Examinar a ferramenta de análise de política baseada em grupos do DNA Center
Contents
Introdução
Este documento descreve os conceitos básicos da ferramenta Cisco DNA Center Group-Based Policy Analytics.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Dispositivo Cisco UCS M4 ou M5, 44, 55 ou 112 núcleos
- Software Cisco DNA Center
-
Cisco Identity Service Engine (ISE)
- Controle de política baseado em grupo
Componentes Utilizados
As informações neste documento são baseadas no Cisco DNA Center executando a versão 2.3.5.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Verificações prévias
Verificação 1. Você deve habilitar o NetFlow para usar a Análise de Política Baseada em Grupo da Cisco. Esta tabela mostra as várias maneiras pelas quais o NetFlow pode ser ativado em diferentes dispositivos de rede.
| Dispositivos de rede | Series | NetFlow Configurável na seção de telemetria das Configurações de rede na interface do usuário do Cisco DNA Center (Flexible NetFlow ou Application Visibility and Control Based NetFlow) | NetFlow Configurável usando a ferramenta de hub de modelo na interface do usuário do Cisco DNA Center (Flexible NetFlow ou Application Visibility and Control Based NetFlow) | Coleta do NetFlow na implantação de malha | Coleta do NetFlow na implantação não relacionada à malha |
|---|---|---|---|---|---|
| Roteadores | Roteadores de serviços integrados Cisco 1000 Series (ISR1K) | Yes | Yes | Yes | Yes |
| Roteadores de serviços integrados Cisco 4000 Series (ISR4K) | Yes | Yes | Yes | Yes | |
| Roteador de serviços em nuvem Cisco 1000v Series (CSR 1000v) | Yes | Yes | Yes | Yes | |
| Roteadores de serviços de agregação Cisco 1000 Series (ASR1K) | Yes | Yes | Yes | Yes | |
| Switches | Cisco Catalyst 9200 Series | Yes | Yes | Yes | Yes |
| Cisco Catalyst 9300 Series | Yes | Yes | Yes | Yes | |
| Cisco Catalyst 9400 Series | Yes | Yes | Yes | Yes | |
| Cisco Catalyst 9500 Series | No | Yes | Yes | Yes | |
| Cisco Catalyst 9600 Series | No | Yes | Yes | Yes | |
| Cisco Catalyst série 2k | No | Yes | NA | Yes | |
| Cisco Catalyst 3560 Series | No | Yes | NA | Yes | |
| Cisco Catalyst 3650 Series | No | Yes | Yes | Yes | |
| Cisco Catalyst 3850 Series | No | Yes | Yes | Yes | |
| Cisco Catalyst série 4k | No | Yes | Yes | Yes | |
| Cisco Catalyst 6500 Series Switches | No | Yes | Yes | Yes | |
| Switches Cisco Catalyst 6800 Series | No | Yes | Yes | Yes | |
| Controladores sem fio | Controlador sem fio Cisco 3504 (baseado em AireOS) | Yes | Yes | No | Sim, somente o SSID de switching central |
| Controlador sem fio Cisco 5520 (baseado em AireOS) | Yes | Yes | No | Sim, somente o SSID de switching central | |
| Controlador sem fio Cisco 8540 (baseado em AireOS) | Yes | Yes | No | Sim, somente o SSID de switching central | |
| Controlador baseado no Cisco Catalyst 9800 |
Yes |
Yes |
Yes |
Yes |
Verificação 2. Verifique se a licença do Cisco DNA Advantage ou do Cisco DNA Premier está habilitada para seus dispositivos de rede.
Verificação 3. Na GUI do Cisco DNA Center, navegue para System > Software Management > Current Installed Applications e confirme se o aplicativo Group-Based Policy Analytics está instalado.
Aplicativo de Análise de Política Baseada em Grupo instalado
Verificação 4. O Cisco ISE precisa estar integrado e disponível no ERS e no PxGrid com o Cisco DNA Center. Confirme em System > System 360.
Ações da página inicial
Na GUI do Cisco DNA Center, navegue para Policy > Group/Based Access Control.
Home Page de Análise de Acesso com Base em Grupo
Nesta página, você pode encontrar:
- Caixa de título - Clique nele para navegar até o fluxo de comunicação de grupos escaláveis.
- Barra de pesquisa - Ajuda a filtrar em qualquer tipo de grupo; o filtro pode ser feito por endereço IP ou endereço MAC.
- O ícone Favorito - Mostra as pesquisas recentes ou salvas.
- Ícone de configuração - Atalho para configurações de política ou de análise,
As caixas lado a lado mostram as contagens exclusivas de fluxo de tráfego dos últimos 14 dias para grupos escaláveis, perfis do ISE e host do Stealthwatch Grupos (se configurados).
Um fluxo de tráfego exclusivo é definido como tráfego com um protocolo exclusivo e uma porta de servidor (como a porta TCP 80 ou a porta UDP 123)
Por exemplo, se o Stealthwatch não estiver configurado, essa caixa de tile não será exibida.
Grupos
A visibilidade de rede é mostrada para esses três tipos de grupos.
- Grupo escalável (SG). Conhecido como grupo de segurança no ISE e grupo TrustSec em roteadores, switches e WLCs
- Perfil do ISE.
- Stealthwatch Host Group (HG) (em inglês).
Comunicação Grupo a Grupo
A comunicação de grupos pode ser separada em três níveis:
- Vários grupos para vários grupos (muitos para muitos)
- Grupo único para vários grupos (um para muitos)
- Grupo único para grupo único (um para muitos)
Clique no Grupo de sua preferência e a visualização do fluxo será apresentada; nele, a Origem estará sempre do lado esquerdo e Destino estará sempre do lado direito. A primeira exibição apresentada é a opção Vários Grupos para Vários Grupos.
A vista de fluxo é um Diagrama Sankey que é um tipo de diagrama de fluxo no qual a largura das setas é proporcional à taxa de fluxo da propriedade descrita.
Exibição Vários Grupos para Vários Grupos.
Fluxograma para Grupos Escaláveis
Nesta página, você pode encontrar:
- Barra de pesquisa - Você pode filtrar os grupos de Origem.
- Opção Conversar com - Somente se a origem for um grupo escalável é possível escolher o tipo de grupo de destino.
- Intervalo de tempo - Clique nele para alterar o intervalo de data e hora. O intervalo pode ser de 1 hora, 12 horas ou 24 horas.
- Ferramenta de alternância - Alterna entre a visualização Fluxo e a visualização Tabela.
- Grupo de Origem - Clique em um grupo para fazer o drill-down para a exibição Grupo Único para Vários Grupos.
- Link - Passe o mouse sobre um link e clique nele para fazer drill-down em dois níveis e terminar na exibição Grupo Único para Grupo Único.
Nota: A view Vários Grupos para Vários Grupos mostra os 25 principais grupos de origem com mais fluxos.
Exibição de tabela de vários grupos para vários grupos
Dica: você sempre pode expandir o intervalo para ver mais do que as primeiras 25 entradas.
Exibição de Grupo Único para Vários Grupos
Nessa exibição, o fluxograma pode ser mostrado nas opções de Saída e Entrada.
A exibição de saída mostra uma comunicação do grupo de origem com todos os grupos de destino com os quais você conversa.
Exibição de saída de grupo único para vários grupos
A visualização de entrada mostra todos os grupos de origem se comunicando com um único grupo de destino.
Exibição de entrada de um único grupo para vários grupos
Nesta página, você pode encontrar:
- Barra de pesquisa - Insira um valor para filtrar os grupos de destino, se de saída, e os grupos de origem, se de entrada.
- Comunicação com opção - Somente se a origem for um grupo escalável, você poderá escolher o tipo de grupo de destino.
- Intervalo de tempo - Clique nele para alterar o intervalo de data e hora. O intervalo pode ser de 1 hora, 12 horas ou 24 horas.
- Ferramenta de alternância - Alterna entre a visualização Fluxo e a visualização Tabela.
- Caminho de navegação - Clique em qualquer nível do caminho para movê-lo.
- Link - Passe o mouse sobre um link e clique nele para fazer drill-down em um nível e terminar na exibição Grupo Único para Grupo Único.
- Entrada | Seletor de saída - Selecione a direção do tráfego.
- Criar relatório e fazer download do relatório - Exporte dados desta página para criar um relatório ou fazer download de um relatório criado anteriormente.
- Grupo - Selecione um novo Grupo de Origem.
- Paginação - Vá para a página anterior ou seguinte ou altere o número de registros por página.
Exibição de Grupo Único para Grupo Único
Nessa exibição, você pode ver uma comunicação de grupo de origem com um grupo de destino.
Nesta página, você pode encontrar:
- Intervalo de tempo - Clique nele para alterar o intervalo de data e hora. O intervalo pode ser de 1 hora, 12 horas ou 24 horas.
- Ferramenta de alternância - Alterna entre a visualização Fluxo e a visualização Tabela.
- Caminho de navegação - Clique em qualquer nível do caminho para movê-lo.
- Ícone de seta - Clique nele para trocar os grupos Origem e Destino.
- Filter - Filter per column (Filtro por coluna).
- Find - filtre todos os dados existentes.
- Criar relatório e fazer download do relatório - Exporte dados desta página para criar um relatório ou fazer download de um relatório criado anteriormente.
- Paginação - Vá para a página anterior ou seguinte ou altere o número de registros por página.
Relatórios
Os dados de exportação estão disponíveis para:
- Tabela de comunicação de qualquer grupo para grupo
- Endereço IP/MAC
Opções de relatório
Dica: a seção Relatório não está disponível para a função de usuário somente leitura.
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
28-Jul-2023 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)