod
使用 Cisco DNA Center VA Launchpad 进行部署
开始之前 您的 AWS 账户必须具有管理员访问权限才能执行此过程。 有关信息,请参阅自动部署的先决条件,第 12 页。
程序
步骤 1 步骤 2
使用以下方法之一登录到 Cisco DNA Center VA Launchpad:
· IAM登录:该方法使用用户角色来定义用户访问权限。 如果您的公司需要,Cisco DNA Center VA Launchpad 支持多重身份验证 (MFA) 作为可选的附加身份验证形式。 有关详细信息,请参阅《Cisco DNA Center VA Launchpad 1.6 管理员指南》中的“使用 IAM 登录 Cisco DNA Center VA Launchpad”。
· 联合登录:此方法使用一个身份来访问由其他运营商管理的网络或应用程序。 有关更多信息,请参阅《Cisco DNA Center VA Launchpad 2 管理员指南》中的“使用 saml1.6aws 生成联合用户凭证”或“使用 AWS CLI 生成联合用户凭证”。
有关如何获取访问密钥 ID 和秘密访问密钥的信息,请参阅 AWS 上的 AWS Tools for PowerShell 用户指南中的 AWS 账户和访问密钥主题。 web地点。
如果您遇到任何登录错误,您需要解决这些错误并重新登录。 有关详细信息,请参阅排除部署故障,第 42 页。
如果您是首次登录的管理员用户,请在电子邮件 ID 字段中输入您的电子邮件地址,然后单击提交。 如果您是子用户,请继续执行步骤 3。
您可以订阅 Amazon 简单通知系统 (SNS) 以接收有关已部署资源、更改和资源过度利用的警报。 此外,还可以设置警报,以便在 Amazon CloudWatch 在 Cisco DNA Center VA Launchpad 中检测到任何异常行为时通知您。 此外,AWS Config 还会评估您配置的资源并发送结果的审核日志。 有关更多信息,请参阅“订阅 Amazon SNS 电子邮件订阅”和“View 《Cisco DNA Center VA Launchpad 1.6 管理员指南》中的“Amazon CloudWatch 警报”。 输入电子邮件后,会发生几个过程:
· CiscoDNACenter 用户组是在您的 AWS 账户中创建的,并附加了所有必需的策略。 管理员用户可以将子用户添加到该组,以允许子用户登录到 Cisco DNA Center VA Launchpad。
AWS 上的 Cisco DNA Center 部署指南 26
使用 Cisco DNA Center VA Launchpad 进行部署
创建新的 VA Pod
· 将自动创建 Amazon S3 存储桶来存储部署状态。 我们建议您不要从 AWS 账户中删除此存储桶或任何其他存储桶,无论是全局还是每个区域。 这样做可能会影响 Cisco DNA Center VA Launchpad 部署工作流程。
· 如果您是首次登录某个区域,Cisco DNA Center VA Launchpad 会在 AWS 中创建多个资源。 此过程可能需要一些时间,具体取决于该区域之前是否已启用。 在该过程完成之前,您无法创建新的 VA Pod。 在此期间,会显示以下消息:“正在设置初始区域配置。 这可能需要几分钟。”
成功登录后,将显示仪表板窗格。
笔记
如果系统提示您更新区域设置,请按照提示完成更新。 为了
有关详细信息,请参阅 Cisco DNA Center VA Launchpad 1.6 中的“更新区域设置”
管理员指南。
步骤 3 步骤 4
单击 + 创建新的 VA Pod。 通过在“区域选择”对话框中完成以下步骤,选择要在其中创建新 VA Pod 的区域:
A。 从区域下拉列表中选择一个区域。
AWS 上的 Cisco DNA Center 部署指南 27
创建新的 VA Pod
使用 Cisco DNA Center VA Launchpad 进行部署
步骤 5
如果您已从左侧导航窗格的区域下拉列表中选择一个区域,则会自动选择该区域。
笔记
如果系统提示您更新区域设置,请按照提示完成更新。
有关详细信息,请参阅 Cisco DNA Center VA 启动板中的“更新区域设置”
1.6 管理员指南。
b. 点击下一步。
通过完成以下步骤来配置 AWS 基础设施,其中包括 VPC、私有子网、路由表、安全组、虚拟网关和 CGW: a) 在环境详细信息字段中,配置以下字段:
· VA Pod 名称:为新 VA Pod 指定名称。 请记住以下限制:
· 该名称在区域内必须是唯一的。 (这意味着您可以在多个区域使用相同的名称。)
· 名称最多可包含 12 个字符。
· 名称可以包含字母 (AZ)、数字 (0-9) 和破折号 (-)。
· 可用区:单击此下拉列表并选择一个可用区,该可用区是您所选区域内的隔离位置。
· AWS VPC CIDR:输入用于启动 AWS 资源的唯一 VPC 子网。 请记住以下准则:
· 建议的 CIDR 范围为 /25。
· 在 IPv4 CIDR 表示法中,IP 地址的最后一个八位字节(第四个八位字节)只能具有值 0 或 128。
· 该子网不应与您的公司子网重叠。
b) 在传输网关 (TGW) 下,选择以下选项之一:
· VPN GW:如果您有单个 VA Pod,并且想要使用 VPN 网关,请选择此选项。 VPN GW 是站点到站点 VPN 连接的 Amazon 端的 VPN 终端节点。 它只能附加到单个 VPC。
· 新建 VPN GW + 新建 TGW:如果您有多个 VA Pod 或 VPC,并且希望使用 TGW 作为中转枢纽来互连多个 VPC 和本地网络,请选择此选项。 它还可以用作站点到站点 VPN 连接的 Amazon 端的 VPN 端点。
笔记
每个区域只能创建一个 TGW。
· 现有 TGW:如果您有要用于创建新 VA Pod 的现有 TGW,请选择此选项,然后选择以下选项之一:
· 新 VPN GW:如果您想为现有 TGW 创建新 VPN 网关,请选择此选项。
· 现有附件:如果您想使用现有的 VPN 或直接连接附件,请选择此选项。 从选择附件 ID 下拉列表中,选择附件 ID。
AWS 上的 Cisco DNA Center 部署指南 28
使用 Cisco DNA Center VA Launchpad 进行部署
创建新的 VA Pod
如果选择此选项,还必须在现有的 TGW 和 CGW 上配置路由。 有关信息,请参阅在现有中转网关和客户网关上手动配置路由,第 35 页。
c) 执行以下操作之一:
· 如果您选择现有 TGW 和现有附件作为首选连接选项,请继续执行步骤 5。
· 如果您选择 VPN GW、新 VPN GW + 新 TGW 或现有 TGW + 新 VPN GW,请提供以下 VPN 详细信息:
· 客户网关 IP:输入企业防火墙或路由器的 IP 地址,以与 AWS VPN 网关形成 IPsec 隧道。
· VPN 供应商:从下拉列表中选择 VPN 供应商。
不支持以下 VPN 供应商:Barracuda、Sophos、Vyatta 和 Zyxel。 有关更多信息,请参阅排除 VA Pod 配置错误,第 44 页。
· 平台:从下拉列表中选择一个平台。
· 软件:从下拉列表中选择一个软件。
d) 对于客户专业人士file 大小,保留默认的“中”设置。
客户亲file 大小适用于 Cisco DNA Center VA 实例和备份实例。 Medium 配置实例如下:
· Cisco DNA Center 实例:r5a.8xlarge、32 个 vCPU、256 GB RAM 和 4 TB 存储。
重要的
Cisco DNA Center 仅支持 r5a.8xlarge 实例大小。 不支持对此配置进行任何更改。 此外,特定可用区不支持 r5a.8xlarge 实例大小。 到 view 有关不支持的可用性区域的列表,请参阅 Cisco DNA Center VA Launchpad 1.6.0 版本说明。
· 备份实例:T3.micro、2 个 vCPU、500 GB 存储和 1 GB RAM
e) 对于备份目标,选择以下选项之一作为 Cisco DNA Center 数据库的备份目标,并 files: · 企业备份 (NFS):如果您希望将备份存储在本地服务器中,请选择此选项。
· 云备份 (NFS):如果您希望将备份存储在 AWS 中,请选择此选项。 请注意以下备份详细信息。 稍后您将使用此信息登录云备份服务器: · SSH IP 地址:
· SSH 端口:22
· 服务器路径:/var/dnac-backup/
· 用户名:磁悬浮
· 密码:
AWS 上的 Cisco DNA Center 部署指南 29
创建新的 VA Pod
使用 Cisco DNA Center VA Launchpad 进行部署
您的备份服务器密码是动态创建的。 密码由备份实例的堆栈名称和备份服务器的 IP 地址的前四个字符组成,不带句点。
例如amp文件中,如果备份实例的堆栈名称为DNAC-ABC-0123456789987,备份服务器的IP地址为10.0.0.1,则备份服务器密码为DNAC10001。
笔记
· 您可以在 Cisco DNA Center 上找到备份实例的堆栈名称
配置正在进行窗口(请参阅创建新的 Cisco DNA 中的步骤 9)
VA 中心,第 37 页)或在 AWS 控制台 > CloudFormation > 堆栈上
窗户。
· 您还可以在 Cisco DNA Center 配置进行中窗口(请参阅创建新的 Cisco DNA Center VA,第 9 页中的步骤 37)或 Cisco DNA Center 虚拟设备详细信息窗口(请参阅“View Cisco DNA Center VA Launchpad 1.6 管理员指南中的“Cisco DNA Center VA 详细信息”)。
· 密码:
您的密码用于加密备份的安全敏感组件。 这些安全敏感组件包括证书和凭据。
此密码是必需的,恢复备份时系统将提示您输入此密码 files。 如果没有此密码,则备份 files 未恢复。
· 开放端口:22、2049、873、111
f) 单击下一步。 将显示“摘要”窗格。
AWS 上的 Cisco DNA Center 部署指南 30
使用 Cisco DNA Center VA Launchpad 进行部署
创建新的 VA Pod
g) 回复view 您输入的环境和 VPN 详细信息。 如果您满意,请单击开始配置 AWS 环境。 重要提示 此设置大约需要 20 分钟才能完成。 不要退出应用程序或关闭此窗口或选项卡。 否则,安装将暂停。
h) 成功配置 AWS 基础设施后,将显示“AWS 基础设施已配置”窗格。
AWS 上的 Cisco DNA Center 部署指南 31
创建新的 VA Pod
使用 Cisco DNA Center VA Launchpad 进行部署
如果 AWS 基础设施配置失败,请退出 Cisco DNA Center VA Launchpad 并参阅第 42 页的部署故障排除,了解有关可能原因和解决方案的信息。
步骤 6
下载本地配置 file 通过完成以下步骤: a) 成功配置 AWS 基础设施后,单击继续本地配置。 b) 在配置本地部署窗格中,单击下载配置 File。 转发这个 file 你的
网络管理员配置本地端 IPsec 隧道。
确保您的网络管理员仅配置一条 IPsec 隧道。
AWS 上的 Cisco DNA Center 部署指南 32
使用 Cisco DNA Center VA Launchpad 进行部署
创建新的 VA Pod
笔记
· 网络管理员可以对此配置进行必要的更改 file
并将其应用到您的企业防火墙或路由器以启动 IPsec 隧道。
提供的配置 file 使您能够在 AWS 和企业路由器或防火墙之间建立两条隧道。
· 大多数虚拟专用网关解决方案都有一个隧道向上,另一个隧道向下。 您可以同时启用两条隧道并使用等价多路径 (ECMP) 网络功能。 ECMP 处理使防火墙或路由器能够使用等价路由将流量传输到同一目的地。 为此,您的路由器或防火墙必须支持 ECMP。 如果没有 ECMP,我们建议您关闭一条隧道并手动进行故障转移,或者使用 IP SLA 等解决方案在故障转移场景中自动打开隧道。
步骤 7
c) 单击继续进行网络连接检查按钮。
通过完成以下操作之一,根据您在 AWS 基础设施配置期间选择的本地连接首选项检查网络配置的状态:
· 如果您选择 VPN GW 作为首选本地连接选项,则会显示 IPsec 隧道配置状态,如下所示:
· 如果网络管理员尚未配置IPsec隧道,IPsec隧道上会显示挂锁:
· 请网络管理员验证企业防火墙或路由器上的 IPsec 隧道是否已启动。 IPsec 隧道建立后,IPsec 隧道变为绿色:
AWS 上的 Cisco DNA Center 部署指南 33
创建新的 VA Pod
使用 Cisco DNA Center VA Launchpad 进行部署
· 如果您选择新 VPN GW + 新 TGW 或现有 TGW 和新 VPN GW 作为首选本地连接选项,Cisco DNA Center VA Launchpad 会检查您的 VPC 是否连接到 TGW,而 TGW 又连接到您的本地连接。场所防火墙或路由器。
笔记
为了使 TGW 到企业防火墙或路由器连接成功,您的网络
管理员必须将配置添加到您的本地防火墙或路由器。
显示连接状态,如下:
· 如果从 TGW 到本地防火墙或路由器的连接尚未连接,则会显示为灰色:
· TGW连接成功建立后,TGW连接为绿色:
· 如果您选择现有 TGW 和现有附件作为首选本地连接选项,请确保在现有 TGW 和启动 Cisco DNA Center 的新连接 VPC 之间配置路由。 有关信息,请参阅在现有中转网关和客户网关上手动配置路由,第 35 页。连接状态将显示如下: · 如果您的 VPC 未连接到 TGW,则 TGW 连接将呈灰色显示:
AWS 上的 Cisco DNA Center 部署指南 34
使用 Cisco DNA Center VA Launchpad 进行部署
在现有中转和客户网关上手动配置路由
· TGW连接成功建立后,TGW连接为绿色:
步骤 8
单击转到仪表板返回到仪表板窗格,您可以在其中创建更多 VA 容器并管理现有容器。
在现有中转和客户网关上手动配置路由
如果您在创建新 VA 容器时选择现有中转网关和现有附件作为首选连接选项,Cisco DNA Center VA Launchpad 将创建一个 VPC 来启动 Cisco DNA Center,并将该 VPC 附加到您的现有 TGW。 要使 Cisco DNA Center VA Launchpad 建立 TGW 连接,您必须在 AWS 上手动配置 TGW 路由表并将路由配置添加到现有 CGW。
程序
步骤 1 从 AWS 控制台,转到 VPC 服务。
AWS 上的 Cisco DNA Center 部署指南 35
在现有中转和客户网关上手动配置路由
使用 Cisco DNA Center VA Launchpad 进行部署
步骤 2 步骤 3
在左侧导航窗格中的 Transit Gateways 下,选择 Transit gateway 路由表,然后选择现有的 TGW 路由表。
在中转网关路由表窗口中,单击关联选项卡,然后单击创建关联。
步骤 4 在 Transit gateway 路由表窗口中,单击传播选项卡,然后单击创建传播。
步骤 5 步骤 6
要确保相应 VPC 和 VPN 之间的静态路由处于活动状态,请单击“路由”选项卡,然后单击“创建静态路由”。 确保您的本地路由器配置已更新,以路由发往分配给 AWS 环境中的 CGW 的 CIDR 范围的网络流量。
例如ample:路由隧道-int-vpn-0b57b508d80a07291-1 10.0.0.0 255.255.0.0 192.168.44.37 200
AWS 上的 Cisco DNA Center 部署指南 36
使用 Cisco DNA Center VA Launchpad 进行部署
创建新的 Cisco DNA Center VA
创建新的 Cisco DNA Center VA
使用此程序配置新的 Cisco DNA Center VA。 程序
步骤 1
在仪表板窗格中的地图下方,找到您要在其中创建 Cisco DNA Center VA 的 VA 容器。
步骤 2 步骤 3
在 VA 容器卡中,单击创建/管理 Cisco DNA 中心。 在创建/管理 Cisco DNA Center 窗格中,单击 + 创建新的 Cisco DNA Center。
AWS 上的 Cisco DNA Center 部署指南 37
创建新的 Cisco DNA Center VA
使用 Cisco DNA Center VA Launchpad 进行部署
步骤 4
输入以下详细信息:
· Cisco DNA Center 版本:从下拉列表中选择 Cisco DNA Center 版本。
· 企业 DNS:输入企业 DNS 的 IP 地址。 确保可从您在其中创建 Cisco DNA Center VA 的 VA 容器访问企业 DNS。
笔记
Cisco DNA Center VA Launchpad 使用 UDP 检查本地网络连接
端口 53 为您输入的 DNS 服务器 IP 地址。
· FQDN(完全限定域名):输入 DNS 服务器上配置的 Cisco DNA Center VA 的 IP 地址。
· 代理详细信息:选择以下 HTTPS 网络代理选项之一:
· 无代理:不使用代理服务器。
· 未验证:代理服务器不需要验证。 输入 URL 以及代理服务器的端口号。
· 代理验证:代理服务器需要验证。 输入 URL、代理服务器的端口号、用户名和密码详细信息。
· Cisco DNA Center 虚拟设备凭证:输入用于登录 Cisco DNA Center VA 的 CLI 密码。 密码必须: · 省略任何制表符或换行符 · 至少包含八个字符 · 包含至少以下类别中的三个字符: · 小写字母 (az) · 大写字母 (AZ) · 数字 (0-9) ·特殊字符(例如amp勒,! 或者 #)
AWS 上的 Cisco DNA Center 部署指南 38
使用 Cisco DNA Center VA Launchpad 进行部署
创建新的 Cisco DNA Center VA
步骤 5 步骤 6
保存此密码以供将来参考。
笔记
用户名是磁悬浮。
单击“验证”以验证企业 DNS 服务器和 DNS 服务器上配置的 FQDN。
笔记
在 Cisco DNA Center VA Launchpad 版本 1.6.0 中,如果 DNS 服务器、代理服务器或 FQDN
检查失败,请继续您的配置,如下所示:
· 如果 DNS 服务器验证失败,您将无法继续创建 Cisco DNA Center VA。 确保输入的 DNS 服务器 IP 地址可从 VA 容器访问。
· 如果代理服务器验证失败,您仍然可以继续配置,因为即使无效的代理详细信息未修复,Cisco DNA Center VA 仍可以工作。
· 如果 FQDN 验证失败,您仍然可以继续创建 Cisco DNA Center VA。 但是,为了使 Cisco DNA Center VA 正常工作,您需要修复 FQDN 配置。
在摘要窗口中,重新view 配置细节。
笔记
Cisco DNA Center IP 地址是静态分配的 IP 地址,跨区域维护
AWS 可用区tages 确保不间断的连接并最大限度地减少中断
在关键的网络操作期间。
步骤 7 步骤 8
如果您对配置满意,请单击“生成 PEM 密钥” File.
在下载 PEM 密钥中 File 对话框中,单击“下载 PEM 密钥” File。 如果单击“取消”,您将返回到“摘要”窗口。
AWS 上的 Cisco DNA Center 部署指南 39
创建新的 Cisco DNA Center VA
使用 Cisco DNA Center VA Launchpad 进行部署
重要事项 由于 PEM 密钥未存储在您的 AWS 账户中,因此您需要下载它。 您需要 PEM 密钥才能访问正在创建的 Cisco DNA Center VA。
步骤 9
下载 PEM 后 file,单击开始 Cisco DNA Center 配置。
Cisco DNA Center VA Launchpad 配置 Cisco DNA Center 环境。 配置环境后,Cisco DNA Center 将启动。 最初,Cisco DNA Center VA Launchpad 将外环显示为灰色。 当端口 2222 验证时,图像变为琥珀色。 当端口 443 有效时,图像变为绿色。
笔记
此过程需要 45-60 分钟。 不要退出应用程序或关闭此窗口或选项卡。
否则,安装将暂停。
AWS 上的 Cisco DNA Center 部署指南 40
使用 Cisco DNA Center VA Launchpad 进行部署
创建新的 Cisco DNA Center VA
Cisco DNA Center 启动完成后,配置完成。 你现在可以 view 您的 Cisco DNA Center VA 详细信息。
提示
当显示 Cisco DNA Center 配置正在进行窗口时,记录
备份服务器的 IP 地址和备份实例的堆栈名称以供以后使用。 您的备份服务器
密码是备份实例堆栈名称的前四个字符和
备份服务器的 IP 地址(不带句点)。
如果 Cisco DNA Center 配置失败,请退出到创建/管理 Cisco DNA Center 窗格。 有关信息,请参阅排除部署故障,第 42 页
AWS 上的 Cisco DNA Center 部署指南 41
排除部署故障
使用 Cisco DNA Center VA Launchpad 进行部署
步骤 10
要返回创建/管理 Cisco DNA Center 窗格,请单击转至管理 Cisco DNA Center。
排除部署故障
Cisco DNA Center VA Launchpad 旨在帮助您以最少的干预在 AWS 上无缝配置 Cisco DNA Center。 本部分向您介绍如何解决在 AWS 上部署 Cisco DNA Center 期间的常见问题。
注 我们建议不要通过 AWS 控制台使用 Cisco DNA Center VA Launchpad 进行手动更改,因为这可能会导致 Cisco DNA Center VA Launchpad 无法解决的问题。
如果您有本节未解决的任何问题,请联系思科 TAC。
排除 Docker 错误
如果在运行 Cisco DNA Center VA Launchpad 的 docker 映像时显示错误“端口已在使用中”,您可以使用以下可能的解决方案进行故障排除:
AWS 上的 Cisco DNA Center 部署指南 42
使用 Cisco DNA Center VA Launchpad 进行部署
解决登录错误
错误
可能的解决方案
如果您在 Docker 上收到以下错误,请运行服务器应用程序:
运行服务器应用程序:
docker运行-d-p :8080-e
端口已被使用
秘密密钥= –名称服务器 –pull=始终
dockerhub.cisco.com/maglev-docker/server:xxx-latest
笔记
您可以使用任何可用的服务器端口。
在运行服务器应用程序的同时,运行客户端应用程序:
docker run -d -p 90:80 -e REACT_APP_API_URL= http://本地主机: –名称客户端 –pull=始终 dockerhub.cisco.com/maglevdocker/client:xxx
笔记
您必须使用与运行服务器应用程序相同的端口号。
如果您在 Docker 上收到以下错误,请运行客户端应用程序:
运行客户端应用程序:
docker运行-d-p :80 –名称客户端 –pull=always
端口已被使用
dockerhub.cisco.com/maglev-docker/client:xxx
笔记
您可以使用任何可用的服务器端口。
解决登录错误
当您登录 Cisco DNA Center VA Launchpad 时,您可能会遇到登录错误。 您可以使用以下可能的解决方案来解决常见的登录错误:
错误凭据无效。
可能的解决方案重新输入您的凭据并检查输入是否正确。
您没有足够的访问权限。 对于管理员用户,请验证您的帐户是否具有管理员访问权限。 对于子用户,请验证您的管理员是否将您添加到 CiscoDNACenter 用户组。
删除操作正在进行中,请稍后重试。
如果管理员用户删除了-cisco-dna-center 全局存储桶来自您的 AWS 账户,然后尝试登录,可能会发生此登录错误。 等待 5 分钟以完成删除。
对托管 Cisco DNA Center VA 启动板错误进行故障排除
在托管的 Cisco DNA Center VA Launchpad 上,当您触发根本原因分析 (RCA) 时,可能会出现速率超出错误。 如果发生此错误,则会显示以下横幅:
AWS 上的 Cisco DNA Center 部署指南 43
解决区域问题
使用 Cisco DNA Center VA Launchpad 进行部署
当某个区域收到最大数量的 API 请求(每秒 10,000 个)时,会显示此错误横幅。 要解决此问题,请使用 Service Quotas 服务增加 AWS 中的限制,或在几秒钟后重试该操作。
解决区域问题
您可以使用以下可能的解决方案来解决区域问题:
问题
可能的解决方案
在新的 VA Pod 中创建新的 VA Pod 时,请确保 AWS 控制台上的任何手动过程已成功完成,然后尝试
弗吉尼亚州 Cisco DNA 中心地区
又到了这一步。 如果问题仍然存在,请联系思科 TAC。
Launchpad 显示错误消息或屏幕冻结超过 5 秒
笔记
分钟并且不显示
配置进行中消息。
为了避免此类冲突,我们建议您不要对 VA Pod 进行任何手动更改。 相反,请使用 Cisco DNA Center VA Launchpad 执行所有操作。
您的区域设置失败,Cisco DNA 向 AWS 提出案例,并要求他们从后端删除失败的资源。 Center VA Launchpad 显示 Bucket [name] 未稳定错误,类似于以下内容:
排除 VA Pod 配置错误
您可以使用以下可能的解决方案来排除 VA Pod 配置错误:
AWS 上的 Cisco DNA Center 部署指南 44
使用 Cisco DNA Center VA Launchpad 进行部署
排除 VA Pod 配置错误
错误 + 创建 VA Pod 按钮已禁用
可能的解决方案
将光标悬停在禁用按钮上可了解有关其禁用原因的更多信息。
以下是您无法创建新 VA Pod 的可能原因:
· 您已达到 VPC 服务配额限制:对于每个区域,您的 AWS 管理员都会设置可以创建的 VPC 数量的限制。 通常,每个区域有 5 个 VPC,每个 VPC 只能有一个 VA Pod。 但是,您可能需要联系您的 AWS 管理员以获取确切的号码。
请注意,用于 Cisco DNA Center VA Launchpad 之外的资源的任何 VPC 都会导致此限制。 对于前amp根据文件,如果您的 AWS 账户限制为 XNUMX 个 VPC,并且有 XNUMX 个 VPC 正在使用中,则您只能在所选区域再创建 XNUMX 个 VA Pod。
要创建新的 VA Pod,请要求您的 AWS 管理员更改限制或删除 AWS 账户上的一些现有 VA Pod 或 VPC。
· Pod 删除正在进行中:正在删除该区域中最后一个 VA Pod。 等待几分钟,然后重试创建新的 VA Pod。
您的账户无法使用该区域的 AMI ID。
当您单击 + 创建新 VA Pod 时,Cisco DNA Center VA Launchpad 将验证您所选区域的 AMI ID。
如果遇到此错误,则验证失败,并且您无法在此区域中创建新的 Pod。 请联系思科 TAC 以帮助您解决问题。
您的 VPN 配置无效。 配置 VA Pod 时,不支持以下 VPN 供应商:
在此步骤您无法更新它,因此请删除该实例并创建
·梭鱼
一个新的。
· 索福斯
· 维亚塔
· 合勤科技
如果您使用的 VPN 供应商不受支持,Cisco DNA Center VA Launchpad 将显示以下错误消息:
CustomerGateway 类型
如果您尝试一次创建多个 VA Pod,则可能会遇到此错误。
“ipsec.1”、ip 地址“xx.xx.xx.xx”和 bgp-asn“65000”已存在(RequestToken:
要解决此错误,请删除失败的 VA Pod 并重新创建它。 确保一次仅创建一个 VA Pod。
f78ad45d-b4f8-d02b-9040-f29e5f5f86cf,
处理程序错误代码:已经存在)
AWS 基础设施失败。
如果 AWS 配置失败,请返回仪表板窗格并创建新的 VA Pod。 有关更多信息,请参阅创建新的 VA Pod,第 25 页。
笔记
您可以删除配置失败的 VA Pod。
AWS 上的 Cisco DNA Center 部署指南 45
排除网络连接错误
使用 Cisco DNA Center VA Launchpad 进行部署
错误
编辑 VA Pod 时 AWS 配置失败
可能的解决方案
确保 AWS 控制台上的所有手动过程均已成功完成,然后重试此步骤。 如果问题仍然存在,请联系思科 TAC。
笔记
为了避免此类冲突,我们建议您不要制作任何手册
VA 吊舱的变化。 相反,请使用 Cisco DNA Center VA Launchpad
针对所有操作。
删除 VA Pod 失败
确保 AWS 控制台上的所有手动过程均已成功完成,然后重试此步骤。 如果问题仍然存在,请联系思科 TAC。
笔记
为了避免此类冲突,我们建议您不要制作任何手册
VA 吊舱的变化。 相反,请使用 Cisco DNA Center VA Launchpad
针对所有操作。
您尝试删除的资源 如果您在删除 VA 容器时遇到此错误,请联系思科 TAC。 最近已修改。 请刷新页面以获取最新更改并重试。
排除网络连接错误
创建 VA Pod 时,如果未建立 IPsec 隧道或 TGW 连接,请确保隧道在本地防火墙或路由器上已启动。
如果从 VA 容器到 TWG 的隧道为绿色,从 TWG 到 CGW 的隧道为灰色,请确保:
· 您转发的配置正确 file 给您的网络管理员。 · 您的网络管理员对配置进行了必要的更改 file。 · 您的网络管理员已完成将此配置应用到您的企业防火墙或路由器。 · 如果您选择现有 TGW 和现有附件作为网络连接首选项,请进行
确保您正确遵循在现有传输和客户网关上手动配置路由(第 35 页)的操作。
AWS 上的 Cisco DNA Center 部署指南 46
使用 Cisco DNA Center VA Launchpad 进行部署
排除 Cisco DNA Center VA 配置错误
排除 Cisco DNA Center VA 配置错误
您可以使用以下可能的解决方案对配置 Cisco DNA Center VA 时发生的错误进行故障排除:
错误 环境设置失败
可能的解决方案 1. 在 Cisco DNA Center VA Launchpad 上,返回创建/管理 Cisco DNA Center
窗格。
2. 删除 Cisco DNA Center VA。
3. 创建新的 Cisco DNA Center VA。
删除失败
如果 Cisco DNA Center VA 删除失败,请联系思科 TAC。
排除并发错误
您可以使用以下可能的解决方案来排除并发错误:
错误
可能的解决方案
无法删除容器 您无法删除其他用户创建的组件,例如 VA 容器或 Cisco DNA Center VA
或 Cisco DNA 中心,同时对组件执行不同的操作。 操作完成后,您或任何其他人
其他用户创建的组件可以删除。
用户。
例如amp文件中,您无法删除处于以下任一状态的 VA 容器或 Cisco DNA Center VA
进程或状态:
· 另一个用户正在创建 Cisco DNA Center VA。
· 另一个用户正在删除 Cisco DNA Center VA。
· 尝试删除后,Cisco DNA Center VA 处于失败状态。
Pod 的状态有 如果您尝试删除 VA pod,则创建 VA pod 的原始用户帐户最近可能已更改。并发动作。此并发问题会更改所选 VA Pod 的状态。
到 view VA Pod 的更新状态,单击“刷新”。
解决其他部署问题
您可以使用以下可能的解决方案对在 AWS 上部署 Cisco DNA Center VA 时出现的其他问题进行故障排除:
AWS 上的 Cisco DNA Center 部署指南 47
解决其他部署问题
使用 Cisco DNA Center VA Launchpad 进行部署
问题
可能的原因和解决方案
资源是绿色的,但在某些步骤中,只有所有资源都已成功设置后才能继续。 确保禁用“继续”按钮。 部署的完整性,“继续”按钮保持禁用状态,直到设置完成
所有资源均已配置并加载。
有时,屏幕显示资源已成功设置,但“继续”按钮仍处于禁用状态。 在这种情况下,您需要再等待几秒钟才能加载某些资源。 配置并加载所有资源后,将启用“继续”按钮。
在单个区域中部署具有相同 CGW 的多个 VA Pod 时失败。
请确保: · CGW IP 地址是您的企业防火墙或路由器的 IP 地址。 · CGW IP地址是有效的公网地址。
· CGW IP 地址尚未用于同一区域内的其他 VA Pod。 目前,在每个区域中,多个 VA Pod 不能具有相同的 CGW IP 地址。 要为多个 VA Pod 使用相同的 CGW IP 地址,请将每个 VA Pod 部署在不同的区域中。
无法通过 SSH 或 ping Cisco DNA Center VA。
会议结束
尽管隧道已启动并且应用程序状态已完成(绿色),但您无法通过 SSH 连接或 ping Cisco DNA Center VA。 如果本地 CGW 配置不正确,可能会出现此问题。 验证 CGW 配置并重试。
如果您的会话在操作正在进行时超时(例如触发 RCA),则操作可能会突然结束并显示以下通知:
如果您的会话超时,请重新登录并重新启动操作。
AWS 上的 Cisco DNA Center 部署指南 48
第一章
使用 Cisco DNA Center VA Launchpad 2.3.5.3 在 AWS 上部署 Cisco DNA Center 1.5
· 使用自动部署方法在 AWS 上部署 Cisco DNA Center,第 49 页 · 自动部署工作流程,第 49 页 · 自动部署的先决条件,第 50 页 · 安装 Cisco DNA Center VA Launchpad,第 53 页 · 访问托管的 Cisco DNA Center VA 启动板,第 55 页 · 创建新的 VA 容器,第 63 页 · 在现有中转网关和客户网关上手动配置路由,第 72 页 · 创建新的 Cisco DNA Center VA,第 74 页 · 排除部署故障,第 78 页
使用自动部署方法在 AWS 上部署 Cisco DNA Center
您向 Cisco DNA Center VA Launchpad 提供所需的详细信息,以在您的 AWS 账户中创建 AWS 基础设施,其中包括 VPC、IPsec VPN 隧道、网关、子网和安全组。 因此,Cisco DNA Center VA Launchpad 将 Cisco DNA Center AMI 部署为具有单独 VPC 中规定配置的 Amazon EC2 实例。 配置包括子网、中转网关和其他重要资源,例如用于监控的 Amazon CloudWatch、用于状态存储的 Amazon DynamoDB 和安全组。 使用 Cisco DNA Center VA Launchpad,您还可以访问和管理您的 VA,以及管理用户设置。 有关信息,请参阅《Cisco DNA Center VA Launchpad 1.5 管理员指南》。
自动化部署工作流程
要使用自动化方法在 AWS 上部署 Cisco DNA Center,请遵循以下高级步骤: 1. 满足先决条件。 请参阅自动部署的先决条件,第 50 页。 2. (可选)将 AWS 上的思科 ISE 与您的 Cisco DNA Center VA 集成在一起。 请参阅指南
将 AWS 上的思科 ISE 与 AWS 上的思科 DNA 中心集成,第 4 页。
AWS 上的 Cisco DNA Center 部署指南 49
自动化部署的先决条件
使用 Cisco DNA Center VA Launchpad 进行部署
3. 安装 Cisco DNA Center VA Launchpad 或访问由思科托管的 Cisco DNA Center VA Launchpad。 请参阅安装 Cisco DNA Center VA Launchpad,第 53 页或访问托管的 Cisco DNA Center VA Launchpad,第 55 页。
4. 创建一个新的 VA 容器以包含您的 Cisco DNA Center VA 实例。 请参阅创建新的 VA Pod,第 63 页。
5. (可选)如果您使用现有 TGW 和现有附件(例如 VPC)作为首选本地连接,请在 AWS 上手动配置 TGW 路由表,并将路由配置添加到现有客户网关 (CGW)选项。 请参阅在现有中转网关和客户网关上手动配置路由,第 72 页。
6. 创建 Cisco DNA Center 的新实例。 请参阅创建新的 Cisco DNA Center VA,第 74 页。
7. (可选)如有必要,请解决部署过程中出现的任何问题。 请参阅排除部署故障,第 78 页。
8. 使用 Cisco DNA Center VA Launchpad 管理您的 Cisco DNA Center VA。请参阅《Cisco DNA Center VA Launchpad 1.5 管理员指南》。
自动化部署的先决条件
在开始使用 Cisco DNA Center VA Launchpad 在 AWS 上部署 Cisco DNA Center 之前,请确保满足以下要求:
· 在您的平台上安装 Docker 社区版 (CE)。 Cisco DNA Center VA Launchpad 支持 Mac、Windows 和 Linux 平台上的 Docker CE。 请参阅 Docker 上的文档 web站点了解适合您平台的具体过程。
· 无论您如何访问 Cisco DNA Center VA Launchpad 来部署 Cisco DNA Center VA,请确保您的云环境满足以下规格: · Cisco DNA Center 实例:r5a.8xlarge、32 个 vCPU、256 GB RAM 和 4 个 vCPU。 -TB存储
重要的
Cisco DNA Center 仅支持 r5a.8xlarge 实例大小。 不支持对此配置进行任何更改。 此外,特定可用区不支持 r5a.8xlarge 实例大小。 到 view 有关不支持的可用性区域的列表,请参阅 Cisco DNA Center VA Launchpad 1.5.0 版本说明。
· 备份实例:T3.micro、2 个 vCPU、500 GB 存储和 1 GB RAM
· 您拥有访问您的 AWS 账户的有效凭证。
· 您的AWS账户是子账户(子账户),以保持资源独立性和隔离性。 通过子账户,这可以确保 Cisco DNA Center 部署不会影响您的现有资源。
· 重要提示:您的 AWS 账户已订阅 AWS Marketplace 中的 Cisco DNA Center 虚拟设备 – 自带许可证 (BYOL)。
AWS 上的 Cisco DNA Center 部署指南 50
使用 Cisco DNA Center VA Launchpad 进行部署
自动化部署的先决条件
· 如果您是管理员用户,您必须拥有 AWS 账户的管理员访问权限。 (在 AWS 中,策略名称显示为 AdministratorAccess。)
管理员访问策略必须直接附加到您的 AWS 账户,而不是附加到组。 该应用程序不通过组策略进行枚举。 因此,如果您被添加到具有管理员访问权限的组,您将无法创建所需的基础架构。
· 如果您是子用户,您的管理员必须将您添加到 CiscoDNACenter 用户组。 当管理员用户首次登录 Cisco DNA Center VA Launchpad 时,会在其 AWS 账户上创建 CiscoDNACenter 用户组,并附加所有必需的策略。 管理员用户可以将子用户添加到该组,以允许他们登录到 Cisco DNA Center VA Launchpad。 以下策略附加到 CiscoDNACenter 用户组: · AmazonDynamoDBFullAccess · IAMReadOnlyAccess · AmazonEC2FullAccess · AWSCloudFormationFullAccess · AWSLambda_FullAccess · CloudWatchFullAccess · ServiceQuotasFullAccess · AmazonEventBridgeFullAccess · service-role/AWS_ConfigRole · AmazonS3FullAccess · ClientVPNServiceRolePolicy(版本:2012-10-17) 此策略允许以下规则: · ec2:CreateNetworkInterface
AWS 上的 Cisco DNA Center 部署指南 51
自动化部署的先决条件
使用 Cisco DNA Center VA Launchpad 进行部署
· ec2:CreateNetworkInterfacePermission · ec2:DescribeSecurityGroups · ec2:DescribeVpcs · ec2:DescribeSubnets · ec2:DescribeInternetGateways · ec2:ModifyNetworkInterfaceAttribute · ec2:DeleteNetworkInterface · ec2:DescribeAccountAttributes · ds:AuthorizeApplication · ds:DescribeDirectories · ds:GetDirectoryLimits · ds:Unauthorize应用·日志:DescribeLogStreams · 日志:CreateLogStream · 日志:PutLogEvents · 日志:DescribeLogGroups · acm:GetCertificate · acm:DescribeCertificate · iam:GetSAMLProvider · lambda:GetFunctionConfiguration
· ConfigPermission(版本:2012-10-17,Sid:VisualEditor0) 此策略允许以下规则: · config:Get · config:* · config:*ConfigurationRecorder · config:Describe* · config:Deliver* · config:List* · 配置:选择* · tag:获取资源· tag:得到Tag按键 · cloudtrail:DescribeTrails
AWS 上的 Cisco DNA Center 部署指南 52
使用 Cisco DNA Center VA Launchpad 进行部署
安装 Cisco DNA Center VA Launchpad
· cloudtrail:GetTrailStatus · cloudtrail:LookupEvents · 配置:PutConfigRule · 配置:DeleteConfigRule · 配置:DeleteEvaluationResults
· PassRole(版本:2012-10-17,Sid:VisualEditor0) 此策略允许以下规则: · iam:GetRole · iam:PassRole
安装 Cisco DNA Center VA Launchpad
此过程向您展示如何使用 Docker 容器为服务器和客户端应用程序安装 Cisco DNA Center VA Launchpad。
开始之前 确保您的计算机上安装了 Docker CE。 有关信息,请参阅自动部署的先决条件,第 50 页。
程序
步骤 1
步骤 2 步骤 3 步骤 4
转至 Cisco 软件下载站点并下载以下内容 files: · Launchpad-desktop-client-1.5.0.tar.gz
· Launchpad-desktop-server-1.5.0.tar.gz
验证 TAR file 是正品,来自思科。 有关详细步骤,请参阅验证 Cisco DNA Center VA TAR File,第 6 页。从下载的 Docker 映像中加载 files:
docker load < Launchpad-desktop-client-1.5.0.tar.gz
docker load < Launchpad-desktop-server-1.5.0.tar.gz
使用 docker images 命令显示存储库中的 Docker 映像列表,并验证您是否拥有服务器和客户端应用程序的最新副本。 在里面 files, TAG 列应显示以 1.5 开头的数字。 对于前amp乐:
AWS 上的 Cisco DNA Center 部署指南 53
安装 Cisco DNA Center VA Launchpad
使用 Cisco DNA Center VA Launchpad 进行部署
步骤 5 步骤 6
步骤 7
运行服务器应用程序: docker run -d -p :8080 -e DEBUG=true –name server
例如amp乐:
$ docker run -d -p 9090:8080 -e DEBUG=true –名称服务器 f87ff30d4c6a
运行客户端应用程序:
docker run -d -p :80 -e CHOKIDAR_USEPOLLING=true -e REACT_APP_API_URL= http://本地主机: – 名称客户端
例如amp乐:
$ docker run -d -p 90:80 -e CHOKIDAR_USEPOLLING=true -e REACT_APP_API_URL=http://localhost:9090 –名称客户端dd50d550aa7c
笔记
确保暴露的服务器端口号和 REACT_APP_API_URL 端口号
是相同的。 步骤 5 和步骤 6 中均使用端口号 9090amp莱斯。
使用 docker ps -a 命令验证服务器和客户端应用程序是否正在运行。 状态列应显示应用程序已启动。
例如amp乐:
步骤 8 步骤 9
笔记
如果您在运行服务器或客户端应用程序时遇到问题,请参阅 Docker 故障排除
错误,第 78 页。
通过输入以下内容验证服务器应用程序是否可访问 URL 采用以下格式:http:// : /api/valaunchpad/api-docs/
例如amp乐:
http://192.0.2.2:9090/api/valaunchpad/api-docs/
用于 Cisco DNA Center VA 的应用程序编程接口 (API) 显示在窗口中。
通过输入以下内容验证客户端应用程序是否可访问 URL 格式如下:
http://<localhost>:<client-port-number>/valaunchpad
例如amp乐:
http://192.0.2.1:90/valaunchpad
将显示 Cisco DNA Center VA Launchpad 登录窗口。
笔记
加载 Cisco DNA Center VA Launchpad 登录窗口可能需要几分钟时间,而
客户端和服务器应用程序加载工件。
AWS 上的 Cisco DNA Center 部署指南 54
使用 Cisco DNA Center VA Launchpad 进行部署
访问托管的 Cisco DNA Center VA Launchpad
访问托管的 Cisco DNA Center VA Launchpad
您可以通过 Cisco DNA 门户访问 Cisco DNA Center VA Launchpad。 如果您是 Cisco DNA Portal 的新用户,则必须创建一个 Cisco 帐户和一个 Cisco DNA Portal 帐户。 然后您可以登录 Cisco DNA Portal 以访问 Cisco DNA Center VA Launchpad。 如果您熟悉 Cisco DNA Portal,并且拥有 Cisco 帐户和 Cisco DNA Portal 帐户,则可以直接登录 Cisco DNA Portal 来访问 Cisco DNA Center VA Launchpad。
创建思科帐户
要通过 Cisco DNA Portal 访问 Cisco DNA Center VA Launchpad,您必须首先创建思科帐户。
程序
步骤 1
在浏览器中输入:dna.cisco.com 将显示 Cisco DNA Portal 登录窗口。
步骤 2 步骤 3
单击创建新帐户。 在 Cisco DNA Portal 欢迎窗口中,单击创建 Cisco 帐户。
AWS 上的 Cisco DNA Center 部署指南 55
创建思科帐户
使用 Cisco DNA Center VA Launchpad 进行部署
步骤 4 在创建帐户窗口中,填写必填字段,然后单击注册。
步骤 5 通过转至您注册帐户所用的电子邮件并单击激活帐户来验证您的帐户。
AWS 上的 Cisco DNA Center 部署指南 56
使用 Cisco DNA Center VA Launchpad 进行部署
创建 Cisco DNA 门户帐户
创建 Cisco DNA 门户帐户
要通过 Cisco DNA Portal 访问 Cisco DNA Center VA Launchpad,您必须创建 Cisco DNA Portal 帐户。
开始之前 确保您拥有 Cisco 帐户。 有关详细信息,请参阅创建思科帐户,第 55 页。
程序
步骤 1
在浏览器中输入:dna.cisco.com 将显示 Cisco DNA Portal 登录窗口。
AWS 上的 Cisco DNA Center 部署指南 57
创建 Cisco DNA 门户帐户
使用 Cisco DNA Center VA Launchpad 进行部署
步骤 2 步骤 3
单击“通过 Cisco 登录”。 在电子邮件字段中输入您的 Cisco 帐户的电子邮件,然后单击下一步。
步骤 4 在密码字段中输入您的 Cisco 帐户的密码。
AWS 上的 Cisco DNA Center 部署指南 58
使用 Cisco DNA Center VA Launchpad 进行部署
创建 Cisco DNA 门户帐户
步骤 5 步骤 6
单击“登录”。
在 Cisco DNA Portal 欢迎窗口中,在为您的帐户命名字段中输入您的组织或团队的名称。然后单击继续。
步骤 7
在 Cisco DNA 门户上确认 CCO Profile 窗口,执行以下操作:
a) 验证详细信息是否正确。 b) 阅读、确认并同意条件后,勾选复选框。 c) 单击创建帐户。
AWS 上的 Cisco DNA Center 部署指南 59
与 Cisco 一起登录 Cisco DNA 门户
使用 Cisco DNA Center VA Launchpad 进行部署
成功创建帐户后,将显示 Cisco DNA Portal 主页。
与 Cisco 一起登录 Cisco DNA 门户
要通过 Cisco DNA Portal 访问 Cisco DNA Center VA Launchpad,您必须登录 Cisco DNA Portal。
AWS 上的 Cisco DNA Center 部署指南 60
使用 Cisco DNA Center VA Launchpad 进行部署
与 Cisco 一起登录 Cisco DNA 门户
开始之前 确保您拥有 Cisco 帐户和 Cisco DNA Portal 帐户。有关详细信息,请参阅创建 Cisco 帐户,第 55 页和创建 Cisco DNA 门户帐户,第 57 页。
程序
步骤 1
在浏览器中输入:dna.cisco.com 将显示 Cisco DNA Portal 登录窗口。
步骤 2 步骤 3
单击“通过 Cisco 登录”。 在电子邮件字段中输入您的 Cisco 帐户的电子邮件,然后单击下一步。
AWS 上的 Cisco DNA Center 部署指南 61
与 Cisco 一起登录 Cisco DNA 门户
使用 Cisco DNA Center VA Launchpad 进行部署
步骤 4 在密码字段中输入您的 Cisco 帐户的密码。
步骤 5 步骤 6
单击登录。如果您只有一个 Cisco DNA Portal 帐户,则会显示 Cisco DNA Portal 主页。
(可选)如果您有多个 Cisco DNA Portal 帐户,请通过单击帐户旁边的继续按钮来选择要登录的帐户。
将显示 Cisco DNA Portal 主页。
AWS 上的 Cisco DNA Center 部署指南 62
使用 Cisco DNA Center VA Launchpad 进行部署
创建新的 VA Pod
创建新的 VA Pod
VA 容器是 Cisco DNA Center VA 的 AWS 托管环境。 托管环境包括 AWS 资源,例如 Cisco DNA Center VA EC2 实例、Amazon Elastic Block Storage (EBS)、备份 NFS 服务器、安全组、路由表、Amazon CloudWatch 日志、Amazon 简单通知系统 (SNS)、VPN 网关 ( VPN GW)、TGW 等。
使用 Cisco DNA Center VA Launchpad,您可以创建多个 VA 容器 - 每个 Cisco DNA Center VA 一个 VA 容器。
笔记
· AWS 超级管理员用户可以设置每个实例中可以创建的 VA Pod 数量限制
地区。 用于 Cisco DNA Center VA Launchpad 之外的资源的 VPC 对此做出了贡献
数也。 对于前amp文件中,如果您的 AWS 账户限制为 XNUMX 个 VPC 并且有 XNUMX 个正在使用,您可以
仅在所选区域中再创建三个 VA Pod。
· 在某些步骤中,必须成功设置所有资源才能继续下一步。 如果所有资源尚未成功设置,则继续按钮将被禁用。 如果所有资源均已成功设置并且“继续”按钮被禁用,请等待几秒钟,因为资源仍在加载中。 所有配置完成后,该按钮即可启用。
此过程将指导您完成创建新 VA 容器的步骤。
开始之前 您的 AWS 账户必须具有管理员访问权限才能执行此过程。 有关信息,请参阅自动部署的先决条件,第 50 页。
AWS 上的 Cisco DNA Center 部署指南 63
创建新的 VA Pod
使用 Cisco DNA Center VA Launchpad 进行部署
程序
步骤 1 步骤 2
使用以下方法之一登录到 Cisco DNA Center VA Launchpad:
· IAM登录:该方法使用用户角色来定义用户访问权限。 如果您的公司需要,Cisco DNA Center VA Launchpad 支持多重身份验证 (MFA) 作为可选的附加身份验证形式。 有关详细信息,请参阅《Cisco DNA Center VA Launchpad 1.5 管理员指南》中的“使用 IAM 登录 Cisco DNA Center VA Launchpad”。
· 联合登录:此方法使用一个身份来访问由其他运营商管理的网络或应用程序。 有关更多信息,请参阅《Cisco DNA Center VA Launchpad 2 管理员指南》中的“使用 saml1.5aws 生成联合用户凭证”或“使用 AWS CLI 生成联合用户凭证”。
有关如何获取访问密钥 ID 和秘密访问密钥的信息,请参阅 AWS 上的 AWS Tools for PowerShell 用户指南中的 AWS 账户和访问密钥主题。 web地点。
如果您遇到任何登录错误,您需要解决这些错误并重新登录。 有关详细信息,请参阅排除部署故障,第 78 页。
如果您是首次登录的管理员用户,请在电子邮件 ID 字段中输入您的电子邮件地址,然后单击提交。 如果您是子用户,请继续执行步骤 3。
您可以订阅 Amazon 简单通知系统 (SNS) 以接收有关已部署资源、更改和资源过度利用的警报。 此外,还可以设置警报,以便在 Amazon CloudWatch 在 Cisco DNA Center VA Launchpad 中检测到任何异常行为时通知您。 此外,AWS Config 还会评估您配置的资源并发送结果的审核日志。 有关更多信息,请参阅“订阅 Amazon SNS 电子邮件订阅”和“View 《Cisco DNA Center VA Launchpad 1.5 管理员指南》中的“Amazon CloudWatch 警报”。 输入电子邮件后,会发生几个过程:
· CiscoDNACenter 用户组是在您的 AWS 账户中创建的,并附加了所有必需的策略。 管理员用户可以将子用户添加到该组,以允许子用户登录到 Cisco DNA Center VA Launchpad。
· 将自动创建 Amazon S3 存储桶来存储部署状态。 我们建议您不要从 AWS 账户中删除此存储桶或任何其他存储桶,无论是全局还是每个区域。 这样做可能会影响 Cisco DNA Center VA Launchpad 部署工作流程。
· 如果您是首次登录某个区域,Cisco DNA Center VA Launchpad 会在 AWS 中创建多个资源。 此过程可能需要一些时间,具体取决于该区域之前是否是
AWS 上的 Cisco DNA Center 部署指南 64
使用 Cisco DNA Center VA Launchpad 进行部署
创建新的 VA Pod
启用与否。 在该过程完成之前,您无法创建新的 VA Pod。 在此期间,会显示以下消息:“正在设置初始区域配置。 这可能需要几分钟。”
成功登录后,将显示仪表板窗格。
笔记
如果系统提示更新区域版本,请按照提示完成更新。 为了
更多信息,请参阅 Cisco DNA Center VA Launchpad 1.5 中的“更新区域级别”
管理员指南。
步骤 3
步骤 4 步骤 5
(可选)要在默认区域 (us-east-1) 以外的区域中创建新的 VA Pod,请单击区域下拉列表并选择一个区域。
笔记
如果系统提示更新区域版本,请按照提示完成更新。 为了
更多信息,请参阅 Cisco DNA Center VA Launchpad 1.5 中的“更新区域级别”
管理员指南。
单击 + 创建新的 VA Pod。 通过完成以下步骤来配置 AWS 基础设施,其中包括 VPC、私有子网、路由表、安全组、虚拟网关和 CGW: a) 在环境详细信息字段中,配置以下字段:
· VA Pod 名称:为新 VA Pod 指定名称。 该名称在所有区域中必须是唯一的,并且可以包含字母(AZ 和 az)、数字 (0-9) 和短划线 (-)。
· 可用区:单击此下拉列表并选择一个可用区,该可用区是您所选区域内的隔离位置。
· AWS VPC CIDR:输入用于启动 AWS 资源的唯一 VPC 子网。 请记住以下准则:
· 建议的 CIDR 范围为 /25。
· 在 IPv4 CIDR 表示法中,IP 地址的最后一个八位字节(第四个八位字节)只能具有值 0 或 128。
AWS 上的 Cisco DNA Center 部署指南 65
创建新的 VA Pod
使用 Cisco DNA Center VA Launchpad 进行部署
· 该子网不应与您的公司子网重叠。
b) 在传输网关 (TGW) 下,选择以下选项之一:
· VPN GW:如果您有单个 VA Pod,并且想要使用 VPN 网关,请选择此选项。 VPN GW 是站点到站点 VPN 连接的 Amazon 端的 VPN 终端节点。 它只能附加到单个 VPC。
· 新建 VPN GW + 新建 TGW:如果您有多个 VA Pod 或 VPC,并且希望使用 TGW 作为中转枢纽来互连多个 VPC 和本地网络,请选择此选项。 它还可以用作站点到站点 VPN 连接的 Amazon 端的 VPN 端点。
笔记
每个区域只能创建一个 TGW。
· 现有 TGW:如果您有要用于创建新 VA Pod 的现有 TGW,请选择此选项,然后选择以下选项之一:
· 新 VPN GW:如果您想为现有 TGW 创建新 VPN 网关,请选择此选项。
· 现有附件:如果您想使用现有的 VPN 或直接连接附件,请选择此选项。 从选择附件 ID 下拉列表中,选择附件 ID。
如果选择此选项,还必须在现有的 TGW 和 CGW 上配置路由。 有关信息,请参阅在现有中转网关和客户网关上手动配置路由,第 72 页。
c) 执行以下操作之一:
· 如果您选择现有 TGW 和现有附件作为首选连接选项,请继续执行步骤 5。
· 如果您选择 VPN GW、新 VPN GW + 新 TGW 或现有 TGW + 新 VPN GW,请提供以下 VPN 详细信息:
· 客户网关 IP:输入企业防火墙或路由器的 IP 地址,以与 AWS VPN 网关形成 IPsec 隧道。
· VPN 供应商:从下拉列表中选择 VPN 供应商。
不支持以下 VPN 供应商:Barracuda、Sophos、Vyatta 和 Zyxel。 有关更多信息,请参阅排除 VA Pod 配置错误,第 80 页。
· 平台:从下拉列表中选择一个平台。
· 软件:从下拉列表中选择一个软件。
d) 对于客户专业人士file 大小,保留默认的“中”设置。
客户亲file 大小适用于 Cisco DNA Center VA 实例和备份实例。 Medium 配置实例如下:
· Cisco DNA Center 实例:r5a.8xlarge、32 个 vCPU、256 GB RAM 和 4 TB 存储。
AWS 上的 Cisco DNA Center 部署指南 66
使用 Cisco DNA Center VA Launchpad 进行部署
创建新的 VA Pod
重要的
Cisco DNA Center 仅支持 r5a.8xlarge 实例大小。 不支持对此配置进行任何更改。 此外,特定可用区不支持 r5a.8xlarge 实例大小。 到 view 有关不支持的可用性区域的列表,请参阅 Cisco DNA Center VA Launchpad 1.5.0 版本说明。
· 备份实例:T3.micro、2 个 vCPU、500 GB 存储和 1 GB RAM
e) 对于备份目标,选择以下选项之一作为 Cisco DNA Center 数据库的备份目标,并 files: · 企业备份 (NFS):如果您希望将备份存储在本地服务器中,请选择此选项。
· 云备份 (NFS):如果您希望将备份存储在 AWS 中,请选择此选项。 请注意以下备份详细信息。 稍后您将使用此信息登录云备份服务器: · SSH IP 地址:
· SSH 端口:22
· 服务器路径:/var/dnac-backup/
· 用户名:磁悬浮
· 密码:maglev1@3
· 密码:maglev1@
· 开放端口:22、2049、873、111
f) 单击下一步。 将显示“摘要”窗格。
AWS 上的 Cisco DNA Center 部署指南 67
创建新的 VA Pod
使用 Cisco DNA Center VA Launchpad 进行部署
g) 回复view 您输入的环境和 VPN 详细信息。 如果您满意,请单击开始配置 AWS 环境。 重要提示 此设置大约需要 20 分钟才能完成。 不要退出应用程序或关闭此窗口或选项卡。 否则,安装将暂停。
h) 成功配置 AWS 基础设施后,将显示“AWS 基础设施已配置”窗格。
AWS 上的 Cisco DNA Center 部署指南 68
使用 Cisco DNA Center VA Launchpad 进行部署
创建新的 VA Pod
如果 AWS 基础设施配置失败,请退出 Cisco DNA Center VA Launchpad 并参阅第 78 页的部署故障排除,了解有关可能原因和解决方案的信息。
步骤 6
下载本地配置 file 通过完成以下步骤: a) 成功配置 AWS 基础设施后,单击继续本地配置。 b) 在配置本地部署窗格中,单击下载配置 File。 转发这个 file 你的
网络管理员配置本地端 IPsec 隧道。
确保您的网络管理员仅配置一条 IPsec 隧道。
AWS 上的 Cisco DNA Center 部署指南 69
创建新的 VA Pod
使用 Cisco DNA Center VA Launchpad 进行部署
笔记
· 网络管理员可以对此配置进行必要的更改 file
并将其应用到您的企业防火墙或路由器以启动 IPsec 隧道。
提供的配置 file 使您能够在 AWS 和企业路由器或防火墙之间建立两条隧道。
· 大多数虚拟专用网关解决方案都有一个隧道向上,另一个隧道向下。 您可以同时启用两条隧道并使用等价多路径 (ECMP) 网络功能。 ECMP 处理使防火墙或路由器能够使用等价路由将流量传输到同一目的地。 为此,您的路由器或防火墙必须支持 ECMP。 如果没有 ECMP,我们建议您关闭一条隧道并手动进行故障转移,或者使用 IP SLA 等解决方案在故障转移场景中自动打开隧道。
步骤 7
c) 单击继续进行网络连接检查按钮。
通过完成以下操作之一,根据您在 AWS 基础设施配置期间选择的本地连接首选项检查网络配置的状态:
· 如果您选择 VPN GW 作为首选本地连接选项,则会显示 IPsec 隧道配置状态,如下所示:
· 如果网络管理员尚未配置IPsec隧道,IPsec隧道上会显示挂锁:
· 请网络管理员验证企业防火墙或路由器上的 IPsec 隧道是否已启动。 IPsec 隧道建立后,IPsec 隧道变为绿色:
AWS 上的 Cisco DNA Center 部署指南 70
使用 Cisco DNA Center VA Launchpad 进行部署
创建新的 VA Pod
· 如果您选择新 VPN GW + 新 TGW 或现有 TGW 和新 VPN GW 作为首选本地连接选项,Cisco DNA Center VA Launchpad 会检查您的 VPC 是否连接到 TGW,而 TGW 又连接到您的本地连接。场所防火墙或路由器。
笔记
为了使 TGW 到企业防火墙或路由器连接成功,您的网络
管理员必须将配置添加到您的本地防火墙或路由器。
显示连接状态,如下:
· 如果从 TGW 到本地防火墙或路由器的连接尚未连接,则会显示为灰色:
· TGW连接成功建立后,TGW连接为绿色:
· 如果您选择现有 TGW 和现有附件作为首选本地连接选项,请确保在现有 TGW 和启动 Cisco DNA Center 的新连接 VPC 之间配置路由。 有关信息,请参阅在现有中转网关和客户网关上手动配置路由,第 72 页。连接状态将显示如下: · 如果您的 VPC 未连接到 TGW,则 TGW 连接将呈灰色显示:
AWS 上的 Cisco DNA Center 部署指南 71
在现有中转和客户网关上手动配置路由
使用 Cisco DNA Center VA Launchpad 进行部署
· TGW连接成功建立后,TGW连接为绿色:
步骤 8
单击转到仪表板返回到仪表板窗格,您可以在其中创建更多 VA 容器并管理现有容器。
在现有中转和客户网关上手动配置路由
如果您在创建新 VA 容器时选择现有中转网关和现有附件作为首选连接选项,Cisco DNA Center VA Launchpad 将创建一个 VPC 来启动 Cisco DNA Center,并将该 VPC 附加到您的现有 TGW。 要使 Cisco DNA Center VA Launchpad 建立 TGW 连接,您必须在 AWS 上手动配置 TGW 路由表并将路由配置添加到现有 CGW。
程序
步骤 1 从 AWS 控制台,转到 VPC 服务。
AWS 上的 Cisco DNA Center 部署指南 72
使用 Cisco DNA Center VA Launchpad 进行部署
在现有中转和客户网关上手动配置路由
步骤 2 步骤 3
在左侧导航窗格中的 Transit Gateways 下,选择 Transit gateway 路由表,然后选择现有的 TGW 路由表。
在中转网关路由表窗口中,单击关联选项卡,然后单击创建关联。
步骤 4 在 Transit gateway 路由表窗口中,单击传播选项卡,然后单击创建传播。
步骤 5 步骤 6
要确保相应 VPC 和 VPN 之间的静态路由处于活动状态,请单击“路由”选项卡,然后单击“创建静态路由”。 确保您的本地路由器配置已更新,以路由发往分配给 AWS 环境中的 CGW 的 CIDR 范围的网络流量。
例如ample:路由隧道-int-vpn-0b57b508d80a07291-1 10.0.0.0 255.255.0.0 192.168.44.37 200
AWS 上的 Cisco DNA Center 部署指南 73
创建新的 Cisco DNA Center VA
使用 Cisco DNA Center VA Launchpad 进行部署
创建新的 Cisco DNA Center VA
使用此程序配置新的 Cisco DNA Center VA。 程序
步骤 1
在仪表板窗格中,找到 VA 容器之一,然后在 VA 容器卡中单击创建/管理 Cisco DNA Center。
步骤 2 在创建/管理 Cisco DNA Center 窗格中,单击 + 创建新的 Cisco DNA Center。
步骤 3
输入以下详细信息:
· Cisco DNA Center 版本:从下拉列表中选择 Cisco DNA Center 版本。
· 企业 DNS:输入企业 DNS 的 IP 地址。 确保可从您在其中创建 Cisco DNA Center VA 的 VA 容器访问企业 DNS。
笔记
Cisco DNA Center VA Launchpad 使用 UDP 检查本地网络连接
端口 53 为您输入的 DNS 服务器 IP 地址。
· FQDN(完全限定域名):输入 DNS 服务器上配置的 Cisco DNA Center VA 的 IP 地址。
AWS 上的 Cisco DNA Center 部署指南 74
使用 Cisco DNA Center VA Launchpad 进行部署
创建新的 Cisco DNA Center VA
· 代理详细信息:选择以下 HTTPS 网络代理选项之一: · 无代理:不使用代理服务器。 · 未验证:代理服务器不需要验证。 输入 URL 以及代理服务器的端口号。 · 代理验证:代理服务器需要验证。 输入 URL、代理服务器的端口号、用户名和密码详细信息。
· Cisco DNA Center 虚拟设备凭证:输入用于登录 Cisco DNA Center VA 的 CLI 密码。 密码必须: · 省略任何制表符或换行符 · 至少包含八个字符 · 包含至少以下类别中的三个字符: · 小写字母 (az) · 大写字母 (AZ) · 数字 (0-9) ·特殊字符(例如amp勒,! 或者 #)
保存此密码以供将来参考。
笔记
用户名是磁悬浮。
步骤 4
单击“验证”以验证企业 DNS 服务器和 DNS 服务器上配置的 FQDN。
笔记
在 Cisco DNA Center VA Launchpad 版本 1.5.0 中,如果 DNS 服务器、代理服务器或 FQDN
检查失败,请继续您的配置,如下所示:
· 如果 DNS 服务器验证失败,您将无法继续创建 Cisco DNA Center VA。 确保输入的 DNS 服务器 IP 地址可从 VA 容器访问。
· 如果代理服务器验证失败,您仍然可以继续配置,因为即使无效的代理详细信息未修复,Cisco DNA Center VA 仍可以工作。
· 如果 FQDN 验证失败,您仍然可以继续创建 Cisco DNA Center VA。 但是,为了使 Cisco DNA Center VA 正常工作,您需要修复 FQDN 配置。
步骤 5 步骤 6 步骤 7
Review 配置细节。
如果您对配置感到满意,请单击开始 Cisco DNA Center 配置。 在下载 PEM 密钥中 File 对话框中,单击“下载 PEM 密钥”。 如果单击“取消”,您将返回到“摘要”窗口。
重要事项 由于 PEM 密钥未存储在您的 AWS 账户中,因此您需要下载它。 您需要 PEM 密钥才能访问正在创建的 Cisco DNA Center VA。
AWS 上的 Cisco DNA Center 部署指南 75
创建新的 Cisco DNA Center VA
使用 Cisco DNA Center VA Launchpad 进行部署
下载 PEM 后 file,对话框关闭,Cisco DNA Center VA Launchpad 开始配置 Cisco DNA Center 环境。
配置环境后,Cisco DNA Center 将启动。 最初,Cisco DNA Center VA Launchpad 将外环显示为灰色。 当端口 2222 验证时,图像变为琥珀色。 当端口 443 有效时,图像变为绿色。
AWS 上的 Cisco DNA Center 部署指南 76
使用 Cisco DNA Center VA Launchpad 进行部署
创建新的 Cisco DNA Center VA
笔记
此过程需要 45-60 分钟。 不要退出应用程序或关闭此窗口或选项卡。
否则,安装将暂停。
Cisco DNA Center 启动完成后,配置完成。 你现在可以 view 您的 Cisco DNA Center VA 详细信息。
如果 Cisco DNA Center 配置失败,请退出到创建/管理 Cisco DNA Center 窗格。 有关信息,请参阅排除部署故障,第 78 页
AWS 上的 Cisco DNA Center 部署指南 77
排除部署故障
使用 Cisco DNA Center VA Launchpad 进行部署
步骤 8 要返回创建/管理 Cisco DNA Center 窗格,请单击转至管理 Cisco DNA Center。
排除部署故障
Cisco DNA Center VA Launchpad 旨在帮助您以最少的干预在 AWS 上无缝配置 Cisco DNA Center。 本部分向您介绍如何解决在 AWS 上部署 Cisco DNA Center 期间的常见问题。
注 我们建议不要通过 AWS 控制台使用 Cisco DNA Center VA Launchpad 进行手动更改,因为这可能会导致 Cisco DNA Center VA Launchpad 无法解决的问题。
如果您有本节未解决的任何问题,请联系思科 TAC。
排除 Docker 错误
如果在运行 Cisco DNA Center VA Launchpad 的 docker 映像时显示错误“端口已在使用中”,您可以使用以下可能的解决方案进行故障排除:
AWS 上的 Cisco DNA Center 部署指南 78
使用 Cisco DNA Center VA Launchpad 进行部署
解决登录错误
错误
可能的解决方案
如果您在 Docker 上收到以下错误,请运行服务器应用程序:
运行服务器应用程序:
docker运行-d-p :8080-e
端口已被使用
秘密密钥= –名称服务器 –pull=始终
dockerhub.cisco.com/maglev-docker/server:xxx-latest
笔记
您可以使用任何可用的服务器端口。
在运行服务器应用程序的同时,运行客户端应用程序:
docker run -d -p 90:80 -e REACT_APP_API_URL= http://本地主机: –名称客户端 –pull=始终 dockerhub.cisco.com/maglevdocker/client:xxx
笔记
您必须使用与运行服务器应用程序相同的端口号。
如果您在 Docker 上收到以下错误,请运行客户端应用程序:
运行客户端应用程序:
docker运行-d-p :80 –名称客户端 –pull=always
端口已被使用
dockerhub.cisco.com/maglev-docker/client:xxx
笔记
您可以使用任何可用的服务器端口。
解决登录错误
当您登录 Cisco DNA Center VA Launchpad 时,您可能会遇到登录错误。 您可以使用以下可能的解决方案来解决常见的登录错误:
错误凭据无效。
可能的解决方案重新输入您的凭据并检查输入是否正确。
您没有足够的访问权限。 对于管理员用户,请验证您的帐户是否具有管理员访问权限。 对于子用户,请验证您的管理员是否将您添加到 CiscoDNACenter 用户组。
删除操作正在进行中,请稍后重试。
如果管理员用户删除了-cisco-dna-center 全局存储桶来自您的 AWS 账户,然后尝试登录,可能会发生此登录错误。 等待 5 分钟以完成删除。
对托管 Cisco DNA Center VA 启动板错误进行故障排除
在托管的 Cisco DNA Center VA Launchpad 上,当您触发根本原因分析 (RCA) 时,可能会出现速率超出错误。 如果发生此错误,则会显示以下横幅:
AWS 上的 Cisco DNA Center 部署指南 79
解决区域问题
使用 Cisco DNA Center VA Launchpad 进行部署
当某个区域收到最大数量的 API 请求(每秒 10,000 个)时,会显示此错误横幅。 要解决此问题,请使用 Service Quotas 服务增加 AWS 中的限制,或在几秒钟后重试该操作。
解决区域问题
您可以使用以下可能的解决方案来解决区域问题:
问题
可能的解决方案
在新的 VA Pod 中创建新的 VA Pod 时,请确保 AWS 控制台上的任何手动过程已成功完成,然后尝试
弗吉尼亚州 Cisco DNA 中心地区
又到了这一步。 如果问题仍然存在,请联系思科 TAC。
Launchpad 显示错误消息或屏幕冻结超过 5 秒
笔记
分钟并且不显示
配置进行中消息。
为了避免此类冲突,我们建议您不要对 VA Pod 进行任何手动更改。 相反,请使用 Cisco DNA Center VA Launchpad 执行所有操作。
您的区域设置失败,Cisco DNA 向 AWS 提出案例,并要求他们从后端删除失败的资源。 Center VA Launchpad 显示 Bucket [name] 未稳定错误,类似于以下内容:
排除 VA Pod 配置错误
您可以使用以下可能的解决方案来排除 VA Pod 配置错误:
AWS 上的 Cisco DNA Center 部署指南 80
使用 Cisco DNA Center VA Launchpad 进行部署
排除 VA Pod 配置错误
错误 + 创建 VA Pod 按钮已禁用
可能的解决方案
将光标悬停在禁用按钮上可了解有关其禁用原因的更多信息。
以下是您无法创建新 VA Pod 的可能原因:
· 您已达到 VPC 服务配额限制:对于每个区域,您的 AWS 管理员都会设置可以创建的 VPC 数量的限制。 通常,每个区域有 5 个 VPC,每个 VPC 只能有一个 VA Pod。 但是,您可能需要联系您的 AWS 管理员以获取确切的号码。
请注意,用于 Cisco DNA Center VA Launchpad 之外的资源的任何 VPC 都会导致此限制。 对于前amp根据文件,如果您的 AWS 账户限制为 XNUMX 个 VPC,并且有 XNUMX 个 VPC 正在使用中,则您只能在所选区域再创建 XNUMX 个 VA Pod。
要创建新的 VA Pod,请要求您的 AWS 管理员更改限制或删除 AWS 账户上的一些现有 VA Pod 或 VPC。
· Pod 删除正在进行中:正在删除该区域中最后一个 VA Pod。 等待几分钟,然后重试创建新的 VA Pod。
您的账户无法使用该区域的 AMI ID。
当您单击 + 创建新 VA Pod 时,Cisco DNA Center VA Launchpad 将验证您所选区域的 AMI ID。
如果遇到此错误,则验证失败,并且您无法在此区域中创建新的 Pod。 请联系思科 TAC 以帮助您解决问题。
您的 VPN 配置无效。 配置 VA Pod 时,不支持以下 VPN 供应商:
在此步骤您无法更新它,因此请删除该实例并创建
·梭鱼
一个新的。
· 索福斯
· 维亚塔
· 合勤科技
如果您使用的 VPN 供应商不受支持,Cisco DNA Center VA Launchpad 将显示以下错误消息:
CustomerGateway 类型
如果您尝试一次创建多个 VA Pod,则可能会遇到此错误。
“ipsec.1”、ip 地址“xx.xx.xx.xx”和 bgp-asn“65000”已存在(RequestToken:
要解决此错误,请删除失败的 VA Pod 并重新创建它。 确保一次仅创建一个 VA Pod。
f78ad45d-b4f8-d02b-9040-f29e5f5f86cf,
处理程序错误代码:已经存在)
AWS 基础设施失败。
如果 AWS 配置失败,请返回仪表板窗格并创建新的 VA Pod。 有关更多信息,请参阅创建新的 VA Pod,第 63 页。
笔记
您可以删除配置失败的 VA Pod。
AWS 上的 Cisco DNA Center 部署指南 81
排除网络连接错误
使用 Cisco DNA Center VA Launchpad 进行部署
错误
编辑 VA Pod 时 AWS 配置失败
可能的解决方案
确保 AWS 控制台上的所有手动过程均已成功完成,然后重试此步骤。 如果问题仍然存在,请联系思科 TAC。
笔记
为了避免此类冲突,我们建议您不要制作任何手册
VA 吊舱的变化。 相反,请使用 Cisco DNA Center VA Launchpad
针对所有操作。
删除 VA Pod 失败
确保 AWS 控制台上的所有手动过程均已成功完成,然后重试此步骤。 如果问题仍然存在,请联系思科 TAC。
笔记
为了避免此类冲突,我们建议您不要制作任何手册
VA 吊舱的变化。 相反,请使用 Cisco DNA Center VA Launchpad
针对所有操作。
您尝试删除的资源 如果您在删除 VA 容器时遇到此错误,请联系思科 TAC。 最近已修改。 请刷新页面以获取最新更改并重试。
排除网络连接错误
创建 VA Pod 时,如果未建立 IPsec 隧道或 TGW 连接,请确保隧道在本地防火墙或路由器上已启动。
如果从 VA 容器到 TWG 的隧道为绿色,从 TWG 到 CGW 的隧道为灰色,请确保:
· 您转发的配置正确 file 给您的网络管理员。 · 您的网络管理员对配置进行了必要的更改 file。 · 您的网络管理员已完成将此配置应用到您的企业防火墙或路由器。 · 如果您选择现有 TGW 和现有附件作为网络连接首选项,请进行
确保您正确遵循在现有传输和客户网关上手动配置路由(第 72 页)的操作。
AWS 上的 Cisco DNA Center 部署指南 82
使用 Cisco DNA Center VA Launchpad 进行部署
排除 Cisco DNA Center VA 配置错误
排除 Cisco DNA Center VA 配置错误
您可以使用以下可能的解决方案对配置 Cisco DNA Center VA 时发生的错误进行故障排除:
错误 环境设置失败
可能的解决方案 1. 在 Cisco DNA Center VA Launchpad 上,返回创建/管理 Cisco DNA Center
窗格。
2. 删除 Cisco DNA Center VA。
3. 创建新的 Cisco DNA Center VA。
删除失败
如果 Cisco DNA Center VA 删除失败,请联系思科 TAC。
排除并发错误
您可以使用以下可能的解决方案来排除并发错误:
错误
可能的解决方案
无法删除容器 您无法删除其他用户创建的组件,例如 VA 容器或 Cisco DNA Center VA
或 Cisco DNA 中心,同时对组件执行不同的操作。 操作完成后,您或任何其他人
其他用户创建的组件可以删除。
用户。
例如amp文件中,您无法删除处于以下任一状态的 VA 容器或 Cisco DNA Center VA
进程或状态:
· 另一个用户正在创建 Cisco DNA Center VA。
· 另一个用户正在删除 Cisco DNA Center VA。
· 尝试删除后,Cisco DNA Center VA 处于失败状态。
Pod 的状态有 如果您尝试删除 VA pod,则创建 VA pod 的原始用户帐户最近可能已更改。并发动作。此并发问题会更改所选 VA Pod 的状态。
到 view VA Pod 的更新状态,单击“刷新”。
解决其他部署问题
您可以使用以下可能的解决方案对在 AWS 上部署 Cisco DNA Center VA 时出现的其他问题进行故障排除:
AWS 上的 Cisco DNA Center 部署指南 83
解决其他部署问题
使用 Cisco DNA Center VA Launchpad 进行部署
问题
可能的原因和解决方案
资源是绿色的,但在某些步骤中,只有所有资源都已成功设置后才能继续。 确保禁用“继续”按钮。 部署的完整性,“继续”按钮保持禁用状态,直到设置完成
所有资源均已配置并加载。
有时,屏幕显示资源已成功设置,但“继续”按钮仍处于禁用状态。 在这种情况下,您需要再等待几秒钟才能加载某些资源。 配置并加载所有资源后,将启用“继续”按钮。
在单个区域中部署具有相同 CGW 的多个 VA Pod 时失败。
请确保: · CGW IP 地址是您的企业防火墙或路由器的 IP 地址。 · CGW IP地址是有效的公网地址。
· CGW IP 地址尚未用于同一区域内的其他 VA Pod。 目前,在每个区域中,多个 VA Pod 不能具有相同的 CGW IP 地址。 要为多个 VA Pod 使用相同的 CGW IP 地址,请将每个 VA Pod 部署在不同的区域中。
无法通过 SSH 或 ping Cisco DNA Center VA。
会议结束
尽管隧道已启动并且应用程序状态已完成(绿色),但您无法通过 SSH 连接或 ping Cisco DNA Center VA。 如果本地 CGW 配置不正确,可能会出现此问题。 验证 CGW 配置并重试。
如果您的会话在操作正在进行时超时(例如触发 RCA),则操作可能会突然结束并显示以下通知:
如果您的会话超时,请重新登录并重新启动操作。
AWS 上的 Cisco DNA Center 部署指南 84
IIPART
使用 AWS CloudFormation 进行部署
· 使用 AWS CloudFormation 在 AWS 上部署 Cisco DNA Center 2.3.5.3,第 87 页
第一章
使用 AWS CloudFormation 在 AWS 上部署 Cisco DNA Center 2.3.5.3
· 使用 AWS CloudFormation 在 AWS 上手动部署 Cisco DNA Center,第 87 页 · 使用 AWS CloudFormation 工作流程手动部署,第 87 页 · 使用 AWS CloudFormation 手动部署的先决条件,第 88 页 · 使用 AWS CloudFormation 在 AWS 上手动部署 Cisco DNA Center,第 93 页第 98 页 · 验证部署,第 XNUMX 页
使用 AWS CloudFormation 在 AWS 上手动部署 Cisco DNA Center
如果您熟悉 AWS 管理,您可以选择使用 AWS CloudFormation 在您的 AWS 账户上手动部署 Cisco DNA Center AMI。 使用此方法,您需要创建 AWS 基础设施、建立 VPN 隧道并部署 Cisco DNA Center。
使用 AWS CloudFormation 工作流程进行手动部署
要使用此方法在 AWS 上部署 Cisco DNA Center,请遵循以下高级步骤: 1. 满足先决条件。 请参阅使用 AWS CloudFormation 手动部署的先决条件,第 页
88. 2. (可选)将 AWS 上的思科 ISE 与您的 Cisco DNA Center VA 集成在一起。请参阅指南
将 AWS 上的 Cisco ISE 与 AWS 上的 Cisco DNA Center 集成,第 4 页。 3. 使用 AWS CloudFormation 在 AWS 上部署 Cisco DNA Center。 请参阅在以下位置部署 Cisco DNA Center
AWS 手动使用 AWS CloudFormation,第 93 页。 4. 确保您的环境设置和 Cisco DNA Center VA 配置已正确安装
并按预期工作。 请参阅验证部署,第 98 页。
AWS 上的 Cisco DNA Center 部署指南 87
使用 AWS CloudFormation 手动部署的先决条件
使用 AWS CloudFormation 进行部署
使用 AWS CloudFormation 手动部署的先决条件
在开始在 AWS 上部署 Cisco DNA Center 之前,请确保满足以下网络、AWS 和 Cisco DNA Center 要求:
网络环境 您必须掌握有关网络环境的以下信息:
· 企业 DNS 服务器 IP 地址 · (可选)HTTPS 网络代理详细信息
AWS 环境 您必须满足以下 AWS 环境要求:
· 您拥有访问您的 AWS 账户的有效凭证。
注 我们建议您的 AWS 账户为子账户(子账户),以保持资源独立性和隔离性。 子账户可确保 Cisco DNA Center 部署不会影响您的现有资源。
· 重要提示:您的 AWS 账户已订阅 AWS Marketplace 中的 Cisco DNA Center 虚拟设备 – 自带许可证 (BYOL)。
· 您必须拥有您的 AWS 账户的管理员访问权限。 (在 AWS 中,策略名称显示为 AdministratorAccess。)
· 必须在 AWS 中设置以下资源和服务:
AWS 上的 Cisco DNA Center 部署指南 88
使用 AWS CloudFormation 进行部署
使用 AWS CloudFormation 手动部署的先决条件
· VPC:推荐CIDR范围为/25。 在 IPv4 CIDR 表示法中,IP 地址的最后一个八位字节(第四个八位字节)只能具有值 0 或 128。例如ample: xxx0 或 xxx128。
· 子网:建议的子网范围是/28,并且不应与您的公司子网重叠。
· 路由表:确保您的 VPC 子网允许通过 VPN GW 或 TGW 与您的企业网络进行通信。
· 安全组:为了在 AWS 上的 Cisco DNA Center VA 与企业网络中的设备之间进行通信,附加到 AWS 上的 Cisco DNA Center VA 的 AWS 安全组必须允许以下端口:
· TCP 22、80、443、9991、25103、32626
· UDP 123、162、514、6007、21730
您还必须配置入站和出站端口。 配置入站端口,参考下图:
配置出端口,参考下图:
AWS 上的 Cisco DNA Center 部署指南 89
使用 AWS CloudFormation 手动部署的先决条件
使用 AWS CloudFormation 进行部署
端口 — TCP 22、80、443
UDP的123
下表列出了有关 Cisco DNA Center 使用的端口、通过这些端口进行通信的服务、设备使用这些端口的目的以及建议的操作的信息。
服务名称 ICMP
目的
设备使用 ICMP 消息来传达网络连接问题。
建议的操作 启用 ICMP。
HTTPS、SFTP、HTTP
从 Cisco 下载软件映像 确保防火墙规则限制
DNA Center 通过 HTTPS:443,主机或网络的源 IP
SFTP:22,HTTP:80。
允许访问 Cisco DNA 的设备
在这些端口上从 Cisco DNA Center 下载证书。
中心通过 HTTPS:443, HTTP:80 注意
我们不建议
(思科 9800 无线控制器,PnP),
使用 HTTP 80。 使用
传感器/遥测。
HTTPS 443 无论何处
笔记
如果不这样做,请阻止端口 80
可能的。
使用即插即用 (PnP),
软件图片
管理(SWIM),
嵌入式事件
管理(EEM),
设备注册,或
思科 9800 无线
控制器。
网络时间协议 (NTP)
设备使用 NTP 获取时间
端口必须打开才能允许设备
同步。
同步时间。
AWS 上的 Cisco DNA Center 部署指南 90
使用 AWS CloudFormation 进行部署
使用 AWS CloudFormation 手动部署的先决条件
端口 UDP 162 UDP 514 UDP 6007 TCP 9991
UDP 21730 TCP 25103
TCP 32626
服务名称 SNMP
目的
Cisco DNA Center 从设备接收 SNMP 网络遥测数据。
建议操作
必须打开端口以进行基于 SNMP 的数据分析。
系统日志
Cisco DNA Center 接收系统日志 端口必须打开以进行数据分析
来自设备的消息。
基于系统日志。
网络流
Cisco DNA Center 收到 NetFlow 端口必须打开才能进行数据分析的信息
来自设备的网络遥测。
基于网络流。
广域 Bonjour 服务
Cisco DNA 中心接收多播 如果 Bonjour 应用程序来自安装的服务发现网关,则 Cisco DNA 域名系统 (mDNS) 流量中心上的端口必须打开。 使用 Bonjour 控制协议的 (SDG) 代理。
应用程序可见性 应用程序可见性服务 CBAR 端口必须在 CBAR 开启时打开
服务
设备通信。
在网络设备上启用。
Cisco 9800 无线 用于遥测。 启用流遥测的控制器和 Cisco Catalyst 9000 交换机
必须打开端口才能进行 Cisco DNA Center 和 Catalyst 9000 设备之间的遥测连接。
智能捕获 (gRPC) 收集器
用于接收流量统计数据,如果您使用 Cisco DNA Assurance 智能 DNA 保证智能捕获 (gRPC) 功能使用的数据包捕获数据,则端口必须打开。 (gRPC) 功能。
· VPN 网关 (VPN GW) 或传输网关 (TGW):您必须具有到企业网络的现有连接,即您的客户网关 (CGW)。
对于从 CGW 到 AWS 的现有连接,请确保打开正确的端口以供进出 Cisco DNA Center VA 的流量使用,无论您是使用防火墙设置还是代理网关打开这些端口。 有关设备使用的众所周知的网络服务端口的更多信息,请参阅《Cisco DNA Center 第一代设备安装指南》2.3.5 版“规划部署”一章中的“所需网络端口”。
· 站点到站点 VPN 连接:您可以使用 TGW 附件和 TGW 路由表。
· 您的 AWS 环境必须配置以下区域之一: · ap-northeast-1(东京) · ap-northeast-2(首尔) · ap-south-1(孟买) · ap-southeast-1(新加坡) · ap-southeast-2(悉尼) · ca-central-1(加拿大)
AWS 上的 Cisco DNA Center 部署指南 91
使用 AWS CloudFormation 手动部署的先决条件
使用 AWS CloudFormation 进行部署
· eu-central-1(法兰克福) · eu-south-1(米兰) · eu-west-1(爱尔兰) · eu-west-2(伦敦) · eu-west-3(巴黎) · us-east- 1(弗吉尼亚州)· us-east-2(俄亥俄州)· us-west-1(加利福尼亚北部)· us-west-2(俄勒冈州)
· 如果您希望多个 IAM 用户能够使用相同的环境设置配置 Cisco DNA Center,则需要使用以下策略创建一个组,然后将所需的用户添加到该组: · IAMReadOnlyAccess · AmazonEC2FullAccess · AWSCloudFormationFullAccess
· Cisco DNA Center 实例大小必须满足以下最低资源要求: · r5a.8xlarge
重要的
Cisco DNA Center 仅支持 r5a.8xlarge 实例大小。 不支持对此配置进行任何更改。 此外,特定可用区不支持 r5a.8xlarge 实例大小。 到 view 有关不支持的可用区列表,请参阅 Cisco DNA Center VA Launchpad 版本说明。
· 32 个 vCPU · 256 GB RAM · 4 TB 存储 · 每秒 2500 次磁盘输入/输出操作 (IOPS) · 180 MBps 磁盘带宽
· 您手头有以下 AWS 信息: · 子网 ID · 安全组 ID · 密钥对 ID · 环境名称
AWS 上的 Cisco DNA Center 部署指南 92
使用 AWS CloudFormation 进行部署
使用 AWS CloudFormation 在 AWS 上手动部署 Cisco DNA Center
· CIDR预留
Cisco DNA Center 环境 您的 Cisco DNA Center 环境必须满足以下要求:
· 您可以访问 Cisco DNA Center GUI。 · 您手头有以下 Cisco DNA Center 信息:
· NTP 设置 · 默认网关设置 · CLI 密码 · UI 用户名和密码 · 静态 IP · Cisco DNA Center VA IP 地址的 FQDN
使用 AWS CloudFormation 在 AWS 上手动部署 Cisco DNA Center
您可以使用 AWS CloudFormation 在 AWS 上手动部署 Cisco DNA Center。 提供的 AWS CloudFormation 模板包含所有必需参数的相关详细信息。 作为部署过程的一部分,Cisco DNA Center 实例的 AWS CloudFormation 模板会自动创建以下 Amazon CloudWatch 控制面板和警报:
· DNACDashboard (VA_Instance_MonitoringBoard):此仪表板提供有关 Cisco DNA Center 实例的 CPUUtilization、NetworkIn、NetworkOut、DiskReadOps 和 DiskWriteOps 的监控信息。
· DnacCPUAlarm:当Cisco DNA Center 实例的CPU 使用率大于或等于80% 时,触发此警报。 CPU 使用率的默认阈值为 80%。
· DnacSystemStatusAlarm:如果 Cisco DNA Center 实例的系统状态检查失败,则启动恢复过程。 系统状态检查的默认阈值为 0。
开始之前 · 您已设置包含所有必需组件的 AWS 环境。 有关信息,请参阅使用 AWS CloudFormation 手动部署的先决条件,第 88 页。 · VPN 隧道已启动。
AWS 上的 Cisco DNA Center 部署指南 93
使用 AWS CloudFormation 在 AWS 上手动部署 Cisco DNA Center
使用 AWS CloudFormation 进行部署
步骤 1
步骤 2 步骤 3 步骤 4
程序
取决于 file 如果您想要下载,请执行以下操作之一: · 转至 Cisco 软件下载站点并下载以下内容 file:
DNA_Center_VA_InstanceLaunch_CFT-1.6.0.tar.gz
· 转至 Cisco 软件下载站点并下载以下内容 file:
DNA_Center_VA_InstanceLaunch_CFT-1.5.0.tar.gz
两个 TAR file包含您用于创建 Cisco DNA Center VA 实例的 AWS CloudFormation 模板。 AWS CloudFormation 模板包含多个 AMI,每个 AMI 根据特定区域具有不同的 AMI ID。 使用适合您所在区域的 AMI ID:
区域 ap-northeast-1(东京)
思科 DNA 中心 AMI ID ami-0e15eb31bcb994472
ap-northeast-2(首尔)
ami-043e1b9f3ccace4b2
ap-south-1(孟买)
ami-0bbdbd7bcc1445c5f
ap-southeast-1(新加坡)
ami-0c365aa4cfb5121a9
ap-southeast-2(悉尼)
ami-0d2d9e5ebb58de8f7
ca-central-1(加拿大)
ami-0485cfdbda5244c6e
eu-central-1(法兰克福)
ami-0677a8e229a930434
eu-south-1(米兰)
ami-091f667a02427854d
eu-west-1(爱尔兰)
ami-0a8a59b277dff9306
eu-west-2(伦敦)
ami-0cf5912937286b42e
eu-west-3(巴黎)
ami-0b12cfdd092ef754e
us-east-1(弗吉尼亚州)
ami-08ad555593196c1de
us-east-2(俄亥俄州)
ami-0c52ce38eb8974728
us-west-1(北加州)
ami-0b83a898072e12970
us-west-2(俄勒冈州)
ami-02b6cd5eee1f3b521
验证 TAR file 是正品,来自思科。 有关详细步骤,请参阅验证 Cisco DNA Center VA TAR File,第 6 页。登录 AWS 控制台。 将显示 AWS 控制台。
在搜索栏中输入 cloudformation。
AWS 上的 Cisco DNA Center 部署指南 94
使用 AWS CloudFormation 进行部署
使用 AWS CloudFormation 在 AWS 上手动部署 Cisco DNA Center
步骤 5 步骤 6
从下拉菜单中选择 CloudFormation。 单击创建堆栈并选择使用新资源(标准)。
步骤 7
在指定模板下,选择上传模板 file,然后选择您在步骤 1 中下载的 AWS CloudFormation 模板。
AWS 上的 Cisco DNA Center 部署指南 95
使用 AWS CloudFormation 在 AWS 上手动部署 Cisco DNA Center
使用 AWS CloudFormation 进行部署
步骤 8
输入堆栈名称并重新view 以下参数: · EC2 实例配置 · 环境名称:分配唯一的环境名称。 环境名称用于区分部署,并附加在您的 AWS 资源名称之前。 如果您使用与先前部署相同的环境名称,当前部署将会失败。
· 专用子网 ID:输入要用于 Cisco DNA Center 的 VPC 子网。
· 安全组:输入要附加到您正在部署的 Cisco DNA Center VA 的安全组。
· 密钥对:输入用于访问您正在部署的 Cisco DNA Center VA 的 CLI 的 SSH 密钥对。
· Cisco DNA Center 配置:输入以下信息: · DnacInstanceIP:Cisco DNA Center IP 地址。
· DnacNetmask:Cisco DNA 中心网络掩码。
· DnacGateway:Cisco DNA 中心网关地址。
· DnacDnsServer:企业DNS服务器。
· DnacPassword:Cisco DNA 中心密码。
AWS 上的 Cisco DNA Center 部署指南 96
使用 AWS CloudFormation 进行部署
使用 AWS CloudFormation 在 AWS 上手动部署 Cisco DNA Center
笔记
您可以使用 Cisco DNA Center 密码访问 Cisco DNA Center VA CLI
通过 AWS EC2 串行控制台。 密码必须:
· 省略任何制表符或换行符
· 至少八个字符
· 包含至少以下类别中的三个字符:
· 小写字母 (az)
· 大写字母 (AZ)
· 数字(0-9)
· 特殊字符(例如amp勒,! 或者 #)
步骤 9
· DnacFQDN:Cisco DNA 中心 FQDN。 · DnacHttpsProxy:(可选)企业 HTTPS 代理。 · DnacHttpsProxyUsername:(可选)HTTPS 代理用户名。 · DnacHttpsProxyPassword:(可选)HTTPS 代理密码。
(可选)单击“下一步”配置堆栈选项。
步骤 10 步骤 11
点击下一步重新view 你的堆栈信息。 如果您对配置满意,请单击“提交”完成。
AWS 上的 Cisco DNA Center 部署指南 97
验证部署
使用 AWS CloudFormation 进行部署
堆栈创建过程通常需要 45 到 60 分钟。
验证部署
为确保您的环境设置和 Cisco DNA Center VA 配置正常运行,请执行以下验证检查。
开始之前 确保您在 AWS CloudFormation 上创建的堆栈没有错误。
程序
步骤 1
步骤 2
步骤 3 步骤 4
从 Amazon EC2 控制台验证网络和系统配置并验证 Cisco DNA Center IP 地址是否正确。 向 Cisco DNA Center IP 地址发送 ping,以确保您的主机详细信息和网络连接有效。 与 Cisco DNA Center 建立 SSH 连接以验证 Cisco DNA Center 是否已通过身份验证。 使用以下方法之一测试对 Cisco DNA Center GUI 的 HTTPS 可访问性:
· 使用浏览器。
有关浏览器兼容性的更多信息,请参阅 Cisco DNA Center 版本说明。
· 通过 CLI 使用 Telnet。
· 使用curl 通过 CLI。
AWS 上的 Cisco DNA Center 部署指南 98
III 帕RT
使用 AWS Marketplace 进行部署
· 使用 AWS Marketplace 在 AWS 上部署 Cisco DNA Center 2.3.5.3,第 101 页
第一章
使用 AWS Marketplace 在 AWS 上部署 Cisco DNA Center 2.3.5.3
· 使用 AWS Marketplace 在 AWS 上手动部署 Cisco DNA Center,第 101 页 · 使用 AWS Marketplace 工作流程进行手动部署,第 101 页 · 使用 AWS Marketplace 进行手动部署的先决条件,第 101 页 · 使用 AWS Marketplace 在 AWS 上手动部署 Cisco DNA Center,第 107 页第 107 页 · 验证部署,第 XNUMX 页
使用 AWS Marketplace 在 AWS 上手动部署 Cisco DNA Center
如果您熟悉 AWS 管理,您可以选择使用 AWS Marketplace 在您的 AWS 账户上手动部署 Cisco DNA Center。
使用 AWS Marketplace 工作流程进行手动部署
要使用此方法在 AWS 上部署 Cisco DNA Center,请遵循以下高级步骤: 1. 满足先决条件。 请参阅使用 AWS Marketplace 进行手动部署的先决条件,第 101 页。 2. (可选)集成
文件/资源
 |
AWS 上的 Cisco DNA Center 部署指南 [pdf] 用户指南 AWS 上的 DNA 中心部署指南、DNA、AWS 上的中心部署指南、AWS 部署指南、部署指南 |