将Cisco IOS托管网关注册到Webex Cloud
托管网关
将Cisco IOS网关注册到Control Hub可帮助您简化设备管理,并允许您使用新的Webex呼叫服务。由于网关与Control Hub保持连接,您可以从任何地方管理并监控它们,以及其他Webex呼叫设备。要注册网关,您必须安装管理连接器应用程序,并确保与Cisco Webex云有安全连接。建立此连接后,您可以通过登录Control Hub来注册网关。
此过程不适用于Cisco IOS语音网关(例如VG400),它在Control Hub中完全作为设备进行管理。
称为GuestShell的小型连接器应用程序负责建立和维护从网关到Control Hub的连接。GuestShell和连接器应用程序使用脚本进行配置和设置,脚本在注册过程中从Webex云的网关上运行。
为了简化安装过程,脚本添加了一些必要的网关配置。
网关连接器是GuestShell网关中运行的小型应用程序,用于维护与Control Hub的连接、协调事件并收集状态信息。有关GuestShell的更多信息,请参阅 GuestShell。
网关连接器安装在Cisco IOS XE GuestShell容器上。
连接器有两种类型:
-
管理连接器
-
遥测连接器
交互式菜单驱动的TCL脚本有助于设置GuestShell,以及管理连接器的安装和维护。
管理连接器负责远程测量连接器的网关注册和生命周期管理。
成功完成注册后,管理连接器下载并安装最新的遥测连接器。
以下图表显示了Webex呼叫解决方案中不同组件如何连接:
作为TCL脚本执行的一部分,从用户收集以下信息:
-
外部接口
-
DNS服务器地址
-
代理详细信息
-
连接器IP地址
-
网关凭证(用户名和密码)
TCL脚本执行以下配置:
-
虚拟端口组-需要guestshell配置。
-
格斯特贝尔
-
NETCONF杨
-
SNMP陷阱配置-需要来自Cisco IOS XE的通知。
-
IP Route-通过虚拟端口组路由连接器相关流量。
TCL脚本执行以下配置:
VirtualPortGroup 0 ip无编号GigabitEthernet1无拖机启用无拖机sysid ! !应用程序主机appid guestshell app-vnic gateway0 virtualportgroup 0 guest-interface 0 guest-ipaddress 10.65.125.227 netmask 255.255.255.128 app-default-gateway 10.65.125.142 guest-interface 0 app-resource profile custom cpu 800 memory 256 persist-disk 500 name-server0 72.163.128.140 name-server1 8.8.8.8!!netconf-yang netconf-yang cisco-ia snmp-trap-control trap-list 1.3.6.1.4.1.9.9.41.2.0.1 netconf-yang cisco-ia snmp-community-string网关-Webex-Cloud!!记录snmp-trap紧急情况记录snmp-trap警报snmp-trap关键记录snmp-trap警告snmp-trap通知!!snmp-server社区网关-Webex-Cloud RO snmp-server启用陷阱syslog snmp-server管理器!!ip路10.65.125.227,255.255.255.255.255 VirtualPortGroup0!
对于样本配置:
-
GigabitEthernet1被分配为外部接口。GigabitEthernet1的IP地址为10.65.125.142。
-
连接器IP地址必须与为外部连接选择相同的网络中。它可能是专用网络地址,但必须具有HTTPS访问互联网的权限。
-
TCL脚本跟踪并保存配置更改至Cisco IOS XE启动配置。
-
作为卸载过程的一部分,TCL脚本将删除配置更改。
安装前,请考虑连接器应用程序不能与以下内容一起使用:
- Cisco 1100集成服务路由器平台
- 以高可用性(HA)模式配置的平台
- 在SD-WAN网络控制器模式下配置的平台
对于Cisco IOS语音网关(如VG400),您无需安装连接器应用程序。您可以通过Control Hub对其进行全面配置和管理。
配置路由器与连接器应用程序一起使用时,请考虑以下事项:
-
IOS XE使用代理ARP将流量路由到宾客shell。请勿配置无ip proxy-arp 命令来禁用此功能。
-
请勿在为Cisco统一边界元素(CUBE)配置的平台上使用网络地址转换(NAT)。因此,使用可路由的IP地址配置连接器应用程序。也就是说,它无法共享路由器接口地址。
为网关注册做好准备:
-
以组织管理员身份访问Control Hub
-
要配置的设备的IP地址、用户名和密码。
-
Cisco IOS XE版本:
-
本地网关— Cisco IOS XE Bengaluru 17.6.1a或更高版本
-
生存性网关— Cisco IOS XE Dublin 17.12.3或更高版本
有关推荐版本,请参阅 Cisco软件研究。搜索平台并选择建议 版本之一。
-
-
系统先决条件
-
最低免费内存- 256 MB
-
最小磁盘空间—连接至用于连接器安装的网关的硬盘(SSD)必须具有2000 MB的可用空间。此外,Bootflash必须具有50MB的可用空间。用于存储日志和RPM文件。
如果硬盘未连接到网关,则将使用引导闪存来安装连接器。然后,Bootflash必须具有2000 MB的可用空间。
-
如果路由器的引导闪存为4GB,且可用容量小于2GB(最小容量),请删除除当前正在运行的IOS二进制(。bin)映像。删除文件后,释放额外的空间。
以下是可选择步骤以释放引导闪存磁盘空间。执行以下步骤并更改启动文件以安装模式:
-
路由器使用捆绑引导模式(从 。bin 启动)。
-
。pkgs 尚未提取(安装模式)。
使用以下步骤从组件扩展二进制图像和启动:
-
使用
mkdir bootflash:/image
创建新目录。 -
使用
请求平台软件包将文件bootflash:/。bin扩展到bootflash:/image
扩展IOS二进制图像。 -
在配置模式下,使用
无启动系统
删除当前启动选项。 -
配置新引导语句:
引导系统启动闪存文件:/image/packages.conf
。 -
退出配置模式,保存配置并重新启动。
-
路由器重新启动后,使用
显示版本
验证路由器是否从bootflash:/image/packages.conf
中启动。如果是:-
验证
引导闪存:/sysboot
目录是否为空。 -
删除剩余的IOS二进制图像。
-
使用
删除/f /r bootflash:/core/*
删除任何核心图像。 -
使用
删除/f /r bootflash:/tracelogs/*
删除跟踪日志文件。 -
如果磁盘空间仍然不足,请在bootflash中查看剩余文件:并删除任何其他非必要文件,如日志和CDR。
-
-
一个受支持的Cisco路由器,该路由器连接到具有互联网路径的网络。基本配置必须具有以下内容:
-
DNS服务器已配置为解决公共域名。
-
要配置DNS服务器,请使用以下命令:
-
ip名称服务器
-
-
如果您想通过代理连接到互联网,HTTP代理服务器。
-
网关凭证:连接器可通过NETCONF接口访问网关的权限级别15的凭证(用户名和密码)。
要验证和授权NETCONF访问权限,请确保默认的AAA列表按照示例中的说明配置。您可以在缺省列表中使用任何方法选项。您无法使用名为aaa列表来控制NETCONF访问权限。如果默认列表配置不正确,您可能会在系统日志中看到“无效方法列表”错误消息。
aaa新型aaa身份验证登录缺省半径本地aaa授权执行缺省半径本地如果已验证的用户名测试权限15秘密<password>
网络先决条件
-
连接器IP地址必须与为外部连接选择相同的网络中。它可能是专用网络地址,但必须具有HTTPS访问互联网的权限。
如果您在Amazon Web Services (AWS)上使用虚拟CUBE作为本地网关,请参阅在AWS上关联虚拟CUBE的次要IP地址 有关如何关联用于连接器使用的次要IP地址的步骤。
-
连接到Control Hub和内部设备以完成注册流程。
-
Webex服务的URL:
-
*.ucmgmt.cisco.com
-
*.webex.com
-
*.wbx2.com
-
-
运输协议:传输层安全(TLS)版本1.2
-
导入IOS公共证书授权包。添加至网关信任池的证书用于验证Webex服务器的访问权限。使用以下配置命令导入捆绑。
加密的pki trustpool导入url https://www.cisco.com/security/pki/trs/ios.p7b
-
如果您在AWS上使用VIRTUAL CUBE作为本地网关,请在AWS接口上执行以下步骤,以关联次级IP地址供连接器使用。
我们建议您在维护窗口中执行此活动。
开始之前
-
要将Amazon Web Services (AWS)上的虚拟CUBE用作本地网关,您必须将次要私有IP地址与网关接口关联起来。您可以将此IP地址用作连接器IP地址。
-
将弹性 公共IP地址与次级IP地址关联,以便次级IP地址可以公开用于网关注册。
-
关联的安全组策略必须允许HTTPS入站流量才能成功注册。您可以在完成注册后删除此项。
1 |
转至服务 > EC2 > 实例,然后选择Cisco网关实例。 |
2 |
在网络接口 窗口中,单击eth0。 对话框显示有关eth0 接口的详细信息。 |
3 |
单击界面ID值。 |
4 |
单击操作,然后从下拉列表中选择管理IP地址 。 |
5 |
展开eth0 并选择分配新IP地址 并确认分配。 注意此次级IP地址。 |
6 |
单击操作 ,然后从下拉列表中选择员工地址 。 |
7 |
从弹性IP地址 列表中选择可用的公共IP地址。 验证所选的IP地址是否与您记录的次级IP地址相符。 |
8 |
(可选)要重新分配当前使用的公共IP地址,并将其映射到另一个弹性网络接口(ENI),请单击允许重新关联。 |
9 |
单击关联地址 将公共IP地址(Amazon弹性IP)与网络接口的私有IP地址关联。 |
您现在可以在执行连接器安装时将此私有IP地址用作连接器IP地址。使用相应的公共IP地址(Amazon弹性IP地址)注册Control Hub。
如果您已将网关添加到Control Hub,并已安装管理连接器,则可以跳过此程序。转至注册控制中心网关 的第5步,以完成注册流程。
1 | |
2 |
转至服务,单击呼叫 ,然后单击托管网关。
|
3 |
单击添加网关。 |
4 |
复制添加托管网关 窗口中显示的tclsh 命令。在管理连接器安装程序期间,必须在网关CLI上运行命令。 |
下一步
在网关上安装连接器后,您可以在Control Hub中恢复注册流程。
在继续安装管理连接器之前,请确保满足所有先决条件。
执行脚本
使用控制台或SSH连接登录网关,然后将以下字符串粘贴到路由器执行命令提示符中: tclsh https://binaries.webex.com/ManagedGatewayScriptProdStable/gateway_onboarding.tcl
|
开始安装
如果连接器尚未设置,脚本将带您到安装菜单;如果连接器已设置,则带您到主页菜单。
1 |
选择与连接器保留的地址相同的网络中的接口。
|
2 |
配置连接器使用的DNS服务器。默认情况下,使用IOS中配置的服务器。
Y是这里的默认输入。如果您按输入,则以Y为输入。 如果需要,可以覆盖检测到的设置: |
3 |
如果您需要使用代理来访问互联网,请在提示时输入代理详细信息。 如果网关已配置为代理,默认情况下将使用以下详细信息。如果需要,请键入 n 以覆盖这些设置。
|
4 |
配置SNMP陷阱设置。 要将通知推送到Cisco Webex云,如果设置低于通知级别,脚本将更新路由器中的SNMP陷阱配置级别。系统会提示您确认是否将SNMP陷阱配置更改为通知级别。要保留当前SNMP陷阱配置级别,请选择 n。 |
5 |
输入连接器IP地址。
|
6 |
输入连接器用于访问路由器NETCONF接口的用户名和密码。
手动输入密码。复制和粘贴可能无法工作。 输入您在“先决条件”部分中标识的网关凭据。连接器使用凭证访问路由器IOS NETCONF接口。 安装成功后,您将收到“云连接器已成功安装” 消息。
安装成功后选择“q”选项即可退出脚本。如果安装失败,您可以选择“h”选项来更改任何设置、收集日志等。有关详细信息,请参阅安装后活动 部分。如果要重试安装,您可以选择卸载,然后重新启动脚本以再次尝试安装。 您可以直接使用 |
开始之前
1 |
在Control Hub中,检查添加托管网关 窗口中已安装的网关详细信息。 如果窗口未显示,请转至服务,单击呼叫。单击托管网关,然后单击添加网关。 |
2 |
在添加托管网关 窗口中,检查我已在网关上安装了管理连接器 ,然后单击下一步。 执行此步骤之前,请确保连接器已成功安装。 |
3 |
在添加托管网关 屏幕中,输入您在连接器安装过程中输入的连接器IP地址,以及网关的首选显示名称。 |
4 |
单击下一步。
连接到路由器上的连接器管理页面的浏览器标签页将打开,以便您完成注册。
|
5 |
要登录,请输入您在连接器安装过程中使用的网关管理员用户名 和密码 ,详见第6步。 |
6 |
单击立即注册 打开新窗口,用于向Webex云验证连接器。 确保您的浏览器允许弹出窗口。 |
7 |
使用Webex管理员帐户登录。 |
8 |
检查允许访问网关管理连接器。 |
Control Hub中显示的连接器的总体状态取决于托管网关上的遥测和管理连接器的状态。
Control Hub中的连接器状态 | 描述 |
---|---|
在线 | 表示连接器已连接 到Cisco Webex云。 |
离线 | 表示连接器未连接 到Cisco Webex云。 |
已暂停 | 表示连接器已连接,但暂时暂停 。 |
连接器警报和事件
本部分介绍遥测连接器模块中生成的警报。遥测连接器向Cisco Webex云发送警报。在Control Hub中,
页面会显示这些警报。您可以使用事件详细信息页面中显示的跟踪ID与连接器侧的相应日志相关联。
下表描述了与连接器相关的消息:
职位 |
描述 |
严重级别 |
解决方案 |
---|---|---|---|
遥测模块已启动。 |
当遥测模块开始功能时,将发送此消息。 |
提示 |
不适用 |
遥测模块升级。 |
当遥测模块已从“old_version”升级到“new_version”时发送此消息。 |
提示 |
不适用 |
NETCONF连接失败。 |
当遥测模块未能建立NETCONF连接至网关时,将引发此警报。 |
紧急 |
验证 NETCONF 是否已在网关上启用并可从连接器访问。尝试禁用和启用连接器容器。如果问题仍然存在,请转至 https://help.webex.com/contact,单击支持,并提出案例。 |
NETCONF验证失败。 |
当遥测模块未能建立NETCONF连接至网关时,将引发此警报。 |
紧急 |
验证网关上的用户名和密码是否正确配置。尝试禁用和启用连接器容器。如果问题仍然存在,请转至 https://help.webex.com/contact,单击支持,并提出案例。 |
NETCONF SNMP事件订阅失败。 |
当Telemetry模块无法为SNMP事件创建NETCONF订阅时会出现此警报。 |
紧急 |
验证网关上已启用NETCONF,并在连接器中可访问。尝试禁用和启用连接器容器。如果问题仍然存在,请转至 https://help.webex.com/contact,单击支持,并提出案例。有关如何启用和禁用的更多信息,请参阅安装后活动。 |
遥测度采集失败。 |
当遥测模块无法通过NETCONF GET查询从网关收集指标时,将出现此警报。 |
紧急 |
验证 NETCONF 是否已在网关上启用并可从连接器访问。尝试禁用和启用连接器容器。如果问题仍然存在,请转至 https://help.webex.com/contact,单击支持,并提出案例。有关如何启用和禁用的更多信息,请参阅安装后活动。 |
遥测网关连接失败。 |
当连接器无法与遥测网关建立网络套接字连接时,将引发此警报。 |
紧急 |
验证远程测定网关URL (*。ucmgmt.cisco.com)是否位于企业防火墙允许列表中,并且可从网关访问。如果问题仍然存在,请转至 https://help.webex.com/contact,单击支持,并提出案例。 |
通过代理进行遥测网关连接失败。 |
当连接器无法与已配置的代理建立连接时,将出现此警报。 |
紧急 |
验证连接器上是否正确配置了代理详细信息(IP地址和端口凭证),且代理可访问。如果问题仍然存在,请转至 https://help.webex.com/contact,单击支持,并提出案例。 |
连接器登录
管理连接器和遥测连接器的连接器状态显示在连接器详细信息页上。
在 https:// 登录连接器详细信息页面
要登录,请使用安装期间输入的凭据。
您也可以通过选择 s来检查连接器状态:在TCL脚本中显示状态页面 选项。参见安装后活动。
请参阅表格以了解连接器模块的状态。
管理连接器状态
管理连接器状态 |
连接状态 |
描述 |
---|---|---|
正在运行 |
已连接 |
表示连接器处于运行 状态,设备已连接 到Cisco Webex云。 |
正在运行 |
未连接 |
表示连接器处于运行 状态,但设备未连接 到Cisco Webex云。 |
正在运行 |
心跳失败 |
表示连接器处于运行 状态,但注册设备的心跳失败 。 |
正在运行 |
注册失败 |
表示连接器处于运行 状态,但将设备注册到Cisco Webex云失败。 |
遥测连接器状态
遥测连接器状态 |
连接状态 |
描述 |
---|---|---|
未安装 |
不可用 |
表示遥测连接器未安装。 |
正在下载 |
不可用 |
表示遥测连接器正在下载。 |
正在安装 |
不可用 |
表示遥测连接器正在安装。 |
未配置 |
不可用 |
表示遥测连接器安装成功,但服务尚未开始或尚未配置。 |
正在运行 |
不可用 |
表示遥测连接器正在运行 ,但有关其与Cisco Webex云连接的信息不可用。 |
正在运行 |
已连接 |
表示遥测连接器处于运行 状态,并且已连接到Cisco Webex云。 |
正在运行 |
未连接 |
表示遥测连接器处于运行 状态,但未连接到Cisco Webex云。 |
正在运行 |
心跳失败 |
表示遥测连接器处于运行 状态,Cisco Webex云的遥测心跳失败。 |
已禁用 |
不可用 |
表示遥测连接器处于维护模式(禁用状态) ,且有关其与云连接的信息不可用。 |
已停止 |
已断开连线 |
表示遥测连接器处于停止 状态(可能是部分或同时停止遥测服务和WebSocket代理服务),并且未连接到Cisco Webex云。 |
管理连接器的本地管理
成功安装连接器后,您可以将Webex呼叫与网关一起使用。如果需要,可以使用脚本菜单中的选项更新一些连接器设置:
您可以随时使用以下命令重新启动脚本:tclsh bootflash:/gateway_connector/gateway_onboarding。tcl
。
=============================================================== Webex托管网关连接器 =============================================================== 选项如下:显示状态页面v:查看和修改云连接器设置e:启用Guestshell d:禁用Guestshell l:收集日志r:清除日志u:卸载连接器q:退出 =============================================================== 从菜单中选择一个选项:
显示状态
使用 :显示状态页面
菜单选项。系统显示不同连接器模块的状态。
=============================================================== Webex托管网关连接器 =============================================================== ------------------------------------------------------- ***接口状态*** ------------------------------------------------------- 接口IP地址状态 ------------------------------------------------------- GigabitEthernet1 10.123.221.224最新连接器10.123.221.223最新连接器 -------------------------------------------------------***应用程序状态*** ------------------------------------------------------- 服务状态 ------------------------------------------------------- Guestshell正在运行管理连接器正在运行 ------------------------------------------------------- =============================================================== 为主菜单选择选项h或要退出q:q
启用Guestshell
使用 e启用云连接器:启用Guestshell
菜单选项。这会将连接器的状态从非活动
更改为活动
。
禁用Guestshell
使用 d禁用云连接器:禁用Guestshell
菜单选项。这会将连接器的状态从活动
更改为非活动
。
卸载连接器
使用 u卸载云连接器:卸载连接器
菜单选项。这会删除Guestshell容器中的所有数据,并删除与云连接器相关的所有配置。
收集日志
使用l收集日志:收集日志
菜单选项。系统会显示收集日志后存储这些日志的位置。
如果您有Cisco TAC的活跃支持案例,您可以使用 copy bootflash:/guest-share/ scp://:@cxd.cisco.com
命令将日志直接连接到服务请求。
以下是一个示例命令:
vcubeprod#copy bootflash:/guest-share/gateway_webex_cloud_logs_2022114090628.tar.gz scp://123456789:a1b2c3d4e5@cxd.cisco.com
清除日志
使用r清除设备中的所有日志文件:清除日志
菜单选项。这将删除除TCL脚本和连接器的最新日志之外的所有现有日志。
查看和修改云连接器设置
使用 v对云连接器的现有设置进行以下更改:查看和修改云连接器设置
菜单选项。
=============================================================== Webex托管网关连接器 =============================================================== 脚本版本:2.0.2主机名/IP Addr:10.65.125.188 DNS服务器:10.64.86.70网关用户名:实验室外部接口:GigabitEthernet1代理主机名/IP Addr:proxy-wsa.esl.cisco.com:80 =============================================================== 选项c:更新网关凭据e:更新外部接口p :更新代理详细信息n:更新DNS服务器k:更新连接器包验证键l:修改Cloud Connector h的日志级别:转至主菜单q:退出 =============================================================== 从菜单中选择一个选项:c
更新网关凭据
使用 c更新网关用户名和密码:更新网关凭据
菜单选项。
更新外部界面
使用v更改连接器绑定的接口和连接器IP地址:查看和修改云连接器设置
菜单选项。
更新代理详细信息
您可以使用 p执行以下任务:更新代理详细信息
菜单选项:
-
i:更新代理IP和端口
-
c: 更新代理凭证
-
r:删除代理凭据
-
a:删除所有代理详细信息
-
h:转至主菜单
更新连接器包验证密钥
如果遇到技术问题,如果支持工程师请求替换包验证密钥,请将新的gateway-webex-connectors.gpg
文件上传至bootflash:/gateway_connector/
,然后使用k:更新连接器包验证键
菜单选项以验证。
修改管理连接器的日志级别
使用 l更改连接器的日志级别:修改Cloud Connector
菜单选项的日志级别,然后选择以下选项之一:
===================================== 号码日志级别 ===================================== 1个调试2个信息3个警告4个错误5个关键因素 ======================================
要管理网关实例:
-
登录到控制中心。
-
转至服务,单击呼叫,然后单击托管网关。
-
对于适用的网关实例,在操作 列中单击操作 并选择适用的操作。
暂停或恢复连接器
暂停连接器 指示管理连接器停止遥测连接器。您可以使用此选项在解决网关的任何问题时暂时停止遥测连接器。暂停连接器时,配置验证等服务不起作用。使用恢复连接器 操作重新启动遥测连接器。
1 |
从操作 菜单中,选择暂停连接器 以暂停管理连接器。 |
2 |
要恢复暂停的连接器,请单击操作 菜单中的恢复连接器 。 |
活动历史记录
Control Hub会记录并显示托管网关的活动历史记录。查看单个网关的详细信息或所有托管网关的合并详细信息。
1 |
单击呼叫 页面中的活动历史记录 以查看所有托管网关的活动详细信息。 |
2 |
有关特定于网关的事件详细信息,单击该网关的操作 菜单中的事件历史记录 。 |
删除网关
1 |
从操作 菜单中,单击删除网关 以删除您的任何网关实例。 |
2 |
单击“确认”。 您无法删除具有已分配服务的网关实例。先取消分配服务。 |