关于托管网关

将您的Cisco IOS网关注册到 Control Hub 可帮助您简化设备管理，并让您受益于新的Webex Calling服务。由于网关保持与 Control Hub 的连接，您可以从任何地方管理和监控它们以及您的其他Webex Calling设备。

此过程不适用于 VG400 等Cisco IOS语音网关，它们在 Control Hub 中作为设备完全管理。

从网关到 Control Hub 的连接由小型连接器应用程序建立和维护，这些应用程序在网关内的虚拟 Linux 环境（称为访客 Shell）中运行。使用简单易行的脚本配置和设置 Guest Shell 和连接器应用程序，该脚本在注册过程中从 Webex 云在网关上运行。

为了简化安装过程，该脚本添加了许多必要的网关配置。后续部分将提供这些命令的详细信息。

网关连接器简介

网关连接器是在网关 Guest Shell 中运行的小型应用程序，用于维护与 Control Hub 的连接、协调活动以及收集状态信息。

网关连接器安装在Cisco IOS XE Guestshell 容器上。

如果您有兴趣了解有关 GuestShell 功能的更多信息，请访问https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/prog/configuration/173/b_173_programmability_cg/guest_shell.html。

连接器有两种类型：

管理连接器
遥测连接器

由菜单驱动的交互式 TCL 脚本有助于设置 GuestShell，以及安装和维护 Management Connector。

管理连接器负责遥测连接器的网关注册和生命周期管理。

成功完成注册后，管理连接器会下载并安装最新的遥测连接器。

下图描述了Webex Calling解决方案中不同组件的连接方式：

作为 TCL 脚本执行的一部分，将向用户收集以下信息：

外部接口。
DNS 服务器地址。
代理详细信息。
连接器IP 地址
网关凭证（用户名和密码）

以下是通过 TCL 脚本执行的配置：

虚拟端口组 - 来宾shell 配置必需。
来宾shell
NETCONF 杨
SNMP 陷阱配置—来自Cisco IOS XE 的通知是必需的。
IP 路由 - 通过虚拟端口组路由连接器相关的流量。

以下是通过 TCL 脚本执行的配置示例：

!
interface VirtualPortGroup 0
 ip unnumbered GigabitEthernet1
 no mop enabled
 no mop sysid
!

!
app-hosting appid guestshell
 app-vnic gateway0 virtualportgroup 0 guest-interface 0
  guest-ipaddress 10.65.125.227 netmask 255.255.255.128
 app-default-gateway 10.65.125.142 guest-interface 0
 app-resource profile custom
  cpu 800
  memory 256
  persist-disk 500
 name-server0 72.163.128.140
 name-server1 8.8.8.8
!

!
netconf-yang
netconf-yang cisco-ia snmp-trap-control trap-list 1.3.6.1.4.1.9.9.41.2.0.1
netconf-yang cisco-ia snmp-community-string Gateway-Webex-Cloud
!

!
logging snmp-trap emergencies
logging snmp-trap alerts
logging snmp-trap critical
logging snmp-trap errors
logging snmp-trap warnings
logging snmp-trap notifications
!

!
snmp-server community Gateway-Webex-Cloud RO
snmp-server enable traps syslog
snmp-server manager
!

!
ip route 10.65.125.227 255.255.255.255 VirtualPortGroup0
!

对于上述示例配置：

GigabitEthernet1 被分配为外部接口。 GigabitEthernet1 的IP 地址为 10.65.125.142。
连接器IP 地址必须与所选用于外部连接的连接器 IP 地址位于同一网络中。可以是专用网络地址，但必须能够通过 HTTP 访问互联网。
TCL 脚本跟踪并将配置更改保存到Cisco IOS XE 启动配置。
作为卸载过程的一部分，TCL 脚本将删除配置更改。

限制和约束

请注意，在注册网关之前，不支持以下操作：

Cisco 1100 集成多业务路由器平台。
高可用性 (HA) 模式。
控制器或 SD-WAN 模式（Site Survivability 仅支持在Cisco IOS XE 自治模式下运行的网关）。
Cisco IOS语音网关，例如 VG400，在 Control Hub 中作为设备进行完全管理。

必要条件

以下是注册网关的前提条件：

以组织管理员身份访问 Control Hub。
要配置的设备的 IP 地址、用户名和密码。
Cisco IOS XE 版本：
- 本地网关 - Cisco IOS XE Amsterdam 17.3.4a 或更高版本。
- 易存活网关 - Cisco IOS XE Cupertino 17.9.3a 或更高版本。

系统前提条件
- 最小可用内存 - 256 MB
- 最小磁盘空间 - 2000 MB（其中包括 1100 MB 用于访客 shell 容器，500 MB 用于连接器应用程序）。如果是 SSD（硬盘：）已安装，这将用于连接器安装。在所有其他情况下，系统bootflash：将使用。

路由器的 bootflash 可能为 4GB，可用容量（最小容量）小于 2GB。在这种情况下，请删除除当前正在运行的 IOS 二进制 (.bin) 映像之外的所有 IOS 二进制 (.bin) 映像。删除文件后，释放额外空间。使用以下步骤扩展二进制映像并从组件引导：

使用以下命令创建新目录mkdir bootflash:/图像。
使用以下命令扩展 IOS 二进制映像：请求平台软件包展开文件 bootflash:/<image> .bin 到 bootflash：/image 。
在配置模式下，使用以下命令删除当前引导选项：无引导系统。
配置新的引导语句：引导系统 bootflash:/image/packages.conf 。
从配置模式退出，保存配置，然后重新启动。
重新启动路由器后，使用显示版本验证路由器是否从 bootflash:/image/packages.conf 。如果是：
1. 验证 bootflash:/sysboot 目录为空。
2. 删除剩余的 IOS 二进制映像。
3. 删除任何核心映像，使用删除 /f /r bootflash:/core/* 。
4. 删除跟踪日志文件，使用删除 /f /r bootflash:/tracelogs/* 。
5. 如果磁盘空间仍然不足，请查看 bootflash 中剩余的文件：并删除任何其他不必要的文件，例如日志和 CDR。

受支持的Cisco路由器，已连接到具有互联网路径的网络。基本配置必须具备以下条件：

配置为解析公共域名的DNS 服务器。

要配置DNS 服务器，请使用以下命令：

ip 名称服务器 <IP address="">

HTTP 代理服务器（如果您希望通过代理访问互联网）。

要设置代理服务器，请使用以下命令：

ip http 客户端代理服务器<server address="">代理端口 <port number="">
如果代理服务器需要验证，请使用以下命令进行验证：

ip http 客户端用户名 <username>

ip http 客户端密码 <password>

网关凭证：具有 15 级访问权限的凭证（用户名和密码），连接器可使用该凭证通过其 NETCONF 接口访问网关。

要验证和授权 NETCONF 访问，请确保按如下方式配置缺省 aaa 列表。您可以使用缺省列表中的任何方法选项。但是，无法使用命名的 aaa 列表来控制 NETCONF 访问。如果缺省列表配置不正确，您可能会在系统日志中看到“方法列表无效”的错误消息。
```
aaa new-model
aaa authentication login default radius local
aaa authorization exec default radius local if-authenticated
username test privilege 15 secret <password>
```

网络前提条件

连接器IP 地址必须与所选用于外部连接的连接器 IP 地址位于同一网络中。可以是专用网络地址，但必须能够通过 HTTP 访问互联网。

如果您使用 Amazon Web Services (AWS) 上的虚拟 CUBE 作为本地网关，请参阅为 AWS 上的虚拟 CUBE 关联备用 IP 地址有关如何关联备用 IP 地址以供连接器使用的步骤。

要完成注册过程，您必须连接到 Control Hub 和内部设备。
Webex 服务的 URL：
- *.ucmgmt.cisco.com
- *.webex.com
- *.wbx2.com
传输协议：传输层安全(TLS) 版本 1.2
导入 IOS 公共证书颁发机构捆绑包。添加到网关信任池的证书用于验证对 Webex 服务器的访问权限。使用以下配置命令导入捆绑包。
```
crypto pki trustpool import url http://www.cisco.com/security/pki/trs/ios.p7b
```

为 AWS 上的虚拟 CUBE 关联备用 IP 地址

如果将 AWS 上的虚拟 CUBE 用作本地网关，请在 AWS 接口上执行以下步骤，以关联备用 IP 地址以供连接器使用。

我们建议您在维护时段内执行此活动。

准备工作

要将 Amazon Web Services (AWS) 上的虚拟 CUBE 用作本地网关，必须将辅助专用 IP地址与网关接口关联。您可以使用此IP 地址作为连接器IP 地址。
关联弹性公共 IP地址和备用 IP 地址，以便备用 IP 地址可公开用于网关注册。
要成功注册，关联的安全组策略必须允许 HTTPS 入站流量。完成注册后，您可以将其删除。

1	转至服务> EC2 >实例，然后选择Cisco网关实例。
2	在网络接口窗口中，单击eth0 。将出现一个对话框，显示详细信息eth0界面。
3	单击接口 ID 值。
4	单击操作，并选择管理IP 地址从下拉列表。
5	展开eth0并选择分配新的IP 地址并确认分配。记下该备用 IP 地址。
6	单击操作并选择关联地址从下拉列表。
7	选择可用的公共 IP地址：弹性IP 地址列表。验证所选的IP 地址与您记录的备用 IP 地址是否匹配。
8	（可选）如果您要重新分配当前正在使用且已映射到另一个弹性网络接口(ENI) 的公共 IP地址，请单击允许重新关联。
9	单击关联地址将公共 IP地址（Amazon 弹性 IP）与网络接口的专用 IP地址关联。

现在，您可以在安装连接器时使用此专用 IP地址作为连接器IP 地址。使用对应的公共 IP地址（Amazon 弹性IP 地址）在 Control Hub 中注册。

在 Control Hub 中添加新网关实例

在 Control Hub 中完成以下步骤以添加新的网关实例。

如果您已将网关添加到 Control Hub 并安装 Management Connector，则可以跳过此过程。转至第 5 步：注册 Control Hub 的网关以完成注册过程。

1	登录 Webex Control Hub：https://admin.webex.com/login 。
2	根据服务，单击呼叫，然后单击托管网关标签页。
3	单击添加网关按钮。
4	复制显示在添加托管网关窗口。作为 Management Connector 安装过程的一部分，您必须在网关 CLI 上运行该命令。

下一步

转至下一程序以在网关上安装 Management Connector。

在网关上安装连接器后，您可以在 Control Hub 中继续注册过程。

安装网关连接器

要在Cisco IOS XE GuestShell 容器上安装网关连接器，请完成以下步骤。

在继续安装 Management Connector 之前，请确保您满足以下所有要求：先决条件。

执行脚本

使用控制台或 SSH 连接登录到网关，然后将以下字符串粘贴到 router exec 命令提示符：

tclsh https://binaries.webex.com/ManagedGatewayScriptProdStable/gateway_onboarding.tcl

此命令下载并运行连接器安装脚本。您可以从选择在 Control Hub 中添加新网关后立即看到的对话框中复制此字符串。
如果它不可用，脚本将下载连接器软件包并将其存储在bootflash：/gateway_connector目录。
该脚本还会对Cisco IOS XE 版本、bootflash 中的可用磁盘空间等执行前提条件检查。前提条件检查的状态必须为“通过”才能继续安装。
对于某些终端应用程序，运行脚本时，退格键可能无法正常工作，并且复制/粘贴功能可能会受到限制。

开始安装

如果尚未设置连接器，脚本会将您转至安装菜单；否则，移至主菜单。

选择与为连接器保留的地址位于同一网络中的接口。


 ===============================================================
             Webex Gateway Connector Installation
 ===============================================================


 Choose the external-interface from the below list of available interfaces:
 ===============================================================
   Number          Interface          IP-Address        Status
 ===============================================================
     1          GigabitEthernet1      10.65.125.142       up    
 ===============================================================

 Enter a number to choose the external interface: 1

该脚本创建一个虚拟端口组接口，该接口与所选接口的 IP 共享相同的 IP。它用于路由 GuestShell 容器流量。
该脚本仅显示处于“启动”状态并已分配 IP 地址的接口。

配置连接器使用的DNS 服务器。默认情况下使用在 IOS 中配置的服务器。

These DNS settings were detected in the gateway configuration:
 72.163.128.140 
Do you want to use these settings for the connector? [Y/n]:

Y 是此处的缺省输入。如果您按“Enter”，Y 将作为输入。

必要时可能会覆盖检测到的设置：

These DNS settings were detected in the gateway configuration:
72.163.128.140
Do you want to use these settings for the connector? [Y/n]: n

如果您需要使用代理来访问互联网，请在提示时输入代理详细信息。

如果已为网关配置代理，则默认使用以下详细信息。选择 ' n ’ 以根据需要覆盖这些设置。


These proxy settings were detected in the gateway configuration:
 Proxy Server : proxy-wsa.esl.cisco.com
 Proxy Port   : 80
Do you want to use these settings for the connector? [Y/n]:

如果您说“n”，系统将询问您是否需要代理。如果需要，输入代理主机名/ IP 地址。

These proxy settings were detected in the gateway configuration:
Proxy Server : proxy-wsa.esl.cisco.com
Proxy Port : 80
Do you want to use these settings for the connector? [Y/n]:n
Proxy required? [y/N]: y
Enter proxy hostname/IP address:

如果代理服务器需要密码，请重新输入密码。

配置 SNMP 陷阱设置。

要将通知推送到Cisco Webex云，脚本会更新路由器中设置的 SNMP 陷阱配置级别（如果设置低于通知级别）。系统提示您确认是否将 SNMP 陷阱配置更改为通知级别。要保留当前的 SNMP 陷阱配置级别，选择无。


SNMP Traps for syslog messages are
configured at <alerts> level and they would be changed to <notifications>
level in order to push notifications to the Webex Cloud.
Please confirm if it is ok to proceed?:  [Y/n]:

输入连接器IP 地址。


 Enter Connector IP address: 10.65.125.227

输入连接器用于访问路由器 NETCONF 接口的用户名和密码。


Enter Gateway username: lab
Enter Gateway password: ***
Confirm Gateway password: ***

手动输入密码。复制和粘贴可能不起作用。

输入您在前提条件部分中标识的网关凭证。连接器使用凭证访问路由器 IOS NETCONF 接口。

您将获得“云连接器安装成功”安装成功后的消息。


===============================================================
                 Webex Managed Gateway Connector
===============================================================

  *** Cloud connector is installed successfully. ***
-------------------------------------------------------
         *** Interface Status ***
-------------------------------------------------------
   Interface               IP-Address          Status
-------------------------------------------------------
   GigabitEthernet1        10.65.125.142       up    
   VirtualPortGroup0       10.65.125.142       up    
   Connector               10.65.125.188       up
   
-------------------------------------------------------

          *** App Status ***
-------------------------------------------------------
 Service                 Status
-------------------------------------------------------
 Guestshell              RUNNING
 Management Connector    RUNNING
-------------------------------------------------------

===============================================================
 Select option h for home menu or q to quit:

您可以在安装成功后选择“q”选项退出脚本。如果安装失败，您可以选择“h”选项来更改任何设置、收集日志等。请参阅安装后活动部分以获取更多详细信息。如果要重试安装，可以选择卸载，然后重新启动脚本以重新尝试安装。

您可以使用以下命令直接启动（或重新启动）TCL 脚本： bootflash：gateway_connector /gateway_onboarding .tcl或https://binaries.webex.com/ManagedGatewayScriptProdStable/gateway_onboarding.tcl在任何给定的时刻。

下一步

转至下一程序以完成 Control Hub 中的网关注册过程。

注册 Control Hub 的网关

在 Control Hub 中完成以下步骤以注册网关。

准备工作

必须在网关上安装 Management Connector。

检查添加托管网关窗口将显示在 Control Hub 中。

如果该窗口没有显示，在服务，单击呼叫，选择托管网关选项卡，然后单击添加网关。

在添加托管网关窗口中，检查我已在网关上安装 Management Connector复选框并单击下一页。

在执行此步骤之前，请确保已成功安装连接器。

在添加托管网关屏幕，输入您在连接器安装过程中输入的连接器IP 地址，以及网关的首选显示名称

单击下一步。将打开一个连接到路由器上连接器管理页面的浏览器标签页，以便您完成注册。

请确保已将浏览器配置为允许该页面的弹出窗口，然后单击下一页。
访问连接器管理页面并在一小时内完成注册过程。

如果无法在一小时内完成注册，请从该程序的第 1 步开始重新开始注册过程。您先前输入的网关详细信息将不会保存。

要从其他浏览器或重新启动的浏览器（在一小时内）继续此过程，请选择注册网关Control Hub 上网关的选项托管网关页面。
连接器Web 服务器使用自签证书。在浏览器上，您必须允许或接受证书。

要记录，请输入网关管理员用户名和密码您在连接器安装过程的第 6 步中输入的连接器。

单击立即注册按钮以打开新窗口，用于验证 Webex 云连接器的身份。

确保将浏览器配置为允许弹出窗口。

如果您尚未登录 Control Hub，请使用 Webex管理员帐户登录。

检查允许访问 Gateway Management Connector复选框。

您将获得注册成功屏幕。

网关连接器状态

管理连接器和遥测连接器的连接器状态显示在连接器详细信息页面上（位于 https://{连接器IP 地址}）。

下表描述了 Management Connector 的状态：

表 1. Management Connector 状态
Management Connector 状态	连接状态	描述
正在运行	已连接	指示连接器位于正在运行状态，并且设备是已连接到Cisco Webex云。
正在运行	未连接	指示连接器位于正在运行状态，但该设备是未连接到Cisco Webex云。
正在运行	信号失败	指示连接器位于正在运行状态，但信号失败为已注册的设备。
正在运行	注册失败	指示连接器位于正在运行状态，但将设备注册到Cisco Webex云失败。

下表描述了遥测连接器的状态：

表 2. 遥测连接器状态
遥测连接器状态	连接状态	描述
未安装	不可用	指示遥测连接器已未安装。
正在下载	不可用	指示遥测连接器下载进行中。
正在安装	不可用	指示遥测连接器安装进行中。
未配置	不可用	指示遥测连接器安装已成功，但服务尚未启动或尚未配置。
正在运行	不可用	指示遥测连接器已正在运行但没有关于其与Cisco Webex云连接的信息。
正在运行	已连接	指示遥测连接器位于正在运行状态，并且已连接到Cisco Webex云。
正在运行	未连接	指示遥测连接器位于正在运行状态，但未连接到Cisco Webex云。
正在运行	信号失败	指示遥测连接器位于正在运行状态，并且到Cisco Webex云的遥测信号失败。
已禁用	不可用	指示遥测连接器位于维护模式（禁用状态）以及有关其与云连接的信息不可用。
已停止	已断开连接	指示遥测连接器位于已停止状态（可能是部分停止，或者遥测服务和 Web 套接字代理服务都已停止），并且未连接到Cisco Webex云。

本节介绍在遥测连接器模块中生成的警报。 Telemetry Connector 警报将发送到Cisco Webex云并显示在 ControHub 中。

下表描述了连接器相关的消息：


职位	描述	严重度	解决方案
遥测模块已启动。	当遥测模块正常工作时会发送此消息。	预警	不适用
遥测模块已升级。	当遥测模块从“old_version “ 至 ”new_version ”。	预警	不适用
NETCONF连接失败。	当遥测模块无法建立与网关的 NETCONF 连接时，会引发此警报。	危险	验证 NETCONF 是否已在网关上启用并可从连接器访问。尝试禁用和启用连接器容器。如果问题仍然存在，请导航至https://help.webex.com/contact，单击支持，并提出案例。
NETCONF 验证失败。	当遥测模块无法建立与网关的 NETCONF 连接时，会引发此警报。	危险	验证网关上是否正确配置了用户名和密码。尝试禁用和启用连接器容器。如果问题仍然存在，请导航至https://help.webex.com/contact，单击支持，并提出案例。
NETCONF SNMP 事件订阅失败。	当遥测模块无法为 SNMP 事件创建 NETCONF 订阅时，会引发此警报。	危险	验证网关上是否启用了 NETCONF，并且可以在连接器中访问它。尝试禁用和启用连接器容器。如果问题仍然存在，请导航至https://help.webex.com/contact，单击支持，并提出案例。有关如何启用和禁用的更多信息，请参阅安装后活动。
遥测指标收集失败。	当遥测模块无法通过 NETCONF GET 查询从网关收集指标时会引发此警报。	危险	验证 NETCONF 是否已在网关上启用并可从连接器访问。尝试禁用和启用连接器容器。如果问题仍然存在，请导航至https://help.webex.com/contact，单击支持，并提出案例。有关如何启用和禁用的更多信息，请参阅安装后活动。
遥测网关连接失败。	当连接器无法与遥测网关建立 Web 套接字连接时，会引发此警报。	危险	验证遥测网关 URL (*.ucmgmt.cisco.com) 是否位于企业防火墙的允许列表中并且可从网关访问。如果问题仍然存在，请导航至https://help.webex.com/contact，单击支持，并提出案例。
通过代理连接遥测网关失败。	当连接器无法与所配置的代理建立连接时，会引发此警报。	危险	验证连接器上是否已正确配置代理详细信息（IP 地址和端口凭证），并且可以访问代理。如果问题仍然存在，请导航至https://help.webex.com/contact，单击支持，并提出案例。

安装后活动

Management Connector 的本地管理

成功安装连接器后，您的网关即可与Webex Calling配合使用。如果需要，您可以使用脚本菜单中提供的选项更新许多连接器设置：

您可以使用以下命令随时重新启动脚本： tclsh bootflash:/gateway_connector /gateway_onboarding .tcl 。


===============================================================
Webex Managed Gateway Connector
===============================================================
Options
s : Display Status Page
v : View and Modify Cloud Connector Settings
e : Enable Guestshell
d : Disable Guestshell
l : Collect Logs
r : Clear Logs
u : Uninstall Connector
q : Quit
===============================================================
Select an option from the menu:

启用 Guestshell

使用 e: Enable Guestshell 菜单选项。这会将连接器的状态从 INACTIVE 到 ACTIVE 。

禁用 Guestshell

使用 d: Disable Guestshell 菜单选项。这会将连接器的状态从 ACTIVE 到 INACTIVE 。

卸载连接器

使用 u: Uninstall Connector 菜单选项。此操作将删除 Guestshell 容器中的所有数据，并删除与云连接器相关的所有配置。

收集日志

使用 l: Collect Logs 菜单选项。系统在收集日志后显示这些日志的存储位置。

如果您有关于Cisco TAC的有效支持案例，可以使用以下命令将日志直接附加到服务请求中：复制 bootflash:/guest-share/<log-filename> scp://<case-number> ：<cxd-token> @cxd.cisco.com 。

以下是示例命令：

vcubeprod#copy bootflash:/guest-share/gateway_webex_cloud_logs_2022114090628.tar.gz scp://123456789:a1b2c3d4e5@cxd.cisco.com

清除日志

使用 r: Clear Logs 菜单选项。这将删除除 Tcl 脚本和连接器的最新日志之外的所有现有日志。

查看和修改云连接器设置

使用 v: View and Modify Cloud Connector Settings 菜单选项。


===============================================================
                Webex Managed Gateway Connector
===============================================================
		Script Version         : 2.0.2
		Hostname/IP Addr       : 10.65.125.188
		DNS Server(s)          : 10.64.86.70
		Gateway Username       : lab
		External Interface     : GigabitEthernet1
		Proxy Hostname/IP Addr : proxy-wsa.esl.cisco.com:80
===============================================================
             Options
               c :  Update Gateway Credentials
               e :  Update External Interface
               p :  Update Proxy Details
               n :  Update DNS Server
               k :  Update Connector Package Verification Key
               l :  Modify log level for Cloud Connector
               h :  Go to home menu
               q :  Quit

===============================================================
                        Select an option from the menu: c

更新网关凭证

使用 c: Update Gateway Credentials 菜单选项。

更新外部接口

更改连接器绑定到的接口和连接器IP 地址，使用 v: View and Modify Cloud Connector Settings 菜单选项。

更新代理详细信息

您可以使用 p: Update Proxy Details 菜单选项：

i: Update Proxy IP and Port
c: Update Proxy Credentials
r: Remove Proxy Credentials
a: Remove All Proxy Details
h: Go to home menu

更新连接器软件包验证密钥

如果您有技术问题，并且支持工程师要求您替换软件包验证密钥，请上传新的网关-webex-connectors.gpg文件保存到bootflash：/gateway_connector /并使用 k: Update Connector Package Verification Key 菜单选项以进行验证。

修改 Management Connector 的日志级别

使用 l: Modify log level for Cloud Connector 菜单选项，然后选择以下选项之一：


===============================================
		  Number      Log Level 
===============================================
		    1           DEBUG 
		    2           INFO 
		    3           WARNING 
		    4           ERROR 
		    5           CRITICAL 
===============================================