利用流量遥测设备(TTA)和思科DNA中心应用保证：原因和方式

简介

本文档介绍Cisco DNA流量遥测设备（思科部件号DN-APL-TTA-M）平台，以及如何在Cisco DNA Center中启用应用保证。  I此外，它还为如何在网络中定位TTA以及配置和验证过程提供了一些参考。本文还介绍了所涉及的各个前提条件。

先决条件

Cisco建议您了解Cisco DNA Center Assurance和Application Experience如何工作。

应用保证

Assurance是一个多用途、实时的网络数据收集和分析引擎，可显着增加网络数据的业务潜力。  Assurance可处理复杂的应用程序数据，并在Assurance运行状况控制面板中显示结果，以便深入了解网络中使用的应用程序的性能。  根据从何处收集数据，您可以看到以下部分或全部内容：

• 应用程序名称
• 吞吐量
• DSCP标记
• 性能指标（延迟、抖动和丢包）

根据收集的数据量，应用保障可分为两种模式：

• 应用可视性(AppVis)和
• 应用体验(AppX)

应用名称和吞吐量统称为定量指标。量化指标的数据来自启用应用可视性。

DSCP标记和性能度量（延迟、抖动和丢包）统称为定性度量。定性指标的数据来自启用应用体验。

应用可视性(AppVis)

应用可视性数据从运行Cisco IOS® XE的交换机以及运行AireOS的无线控制器收集。  对于运行Cisco IOS XE的交换机，应用可视性数据是使用预定义的NBAR模板收集的，该模板双向应用于物理层接入交换机端口（入口和出口）。  对于运行AireOS的无线控制器，应用可视性数据在无线控制器上收集，然后使用流遥测来将此数据传输到思科DNA中心。

应用体验(AppX)

应用体验数据从Cisco IOS XE路由器平台收集，特别是使用思科性能监控器(PerfMon)功能和思科应用响应时间(ART)指标。  路由器平台的示例包括ASR 1000、ISR 4000和CSR 1000v。有关与Cisco DNA Center的设备兼容性，请参阅Cisco DNA Center Compatibility Matrix。

为什么选择流量遥测设备？

Cisco Catalyst 9000系列有线和无线设备执行深度数据包检测(DPI)并为服务（例如思科DNA中心的思科AI终端分析和应用保证）提供数据流。  但是，如果网络中没有Catalyst 9000系列设备可从提取遥感勘测数据，结果会如何？  一些组织的部分网络基础设施尚未迁移至Cisco Catalyst 9000系列平台。  Catalyst 9000平台可生成AppVis遥感勘测，但为了获得更多AppX见解，思科DNA流量遥感勘测设备可用于弥补差距。TTA的目标是监控其通过SPAN端口从其他网络设备接收的流量，这些网络设备无法向思科DNA中心提供应用体验数据。  由于传统基础设施设备无法执行高级分析所需的深度数据包检测，思科DNA流量遥测设备可用于从现有传统部署生成AppX遥测。

思科TTA的实际应用

TTA设备详细信息

基于Cisco IOS XE的遥测传感器平台从交换机和无线控制器的交换端口分析器(SPAN)会话中的镜像IP网络流量生成遥测。设备使用基于网络的应用识别(NBAR)技术检查数千个协议，为Cisco DNA Center生成遥测流以执行分析。思科DNA流量遥测设备可以处理20 Gbps的持续吞吐量流量，并检查40,000个终端会话以进行设备分析。

思科流量遥测设备

TTA具有10千兆和1千兆链路的组合，用于SPAN接收。在这些端口中，Gig0/0/5是唯一可以配置IP地址并可用于与Cisco DNA Center通信的端口。接口矩阵如下所示。

TTA接口矩阵

TTA接口矩阵
1	10 GE SFP+端口0/0/0	5	GE SFP端口0/0/2
2	10 GE SFP+端口0/0/1	6	GE SFP端口0/0/3
3	GE SFP端口0/0/0	7	GE SFP端口0/0/4
4	GE SFP端口0/0/1	8	GE SFP端口0/0/5

保证的思科DNA中心必备条件

本节重点介绍思科DNA中心处理遥测之前需要满足的配置和必备条件。

运营的Cisco DNA中心集群

用于管理TTA和流程遥测的思科DNA中心群集必须使用以下条件进行调配：

• 网络层次结构:设计工作流程中的“网络层次结构”部分用于定义不同的站点园区、这些园区内的建筑物以及这些建筑物内的各个楼层，并将它们显示在世界地图上。必须配置适当的站点/网络层次结构。
• 网络设置:Network Settings部分允许创建供网络内的设备使用的常见默认网络设置。这些设置可以全局方式应用，也可以应用到每个站点、建筑或楼层级别。根据部署要求输入DNS、域名、系统日志、NTP、时区和登录标语信息。
• 设备凭证:这些凭证将用于访问和发现包括TTA在内的网络中的设备。需要为Cisco DNA Center配置适当的CLI和SNMP凭证。  与此NetConf凭证一起使用非常方便。
• 思科CCO帐户：需要有效的CCO帐户来捆绑设备并利用思科AI云的功能、下载SWIM映像以及下载TTA和其他设备的协议包。

ISE和思科DNA中心集成

思科身份服务引擎(ISE)和思科DNA中心可集成以实现身份和策略自动化。  ISE还用于收集有关终端的信息以利用思科AI终端分析。 PxGrid用于实施ISE与Cisco DNA Center之间的集成。

Cisco DNA Center和ISE集成要求如下：

• 必须在ISE上启用pxGrid服务。
• 必须启用ERS读/写访问。
• ISE管理员证书必须在主题名称或SAN字段中包含ISE的IP地址或FQDN。
• Cisco DNA Center系统证书必须在主题名称或SAN字段中包含Cisco DNA Center的所有IP地址或FQDN。
• ISE ERS管理员凭证将用于在ISE和思科DNA中心之间建立ERS通信的信任。
• pxGrid节点必须可从思科DNA中心访问。

思科DNA中心遥测要求

必须实施一些要求，才能在Cisco DNA Center中启用应用保证。这些要求将在后面的章节中详细介绍。

Cisco DNA Center密钥包

Cisco DNA Center要求安装这三个包，以便启用和分析遥测数据。

• AI终端分析
• AI网络分析
• 应用可视性服务

需要Cisco DNA Center包

要快速访问此信息，请点击Cisco DNA Center主页右上角问号图标下的“关于”链接。  如果缺少这些应用，则需要在继续遥测设置之前进行安装。使用本指南从思科云将这些软件包安装到Cisco DNA Center。思科DNA中心升级指南

思科DNA中心作为遥测收集器

NetFlow数据导出是一种技术传输，提供将转发到思科DNA中心进行深入分析的遥测数据。为了支持机器学习和终端分析推理的数据收集，需要将NetFlow导出到Cisco DNA Center。  TTA是一个遥测传感器平台，用于从镜像IP网络流量生成遥测并与思科DNA中心共享，以实现应用和终端可视性。

• 网络流量通过交换端口分析器(SPAN)镜像从交换机和路由器接收，并馈送到思科DNA流量遥测设备镜像接口。
• 思科DNA流量遥测设备分析收到的流量，生成思科DNA中心的遥测流。

要启用思科DNA中心作为遥测收集器，请完成以下步骤。

• 在Cisco DNA Center中，单击Menu > Design > Network Settings，并为Cisco DNA Center启用遥测以收集NetFlow。

将DNAC配置为NetFlow收集器

思科AI云

Cisco AI Network Analytics是Cisco DNA Center中的一个应用程序，它利用机器学习和机器推理的强大功能提供特定于您的网络部署的准确见解，使您能够快速排除问题。  网络和遥感勘测信息在思科DNA中心进行匿名处理，然后通过安全的加密通道发送到思科AI分析基于云的基础设施。Cisco AI Analytics云通过此事件数据运行机器学习模型，并将问题和总体见解带回Cisco DNA Center。  所有到云的连接在TCP/443上都是出站连接。没有入站连接，思科AI云不会发起任何流向思科DNA中心的TCP流。  撰写本文时可用于在HTTPS代理和/或防火墙中允许的完全限定域名(FQDN)如下：

• https://api.use1.prd.kairos.ciscolabs.com(美国东部地区)
• https://api.euc1.prd.kairos.ciscolabs.com(欧盟中部地区)

已部署的Cisco DNA Center设备必须能够解析并访问互联网上由思科托管的各个域名。

按照以下步骤将Cisco DNA Center捆绑到Cisco AI云。

• 转到Cisco DNA Center设备Web UI以完成AI云注册：
• 导航至 System > Settings > External Services > Cisco AI Analytics
• 单击Configure并启用Endpoint Smart Grouping and AI spoof detection选项。
• 终端智能分组使用AI/ML云对未知终端进行集群，以帮助管理员标记这些终端。这对于减少网络中的网络未知非常有用。
• AI欺骗检测将帮助思科收集其他NetFlow/遥测信息，并帮助对终端建模。
• 选择离部署的地理区域最近的地点。云连接验证完成且连接成功后，您将看到绿色复选框。

配置Cisco AI Analytics GUI

• 如果连接失败，请从System > Settings > System Configuration > Proxy config页检查Cisco DNA Center中的代理设置（如果正在使用代理）。最好检查可能阻止此通信的任何防火墙规则。
  

思科AI/ML云连接验证

• 接受思科通用云协议以启用AI分析。
• 此时将完成自注册，并显示一个指示此情况的对话框，如图所示。

注册后成功对话框

基于网络的应用识别(NBAR)云

遥测设备和Catalyst 9000平台使用数据包流的深度数据包检测来收集终端元数据，并应用基于网络的应用识别(NBAR)来确定网络中正在使用的协议和应用。Cisco DNA Center具有可更新的内置NBAR协议包。遥测数据可以发送到Cisco NBAR云进行进一步分析并检测未知协议签名。  为此，需要将Cisco DNA Center设备绑定到云。基于网络的应用识别(NBAR)是思科开发的高级应用识别引擎，它利用多种分类技术，可以轻松更新其分类规则。

要将Cisco DNA Center捆绑到Cisco NBAR云，请完成以下步骤。

• 从Cisco DNA Center UI转至调配>服务>应用可视性。点击NBAR Cloud（NBAR云）下的Configure（配置），将会打开一个面板。启用服务。
• 如果您有客户端ID、客户端密钥和组织名称，请根据组织和使用为其指定唯一的名称.
• 在撰写本文时，目前唯一可用的NBAR云区域是在美国；未来可能会有更多地区可用。在部署首选项中选择一个并保存。

要获取客户端ID和客户端密码凭证，请点击“Cisco API控制台”链接，这将打开一个门户。使用适当的CCO ID登录，创建新应用，选择与NBAR云对应的选项并完成表格。完成后，您将获得客户端ID和密码。请参阅下图。

用于检索客户端ID和密钥的思科API链接

这些图像演示了用于注册到NBAR云的选项。

NBAR云应用详细信息

• 在完成API请求的详细信息时，请使用此映像作为参考。

应用API详细信息

• 将从Cisco门户获取的客户端ID和密钥输入到Cisco DNA Center。

在DNAC上配置客户端ID和密钥

CBAR（基于控制器的应用识别）和SD-AVC

CBAR用于对数以千计的网络应用、自行开发的应用和一般网络流量进行分类。它使Cisco DNA Center能够动态了解网络基础设施上使用的应用。CBAR可识别网络中不断增加的新应用，并允许更新协议包，从而帮助保持网络最新。如果应用可视性由于过时的协议包而从端到端丢失，则可能会出现错误分类以及后续转发。这不仅会导致网络中存在可视性漏洞，还会导致不正确的排队或转发问题。CBAR通过允许通过网络推送更新的协议包来解决此问题。

Cisco Software-Defined AVC(SD-AVC)是Cisco Application Visibility and Control(AVC)的一个组件。它作为集中式网络服务运行，与网络中的特定参与设备协同工作。SD-AVC还帮助对应用数据进行深度处理。SD-AVC提供的一些当前功能和优势包括：

• 在整个网络中实现一致的网络级应用识别
• 改进对称和非对称路由环境中的应用识别
• 改进的首次数据包识别
• 网络级别的协议包更新
• 基于HTTPS的安全基于浏览器的SD-AVC控制面板，用于监控SD-AVC功能和统计信息，以及用于配置网络范围内的协议包更新

要为相关设备启用CBAR，请执行以下步骤。

• 转至Cisco DNA Center的菜单，Provision > Application Visibility。  此 首次打开“应用可视性”(Application Visibility)页面时，用户会看到如下所示的配置向导。
• 在Cisco DNA Center中发现每个站点的设备后，选择设备以启用CBAR，然后继续下一步。

在设备上启用CBAR

Microsoft Office 365云连接器（非必备）

Cisco DNA Center可以直接与Microsoft RSS源集成，以确保Office 365的应用程序识别与其发布的指南保持一致。此集成在Cisco DNA Center中称为Microsoft Office 365云连接器。如果用户在网络中运行Microsoft Office 365应用，最好部署此应用。  不要求与Microsoft Office 365集成，如果不启用，只会影响Cisco DNA Center处理和分类Microsoft Office 365主机数据的能力。  Cisco DNA Center已经内置了Microsoft Office 365应用识别功能，但是通过直接与应用提供商集成，Cisco DNA Center可以获取有关Microsoft Office 365套件使用的当前知识产权块和URL的更新而精确的信息。

要将Cisco DNA Center与Microsoft Office 365云集成，请执行以下步骤。

• 点击菜单图标，然后选择调配>服务>应用可视性
• 单击Discover Applications
• 单击MS Office 365云切换按钮，将Cisco DNA Center与Microsoft Office 365云集成。

MS O365云集成

TTA实施

本节介绍在网络中实施TTA所需的步骤。

TTA工作流程概述

TTA至DNAC工作流

此图中突出显示的步骤概述了TTA和Cisco DNA Center之间的流程和遥测流。  这里对这些步骤作了进一步阐述。

1. 思科流量遥测设备连接到网络基础设施中的站点聚合交换机或核心交换机。此连接允许设备从网络中的各种接入交换机接收流量数据。
2. 思科流量遥测设备与思科DNA中心集成，后者是网络管理平台。此集成可实现设备与Cisco DNA Center之间的无缝通信和数据交换。
3. 用户流量流经网络时，会将其跨越或镜像到思科流量遥测设备。这意味着将网络流量的副本发送到设备以进行监控和分析，而原始流量继续其正常路径。
4. 思科流量遥测设备收集并处理收到的流量数据。它从镜像流量中提取相关信息，如数据包级别详细信息、流量统计信息和性能度量。
5. 然后，处理后的遥测信息从思科流量遥测设备发送到思科DNA中心。通过此通信，Cisco DNA Center可以接收有关网络流量模式、应用性能和异常情况的实时见解和更新。
   
6. 思科DNA中心生成的遥感勘测信息可为网络管理员提供有价值的信息。他们可以使用Cisco DNA Center的界面来查看和分析收集的数据，了解网络的运行状况和应用性能，识别潜在问题，并为网络优化和故障排除做出明智的决策。

TTA部署：高级图

TTA部署：高级

上图描述了TTA如何在网络中连接。10 Gig和1 Gig接口可用于线速的SPAN接收。Gi0/0/5接口用于与Cisco DNA Center通信、协调，以及将遥测信息转发到Cisco DNA Center；此接口不能用于SPAN接收。

TTA软件和许可要求

网络中部署的TTA设备对于提供用户数据和用户终端的遥测见解至关重要。要成功部署解决方案，必须满足这些要求。

• TTA必须使用初始引导程序配置进行配置，以便思科DNA中心可以发现它（TTA引导程序配置）
• TTA设备需要连接到思科DNA中心，以便可由思科DNA中心管理（将遥测盒添加到思科DNA中心库存）
• 需要在TTA（TTA设备许可证）上安装正确的许可证

设备仅支持一个操作系统，并且需要Cisco DNA TTA优势许可证才能收集遥感勘测数据。  无需功能许可证（例如IP Base或高级IP服务）或永久许可包（例如Network Essentials或Network Advantage）。

要在Cisco DNA Center中管理许可证，请导航至Cisco DNA Center下拉菜单中的Tools > License Manager，方法是单击“Menu”图标

DNAC上的许可证管理器

• 导航到所有许可证页面；该页面看起来与此图像类似。在此页面上，管理员可以像TTA一样管理网络设备许可证。

DNAC上的所有许可证页面

TTA自注册和0天配置

为便于思科DNA中心发现和登录TTA设备，需要在站点的TTA设备上配置bootstrap命令。在引导程序配置到位后，TTA可从Cisco DNA Center的控制面板中发现。以下是TTA设备的零日配置项目。  一旦设备加入站点层次结构，TTA设备将继承来自Cisco DNA Center的其余配置项目。

hostname TTA
interface GigabitEthernet0/0/5
description ***** Management Interface  ********
ip address x.x.x.x <SUBNET MASK>
negotiation auto
cdp enable

ip route 0.0.0.0 0.0.0.0 x.x.x.y
username dna privilege 15 algorithm-type scrypt secret  
    
    
enable secret  
    
    
service password-encryption
ip domain name <domain name>
ip ssh version 2
line vty 0 15
login local
transport input ssh
transport preferred none
ip ssh source-interface GigabitEthernet0/0/5

aaa new-model
aaa authentication login default local
aaa authorization exec default local

**SNMPv2c or SNMPv3 paramters as applicable**
snmp-server community <string> RO
snmp-server community <string> RW

在TTA上配置这些项目后，思科DNA中心即可发现这些项目。

将TTA设备添加到思科DNA中心的库存

要利用TTA，思科DNA中心需要发现和管理TTA设备。TTA注册到思科DNA中心后，即可从思科DNA中心对其进行管理。  在发现TTA设备之前，我们需要确保站点具有完整的站点层次结构。然后，我们将按照以下步骤在特定的站点层次结构下添加TTA设备，这些步骤位于菜单>调配>设备>资产页，以将设备添加到站点。

1. 提供连接到设备所需的用户名/密码(CLI)和SNMP团体以及启用密码。请等到设备添加成功后再继续。
2. 检查设备名称、系列（如果采用TTA则进行网络管理）、可达性 — 可访问、可管理、设备角色 — 分布。设备最初将为“不兼容”，但是一旦完全调配，状态将更改。
3. TTA入网后，思科DNA中心将推送配置模板，以使用高级遥测功能对其进行配置。

TTA发现和启用应用遥测

SPAN配置

根据核心交换机的硬件功能，可以将SPAN会话配置为将一组VLAN或接口通过SPAN连接到与TTA连接的接口。此处提供了示例配置。

Switch#configure terminal
Switch(config)#monitor session 1 source vlan|interface rx|tx|both
Switch(config)#monitor session 1 destination interface intx/y/z

收集的保证

要访问从已安装的流量遥测设备收集的保证数据，请转至“保证”部分，然后点击“运行状况”。

导航到App Assurance

选择Applications（应用），您将看到应用数据的全面概述，包括TTA根据特定应用类型捕获的延迟和抖动。

导航到Application Assurance

详细的应用保证UI

为了进行更详细的分析，用户可以通过点击特定应用并选择导出器作为流量遥测设备来探索各个应用，并检查特定指标，例如使用率、吞吐量和丢包数据、客户端网络延迟、服务器网络延迟和应用服务器延迟。

示例：应用详情Pt.1

示例：应用详情Pt.2

验证

1.启用CBAR后，请登录思科流量遥测设备并执行此CLI命令，验证设备上已启用SD-AVC（应用可视性控制）服务。输出将类似于此示例，指示控制器的IP地址和连接状态。

Cisco-TTA#sh avc sd-service info summary
Status: CONNECTED
Device ID: Cisco-TTA
Device segment name: AppRecognition
Device address: <TTA IP Address>
Device OS version: 17.03.01
Device type: DN-APL-TTA-M
Active controller:
Type : Primary
IP : <Cisco DNA Center IP Address>
Status: Connected
Version : 4.0.0

2.在TTA的CLI中使用show license summary命令检查相关设备许可证的详细信息。

Device# show license summary
Smart Licensing is ENABLED
License Reservation is ENABLED

Registration:
  Status: REGISTERED - SPECIFIC LICENSE RESERVATION
  Export-Controlled Functionality: ALLOWED

License Authorization:
  Status: AUTHORIZED - RESERVED

License Usage:
  License                 Entitlement tag               Count Status
  -----------------------------------------------------------------------------
  Cisco_DNA_TTA_Advantage (DNA_TTA_A)                       1 AUTHORIZED

3.验证已在核心/汇聚交换机上正确配置了SPAN会话。

AGG_SWITCH#show monitor session 1
Session 1
---------
Type : Local Session
Source VLANs : 300-320
RX Only : 
Destination Ports : TenGigx/y/z
Encapsulation : Native
Ingress : Disabled

4.成功调配TTA后，这些命令将被（或已经）推送到设备。

avc sd-service
segment AppRecognition
controller
address <Cisco DNA Center IP Address> 
.....
!
flow exporter <Cisco DNA Center IP Address>
destination <Cisco DNA Center IP Address>
!
crypto pki trustpoint DNAC-CA
.....
!
performance monitor context tesseract profile application-assurance
exporter destination <Cisco DNA Center IP Address> source GigabitEthernet0/0/5 transport udp port 6007
....
!
All interfaces must have
ip nbar protocol-discovery
performance monitor context tesseract