Examine la herramienta de análisis de políticas basadas en grupos de DNA Center

Actualizado:28 de julio de 2023
ID del documento:220665

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe los conceptos básicos de la herramienta de análisis de políticas basadas en grupo Cisco DNA Center.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Dispositivo Cisco UCS M4 o M5, 4, 55 o 112 núcleos 
    • software Cisco DNA Center

    • Cisco Identity Service Engine (ISE)

    • Control de Políticas Basado en Grupo

    Componentes Utilizados

    La información de este documento se basa en Cisco DNA Center que ejecuta la versión 2.3.5.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Comprobaciones previas

    Comprobación 1. Debe habilitar NetFlow para utilizar Cisco Group-Based Policy Analytics. Esta tabla muestra las diversas maneras en que se puede habilitar NetFlow en diferentes dispositivos de red.

    Tabla 1.Soporte de dispositivo
    Dispositivos de red Serie NetFlow configurable en la sección de telemetría de la configuración de red en la IU de Cisco DNA Center (Flexible NetFlow o NetFlow basado en la visibilidad y el control de la aplicación) NetFlow Configurable mediante la herramienta de hub de plantillas en la interfaz de usuario de Cisco DNA Center (Flexible NetFlow o NetFlow basado en la visibilidad y el control de la aplicación) Recopilación de NetFlow en la implementación de fabric Colección NetFlow en implementaciones que no son de fabric
    Routers Routers de servicios integrados de la serie 1000 de Cisco (ISR1K) Yes Yes Yes Yes
    Routers de servicios integrados de la serie Cisco 4000 (ISR4K) Yes Yes Yes Yes
    Router para servicios basados en la nube de Cisco serie 1000v (CSR 1000v) Yes Yes Yes Yes
    Routers de servicios de agregación de la serie Cisco 1000 (ASR1K) Yes Yes Yes Yes
    Switches Cisco Catalyst de la serie 9200 Yes Yes Yes Yes
    Cisco Catalyst de la serie 9300 Yes Yes Yes Yes
    Cisco Catalyst de la serie 9400 Yes Yes Yes Yes
    Cisco Catalyst de la serie 9500 No Yes Yes Yes
    Cisco Catalyst de la serie 9600 No Yes Yes Yes
    Cisco Catalyst serie 2k No Yes NA Yes
    Cisco Catalyst de la serie 3560 No Yes NA Yes
    Cisco Catalyst de la serie 3650 No Yes Yes Yes
    Cisco Catalyst de la serie 3850 No Yes Yes Yes
    Cisco Catalyst serie 4k No Yes Yes Yes
    Cisco Catalyst 6500 Series Switches No Yes Yes Yes
    Switches Cisco Catalyst serie 6800 No Yes Yes Yes
    Controladores inalámbricos Controlador inalámbrico Cisco 3504 (basado en AireOS) Yes Yes No Sí, solo SSID de switching central
    Controlador inalámbrico Cisco 5520 (basado en AireOS) Yes Yes No Sí, solo SSID de switching central
    Controlador inalámbrico Cisco 8540 (basado en AireOS) Yes Yes No Sí, solo SSID de switching central

    Controlador basado en Cisco Catalyst 9800

    Yes

    Yes

    Yes

    Yes

    Comprobación 2. Asegúrese de que sus dispositivos de red tienen activada la licencia Cisco DNA Advantage o Cisco DNA Premier.

    Comprobación 3. En la GUI de Cisco DNA Center, navegue hasta System > Software Management > Currently Installed Applications y confirme que la aplicación Group-Based Policy Analytics está instalada. 

    Group Based Policy Analytics application installedAplicación de análisis de políticas basadas en grupo instalada

    Comprobación 4. Cisco ISE debe estar integrado y disponible a través de ERS y PxGrid con Cisco DNA Center. Confirme en System > System 360. 

    Externally Connected Systems

    Acciones de página de inicio

    En la GUI del Cisco DNA Center, navegue hasta Política > Control de acceso basado en grupo.

    Group Based Access Analytics Home PagePágina Inicial de Análisis de Acceso Basado en Grupo

    En esta página puede encontrar:

    1. Cuadro Título: haga clic en él para desplazarse al flujo de comunicación de grupos escalables.
    2. Barra de búsqueda: ayuda a filtrar por cualquier tipo de grupo; el filtro se puede realizar por dirección IP o dirección MAC. 
    3. El icono Favorito: muestra las búsquedas recientes o guardadas.
    4. Icono de configuración: acceso directo a la configuración de políticas o de análisis,

    Los cuadros muestran los recuentos de flujos de tráfico únicos de los últimos 14 días para grupos escalables, perfiles de ISE y host de StealthWatch Grupos (si se han configurado).

    Un flujo de tráfico único se define como tráfico con un protocolo y un puerto de servidor únicos (como el puerto TCP 80 o el puerto UDP 123)

    Como ejemplo, si StealthWatch no está configurado, no se mostrará ese cuadro en mosaico. 

    Grupos

    Se muestra la visibilidad de la red para estos tres tipos de grupos.

    1. Grupo escalable (SG). Conocido como grupo de seguridad en ISE y grupo TrustSec en routers, switches y WLC 
    2. Perfil de ISE.
    3. Grupo de hosts de StealthWatch (HG).

    Comunicación de grupo a grupo

    La comunicación de los grupos se puede separar en tres niveles:

    1. Varios grupos a varios grupos (varios a varios) 
    2. Grupo único a varios grupos (uno a varios) 
    3. Grupo único a grupo único (uno a varios) 

    Haga clic en el Grupo de su preferencia y se presenta la vista de flujo, en ella el Origen siempre está en el lado izquierdo y el Destino siempre está en el lado derecho. La primera vista que se presenta es la vista Varios grupos a varios grupos.

    La vista de flujo es un diagrama Sankey que es un tipo de diagrama de flujo en el que el ancho de las flechas es proporcional al flujo de la propiedad representada.

    Vista de varios grupos a varios grupos.

    Flow chart for Scalable GroupsDiagrama de flujo para grupos escalables

    En esta página puede encontrar:

    1. Barra de búsqueda: puede filtrar los grupos de origen.
    2. Opción Hablando con: Sólo si el origen es un grupo escalable puede elegir el tipo de grupo de destino. 
    3. Intervalo de tiempo: haga clic en él para cambiar la fecha y el intervalo de tiempo. El intervalo puede ser de 1 hora, 12 horas o 24 horas.
    4. Cambiar herramienta: permite cambiar entre la vista Flujo y la vista Tabla.
    5. Grupo de origen: haga clic en un grupo para acceder a la vista Grupo único en varios grupos.
    6. Vínculo: pase el ratón sobre un vínculo y haga clic en él para obtener detalles de dos niveles y terminar en la vista Grupo único a grupo único.
    note-icon

    Nota: La vista Varios grupos a varios grupos muestra los 25 grupos de origen principales con más flujos.

    Table view for Multiple Group to Multiple GroupVista de tabla para grupo múltiple a grupo múltiple

    tip-icon

    Sugerencia: siempre puede ampliar el rango para ver más de las primeras 25 entradas.

    Vista de un solo grupo a varios grupos

    En esta vista, el diagrama de flujo se puede mostrar en las opciones Saliente y Entrante.

    La vista de salida muestra una comunicación de grupo de origen con todos los grupos de destino con los que habla.

    Outbound single group to multiple groups viewVista de grupo único saliente a varios grupos

    La vista Entrante muestra todos los grupos de origen que se comunican con un único grupo de destino.

    Inbound view for single group to multiple groupsVista entrante de un solo grupo a varios grupos

    En esta página puede encontrar:

    1. Barra de búsqueda: introduzca un valor para filtrar los grupos de destino si son salientes y los grupos de origen si son entrantes.
    2. Comunicarse con: sólo si el origen es un grupo escalable, puede elegir el tipo de grupo de destino. 
    3. Intervalo de tiempo: haga clic en él para cambiar la fecha y el intervalo de tiempo. El intervalo puede ser de 1 hora, 12 horas o 24 horas.
    4. Cambiar herramienta: permite cambiar entre la vista Flujo y la vista Tabla.
    5. Ruta de navegación: haga clic en cualquier nivel de la ruta para desplazarse por ella.
    6. Vínculo: pase el ratón sobre un vínculo y haga clic en él para desplazarse un nivel y terminar en la vista Grupo único a grupo único.
    7. Entrante | Selector de salida: seleccione la dirección del tráfico.
    8. Crear informe y descargar informe: exporta datos desde esta página para crear un informe o descargar un informe creado anteriormente.
    9. Grupo: seleccione un nuevo grupo de origen.
    10. Paginación: permite desplazarse a la página anterior o siguiente, o bien cambiar el número de registros por página.

    Vista de un solo grupo a un solo grupo

    En esta vista puede ver una comunicación de grupo de origen con un grupo de destino.

    Explore Scalable Groups

    En esta página puede encontrar:

    1. Intervalo de tiempo: haga clic en él para cambiar la fecha y el intervalo de tiempo. El intervalo puede ser de 1 hora, 12 horas o 24 horas.
    2. Cambiar herramienta: permite cambiar entre la vista Flujo y la vista Tabla.
    3. Ruta de navegación: haga clic en cualquier nivel de la ruta para desplazarse por ella.
    4. Icono de flecha: Haga clic en él para intercambiar los grupos de origen y destino.
    5. Filtro: filtro por columna.
    6. Buscar: filtra por todos los datos existentes.
    7. Crear informe y descargar informe: exporta datos desde esta página para crear un informe o descargar un informe creado anteriormente.
    8. Paginación: permite desplazarse a la página anterior o siguiente, o bien cambiar el número de registros por página.

    Informes

    Los datos de exportación están disponibles para:

    • Tabla de comunicación de cualquier grupo a grupo
    • Dirección IP/MAC

    Report optionsOpciones de informe

    tip-icon

    Sugerencia: la sección de informes no está disponible para el rol de usuario de solo lectura.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    28-Jul-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Diego Granados
      Customer Delivery Engineering Technical Leader

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos