Esamina lo strumento di analisi dei criteri basati su gruppo DNA Center
Sommario
Introduzione
Questo documento descrive i concetti base dello strumento di analisi dei criteri basati su gruppo Cisco DNA Center.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Appliance Cisco UCS M4 o M5, 44, 55 o 112 core
- Software Cisco DNA Center
-
Cisco Identity Service Engine (ISE)
- Controllo dei criteri basato su gruppo
Componenti usati
Il riferimento delle informazioni contenute in questo documento è Cisco DNA Center versione 2.3.5.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
Controlli preliminari
Controllare 1. È necessario abilitare NetFlow per utilizzare Cisco Group-Based Policy Analytics. Nella tabella vengono mostrati i vari modi in cui NetFlow può essere abilitato su diversi dispositivi di rete.
| Dispositivi di rete | Serie | NetFlow Configurabile nella sezione telemetria di Impostazioni di rete in Cisco DNA Center UI (Flexible NetFlow o Application Visibility and Control Based NetFlow) | NetFlow configurabile con lo strumento template hub nell'interfaccia utente di Cisco DNA Center (Flexible NetFlow o Application Visibility and Control Based NetFlow) | Raccolta NetFlow nella distribuzione dell'infrastruttura | Raccolta NetFlow nella distribuzione non fabric |
|---|---|---|---|---|---|
| Router | Cisco serie 1000 Integrated Services Router (ISR1K) | Sì | Sì | Sì | Sì |
| Cisco serie 4000 Integrated Services Router (ISR4K) | Sì | Sì | Sì | Sì | |
| Cisco Cloud Services Router serie 1000v (CSR 1000v) | Sì | Sì | Sì | Sì | |
| Cisco serie 1000 Aggregation Services Router (ASR1K) | Sì | Sì | Sì | Sì | |
| Switch | Cisco Catalyst serie 9200 | Sì | Sì | Sì | Sì |
| Cisco Catalyst serie 9300 | Sì | Sì | Sì | Sì | |
| Cisco Catalyst serie 9400 | Sì | Sì | Sì | Sì | |
| Cisco Catalyst serie 9500 | No | Sì | Sì | Sì | |
| Cisco Catalyst serie 9600 | No | Sì | Sì | Sì | |
| Cisco Catalyst serie 2k | No | Sì | N/D | Sì | |
| Cisco Catalyst serie 3560 | No | Sì | N/D | Sì | |
| Cisco Catalyst serie 3650 | No | Sì | Sì | Sì | |
| Cisco Catalyst serie 3850 | No | Sì | Sì | Sì | |
| Cisco Catalyst serie 4k | No | Sì | Sì | Sì | |
| Switch Cisco Catalyst serie 6500 | No | Sì | Sì | Sì | |
| Switch Cisco Catalyst serie 6800 | No | Sì | Sì | Sì | |
| Controller wireless | Cisco 3504 Wireless Controller (basato su AireOS) | Sì | Sì | No | Sì, solo SSID di switching centrale |
| Cisco 5520 Wireless Controller (basato su AireOS) | Sì | Sì | No | Sì, solo SSID di switching centrale | |
| Cisco 8540 Wireless Controller (basato su AireOS) | Sì | Sì | No | Sì, solo SSID di switching centrale | |
| Controller basato su Cisco Catalyst 9800 |
Sì |
Sì |
Sì |
Sì |
Controllare 2. Accertarsi che la licenza Cisco DNA Advantage o Cisco DNA Premier sia abilitata per i dispositivi di rete.
Controllo 3. Dalla GUI di Cisco DNA Center selezionare System > Software Management > Current Installed Applications (Sistema > Gestione software > Applicazioni attualmente installate) e confermare che l'applicazione Group-Based Policy Analytics è installata.
Applicazione Analisi criteri basata su gruppo installata
Selezionare 4. Cisco ISE deve essere integrato e disponibile su ERS e PxGrid con Cisco DNA Center. Confermare su System > System 360.
Azioni home page
Dalla GUI di Cisco DNA Center, selezionare Policy > Group/Based Access Control (Policy > Controllo degli accessi basato su gruppo).
Home page di Access Analytics basata su gruppi
In questa pagina è possibile trovare:
- Casella Titolo: fare clic su di essa per passare al flusso di comunicazione Gruppi scalabili.
- Barra di ricerca - Consente di filtrare in base a qualsiasi tipo di gruppo. Il filtro può essere eseguito in base all'indirizzo IP o MAC.
- Icona Preferiti: mostra le ricerche recenti o salvate.
- Icona Configurazione - Collegamento alle impostazioni dei criteri o delle analisi,
Le caselle affiancate mostrano i conteggi univoci dei flussi di traffico per gli ultimi 14 giorni per Scalable Groups, ISE Profiles e Stealthwatch Host Gruppi (Se Configurati).
Un flusso di traffico univoco è definito come traffico con un protocollo e una porta server univoci (ad esempio la porta TCP 80 o la porta UDP 123)
Ad esempio, se Stealthwatch non è configurato, la casella affiancata non verrà visualizzata.
Gruppi
Per questi tre tipi di gruppi viene mostrata la visibilità della rete.
- SG (Scalable Group). Noto come Security Group in ISE e TrustSec group in router, switch e WLC
- Profilo ISE.
- Stealthwatch Host Group (HG).
Comunicazione da gruppo a gruppo
La comunicazione dei gruppi può essere suddivisa in tre livelli:
- Gruppi multipli a più gruppi (molti a molti)
- Singolo gruppo in più gruppi (uno-a-molti)
- Da gruppo singolo a gruppo singolo (uno-a-molti)
Fare clic sul Gruppo delle preferenze e viene visualizzata la vista di flusso, su di esso l'Origine è sempre sul lato sinistro e la Destinazione è sempre sul lato destro. La prima vista presentata è da Più gruppi a più gruppi.
La vista di flusso è un Diagramma di Sankey che è un tipo di diagramma di flusso in cui la larghezza delle frecce è proporzionale alla velocità di flusso della proprietà illustrata.
Visualizzazione da più gruppi a più gruppi.
Diagramma di flusso per gruppi scalabili
In questa pagina è possibile trovare:
- Barra di ricerca - È possibile filtrare i gruppi di origine.
- Opzione Rivolgiti a - Solo se l'origine è un gruppo scalabile è possibile scegliere il tipo di gruppo di destinazione.
- Intervallo di tempo: fare clic su di esso per modificare l'intervallo di data e ora. L'intervallo può essere di 1 ora, 12 ore o 24 ore.
- Strumento Commuta (Switch) - Consente di passare dalla vista Flusso alla vista Tabella e viceversa.
- Gruppo di origine: fare clic su un gruppo per espandere la vista Gruppo singolo a più gruppi.
- Collegamento: posizionare il puntatore su un collegamento e fare clic su di esso per espandere due livelli e passare alla visualizzazione Gruppo singolo in Gruppo singolo.
Nota: la vista Da più gruppi a più gruppi mostra i primi 25 gruppi di origine con il maggior numero di flussi.
Vista tabella per Più gruppi a più gruppi
Suggerimento: è sempre possibile espandere l'intervallo per visualizzare più delle prime 25 voci.
Visualizzazione da gruppo singolo a più gruppi
In questa visualizzazione il diagramma di flusso può essere visualizzato nelle opzioni In uscita e In entrata.
Nella visualizzazione in uscita viene mostrata una comunicazione tra un gruppo di origine e tutti i gruppi di destinazione con cui si parla.
Visualizzazione da singolo gruppo in uscita a più gruppi
Nella visualizzazione in ingresso vengono mostrati tutti i gruppi di origine che comunicano con un singolo gruppo di destinazione.
Visualizzazione in ingresso per gruppi singoli o multipli
In questa pagina è possibile trovare:
- Barra di ricerca: immettere un valore per filtrare i gruppi di destinazione se in uscita e i gruppi di origine se in entrata.
- Comunicazione con opzione - Solo se l'origine è un gruppo scalabile è possibile scegliere il tipo di gruppo di destinazione.
- Intervallo di tempo: fare clic su di esso per modificare l'intervallo di data e ora. L'intervallo può essere di 1 ora, 12 ore o 24 ore.
- Strumento Commuta (Switch) - Consente di passare dalla vista Flusso alla vista Tabella e viceversa.
- Percorso di navigazione: fare clic su un livello qualsiasi del percorso per spostarsi lungo di esso.
- Collegamento: passare il mouse su un collegamento e fare clic su di esso per espandere di un livello fino a visualizzare la vista Gruppo singolo in Gruppo singolo.
- In entrata | Selettore in uscita: selezionare la direzione del traffico.
- Crea report e scarica report - Esporta i dati da questa pagina per creare un report o scaricare un report creato in precedenza.
- Gruppo: selezionare un nuovo gruppo di origine.
- Paginazione: consente di passare alla pagina precedente o successiva o di modificare il numero di record per pagina.
Visualizzazione da gruppo singolo a gruppo singolo
In questa visualizzazione è possibile visualizzare la comunicazione tra un gruppo di origine e un gruppo di destinazione.
In questa pagina è possibile trovare:
- Intervallo di tempo: fare clic su di esso per modificare l'intervallo di data e ora. L'intervallo può essere di 1 ora, 12 ore o 24 ore.
- Strumento Commuta (Switch) - Consente di passare dalla vista Flusso alla vista Tabella e viceversa.
- Percorso di navigazione: fare clic su un livello qualsiasi del percorso per spostarsi lungo di esso.
- Icona freccia: fare clic su di essa per scambiare i gruppi Origine e Destinazione.
- Filtro - Filtro per colonna.
- Trova: consente di applicare un filtro in base a tutti i dati esistenti.
- Crea report e scarica report - Esporta i dati da questa pagina per creare un report o scaricare un report creato in precedenza.
- Paginazione: consente di passare alla pagina precedente o successiva o di modificare il numero di record per pagina.
Report
I dati di esportazione sono disponibili per:
- Tabella Comunicazioni tra gruppi
- Indirizzo IP/MAC
Opzioni report
Suggerimento: la sezione Report non è disponibile per il ruolo utente di sola lettura.
Informazioni correlate
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
28-Jul-2023 |
Versione iniziale |
Feedback