将 IOS 托管的网关设备连接到Cisco Webex Control Hub后,您可以从任何地方管理和监控它们以及 Unified Communications 基础设施的其余部分。 此外,这使您能够启动常见任务以更有效地管理设备。 要注册网关,您必须安装 Management Connector 应用程序并确保其与Cisco Webex云之间的安全连接。 建立此连接后,您可以通过登录到 Control Hub 来注册网关。
受管网关
将Cisco IOS网关注册到Control Hub可帮助您简化设备管理,并允许您使用新的Webex 服务。 由于网关保持与 Control Hub 的连接,您可以从任何地方管理和监控它们以及您的其他Webex Calling设备。
此过程不适用于Cisco IOS语音网关,例如VG400,它们在Control Hub中作为设备进行完全管理。 |
一个称为GuestShell的小型连接器应用程序负责建立和维护从网关到Control Hub的连接。 Guest Shell和连接器应用程序使用脚本进行配置和设置,该脚本在注册过程中从Webex云在网关上运行。
为了简化安装过程,该脚本添加了许多必要的网关配置。
网关连接器是在网关GuestShell中运行的小型应用程序,用于维护与Control Hub的连接、协调事件和收集状态信息。 有关GuestShell的更多信息,请参阅 GuestShell。
网关连接器安装在Cisco IOS XE GuestShell容器上。
连接器有两种类型:
管理连接器
遥测连接器
交互式菜单驱动的TCL脚本有助于设置GuestShell,以及管理连接器的安装和维护。
管理连接器负责遥测连接器的网关注册和生命周期管理。
成功完成注册后,管理连接器会下载并安装最新的遥测连接器。
下图显示不同组件如何在Webex 解决方案中连接:
作为TCL脚本执行的一部分,将从用户收集以下信息:
外部接口
DNS服务器地址
代理详细信息
连接器IP 地址
网关凭证(用户名和密码)
TCL脚本会执行以下配置:
虚拟端口组 - 来宾shell 配置必需。
来宾shell
NETCONF 杨
SNMP 陷阱配置—来自Cisco IOS XE 的通知是必需的。
IP 路由 - 通过虚拟端口组路由连接器相关的流量。
TCL脚本会执行以下配置:
!
interface VirtualPortGroup 0
ip unnumbered GigabitEthernet1
no mop enabled
no mop sysid
!
!
app-hosting appid guestshell
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 10.65.125.227 netmask 255.255.255.128
app-default-gateway 10.65.125.142 guest-interface 0
app-resource profile custom
cpu 800
memory 256
persist-disk 500
name-server0 72.163.128.140
name-server1 8.8.8.8
!
!
netconf-yang
netconf-yang cisco-ia snmp-trap-control trap-list 1.3.6.1.4.1.9.9.41.2.0.1
netconf-yang cisco-ia snmp-community-string Gateway-Webex-Cloud
!
!
logging snmp-trap emergencies
logging snmp-trap alerts
logging snmp-trap critical
logging snmp-trap errors
logging snmp-trap warnings
logging snmp-trap notifications
!
!
snmp-server community Gateway-Webex-Cloud RO
snmp-server enable traps syslog
snmp-server manager
!
!
ip route 10.65.125.227 255.255.255.255 VirtualPortGroup0
!
对于示例配置:
|
安装前,请考虑连接器应用程序无法与以下设备一起使用:
- Cisco 1100集成服务路由器平台
- 高可用性(HA)模式下配置的平台
- 为SD-WAN网络配置为控制器模式的平台
对于Cisco IOS语音网关(例如VG400),您无需安装连接器应用程序。 您可以通过Control Hub对其进行完全配置和管理。 |
配置路由器与连接器应用程序配合使用时,请考虑以下事项:
- IOS XE使用代理ARP将流量路由到来宾外壳。 请勿通过配置 来禁用此功能 ip代理-。
- 请勿在为CUBE配置的平台上使用网络地址转换(NAT)。 因此,为连接器应用程序配置一个可路由的IP地址。 也就是说,它不能共享路由器接口地址。
为网关注册准备设备:
以组织管理员身份访问Control Hub
要配置的设备的 IP 地址、用户名和密码。
Cisco IOS XE版本:
本地网关- Cisco IOS XE Bengaluru 17.6.1a或更高版本
存活网关- Cisco IOS XE Cuantio 17.9.3a或更高版本
系统前提条件
最小可用内存 - 256 MB
最小磁盘空间— 2000 MB(包括用于GuestShell容器的1100 MB和用于连接器应用的500 MB)。 如果是 SSD(硬盘:) 已安装,这将用于连接器安装。 在所有其他情况下,系统bootflash: 将使用 。
如果您的路由器的bootflash为4GB并且可用容量(最小容量)小于2GB,请删除当前正在运行的IOS二进制(。bin)映像。 删除文件后,释放额外的空间。
以下是释放bootflash磁盘空间的可选步骤。 执行以下步骤并仅在以下情况下将启动文件更改为安装模式:
|
使用以下步骤扩展二进制映像并从组件引导:
使用以下方式创建新目录
mkdir bootflash:/image
。使用扩展IOS二进制图像
request platform software package expand file bootflash:/<image>.bin to bootflash:/image
。在配置模式下,删除当前启动选项,使用
no boot system
。配置新的引导语句:
boot system bootflash:/image/packages.conf
。退出配置模式,保存配置并重启。
路由器重新启动后,使用
show version
以验证路由器从bootflash:/image/packages.conf
。 如果是:验证
bootflash:/sysboot
目录为空。删除剩余的 IOS 二进制映像。
使用以下方法删除任何核心图像
delete /f /r bootflash:/core/*
。使用以下方式删除跟踪日志文件
delete /f /r bootflash:/tracelogs/*
。如果磁盘空间仍然不足,请查看 bootflash 中剩余的文件: 并删除任何其他不必要的文件,例如日志和 CDR。
受支持的Cisco路由器,已连接到具有互联网路径的网络。 基本配置必须具备以下条件:
配置为解析公共域名的DNS 服务器。
要配置DNS 服务器,请使用以下命令:
ip 名称服务器 <IP address="">
HTTP代理服务器(如果您想通过代理连接互联网)。
HTTP 代理服务器(如果您希望通过代理访问互联网)。
网关凭证: 具有 15 级访问权限的凭证(用户名和密码),连接器可使用该凭证通过其 NETCONF 接口访问网关。
要验证和授权NETCONF访问,请确保按照示例中的说明配置默认的aaa列表。 您可以使用缺省列表中的任何方法选项。 您不能使用已命名的aaa列表来控制NETCONF访问。 如果缺省列表配置不正确,您可能会在系统日志中看到“方法列表无效”的错误消息。
aaa new-model aaa authentication login default radius local aaa authorization exec default radius local if-authenticated username test privilege 15 secret <password>
网络前提条件
连接器IP 地址必须与所选用于外部连接的连接器 IP 地址位于同一网络中。 可以是专用网络地址,但必须能够通过 HTTP 访问互联网。
如果您使用Amazon Web Services (AWS)上的虚拟CUBE作为本地网关,请参阅在AWS上关联虚拟CUBE的备用IP地址,了解如何关联用于连接器使用的备用IP地址的步骤。
您必须连接到Control Hub和本地部署设备才能完成注册过程。
Webex 服务的 URL:
*.ucmgmt.cisco.com
*.webex.com
*.wbx2.com
传输协议: 传输层安全(TLS) 版本 1.2
导入 IOS 公共证书颁发机构捆绑包。 添加到网关信任池的证书用于验证对 Webex 服务器的访问权限。 使用以下配置命令导入捆绑包。
crypto pki trustpool import url http://www.cisco.com/security/pki/trs/ios.p7b
如果使用AWS上的虚拟CUBE作为本地网关,请在AWS接口上执行以下步骤,关联用于连接器的备用IP地址。
我们建议您在维护时段内执行此活动。 |
准备工作
要将Amazon Web Services (AWS)上的虚拟CUBE用作本地网关,必须将辅助专用IP地址与网关接口关联。 您可以使用此IP 地址作为连接器IP 地址。
关联弹性公共 IP地址和备用 IP 地址,以便备用 IP 地址可公开用于网关注册。
要成功注册,关联的安全组策略必须允许 HTTPS 入站流量。 完成注册后,您可以将其删除。
1 | 转至服务> EC2 >实例,然后选择Cisco网关实例。 |
2 | 在网络接口窗口中,单击eth0 。 将出现一个对话框,显示详细信息eth0界面。 |
3 | 单击接口 ID 值。 |
4 | 单击操作,并选择管理IP 地址从下拉列表。 |
5 | 展开eth0并选择分配新的IP 地址并确认分配。 注意该备用IP地址。 |
6 | 单击操作并选择关联地址从下拉列表。 |
7 | 选择可用的公共 IP地址:弹性IP 地址列表。 验证所选IP地址是否与注意到的辅助IP地址匹配。 |
8 | (可选)要重新分配当前正在使用并且映射到另一个弹性网络接口(ENI)的公共IP地址,请单击允许重新关联。 |
9 | 单击关联地址将公共 IP地址(Amazon 弹性 IP)与网络接口的专用 IP地址关联。 |
现在,您可以在安装连接器时使用此专用 IP地址作为连接器IP 地址。 使用相应的公共IP地址(Amazon弹性IP地址)注册Control Hub。
如果您已将网关添加到 Control Hub 并安装 Management Connector,则可以跳过此过程。 转至第 5 步:注册 Control Hub 的网关以完成注册过程。 |
1 | 登录 https://admin.webex.com/ Control Hub。 |
2 | 根据服务,单击呼叫,然后单击托管网关标签页。 |
3 | 单击添加网关按钮。 |
4 | 复制 受管网关 窗口中显示的tclsh命令。 作为 Management Connector 安装过程的一部分,您必须在网关 CLI 上运行该命令。 |
下一步
在网关上安装连接器后,您可以在 Control Hub 中继续注册过程。
在继续安装 Management Connector 之前,请确保您满足以下所有要求:先决条件。 |
执行脚本
使用控制台或 SSH 连接登录到网关,然后将以下字符串粘贴到 router exec 命令提示符: tclsh https://binaries.webex.com/ManagedGatewayScriptProdStable/gateway_onboarding.tcl
|
开始安装
如果尚未设置连接器,脚本会将您带到安装菜单;如果已设置连接器,则会将您带到主页菜单。
1 | 选择与为该连接器保留的地址位于同一网络中的接口。
| ||||||
2 | 配置连接器使用的DNS 服务器。 默认情况下,使用IOS中配置的服务器。
| ||||||
3 | 如果您需要使用代理来访问互联网,请在提示时输入代理详细信息。 如果已为网关配置代理,则默认使用以下详细信息。 如果需要,输入 n 以覆盖这些设置。
| ||||||
4 | 配置 SNMP 陷阱设置。 要将通知推送到Cisco Webex云,脚本会更新路由器中设置的 SNMP 陷阱配置级别(如果设置低于通知级别)。 系统会提示您确认是否将SNMP陷阱配置更改为通知级别。 要保留当前的SNMP陷阱配置级别,请选择 n。
| ||||||
5 | 输入连接器IP 地址。
| ||||||
6 | 输入连接器用于访问路由器 NETCONF 接口的用户名和密码。
您将获得“云连接器安装成功”安装成功后的消息。
|
准备工作
1 | 检查添加托管网关窗口将显示在 Control Hub 中。 如果窗口未显示,请在 服务下,单击 呼叫,选择托管网关选项卡,然后单击添加网关。 | ||
2 | 在添加受管网关窗口中,选中我已在网关上安装了管理连接器,然后单击下一步。
| ||
3 | 在添加托管网关屏幕,输入您在连接器安装过程中输入的连接器IP 地址,以及网关的首选显示名称 | ||
4 | 单击下一步。
将打开一个连接到路由器上连接器管理页面的浏览器标签页,以便您完成注册。
| ||
5 | 要登录,请输入您在步骤6中列出的连接器安装过程中使用的网关管理员用户名和密码。 | ||
6 | 单击立即注册打开一个新窗口,用于验证与Webex云的连接器。
| ||
7 | 使用Webex管理员帐户登录。 | ||
8 | 选中 Access to the Gateway Management Connector 。 |
管理和遥测连接器的连接器状态将显示在连接器详细信息页面上。
请在 https://admin.webex.com 登录您的客户组织。
转至
。单击管理网关。
Management Connector 状态
Management Connector 状态 | 连接状态 | 描述 |
---|---|---|
正在运行 |
已连接 |
指示连接器位于正在运行状态,并且设备是已连接到Cisco Webex云。 |
正在运行 |
未连接 |
指示连接器位于正在运行状态,但该设备是未连接到Cisco Webex云。 |
正在运行 |
信号失败 |
指示连接器位于正在运行状态,但信号失败为已注册的设备。 |
正在运行 |
注册失败 |
指示连接器位于正在运行状态,但将设备注册到Cisco Webex云失败。 |
遥测连接器状态
遥测连接器状态 | 连接状态 | 描述 |
---|---|---|
未安装 |
不可用 |
指示遥测连接器已未安装。 |
正在下载 |
不可用 |
指示遥测连接器下载进行中。 |
正在安装 |
不可用 |
指示遥测连接器安装进行中。 |
未配置 |
不可用 |
指示遥测连接器安装已成功,但服务尚未启动或尚未配置。 |
正在运行 |
不可用 |
指示遥测连接器已正在运行但没有关于其与Cisco Webex云连接的信息。 |
正在运行 |
已连接 |
指示遥测连接器位于正在运行状态,并且已连接到Cisco Webex云。 |
正在运行 |
未连接 |
指示遥测连接器位于正在运行状态,但未连接到Cisco Webex云。 |
正在运行 |
信号失败 |
指示遥测连接器位于正在运行状态,并且到Cisco Webex云的遥测信号失败。 |
已禁用 |
不可用 |
指示遥测连接器位于维护模式(禁用状态)以及有关其与云连接的信息不可用。 |
已停止 |
已断开连接 |
指示遥测连接器位于已停止状态(可能是部分停止,或者遥测服务和 Web 套接字代理服务都已停止),并且未连接到Cisco Webex云。 |
连接器警报和事件
本节主要介绍遥测连接器模块中生成的警报。 遥测连接器警报将发送到Cisco Webex云并显示在Control Hub中。
下表描述了连接器相关的消息:
职位 | 描述 | 严重度 | 解决方案 |
---|---|---|---|
遥测模块已启动。 | 当遥测模块正常工作时会发送此消息。 | 预警 | 不适用 |
遥测模块已升级。 | 当遥测模块从“old_version “ 至 ”new_version ”。 | 预警 | 不适用 |
NETCONF连接失败。 | 当遥测模块无法建立与网关的 NETCONF 连接时,会引发此警报。 | 危险 | 验证 NETCONF 是否已在网关上启用并可从连接器访问。 尝试禁用和启用连接器容器。 如果问题仍然存在,请转至 https://help.webex.com/contact,单击 支持,然后提出案例。 |
NETCONF 验证失败。 | 当遥测模块无法建立与网关的 NETCONF 连接时,会引发此警报。 | 危险 | 验证网关上是否正确配置了用户名和密码。 尝试禁用和启用连接器容器。 如果问题仍然存在,请转至 https://help.webex.com/contact,单击 支持,然后提出案例。 |
NETCONF SNMP 事件订阅失败。 | 当遥测模块无法为 SNMP 事件创建 NETCONF 订阅时,会引发此警报。 | 危险 | 验证网关上是否启用了 NETCONF,并且可以在连接器中访问它。 尝试禁用和启用连接器容器。 如果问题仍然存在,请转至 https://help.webex.com/contact,单击 支持,然后提出案例。 有关如何启用和禁用的更多信息,请参阅安装后活动。 |
遥测指标收集失败。 | 当遥测模块无法通过 NETCONF GET 查询从网关收集指标时会引发此警报。 | 危险 | 验证 NETCONF 是否已在网关上启用并可从连接器访问。 尝试禁用和启用连接器容器。 如果问题仍然存在,请转至 https://help.webex.com/contact,单击 支持,然后提出案例。 有关如何启用和禁用的更多信息,请参阅安装后活动。 |
遥测网关连接失败。 | 当连接器无法与遥测网关建立 Web 套接字连接时,会引发此警报。 | 危险 | 验证遥测网关 URL (*.ucmgmt.cisco.com) 是否位于企业防火墙的允许列表中并且可从网关访问。 如果问题仍然存在,请转至 https://help.webex.com/contact,单击 支持,然后提出案例。 |
通过代理连接遥测网关失败。 | 当连接器无法与所配置的代理建立连接时,会引发此警报。 | 危险 | 验证连接器上是否已正确配置代理详细信息(IP 地址和端口凭证),并且可以访问代理。 如果问题仍然存在,请转至 https://help.webex.com/contact,单击 支持,然后提出案例。 |
Management Connector 的本地管理
成功安装连接器后,您可以将Webex 与网关一起使用。 如果需要,您可以使用脚本菜单中提供的选项更新许多连接器设置:
您可以使用以下命令随时重新启动脚本: tclsh bootflash:/gateway_connector/gateway_onboarding.tcl 。 |
===============================================================
Webex Managed Gateway Connector
===============================================================
Options
s : Display Status Page
v : View and Modify Cloud Connector Settings
e : Enable Guestshell
d : Disable Guestshell
l : Collect Logs
r : Clear Logs
u : Uninstall Connector
q : Quit
===============================================================
Select an option from the menu:
启用 Guestshell
使用 e: Enable Guestshell
菜单选项。 这会将连接器的状态从 INACTIVE
到 ACTIVE
。
禁用 Guestshell
使用 d: Disable Guestshell
菜单选项。 这会将连接器的状态从 ACTIVE
到 INACTIVE
。
卸载连接器
使用 u: Uninstall Connector
菜单选项。 此操作将删除 Guestshell 容器中的所有数据,并删除与云连接器相关的所有配置。
收集日志
使用 l: Collect Logs
菜单选项。 系统在收集日志后显示这些日志的存储位置。
如果您有Cisco TAC的活动支持案例,可以使用命令将日志直接附加到服务请求 |
以下是示例命令:
vcubeprod#copy bootflash:/guest-share/gateway_webex_cloud_logs_2022114090628.tar.gz scp://123456789:a1b2c3d4e5@cxd.cisco.com
清除日志
使用 r: Clear Logs
菜单选项。 这将删除除 Tcl 脚本和连接器的最新日志之外的所有现有日志。
查看和修改云连接器设置
使用 v: View and Modify Cloud Connector Settings
菜单选项。
===============================================================
Webex Managed Gateway Connector
===============================================================
Script Version : 2.0.2
Hostname/IP Addr : 10.65.125.188
DNS Server(s) : 10.64.86.70
Gateway Username : lab
External Interface : GigabitEthernet1
Proxy Hostname/IP Addr : proxy-wsa.esl.cisco.com:80
===============================================================
Options
c : Update Gateway Credentials
e : Update External Interface
p : Update Proxy Details
n : Update DNS Server
k : Update Connector Package Verification Key
l : Modify log level for Cloud Connector
h : Go to home menu
q : Quit
===============================================================
Select an option from the menu: c
更新网关凭证
使用 c: Update Gateway Credentials
菜单选项。
更新外部接口
更改连接器绑定到的接口和连接器IP 地址,使用 v: View and Modify Cloud Connector Settings
菜单选项。
更新代理详细信息
您可以使用 p: Update Proxy Details
菜单选项:
i: Update Proxy IP and Port
c: Update Proxy Credentials
r: Remove Proxy Credentials
a: Remove All Proxy Details
h: Go to home menu
更新连接器软件包验证密钥
如果您遇到技术问题并且支持工程师要求您更换软件包验证密钥,请上传 gateway-webex-connectors.gpg
文件至 bootflash:/gateway_connector/
并使用 k: Update Connector Package Verification Key
菜单选项以进行验证。
修改 Management Connector 的日志级别
使用 l: Modify log level for Cloud Connector
菜单选项,然后选择以下选项之一:
===============================================
Number Log Level
===============================================
1 DEBUG
2 INFO
3 WARNING
4 ERROR
5 CRITICAL
===============================================
要管理您的网关实例:
在 服务下,单击 呼叫,然后单击受管网关选项卡。
对于适用的网关实例,单击相邻的点 ( … )中的操作列,然后选择适用的操作。
暂停或恢复连接器
暂停连接器指示 Management Connector 停止遥测连接器。 您可以使用此选项来临时停止遥测连接器,同时对网关的任何问题进行故障排除。 当您暂停连接器时,配置验证等服务将不起作用。 使用恢复连接器重启遥测连接器的操作。
1 | 单击暂停连接器从操作菜单以暂停 Management Connector。 |
2 | 要恢复已暂停的连接器,请单击恢复连接器在操作菜单。 |
活动历史记录
Control Hub 记录并显示托管网关的事件历史记录。 查看单个网关的详细信息或所有受管网关的合并详细信息。
1 | 单击活动历史记录在呼叫页面,查看所有托管网关的活动详细信息。 |
2 | 要查看特定于网关的活动详细信息,请单击活动历史记录在操作该网关的菜单。 |
删除网关
1 | 从操作菜单中,单击删除网关可删除任何网关实例。 | ||
2 | 单击“确认”。
|
注册网关后,您可以在将服务分配到受管网关处继续配置。