利用流量遙測裝置(TTA)和思科DNA中心應用保證：原因和方式

簡介

本檔案介紹Cisco DNA流量遙測裝置（思科部件號DN-APL-TTA-M）平台，以及如何在Cisco DNA Center中啟用應用保證。  I此外，它還為如何定位TTA以及配置和驗證過程在網路中的位置提供了一些資訊。本文還介紹了所涉及的各種先決條件。

必要條件

思科建議您瞭解Cisco DNA Center Assurance和Application Experience的每項工作方式。

應用保證

保證是一個多用途、即時的網路資料收集和分析引擎，可顯著增加網路資料的業務潛力。  Assurance可處理複雜的應用程式資料，並在Assurance運行狀況控制面板中顯示調查結果，以便深入瞭解網路中使用的應用程式的效能。  根據從何處收集資料，您可以看到以下部分或全部內容：

• 應用程式名稱
• 吞吐量
• DSCP標籤
• 效能指標（延遲、抖動和丟包）

根據收集的資料量，應用保障可以分為兩個模型：

• 應用可視性(AppVis)和
• 應用體驗(AppX)

應用名稱和吞吐量統稱為量化指標(Quantitative metrics)。量化指標的資料來自啟用應用可視性。

DSCP標籤和效能度量（延遲、抖動和丟包）統稱為定性度量。定性指標的資料來自啟用應用程式體驗。

應用可視性(AppVis)

應用可視性資料從運行Cisco IOS® XE的交換機和運行AireOS的無線控制器收集。  對於運行Cisco IOS XE的交換機，使用預定義的NBAR模板收集應用可視性資料，該模板雙向應用於物理層接入交換機埠（入口和出口）。  對於運行AireOS的無線控制器，應用可視性資料在無線控制器上收集，然後使用流遙測技術將此資料傳輸到Cisco DNA Center。

應用體驗(AppX)

應用體驗資料從Cisco IOS XE路由器平台收集，具體使用思科效能監控器(PerfMon)功能和思科應用響應時間(ART)指標。  路由器平台的示例包括ASR 1000、ISR 4000和CSR 1000v。有關與思科DNA中心的裝置相容性，請參閱思科DNA中心相容性矩陣。

為什麼選擇流量遙測裝置？

Cisco Catalyst 9000系列有線和無線裝置可執行深度資料包檢測(DPI)並為服務（例如思科DNA中心中的思科AI端點分析和應用保證）提供資料流。  但是，如果網路中沒有Catalyst 9000系列裝置可從提取遙測資料，該怎麼辦？  一些組織的網路基礎設施中仍有部分尚未遷移到Cisco Catalyst 9000系列平台。  Catalyst 9000平台會生成AppVis遙測，但為了獲得更多AppX見解，思科DNA流量遙測裝置可用於彌合差距。TTA的目標是監控其通過SPAN埠從其他網路裝置接收的流量，這些網路裝置無法向Cisco DNA Center提供應用體驗資料。  由於傳統基礎設施裝置無法執行高級分析所需的深度資料包檢測，因此Cisco DNA流量遙測裝置可用於從現有傳統部署生成AppX遙測。

思科TTA的實際應用

TTA裝置詳細資訊

基於Cisco IOS XE的遙測感測器平台從交換機和無線控制器的交換埠分析器(SPAN)會話中的映象IP網路流量生成遙測。該裝置使用基於網路的應用識別(Network-Based Application Recognition， NBAR)技術檢查數千個協定，以生成用於Cisco DNA Center執行分析的遙測流。思科DNA流量遙測裝置可以處理20 Gbps的持續吞吐量流量，並檢查40,000個終端會話以進行裝置分析。

思科流量遙測裝置

TTA具有混合10-Gig和1-Gig鏈路，用於SPAN接收。在這些埠中，Gig0/0/5是唯一一個可配置IP地址且可用於與Cisco DNA Center通訊的埠。介面矩陣如下所示。

TTA介面矩陣

TTA介面矩陣
1	10 GE SFP+埠0/0/0	5	GE SFP埠0/0/2
2	10 GE SFP+埠0/0/1	6	GE SFP埠0/0/3
3	GE SFP埠0/0/0	7	GE SFP埠0/0/4
4	GE SFP埠0/0/1	8	GE SFP埠0/0/5

保證的Cisco DNA Center先決條件

本節重點介紹在Cisco DNA Center能夠處理遙測之前需要滿足的配置和前提條件。

運營的Cisco DNA中心集群

用於管理TTA和流程遙測的Cisco DNA Center群集必須使用以下條件進行調配：

• 網路層次結構:設計工作流程中的「網路層次結構」部分用於定義不同的站點園區、這些園區內的建築物以及這些建築物內的各個樓層，並將它們顯示在世界地圖上。必須配置相應的站點/網路層次結構。
• 網路設定:Network Settings部分允許建立將由網路內的裝置使用的常見預設網路設定。這些設定可以全域性方式應用，也可以應用到每個地點、建築或樓層級別。根據部署要求輸入DNS、域名、系統日誌、NTP、時區和登入標語資訊。
• 裝置憑證:這些憑證將用於訪問和發現包括TTA在內的網路中的裝置。必須使用適當的CLI和SNMP憑證配置Cisco DNA Center。  與此NetConf憑證一起使用是有益的。
• 思科CCO帳戶：需要有效的CCO帳戶才能將裝置捆綁起來並利用思科AI雲的功能、下載SWIM映像和下載TTA和其他裝置的協定包。

ISE和思科DNA中心整合

思科身份服務引擎(ISE)和思科DNA中心可以整合以實現身份和策略自動化。  ISE還用於收集有關終端的資訊以利用思科AI終端分析。 PxGrid用於實現ISE與Cisco DNA Center之間的整合。

Cisco DNA Center和ISE整合要求如下：

• 必須在ISE上啟用pxGrid服務。
• 必須啟用ERS讀/寫訪問許可權。
• ISE管理員證書必須在主題名稱或SAN欄位中包含ISE的IP地址或FQDN。
• Cisco DNA Center系統證書必須在使用者名稱或SAN欄位中包含所有Cisco DNA Center的IP地址或FQDN。
• ISE ERS管理員憑據將用於在ISE和思科DNA中心之間建立ERS通訊的信任。
• pxGrid節點必須可從思科DNA中心訪問。

思科DNA中心遙測要求

必須實施一些要求，才能在Cisco DNA Center中啟用應用保證。這些要求將在後面的章節中詳細解釋。

Cisco DNA Center金鑰包

Cisco DNA Center要求安裝這三個包，以便啟用和分析遙測資料。

• AI端點分析
• AI網路分析
• 應用可視性服務

需有Cisco DNA Center產品包

快速訪問此資訊的方法是點選Cisco DNA Center首頁右上角問號圖示下的「關於」連結。  如果缺少這些應用程式，則需要在繼續遙測設定之前安裝它們。使用本指南從思科雲將這些軟體包安裝到Cisco DNA Center中。Cisco DNA Center升級指南

作為遙測收集器的思科DNA中心

NetFlow資料匯出是一種技術傳輸，可提供將轉發到Cisco DNA中心進行深入分析的遙測資料。為了支援機器學習和終端分析推理的資料收集，需要將NetFlow匯出到Cisco DNA Center。  TTA是一個遙測感測器平台，用於從映象IP網路流量生成遙測並與思科DNA中心共用，以實現應用和終端可視性。

• 網路流量通過交換埠分析器(SPAN)映象從交換機和路由器接收，並饋送到Cisco DNA流量遙測裝置映象介面。
• 思科DNA流量遙測裝置分析接收的流量，為思科DNA中心生成遙測流。

要啟用Cisco DNA Center作為遙測收集器，請完成以下步驟。

• 在Cisco DNA Center中，按一下Menu > Design > Network Settings，然後為Cisco DNA Center啟用遙測功能，以收集NetFlow。

將DNAC配置為NetFlow收集器

思科AI雲

Cisco AI Network Analytics是Cisco DNA Center中的一個應用程式，利用機器學習和機器推理的強大功能，提供特定於您的網路部署的準確見解，使您可以快速排除問題。  網路和遙測資訊在Cisco DNA Center中是匿名的，然後通過安全的加密通道傳送到基於雲的Cisco AI Analytics基礎設施。Cisco AI Analytics雲通過此事件資料運行機器學習模型，並將問題和總體見解帶回Cisco DNA Center。  TCP/443上的所有雲連線都是出站連線。沒有入站連線，思科AI雲不會向Cisco DNA Center發起任何TCP流。  撰寫本文時，可以用來在HTTPS代理和/或防火牆中允許的完全限定域名(FQDN)為：

• https://api.use1.prd.kairos.ciscolabs.com(美國東部地區)
• https://api.euc1.prd.kairos.ciscolabs.com(歐盟中部地區)

已部署的Cisco DNA Center裝置必須能夠解析並訪問由思科託管的Internet上的各種域名。

按照以下步驟將Cisco DNA Center捆綁到Cisco AI雲。

• 轉到Cisco DNA Center裝置Web UI以完成AI雲註冊：
• 導航至 系統>設定>外部服務>Cisco AI分析
• 按一下Configure並啟用Endpoint Smart Grouping and AI spoof detection選項。
• 終端智慧分組使用AI/ML雲對未知終端進行群集，以幫助管理員標籤這些終端。這對於減少網路中的網路未知數非常有用。
• AI欺騙檢測將幫助思科收集其他NetFlow/遙測資訊，並幫助建立終端模型。
• 選擇離部署的地理區域最近的地點。雲連線驗證完成且連線成功後，您將看到綠色覈取方塊。

配置Cisco AI Analytics GUI

• 如果連線失敗，請從System > Settings > System Configuration > Proxy config頁面檢查Cisco DNA Center中的代理設定（如果正在使用代理）。檢查可能阻止此通訊的任何防火牆規則也是不錯的做法。
  

Cisco AI/ML雲端連線驗證

• 接受思科通用雲協定以啟用AI分析。
• 此時，將完成入網，並顯示一個指示此情況的對話方塊，如下所示。

註冊後成功對話方塊

網路型應用程式辨識(NBAR)雲

遙測裝置和Catalyst 9000平台使用資料包流的深度資料包檢測來收集終端後設資料，並應用基於網路的應用識別(NBAR)來確定網路中正在使用的協定和應用。Cisco DNA Center具有可更新的內建NBAR協定包。可以將遙測資料傳送到Cisco NBAR雲進行其他分析並檢測未知協定簽名。  為此，需要將Cisco DNA Center裝置連線到雲。網路型應用程式辨識(NBAR)是由Cisco開發的進階應用程式辨認引擎，利用多個分類技術，可輕鬆更新其分類規則。

要將Cisco DNA Center捆綁到Cisco NBAR Cloud，請完成以下步驟。

• 從Cisco DNA Center UI轉到Provision > Services > Application Visibility。點選NBAR Cloud下的Configure，將會開啟一個面板。啟用服務。
• 如果您有客戶端ID、客戶端密碼和組織名稱，請根據組織和用途為其指定唯一的名稱.
• 在撰寫本文時，目前唯一可用的NBAR雲地區是在美國；未來可能會有更多地區可用。在部署首選項中選擇一個並儲存。

要獲取客戶端ID和客戶端密碼憑證，請按一下「Cisco API控制檯」連結，這將開啟一個門戶。使用適當的CCO ID登入，建立新的應用，選擇與NBAR雲對應的選項並完成表格。完成後，您將獲得客戶端ID和密碼。請參閱下圖。

用於檢索客戶端ID和金鑰的Cisco API連結

這些影象演示了用於註冊到NBAR雲的選項。

NBAR雲應用詳細資訊

• 在完成API請求的詳細資訊時，請使用此影象作為參考。

應用API詳細資訊

• 將從思科門戶獲取的客戶端ID和機密輸入思科DNA中心。

在DNAC上配置客戶端ID和密碼

CBAR（基於控制器的應用識別）和SD-AVC

CBAR用於對數以千計的網路應用、自行開發的應用和一般網路流量進行分類。它使Cisco DNA Center能夠動態瞭解網路基礎設施上使用的應用。CBAR可識別新的應用程式，從而幫助保持網路最新，因為它們在網路中的存在不斷增加，並且允許對協定包進行更新。如果應用程式可見性通過過時的協定包從端到端丟失，則可能會發生錯誤分類和後續轉發。這不僅會導致網路出現可見性漏洞，還會導致錯誤的排隊或轉發問題。CBAR通過允許通過網路推送更新的協定包來解決此問題。

思科軟體定義AVC(SD-AVC)是思科應用可視性與控制(AVC)的元件。它充當與網路中特定參與裝置一起操作的集中式網路服務。SD-AVC還幫助對應用資料進行深度處理。SD-AVC提供的一些當前功能和優勢包括：

• 在整個網路中實現一致的網路級應用識別
• 對稱和非對稱路由環境中的改進應用識別
• 改進的第一個資料包識別
• 網路級別的協定包更新
• 基於HTTPS的安全瀏覽器SD-AVC儀表板，用於監控SD-AVC功能和統計資訊，以及配置網路範圍內的協定包更新

要為相關裝置啟用CBAR，請執行以下步驟。

• 轉到Cisco DNA Center的選單Provision > Application Visibility。  其 首次開啟「應用程式可見性」頁面時，使用者會看到如下所示的配置嚮導。
• 在Cisco DNA Center中為每個站點發現裝置後，選擇裝置以啟用CBAR並繼續下一步。

在裝置上啟用CBAR

Microsoft Office 365雲端聯結器（非必備）

Cisco DNA Center可以直接與Microsoft RSS訂閱源整合，以確保Office 365的應用程式識別與其發佈的指南保持一致。此整合在Cisco DNA Center中稱為Microsoft Office 365雲聯結器。如果使用者在網路中運行Microsoft Office 365應用程式，最好部署此程式。  無需與Microsoft Office 365整合，如果未啟用，將僅影響Cisco DNA Center處理和分類Microsoft Office 365主機資料的能力。  Cisco DNA Center已經內建了Microsoft Office 365應用程式識別功能，但是通過直接與應用程式提供商整合，Cisco DNA Center可以獲取有關Microsoft Office 365套件使用的當前智慧財產權塊和URL的更新、準確的資訊。

要將Cisco DNA Center與Microsoft Office 365雲整合，請執行以下步驟。

• 按一下選單圖示並選擇Provision > Services > Application Visibility
• 按一下Discover Applications
• 按一下MS Office 365雲切換按鈕，將Cisco DNA Center與Microsoft Office 365雲整合。

MS O365雲整合

TTA實施

本節介紹在網路中實施TTA所需的步驟。

TTA工作流概述

TTA到DNAC工作流

此圖中突出顯示的步驟概述了TTA和Cisco DNA Center之間的流程和遙測流。  這裡對這些步驟作了進一步的闡述。

1. 思科流量遙測裝置連線到網路基礎設施中的站點聚合交換機或核心交換機。此連線允許裝置從網路中的各種接入交換機接收流量資料。
2. 思科流量遙測裝置與作為網路管理平台的思科DNA中心整合。此整合實現了裝置與Cisco DNA Center之間的無縫通訊和資料交換。
3. 使用者流量流經網路時，會將其跨越或映象到思科流量遙測裝置。這意味著網路流量的副本將傳送到裝置以進行監控和分析，而原始流量繼續其正常路徑。
4. 思科流量遙測裝置收集並處理收到的流量資料。它從映象流量中提取相關資訊，如資料包級別詳細資訊、流量統計資訊和效能度量。
5. 然後，處理後的遙測資訊會從思科流量遙測裝置傳送到思科DNA中心。通過此通訊，Cisco DNA Center可以接收有關網路流量模式、應用效能和異常情況的即時見解和更新。
   
6. Cisco DNA Center生成的遙測見解為網路管理員提供了重要資訊。他們可以使用Cisco DNA Center的介面來檢視和分析收集的資料，瞭解網路的運行狀況和應用效能，確定潛在問題，並為網路最佳化和故障排除做出明智的決策。

TTA部署：高級圖

TTA部署：高級

上圖說明如何在網路中連線TTA。10-Gig和1-Gig介面可用於以線速接收SPAN。Gi0/0/5介面用於與Cisco DNA Center通訊、協調，以及將遙測資訊轉發到Cisco DNA Center；此介面不能用於SPAN接收。

TTA軟體和許可要求

網路中部署的TTA裝置對於提供使用者資料和使用者端點的遙測見解至關重要。要成功部署解決方案，必須滿足這些要求。

• TTA必須配置初始載入程式配置，以便思科DNA中心可以發現該配置（TTA載入程式配置）
• TTA裝置需要安裝到Cisco DNA Center中，以便由Cisco DNA Center管理（將遙測盒新增到Cisco DNA Center庫存中）
• 需要在TTA（TTA裝置許可證）上安裝正確的許可證

裝置僅支援一個作業系統，並且需要Cisco DNA TTA Advantage License才能收集遙測資料。  不需要功能許可證（例如IP Base或高級IP服務）或永久許可包（例如Network Essentials或Network Advantage）。

要在Cisco DNA Center中管理許可證，請導航至Cisco DNA Center下拉選單中的Tools > License Manager，然後按一下Menu圖示

DNAC上的許可證管理器

• 導覽至All License頁面；該頁面看起來與此影象相似。在此頁面上，管理員可以管理TTA等網路裝置許可證。

DNAC上的所有許可證頁面

TTA自註冊和0天配置

為了便於思科DNA中心發現和自註冊TTA裝置，需要在站點的TTA裝置上配置引導命令。在載入程式配置到位後，可以從思科DNA中心的控制面板中發現TTA。以下是TTA裝置的0天配置專案。  一旦裝置登入站點層次結構，TTA裝置將繼承來自Cisco DNA Center的其餘配置專案。

hostname TTA
interface GigabitEthernet0/0/5
description ***** Management Interface  ********
ip address x.x.x.x <SUBNET MASK>
negotiation auto
cdp enable

ip route 0.0.0.0 0.0.0.0 x.x.x.y
username dna privilege 15 algorithm-type scrypt secret  
    
    
enable secret  
    
    
service password-encryption
ip domain name <domain name>
ip ssh version 2
line vty 0 15
login local
transport input ssh
transport preferred none
ip ssh source-interface GigabitEthernet0/0/5

aaa new-model
aaa authentication login default local
aaa authorization exec default local

**SNMPv2c or SNMPv3 paramters as applicable**
snmp-server community <string> RO
snmp-server community <string> RW

在TTA上配置這些專案後，Cisco DNA Center即可發現這些專案。

將TTA裝置新增到Cisco DNA Center資產中

要利用TTA，思科DNA中心需要發現和管理TTA裝置。一旦將TTA註冊到Cisco DNA Center，就可以從Cisco DNA Center對其進行管理。  在發現TTA裝置之前，我們需要確保站點具有完整的站點層次結構。然後，我們將按照以下步驟繼續將TTA裝置新增到特定站點分層結構下，從Menu > Provision > Devices > Inventory頁面進行操作，以將裝置新增到站點。

1. 提供連線到裝置所需的使用者名稱/密碼(CLI)和SNMP社群以及啟用密碼。請等待裝置新增成功，然後繼續。
2. 檢查裝置名稱、系列（如果是TTA，則選擇網路管理）、可達性 — 可訪問、可管理、裝置角色 — 分佈。裝置最初將處於「不合規狀態」，但是一旦完全調配，狀態將會改變。
3. TTA入網後，思科DNA中心將推送配置模板，以使用高級遙測功能對其進行配置。

TTA發現和啟用應用程式遙測

SPAN設定

視核心交換器的硬體功能而定，SPAN作業階段可設定為SPAN一組VLAN或介面到連線到TTA的介面。這裡給出了配置示例。

Switch#configure terminal
Switch(config)#monitor session 1 source vlan|interface rx|tx|both
Switch(config)#monitor session 1 destination interface intx/y/z

收集的保證

要訪問從已安裝的流量遙測裝置收集的保證資料，請轉到「保證」部分，然後按一下「運行狀況」。

導航到App Assurance

選擇Applications（應用），您將看到應用資料的全面概述，包括TTA根據特定應用型別捕獲的延遲和抖動。

導航到Application Assurance

詳細的應用程式保證UI

為了獲得更詳細的分析，使用者可以通過按一下特定應用程式並選擇匯出器作為流量遙測裝置來瀏覽各個應用程式，並檢查特定度量，例如使用率、吞吐量和丟包資料、客戶端網路延遲、伺服器網路延遲和應用伺服器延遲。

示例：申請詳情Pt.1

示例：申請詳情Pt.2

驗證

1.啟用CBAR後，請通過登入到Cisco流量遙測裝置並執行此CLI命令，驗證裝置上是否已啟用SD-AVC（應用可視性控制）服務。輸出將類似以下範例，指出控制器的IP位址和狀態為已連線。

Cisco-TTA#sh avc sd-service info summary
Status: CONNECTED
Device ID: Cisco-TTA
Device segment name: AppRecognition
Device address: <TTA IP Address>
Device OS version: 17.03.01
Device type: DN-APL-TTA-M
Active controller:
Type : Primary
IP : <Cisco DNA Center IP Address>
Status: Connected
Version : 4.0.0

2.在TTA的CLI中使用「show license summary」命令檢查相關裝置許可證詳細資訊。

Device# show license summary
Smart Licensing is ENABLED
License Reservation is ENABLED

Registration:
  Status: REGISTERED - SPECIFIC LICENSE RESERVATION
  Export-Controlled Functionality: ALLOWED

License Authorization:
  Status: AUTHORIZED - RESERVED

License Usage:
  License                 Entitlement tag               Count Status
  -----------------------------------------------------------------------------
  Cisco_DNA_TTA_Advantage (DNA_TTA_A)                       1 AUTHORIZED

3.確認已在核心/聚合交換機上正確配置SPAN會話。

AGG_SWITCH#show monitor session 1
Session 1
---------
Type : Local Session
Source VLANs : 300-320
RX Only : 
Destination Ports : TenGigx/y/z
Encapsulation : Native
Ingress : Disabled

4.成功調配TTA後，這些命令將被（或已經）推送到裝置。

avc sd-service
segment AppRecognition
controller
address <Cisco DNA Center IP Address> 
.....
!
flow exporter <Cisco DNA Center IP Address>
destination <Cisco DNA Center IP Address>
!
crypto pki trustpoint DNAC-CA
.....
!
performance monitor context tesseract profile application-assurance
exporter destination <Cisco DNA Center IP Address> source GigabitEthernet0/0/5 transport udp port 6007
....
!
All interfaces must have
ip nbar protocol-discovery
performance monitor context tesseract