Untersuchung des gruppenbasierten Analyse-Tools von DNA Center
Inhalt
Einleitung
Dieses Dokument beschreibt die grundlegenden Konzepte des Cisco DNA Center Group-Based Policy Analytics-Tools.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Cisco UCS M4 oder M5 Appliance, 44, 55 oder 112 Kerne
- Cisco DNA Center-Software
-
Cisco Identity Service Engine (ISE)
- Gruppenbasierte Richtlinienkontrolle
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf Cisco DNA Center, das Version 2.3.5 ausführt.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Konfigurieren
Vorprüfungen
Test 1: Sie müssen NetFlow aktivieren, damit Cisco Group-Based Policy Analytics verwendet werden kann. Diese Tabelle zeigt die verschiedenen Möglichkeiten zur Aktivierung von NetFlow auf verschiedenen Netzwerkgeräten.
| Netzwerkgeräte | Serie | NetFlow konfigurierbar im Telemetrie-Abschnitt der Netzwerkeinstellungen in der Cisco DNA Center-Benutzeroberfläche (Flexible NetFlow oder Application Visibility and Control Based NetFlow) | NetFlow konfigurierbar über das Template Hub-Tool in der Benutzeroberfläche des Cisco DNA Center (Flexible NetFlow oder Application Visibility and Control Based NetFlow) | NetFlow-Sammlung in Fabric-Bereitstellung | NetFlow-Sammlung in Nicht-Fabric-Bereitstellungen |
|---|---|---|---|---|---|
| Router | Cisco Integrated Services Router der Serie 1000 (ISR1K) | Ja | Ja | Ja | Ja |
| Cisco Integrated Services Router der Serie 4000 (ISR4K) | Ja | Ja | Ja | Ja | |
| Cisco Cloud Services Router der Serie 1000v (CSR 1000v) | Ja | Ja | Ja | Ja | |
| Cisco Aggregation Services Router der Serie 1000 (ASR1K) | Ja | Ja | Ja | Ja | |
| Switches | Switches der Cisco Catalyst 9200-Serie | Ja | Ja | Ja | Ja |
| Switches der Cisco Catalyst 9300-Serie | Ja | Ja | Ja | Ja | |
| Switches der Cisco Catalyst 9400-Serie | Ja | Ja | Ja | Ja | |
| Switches der Cisco Catalyst 9500-Serie | Nein | Ja | Ja | Ja | |
| Switches der Cisco Catalyst 9600-Serie | Nein | Ja | Ja | Ja | |
| Cisco Catalyst Serie 2k | Nein | Ja | NA | Ja | |
| Switches der Cisco Catalyst 3560-Serie | Nein | Ja | NA | Ja | |
| Switches der Cisco Catalyst 3650-Serie | Nein | Ja | Ja | Ja | |
| Switches der Cisco Catalyst 3850-Serie | Nein | Ja | Ja | Ja | |
| Cisco Catalyst Serie 4k | Nein | Ja | Ja | Ja | |
| Cisco Catalyst Switches der Serie 6500 | Nein | Ja | Ja | Ja | |
| Cisco Catalyst Switches der Serie 6800 | Nein | Ja | Ja | Ja | |
| Wireless-Controller | Cisco Wireless Controller 3504 (AireOS-basiert) | Ja | Ja | Nein | Ja, nur SSID für zentrales Switching |
| Cisco 5520 Wireless Controller (AireOS-basiert) | Ja | Ja | Nein | Ja, nur SSID für zentrales Switching | |
| Cisco Wireless Controller 8540 (AireOS-basiert) | Ja | Ja | Nein | Ja, nur SSID für zentrales Switching | |
| Cisco Catalyst Controller der Serie 9800 |
Ja |
Ja |
Ja |
Ja |
Test 2: Stellen Sie sicher, dass für Ihre Netzwerkgeräte die Cisco DNA Advantage- oder Cisco DNA Premier-Lizenz aktiviert ist.
Test 3: Navigieren Sie auf der Benutzeroberfläche von Cisco DNA Center zu System > Software Management > Current Installed Applications (System > Softwareverwaltung > Derzeit installierte Anwendungen), und bestätigen Sie, dass die Anwendung Group-Based Policy Analytics installiert ist.
Installation der Anwendung für gruppenbasierte Richtlinienanalysen
Test 4: Die Cisco ISE muss integriert sein und über ERS und PxGrid mit dem Cisco DNA Center verfügbar sein. Bestätigen Sie auf System > System 360.
Startseitenaktionen
Navigieren Sie auf der GUI von Cisco DNA Center zu Policy > Group/Based Access Control (Richtlinie > Gruppen-/basierte Zugriffskontrolle).
Group-Based Access Analytics - Startseite
Auf dieser Seite finden Sie:
- Titel: Klicken Sie darauf, um zum Kommunikationsfluss "Skalierbare Gruppen" zu navigieren.
- Suchleiste - Filtert nach einem Gruppentyp; die Filterung kann nach IP- oder MAC-Adresse erfolgen.
- Favoritensymbol - Zeigt die zuletzt verwendeten oder gespeicherten Suchen an.
- Konfigurationssymbol - Verknüpfung zu Richtlinieneinstellungen oder Analyseeinstellungen
Die Kachelfelder zeigen die einzelnen Verkehrsflusszähler der letzten 14 Jahre. Tage für skalierbare Gruppen, ISE-Profile und StealthWatch-Host Gruppen (falls konfiguriert).
Ein eindeutiger Datenverkehrsfluss ist definiert als Datenverkehr mit einem eindeutigen Protokoll und Server-Port (z. B. TCP-Port 80 oder UDP-Port 123)
Wenn StealthWatch nicht konfiguriert ist, wird dieses Kachelfeld nicht angezeigt.
Gruppen
Für diese drei Gruppentypen wird Netzwerktransparenz angezeigt.
- Skalierbare Gruppe Sicherheitsgruppe in ISE und TrustSec-Gruppe in Routern, Switches und WLCs
- ISE-Profil.
- StealthWatch Host Group (HG)
Kommunikation zwischen Gruppen
Die Kommunikation zwischen Gruppen kann auf drei Ebenen erfolgen:
- Mehrere Gruppen zu mehreren Gruppen (n:n)
- Einzelne Gruppe zu mehreren Gruppen (1:n)
- Einzelne Gruppe zu Einzelgruppe (1:n)
Klicken Sie auf die Gruppe Ihrer Präferenz und die Flussansicht wird angezeigt, auf ihr ist die Quelle immer auf der linken Seite und Ziel ist immer auf der rechten Seite. Die erste Ansicht zeigt die Ansicht Mehrere Gruppen zu mehreren Gruppen.
Die Flussansicht ist ein Sankey-Diagramm, das eine Art Flussdiagramm ist, in dem die Breite der Pfeile proportional zur Flussrate der dargestellten Eigenschaft ist.
Ansicht "Mehrere Gruppen zu mehreren Gruppen".
Flussdiagramm für skalierbare Gruppen
Auf dieser Seite finden Sie:
- Suchleiste - Sie können die Quellgruppen filtern.
- Talking to option (Sprechen mit): Nur wenn die Quelle eine skalierbare Gruppe ist, können Sie den Zielgruppentyp auswählen.
- Zeitbereich: Klicken Sie darauf, um das Datum und den Zeitbereich zu ändern. Der Bereich kann 1 Stunde, 12 Stunden oder 24 Stunden betragen.
- Switch tool - Wechseln Sie zwischen der Flow- und der Tabellenansicht.
- Quellgruppe: Klicken Sie auf eine Gruppe, um einen Drilldown zur Ansicht "Einzelne Gruppe für mehrere Gruppen" durchzuführen.
- Link: Bewegen Sie den Mauszeiger über einen Link, und klicken Sie darauf, um eine Drilldown-Liste auf zwei Ebenen zu erstellen, die dann in der Ansicht Einzelne Gruppe zu Einzelne Gruppe angezeigt wird.
Hinweis: Die Ansicht "Mehrere Gruppen zu mehreren Gruppen" zeigt die 25 wichtigsten Quellgruppen mit den meisten Flows.
Tabellenansicht für mehrere Gruppen zu mehreren Gruppen
Tipp: Sie können den Bereich immer erweitern, um mehr als die ersten 25 Einträge anzuzeigen.
Ansicht "Einzelne Gruppe zu mehreren Gruppen"
In dieser Ansicht kann das Flussdiagramm in den Optionen für ausgehende und eingehende Anrufe angezeigt werden.
Die ausgehende Ansicht zeigt eine Quellgruppenkommunikation mit allen Zielgruppen, mit denen Sie sprechen.
Ansicht für ausgehende einzelne Gruppe an mehrere Gruppen
In der Ansicht "Eingehend" werden alle Quellgruppen angezeigt, die mit einer einzigen Zielgruppe kommunizieren.
Eingehende Ansicht für eine einzelne Gruppe an mehrere Gruppen
Auf dieser Seite finden Sie:
- Suchleiste - Geben Sie einen Wert ein, um die Zielgruppen bei ausgehenden Anrufen und die Quellgruppen bei eingehenden Anrufen zu filtern.
- Communicating with (Kommunikation mit): Nur wenn die Quelle eine skalierbare Gruppe ist, können Sie den Zielgruppentyp auswählen.
- Zeitbereich: Klicken Sie darauf, um das Datum und den Zeitbereich zu ändern. Der Bereich kann 1 Stunde, 12 Stunden oder 24 Stunden betragen.
- Switch tool - Wechseln Sie zwischen der Flow- und der Tabellenansicht.
- Navigationspfad: Klicken Sie auf eine beliebige Ebene des Pfads, um den Pfad zu durchlaufen.
- Link: Bewegen Sie den Mauszeiger über einen Link, und klicken Sie darauf, um eine Ebene nach unten zu durchsuchen und schließlich in der Ansicht Einzelne Gruppe zu Einzelne Gruppe zu gelangen.
- Eingehend | Outbound Selector (Ausgehender Selektor): Wählen Sie die Richtung des Datenverkehrs aus.
- Bericht erstellen und herunterladen: Exportieren Sie Daten von dieser Seite, um einen Bericht zu erstellen oder einen zuvor erstellten Bericht herunterzuladen.
- Gruppe - Wählen Sie eine neue Quellgruppe aus.
- Seitennummerierung: Wechseln zur vorherigen oder nächsten Seite oder Ändern der Anzahl von Datensätzen pro Seite.
Ansicht von einer Gruppe zu einer Gruppe
In dieser Ansicht sehen Sie eine Quellgruppenkommunikation mit einer Zielgruppe.
Auf dieser Seite finden Sie:
- Zeitbereich: Klicken Sie darauf, um das Datum und den Zeitbereich zu ändern. Der Bereich kann 1 Stunde, 12 Stunden oder 24 Stunden betragen.
- Switch tool - Wechseln Sie zwischen der Flow- und der Tabellenansicht.
- Navigationspfad: Klicken Sie auf eine beliebige Ebene des Pfads, um den Pfad zu durchlaufen.
- Pfeilsymbol - Klicken Sie darauf, um die Quell- und Zielgruppe zu wechseln.
- Filter - Filter nach Spalte.
- Suchen: Alle vorhandenen Daten filtern.
- Bericht erstellen und herunterladen: Exportieren Sie Daten von dieser Seite, um einen Bericht zu erstellen oder einen zuvor erstellten Bericht herunterzuladen.
- Seitennummerierung: Wechseln zur vorherigen oder nächsten Seite oder Ändern der Anzahl von Datensätzen pro Seite.
Berichte
Exportdaten sind verfügbar für:
- Beliebige Kommunikationstabelle zwischen Gruppen
- IP-/MAC-Adresse
Berichtsoptionen
Tipp: Der Berichtsabschnitt ist für eine schreibgeschützte Benutzerrolle nicht verfügbar.
Zugehörige Informationen
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
28-Jul-2023 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)