检查DNA Center Group-Based策略分析工具
简介
本文档介绍Cisco DNA Center Group-Based Policy Analytics工具的基本概念。
先决条件
要求
Cisco 建议您了解以下主题:
- Cisco UCS M4或M5设备,44、55或112个内核
- Cisco DNA Center软件
-
思科身份服务引擎(ISE)
- 基于组的策略控制
使用的组件
本文档中的信息基于运行版本2.3.5的Cisco DNA Center。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
预检查
选中1。必须启用NetFlow才能使用思科基于组的策略分析。下表显示了可在不同网络设备上启用NetFlow的各种方式。
| 网络设备 | 系列 | NetFlow可配置在Cisco DNA Center UI中网络设置(Flexible NetFlow或基于应用可视性与可控性的NetFlow)的遥测部分 | 使用Cisco DNA Center UI中的模板中心工具(Flexible NetFlow或基于应用可视性与可控性的NetFlow)可配置NetFlow | 交换矩阵部署中的NetFlow收集 | 非交换矩阵部署中的NetFlow收集 |
|---|---|---|---|---|---|
| 路由器 | 思科1000系列集成多业务路由器(ISR1K) | Yes | Yes | Yes | Yes |
| Cisco 4000系列集成多业务路由器(ISR4K) | Yes | Yes | Yes | Yes | |
| 思科云服务路由器1000v系列(CSR 1000v) | Yes | Yes | Yes | Yes | |
| 思科1000系列聚合服务路由器(ASR1K) | Yes | Yes | Yes | Yes | |
| 交换机 | Cisco Catalyst 9200 系列 | Yes | Yes | Yes | Yes |
| Cisco Catalyst 9300 系列 | Yes | Yes | Yes | Yes | |
| Cisco Catalyst 9400 系列 | Yes | Yes | Yes | Yes | |
| Cisco Catalyst 9500 系列 | 无 | Yes | Yes | Yes | |
| Cisco Catalyst 9600 系列 | 无 | Yes | Yes | Yes | |
| Cisco Catalyst 2k系列 | 无 | Yes | 不适用 | Yes | |
| Cisco Catalyst 3560 系列 | 无 | Yes | 不适用 | Yes | |
| Cisco Catalyst 3650 系列 | 无 | Yes | Yes | Yes | |
| Cisco Catalyst 3850 系列 | 无 | Yes | Yes | Yes | |
| Cisco Catalyst 4k系列 | 无 | Yes | Yes | Yes | |
| Cisco Catalyst 6500 系列交换机 | 无 | Yes | Yes | Yes | |
| Cisco Catalyst 6800 系列交换机 | 无 | Yes | Yes | Yes | |
| 无线控制器 | Cisco 3504无线控制器(基于AireOS) | Yes | Yes | 无 | 是,仅中心交换SSID |
| Cisco 5520无线控制器(基于AireOS) | Yes | Yes | 无 | 是,仅中心交换SSID | |
| 思科8540无线控制器(基于AireOS) | Yes | Yes | 无 | 是,仅中心交换SSID | |
| 基于Cisco Catalyst 9800的控制器 |
Yes |
Yes |
Yes |
Yes |
检查2。确保您的网络设备启用了Cisco DNA Advantage或Cisco DNA Premier许可证。
检查3。在Cisco DNA Center GUI上,导航到System > Software Management > Currently Installed Applications,并确认已安装Group-Based Policy Analytics应用。
已安装基于组的策略分析应用
检查4。思科ISE需要与Cisco DNA Center集成,并通过ERS和PxGrid可用。在System > System 360上确认。
主页操作
在Cisco DNA Center GUI上,导航到策略>基于组/的访问控制。
基于组的访问分析主页
在此页面中,您可以找到以下内容:
- 标题框 — 单击该框可导航到“可扩展组”通信流。
- 搜索栏 — 帮助根据任何组类型进行过滤,可以按IP地址或MAC地址进行过滤。
- “收藏”图标 — 显示最近搜索或已保存的搜索。
- 配置图标 — 策略设置或分析设置的快捷方式,
图块框显示过去14年的唯一流量计数 可扩展组、ISE配置文件和Stealthwatch主机的天数 组(如果已配置)。
唯一的流量流定义为具有唯一协议和服务器端口(如TCP端口80或UDP端口123)的流量
例如,如果未配置Stealthwatch,则不会显示该磁贴框。
组
这三种类型的组显示网络可视性。
- 可扩展组(SG)。在ISE中称为安全组,在路由器、交换机和WLC中称为TrustSec组
- ISE配置文件。
- Stealthwatch主机组(HG)。
组到组通信
组通信可以分为三个级别:
- 多个组到多个组(多对多)
- 单个组到多个组(一对多)
- 单个组到单个组(一对多)
单击首选项的组,系统将显示流视图,其中Source始终位于左侧,Destination始终位于右侧。 显示的第一个视图是多个组到多个组。
流视图是Sankey图,是一种流图,其中箭头的宽度与所描述属性的流率成比例。
多组到多组视图。
可扩展组的流程图
在此页面中,您可以找到以下内容:
- 搜索栏 — 您可以过滤源组。
- 对话选项 — 仅当源是可扩展组时,您才能选择目标组类型。
- 时间范围 — 单击它可更改日期和时间范围。范围可以是1小时、12小时或24小时。
- 切换工具 — 在“流”视图和“表”视图之间切换。
- 源组 — 点击一个组可细化到“单个组到多个组”视图。
- 链接 — 将鼠标悬停在链接上,然后单击该链接可向下展开两个级别,最后在“单个组到单个组”视图中结束。
注意:“多组到多组”视图显示流量最多的前25个源组。
多组到多组的表视图
提示:您可以始终扩展范围,查看超过前25个条目。
单组到多组视图
在此视图中,流程图显示在“出站”和“入站”选项中。
“出站”视图显示与您通信的所有目标组的源组通信。
出站单个组到多个组视图
入站视图显示与单个目标组通信的所有源组。
单个组到多个组的入站视图
在此页面中,您可以找到以下内容:
- 搜索栏 — 输入值,以过滤出站时的目标组,入站时的源组。
- Communication with option — 仅当源是可扩展组时,您才能选择目标组类型。
- 时间范围 — 单击它可更改日期和时间范围。范围可以是1小时、12小时或24小时。
- 切换工具 — 在“流”视图和“表”视图之间切换。
- 导航路径 — 单击路径的任何级别可沿其移动。
- 链接 — 将鼠标悬停在链接上,然后点击链接向下钻取一个级别,最后在“单个组到单个组”视图中结束。
- 入站 | 出站选择器 — 选择流量的方向。
- 创建报告和下载报告 — 从此页面导出数据以创建报告或下载以前创建的报告。
- 组 — 选择新的源组。
- 分页 — 移至上一页或下一页,或更改每页的记录数。
单个组到单个组视图
在此视图中,您可以看到与目标组的源组通信。
在此页面中,您可以找到以下内容:
- 时间范围 — 单击它可更改日期和时间范围。范围可以是1小时、12小时或24小时。
- 切换工具 — 在“流”视图和“表”视图之间切换。
- 导航路径 — 单击路径的任何级别可沿其移动。
- 箭头图标 — 点击该图标可交换Source和Destination组。
- Filter — 按列过滤。
- 查找 — 筛选所有现有数据。
- 创建报告和下载报告 — 从此页面导出数据以创建报告或下载以前创建的报告。
- 分页 — 移至上一页或下一页,或更改每页的记录数。
报告
导出数据可用于:
- “任意组到组”通信表
- IP/MAC地址
报告选项
提示:报告部分不可用于只读用户角色。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
28-Jul-2023 |
初始版本 |
反馈