O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve a plataforma do Cisco DNA Traffic Telemetry Appliance (número de peça da Cisco DN-APL-TTA-M) juntamente com como ativar a Garantia de Aplicativo no Cisco DNA Center. IEle também fornece alguma luz sobre como e onde o TTA pode ser posicionado em uma rede juntamente com o processo de configuração e verificação. Este artigo também aborda os vários pré-requisitos envolvidos.
A Cisco recomenda que você tenha conhecimento de como o Cisco DNA Center Assurance and Application Experience funciona.
A garantia é um mecanismo de coleta e análise de dados de rede multiuso e em tempo real que pode aumentar significativamente o potencial comercial dos dados de rede. O Assurance processa dados de aplicativos complexos e apresenta os resultados nos painéis de integridade do Assurance para fornecer insight sobre o desempenho dos aplicativos usados na rede. Dependendo de onde os dados são coletados, você poderá ver algumas ou todas as seguintes opções:
Com base na quantidade de dados coletados, o Application Assurance pode ser categorizado em dois modelos:
Application Name e Throughput são coletivamente chamados de métricas quantitativas. Os dados para as métricas quantitativas vêm da ativação da visibilidade de aplicativos.
As marcações de DSCP e as métricas de desempenho (latência, instabilidade e perda de pacotes) são coletivamente chamadas de métricas qualitativas. Os dados para as métricas qualitativas vêm da habilitação do Application Experience.
Os dados de visibilidade do aplicativo são coletados de switches que executam o Cisco IOS® XE e de controladores sem fio que executam o AireOS. Para switches que executam o Cisco IOS XE, os dados de visibilidade de aplicativos são coletados usando um modelo NBAR predefinido que é aplicado bidirecionalmente (entrada e saída) às portas do switch de acesso da camada física. Para controladores sem fio que executam o AireOS, os dados de visibilidade de aplicativos são coletados no controlador sem fio e, em seguida, a telemetria de transmissão é usada para transportar esses dados para o Cisco DNA Center.
Os dados do Application Experience são coletados das plataformas do roteador Cisco IOS XE, usando especificamente o recurso Cisco Performance Monitor (PerfMon) e as métricas do Cisco Application Response Time (ART). Exemplos de plataformas de roteador incluem o ASR 1000, o ISR 4000 e o CSR 1000v. Para obter informações sobre compatibilidade de dispositivos com o Cisco DNA Center, consulte a Matriz de compatibilidade do Cisco DNA Center.
Os dispositivos com e sem fio Cisco Catalyst 9000 Series conduzem inspeção profunda de pacotes (DPI) e fornecem fluxos de dados para serviços como o Cisco AI Endpoint Analytics e o Application Assurance no Cisco DNA Center. Mas e se não houver dispositivos da série Catalyst 9000 na rede para extrair a telemetria? Várias organizações ainda têm uma parte de sua infraestrutura de rede que não foi migrada para as plataformas da série Cisco Catalyst 9000. A plataforma Catalyst 9000 gera a telemetria AppVis, mas para obter insights AppX adicionais, o Cisco DNA Traffic Telemetry Appliance pode ser usado para preencher a lacuna. O objetivo do TTA é monitorar o tráfego que ele recebe através de portas SPAN de outros dispositivos de rede que não têm a capacidade de fornecer dados do Application Experience ao Cisco DNA Center. Como os dispositivos de infraestrutura herdados não podem executar a inspeção profunda de pacotes necessária para análise avançada, o Cisco DNA Traffic Telemetry Appliance pode ser usado para gerar a telemetria AppX a partir de implantações herdadas existentes.
A plataforma de sensor de telemetria baseada no Cisco IOS XE gera a telemetria do tráfego de rede IP espelhado das sessões do Switched Port Analyzer (SPAN) de switches e controladores sem fio. O dispositivo inspeciona milhares de protocolos usando a tecnologia Network-Based Application Recognition (NBAR) para produzir um fluxo de telemetria para que o Cisco DNA Center execute análises. O Cisco DNA Traffic Telemetry Appliance pode lidar com 20 Gbps de tráfego de throughput sustentado e inspecionar 40.000 sessões de endpoint para definição de perfis de dispositivos.
O TTA tem uma combinação de links de 10 Gig e 1 Gig que são usados para a inclusão de SPAN. Dessas portas, Gig0/0/5 é a única porta que pode ser configurada com um endereço IP e pode ser usada para comunicação com o Cisco DNA Center. A matriz de interface é mostrada abaixo.
Matriz de interface TTA |
|||
1 |
Porta 10 GE SFP+ 0/0/0 |
5 |
Porta GE SFP 0/0/2 |
2 |
Porta 10 GE SFP+ 0/0/1 |
6 |
Porta GE SFP 0/0/3 |
3 |
Porta GE SFP 0/0/0 |
7 |
Porta GE SFP 0/0/4 |
4 |
Porta GE SFP 0/0/1 |
8 |
Porta GE SFP 0/0/5 |
Esta seção destaca as configurações e os pré-requisitos que precisam ser atendidos para que o Cisco DNA Center possa processar a telemetria.
O cluster do Cisco DNA Center usado para gerenciar o TTA e processar a telemetria deve ser provisionado com estes critérios:
O Cisco Identity Services Engine (ISE) e o Cisco DNA Center podem ser integrados para automação de identidade e política. O ISE também é usado para coletar informações sobre os endpoints para aproveitar a Análise de endpoint de IA da Cisco. O PxGrid é usado para implementar a integração entre o ISE e o Cisco DNA Center.
Os requisitos de integração do Cisco DNA Center e do ISE são os seguintes:
Há requisitos que devem ser implementados para ativar a Garantia de Aplicativos no Cisco DNA Center. Esses requisitos são explicados em detalhes nas seções a seguir.
O Cisco DNA Center requer que esses três pacotes sejam instalados para permitir e analisar os dados de telemetria.
Uma forma rápida de acessar essas informações é clicar no link "Sobre", abaixo do ícone de ponto de interrogação, no canto superior direito da página principal do Cisco DNA Center. Se esses aplicativos estiverem ausentes, eles precisarão ser instalados antes de prosseguir com a configuração de telemetria. Use este guia para instalar esses pacotes no Cisco DNA Center a partir da nuvem da Cisco. Guia de atualização do Cisco DNA Center
A exportação de dados do NetFlow é o transporte de tecnologia que fornece os dados de telemetria que serão encaminhados ao Cisco DNA Center para análise detalhada. Para permitir a coleta de dados para aprendizagem automática e raciocínio para análise de endpoint, o NetFlow precisa ser exportado para o Cisco DNA Center. O TTA é uma plataforma de sensor de telemetria usada para gerar telemetria a partir de tráfego de rede IP espelhado e compartilhá-la com o Cisco DNA Center para visibilidade de aplicativos e endpoints.
Para ativar o Cisco DNA Center como o coletor de telemetria, siga estas etapas.
O Cisco AI Network Analytics é um aplicativo do Cisco DNA Center que aproveita o poder do aprendizado de máquina e do raciocínio de máquina para fornecer insights precisos que são específicos para sua implantação de rede, o que permite que você solucione problemas rapidamente. As informações de rede e telemetria são anonimizadas no Cisco DNA Center e, em seguida, enviadas por meio de um canal criptografado seguro para a infraestrutura baseada em nuvem do Cisco AI Analytics. A nuvem do Cisco AI Analytics executa o modelo de aprendizagem automática com esses dados de evento e traz os problemas e as percepções gerais de volta para o Cisco DNA Center. Todas as conexões com a nuvem são de saída no TCP/443. Não há conexões de entrada, o Cisco AI Cloud não inicia nenhum fluxo de TCP em direção ao Cisco DNA Center. Os nomes de domínio totalmente qualificados (FQDN) que podem ser usados para permitir acesso ao proxy HTTPS e/ou firewall no momento em que este artigo é escrito são:
O dispositivo Cisco DNA Center implantado deve ser capaz de resolver e acessar os vários nomes de domínio na Internet que são hospedados pela Cisco.
Siga estas etapas para conectar o Cisco DNA Center ao Cisco AI Cloud.
O Telemetry Appliance e a plataforma Catalyst 9000 coletam metadados de endpoint usando a inspeção profunda de pacotes de fluxos de pacotes e aplicam o Network Based Application Recognition (NBAR) para determinar quais protocolos e aplicativos estão sendo utilizados na rede. O Cisco DNA Center tem um pacote de protocolo NBAR integrado que pode ser atualizado. Os dados de telemetria podem ser enviados para a nuvem do Cisco NBAR para análise adicional e para detecção de assinaturas de protocolos desconhecidos. Para que isso aconteça, o dispositivo do Cisco DNA Center precisa estar limitado à nuvem. O Network-Based Application Recognition (NBAR) é um mecanismo avançado de reconhecimento de aplicativos desenvolvido pela Cisco que utiliza várias técnicas de classificação e pode atualizar facilmente suas regras de classificação.
Para conectar o Cisco DNA Center à nuvem do Cisco NBAR, siga estas etapas.
Para obter as credenciais de ID do cliente e Segredo do cliente, clique no link "Cisco API Console", isso abrirá um portal. Faça login com a ID CCO apropriada, crie um novo aplicativo, selecione as opções correspondentes à nuvem NBAR e preencha o formulário. Depois de concluído, você obterá uma ID de cliente e um segredo. Consulte a figura mostrada abaixo.
Essas imagens demonstram as opções usadas para registrar na nuvem NBAR.
O CBAR é usado para classificar milhares de aplicativos de rede, aplicativos internos e tráfego de rede geral. Ele permite que o Cisco DNA Center aprenda dinamicamente sobre os aplicativos usados na infraestrutura de rede. O CBAR ajuda a manter a rede atualizada, identificando novos aplicativos à medida que sua presença na rede continua a aumentar e permite atualizações para pacotes de protocolo. Se a visibilidade do aplicativo for perdida de ponta a ponta por meio de pacotes de protocolo desatualizados, poderá ocorrer uma categorização incorreta e um encaminhamento subsequente. Isso causará não apenas buracos de visibilidade na rede, mas também problemas incorretos de enfileiramento ou encaminhamento. O CBAR resolve esse problema permitindo que pacotes de protocolo atualizados sejam enviados pela rede.
O Cisco Software-Defined AVC (SD-AVC) é um componente do Cisco Application Visibility and Control (AVC). Ele funciona como um serviço de rede centralizado operando com dispositivos participantes específicos em uma rede. O SD-AVC também auxilia no DPI dos dados do aplicativo. Alguns dos recursos e benefícios atuais fornecidos pelo SD-AVC incluem:
Para ativar o CBAR para dispositivos relevantes, siga estas etapas.
O Cisco DNA Center pode ser integrado diretamente com o feed RSS da Microsoft para garantir que o reconhecimento de aplicativos para o Office 365 esteja de acordo com as orientações publicadas. Essa integração é conhecida como Microsoft Office 365 Cloud Connector no Cisco DNA Center. É recomendável ter esse recurso implantado se o usuário estiver executando aplicativos do Microsoft Office 365 na rede. A integração com o Microsoft Office 365 não é um requisito e, se não estiver habilitada, afetará apenas a capacidade do Cisco DNA Center de processar e classificar dados de host do Microsoft Office 365. O Cisco DNA Center já tem o reconhecimento de aplicativos do Microsoft Office 365 integrado, mas ao integrar-se diretamente com o provedor de aplicativos, o Cisco DNA Center pode obter informações atualizadas e precisas sobre os blocos de propriedade intelectual atuais e URLs utilizados pelo conjunto do Microsoft Office 365.
Para integrar o Cisco DNA Center à nuvem do Microsoft Office 365, siga estas etapas.
Esta seção aborda as etapas necessárias para implementar o TTA em uma rede.
As etapas destacadas neste diagrama descrevem o processo e o fluxo de telemetria entre o TTA e o Cisco DNA Center. Aqui, essas etapas são desenvolvidas com mais detalhes.
O diagrama acima descreve como o TTA pode ser conectado na rede. As interfaces de 10 Gig e 1 Gig podem ser usadas para a inclusão de SPAN na taxa de linha. A interface Gi0/0/5 é usada para comunicação com o Cisco DNA Center, para orquestração e para o encaminhamento de insights de telemetria para o Cisco DNA Center; essa interface NÃO PODE ser usada para a inclusão de SPAN.
Os dispositivos TTA implantados na rede serão cruciais para fornecer insights de telemetria sobre os dados do usuário e endpoints do usuário. Para implantar a solução com êxito, esses requisitos devem ser atendidos.
O dispositivo oferece suporte a apenas um sistema operacional e exige a licença Cisco DNA ATA Advantage para coletar telemetria. Não há necessidade de uma licença de recurso (como IP Base ou Advanced IP Services) ou um pacote de licenciamento perpétuo (como Network Essentials ou Network Advantage).
Para gerenciar licenças no Cisco DNA Center, navegue até o gerenciador de licenças navegando até Ferramentas > Gerenciador de licenças no menu suspenso do Cisco DNA Center clicando no ícone Menu
Para facilitar a descoberta e a integração do dispositivo TTA pelo Cisco DNA Center, há comandos de bootstrap que devem ser configurados nos dispositivos TTA do site. Com a configuração de bootstrap implementada, o TTA poderá ser descoberto no painel do Cisco DNA Center. A seguir estão itens de configuração de dia 0 para um dispositivo TTA. Depois que o dispositivo for integrado à hierarquia do site, o dispositivo TTA herdará os itens de configuração restantes do Cisco DNA Center.
hostname TTA
interface GigabitEthernet0/0/5
description ***** Management Interface ********
ip address x.x.x.x <SUBNET MASK>
negotiation auto
cdp enable
ip route 0.0.0.0 0.0.0.0 x.x.x.y
username dna privilege 15 algorithm-type scrypt secret
enable secret
service password-encryption
ip domain name <domain name>
ip ssh version 2
line vty 0 15
login local
transport input ssh
transport preferred none
ip ssh source-interface GigabitEthernet0/0/5
aaa new-model
aaa authentication login default local
aaa authorization exec default local
**SNMPv2c or SNMPv3 paramters as applicable**
snmp-server community <string> RO
snmp-server community <string> RW
Depois que esses itens forem configurados no TTA, ele poderá ser descoberto pelo Cisco DNA Center.
Para aproveitar o TTA, o Cisco DNA Center precisa descobrir e gerenciar o dispositivo TTA. Depois que o TTA é integrado ao Cisco DNA Center, ele pode ser gerenciado a partir do Cisco DNA Center. Antes de descobrir o dispositivo TTA, precisamos garantir que a hierarquia de site completa esteja em vigor para o site. Depois disso, continuaremos adicionando o dispositivo TTA sob a hierarquia de site específica seguindo estas etapas da página Menu > Provisionar > Dispositivos > Inventário para adicionar o dispositivo a um site.
Dependendo das capacidades de hardware do switch principal, a sessão de SPAN pode ser configurada para SPAN em um grupo de VLANs ou interface(s) à interface conectada ao TTA. Um exemplo de configuração é fornecido aqui.
Switch#configure terminal
Switch(config)#monitor session 1 source vlan|interface rx|tx|both
Switch(config)#monitor session 1 destination interface intx/y/z
Para acessar os dados de garantia coletados do Traffic Telemetry Appliance instalado, vá para a seção Garantia e clique em Saúde.
Escolha Aplicativos e você encontrará uma visão geral abrangente dos dados do aplicativo, incluindo latência e jitter capturados pelo TTA com base no tipo de aplicativo específico.
Para obter uma análise mais detalhada, os usuários podem explorar aplicativos individuais clicando no aplicativo específico e selecionando o Exportador como o Dispositivo de telemetria de tráfego e examinando métricas específicas, como dados de uso, throughput e perda de pacotes, latência de rede do cliente, latência de rede do servidor e latência do servidor de aplicativos.
1. Após ativar o CBAR, verifique se o serviço SD-AVC (Application Visibility Control) está ativado no dispositivo efetuando login no Cisco Traffic Telemetry Appliance e executando este comando CLI. A saída será semelhante a esta amostra, indicando o endereço IP do controlador e o status como conectado.
Cisco-TTA#sh avc sd-service info summary
Status: CONNECTED
Device ID: Cisco-TTA
Device segment name: AppRecognition
Device address: <TTA IP Address>
Device OS version: 17.03.01
Device type: DN-APL-TTA-M
Active controller:
Type : Primary
IP : <Cisco DNA Center IP Address>
Status: Connected
Version : 4.0.0
2. Use o comando "show license summary" na CLI do TTA para verificar os detalhes relevantes da licença do dispositivo.
Device# show license summary
Smart Licensing is ENABLED
License Reservation is ENABLED
Registration:
Status: REGISTERED - SPECIFIC LICENSE RESERVATION
Export-Controlled Functionality: ALLOWED
License Authorization:
Status: AUTHORIZED - RESERVED
License Usage:
License Entitlement tag Count Status
-----------------------------------------------------------------------------
Cisco_DNA_TTA_Advantage (DNA_TTA_A) 1 AUTHORIZED
3. Verifique se a sessão de SPAN foi configurada corretamente no switch central/de agregação.
AGG_SWITCH#show monitor session 1
Session 1
---------
Type : Local Session
Source VLANs : 300-320
RX Only :
Destination Ports : TenGigx/y/z
Encapsulation : Native
Ingress : Disabled
4. Quando o TTA for provisionado com êxito, esses comandos serão (ou foram) enviados ao dispositivo.
avc sd-service
segment AppRecognition
controller
address <Cisco DNA Center IP Address>
.....
!
flow exporter <Cisco DNA Center IP Address>
destination <Cisco DNA Center IP Address>
!
crypto pki trustpoint DNAC-CA
.....
!
performance monitor context tesseract profile application-assurance
exporter destination <Cisco DNA Center IP Address> source GigabitEthernet0/0/5 transport udp port 6007
....
!
All interfaces must have
ip nbar protocol-discovery
performance monitor context tesseract
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
25-Jan-2024 |
Versão inicial |