本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
本檔案介紹Cisco DNA流量遙測裝置(思科部件號DN-APL-TTA-M)平台,以及如何在Cisco DNA Center中啟用應用保證。 I此外,它還為如何定位TTA以及配置和驗證過程在網路中的位置提供了一些資訊。本文還介紹了所涉及的各種先決條件。
思科建議您瞭解Cisco DNA Center Assurance和Application Experience的每項工作方式。
保證是一個多用途、即時的網路資料收集和分析引擎,可顯著增加網路資料的業務潛力。 Assurance可處理複雜的應用程式資料,並在Assurance運行狀況控制面板中顯示調查結果,以便深入瞭解網路中使用的應用程式的效能。 根據從何處收集資料,您可以看到以下部分或全部內容:
根據收集的資料量,應用保障可以分為兩個模型:
應用名稱和吞吐量統稱為量化指標(Quantitative metrics)。量化指標的資料來自啟用應用可視性。
DSCP標籤和效能度量(延遲、抖動和丟包)統稱為定性度量。定性指標的資料來自啟用應用程式體驗。
應用可視性資料從運行Cisco IOS® XE的交換機和運行AireOS的無線控制器收集。 對於運行Cisco IOS XE的交換機,使用預定義的NBAR模板收集應用可視性資料,該模板雙向應用於物理層接入交換機埠(入口和出口)。 對於運行AireOS的無線控制器,應用可視性資料在無線控制器上收集,然後使用流遙測技術將此資料傳輸到Cisco DNA Center。
應用體驗資料從Cisco IOS XE路由器平台收集,具體使用思科效能監控器(PerfMon)功能和思科應用響應時間(ART)指標。 路由器平台的示例包括ASR 1000、ISR 4000和CSR 1000v。有關與思科DNA中心的裝置相容性,請參閱思科DNA中心相容性矩陣。
Cisco Catalyst 9000系列有線和無線裝置可執行深度資料包檢測(DPI)並為服務(例如思科DNA中心中的思科AI端點分析和應用保證)提供資料流。 但是,如果網路中沒有Catalyst 9000系列裝置可從提取遙測資料,該怎麼辦? 一些組織的網路基礎設施中仍有部分尚未遷移到Cisco Catalyst 9000系列平台。 Catalyst 9000平台會生成AppVis遙測,但為了獲得更多AppX見解,思科DNA流量遙測裝置可用於彌合差距。TTA的目標是監控其通過SPAN埠從其他網路裝置接收的流量,這些網路裝置無法向Cisco DNA Center提供應用體驗資料。 由於傳統基礎設施裝置無法執行高級分析所需的深度資料包檢測,因此Cisco DNA流量遙測裝置可用於從現有傳統部署生成AppX遙測。
思科TTA的實際應用
基於Cisco IOS XE的遙測感測器平台從交換機和無線控制器的交換埠分析器(SPAN)會話中的映象IP網路流量生成遙測。該裝置使用基於網路的應用識別(Network-Based Application Recognition, NBAR)技術檢查數千個協定,以生成用於Cisco DNA Center執行分析的遙測流。思科DNA流量遙測裝置可以處理20 Gbps的持續吞吐量流量,並檢查40,000個終端會話以進行裝置分析。
思科流量遙測裝置
TTA具有混合10-Gig和1-Gig鏈路,用於SPAN接收。在這些埠中,Gig0/0/5是唯一一個可配置IP地址且可用於與Cisco DNA Center通訊的埠。介面矩陣如下所示。
TTA介面矩陣
TTA介面矩陣 |
|||
1 |
10 GE SFP+埠0/0/0 |
5 |
GE SFP埠0/0/2 |
2 |
10 GE SFP+埠0/0/1 |
6 |
GE SFP埠0/0/3 |
3 |
GE SFP埠0/0/0 |
7 |
GE SFP埠0/0/4 |
4 |
GE SFP埠0/0/1 |
8 |
GE SFP埠0/0/5 |
本節重點介紹在Cisco DNA Center能夠處理遙測之前需要滿足的配置和前提條件。
用於管理TTA和流程遙測的Cisco DNA Center群集必須使用以下條件進行調配:
思科身份服務引擎(ISE)和思科DNA中心可以整合以實現身份和策略自動化。 ISE還用於收集有關終端的資訊以利用思科AI終端分析。 PxGrid用於實現ISE與Cisco DNA Center之間的整合。
Cisco DNA Center和ISE整合要求如下:
必須實施一些要求,才能在Cisco DNA Center中啟用應用保證。這些要求將在後面的章節中詳細解釋。
Cisco DNA Center要求安裝這三個包,以便啟用和分析遙測資料。
需有Cisco DNA Center產品包
快速訪問此資訊的方法是點選Cisco DNA Center首頁右上角問號圖示下的「關於」連結。 如果缺少這些應用程式,則需要在繼續遙測設定之前安裝它們。使用本指南從思科雲將這些軟體包安裝到Cisco DNA Center中。Cisco DNA Center升級指南
NetFlow資料匯出是一種技術傳輸,可提供將轉發到Cisco DNA中心進行深入分析的遙測資料。為了支援機器學習和終端分析推理的資料收集,需要將NetFlow匯出到Cisco DNA Center。 TTA是一個遙測感測器平台,用於從映象IP網路流量生成遙測並與思科DNA中心共用,以實現應用和終端可視性。
要啟用Cisco DNA Center作為遙測收集器,請完成以下步驟。
將DNAC配置為NetFlow收集器
Cisco AI Network Analytics是Cisco DNA Center中的一個應用程式,利用機器學習和機器推理的強大功能,提供特定於您的網路部署的準確見解,使您可以快速排除問題。 網路和遙測資訊在Cisco DNA Center中是匿名的,然後通過安全的加密通道傳送到基於雲的Cisco AI Analytics基礎設施。Cisco AI Analytics雲通過此事件資料運行機器學習模型,並將問題和總體見解帶回Cisco DNA Center。 TCP/443上的所有雲連線都是出站連線。沒有入站連線,思科AI雲不會向Cisco DNA Center發起任何TCP流。 撰寫本文時,可以用來在HTTPS代理和/或防火牆中允許的完全限定域名(FQDN)為:
已部署的Cisco DNA Center裝置必須能夠解析並訪問由思科託管的Internet上的各種域名。
按照以下步驟將Cisco DNA Center捆綁到Cisco AI雲。
配置Cisco AI Analytics GUI
Cisco AI/ML雲端連線驗證
註冊後成功對話方塊
遙測裝置和Catalyst 9000平台使用資料包流的深度資料包檢測來收集終端後設資料,並應用基於網路的應用識別(NBAR)來確定網路中正在使用的協定和應用。Cisco DNA Center具有可更新的內建NBAR協定包。可以將遙測資料傳送到Cisco NBAR雲進行其他分析並檢測未知協定簽名。 為此,需要將Cisco DNA Center裝置連線到雲。網路型應用程式辨識(NBAR)是由Cisco開發的進階應用程式辨認引擎,利用多個分類技術,可輕鬆更新其分類規則。
要將Cisco DNA Center捆綁到Cisco NBAR Cloud,請完成以下步驟。
要獲取客戶端ID和客戶端密碼憑證,請按一下「Cisco API控制檯」連結,這將開啟一個門戶。使用適當的CCO ID登入,建立新的應用,選擇與NBAR雲對應的選項並完成表格。完成後,您將獲得客戶端ID和密碼。請參閱下圖。
用於檢索客戶端ID和金鑰的Cisco API連結
這些影象演示了用於註冊到NBAR雲的選項。
NBAR雲應用詳細資訊
應用API詳細資訊
在DNAC上配置客戶端ID和密碼
CBAR用於對數以千計的網路應用、自行開發的應用和一般網路流量進行分類。它使Cisco DNA Center能夠動態瞭解網路基礎設施上使用的應用。CBAR可識別新的應用程式,從而幫助保持網路最新,因為它們在網路中的存在不斷增加,並且允許對協定包進行更新。如果應用程式可見性通過過時的協定包從端到端丟失,則可能會發生錯誤分類和後續轉發。這不僅會導致網路出現可見性漏洞,還會導致錯誤的排隊或轉發問題。CBAR通過允許通過網路推送更新的協定包來解決此問題。
思科軟體定義AVC(SD-AVC)是思科應用可視性與控制(AVC)的元件。它充當與網路中特定參與裝置一起操作的集中式網路服務。SD-AVC還幫助對應用資料進行深度處理。SD-AVC提供的一些當前功能和優勢包括:
要為相關裝置啟用CBAR,請執行以下步驟。
在裝置上啟用CBAR
Cisco DNA Center可以直接與Microsoft RSS訂閱源整合,以確保Office 365的應用程式識別與其發佈的指南保持一致。此整合在Cisco DNA Center中稱為Microsoft Office 365雲聯結器。如果使用者在網路中運行Microsoft Office 365應用程式,最好部署此程式。 無需與Microsoft Office 365整合,如果未啟用,將僅影響Cisco DNA Center處理和分類Microsoft Office 365主機資料的能力。 Cisco DNA Center已經內建了Microsoft Office 365應用程式識別功能,但是通過直接與應用程式提供商整合,Cisco DNA Center可以獲取有關Microsoft Office 365套件使用的當前智慧財產權塊和URL的更新、準確的資訊。
要將Cisco DNA Center與Microsoft Office 365雲整合,請執行以下步驟。
MS O365雲整合
本節介紹在網路中實施TTA所需的步驟。
TTA到DNAC工作流
此圖中突出顯示的步驟概述了TTA和Cisco DNA Center之間的流程和遙測流。 這裡對這些步驟作了進一步的闡述。
TTA部署:高級
上圖說明如何在網路中連線TTA。10-Gig和1-Gig介面可用於以線速接收SPAN。Gi0/0/5介面用於與Cisco DNA Center通訊、協調,以及將遙測資訊轉發到Cisco DNA Center;此介面不能用於SPAN接收。
網路中部署的TTA裝置對於提供使用者資料和使用者端點的遙測見解至關重要。要成功部署解決方案,必須滿足這些要求。
裝置僅支援一個作業系統,並且需要Cisco DNA TTA Advantage License才能收集遙測資料。 不需要功能許可證(例如IP Base或高級IP服務)或永久許可包(例如Network Essentials或Network Advantage)。
要在Cisco DNA Center中管理許可證,請導航至Cisco DNA Center下拉選單中的Tools > License Manager,然後按一下Menu圖示
DNAC上的許可證管理器
DNAC上的所有許可證頁面
為了便於思科DNA中心發現和自註冊TTA裝置,需要在站點的TTA裝置上配置引導命令。在載入程式配置到位後,可以從思科DNA中心的控制面板中發現TTA。以下是TTA裝置的0天配置專案。 一旦裝置登入站點層次結構,TTA裝置將繼承來自Cisco DNA Center的其餘配置專案。
hostname TTA
interface GigabitEthernet0/0/5
description ***** Management Interface ********
ip address x.x.x.x <SUBNET MASK>
negotiation auto
cdp enable
ip route 0.0.0.0 0.0.0.0 x.x.x.y
username dna privilege 15 algorithm-type scrypt secret
enable secret
service password-encryption
ip domain name <domain name>
ip ssh version 2
line vty 0 15
login local
transport input ssh
transport preferred none
ip ssh source-interface GigabitEthernet0/0/5
aaa new-model
aaa authentication login default local
aaa authorization exec default local
**SNMPv2c or SNMPv3 paramters as applicable**
snmp-server community <string> RO
snmp-server community <string> RW
在TTA上配置這些專案後,Cisco DNA Center即可發現這些專案。
要利用TTA,思科DNA中心需要發現和管理TTA裝置。一旦將TTA註冊到Cisco DNA Center,就可以從Cisco DNA Center對其進行管理。 在發現TTA裝置之前,我們需要確保站點具有完整的站點層次結構。然後,我們將按照以下步驟繼續將TTA裝置新增到特定站點分層結構下,從Menu > Provision > Devices > Inventory頁面進行操作,以將裝置新增到站點。
TTA發現和啟用應用程式遙測
視核心交換器的硬體功能而定,SPAN作業階段可設定為SPAN一組VLAN或介面到連線到TTA的介面。這裡給出了配置示例。
Switch#configure terminal
Switch(config)#monitor session 1 source vlan|interface rx|tx|both
Switch(config)#monitor session 1 destination interface intx/y/z
要訪問從已安裝的流量遙測裝置收集的保證資料,請轉到「保證」部分,然後按一下「運行狀況」。
導航到App Assurance
選擇Applications(應用),您將看到應用資料的全面概述,包括TTA根據特定應用型別捕獲的延遲和抖動。
導航到Application Assurance
詳細的應用程式保證UI
為了獲得更詳細的分析,使用者可以通過按一下特定應用程式並選擇匯出器作為流量遙測裝置來瀏覽各個應用程式,並檢查特定度量,例如使用率、吞吐量和丟包資料、客戶端網路延遲、伺服器網路延遲和應用伺服器延遲。
示例:申請詳情Pt.1
示例:申請詳情Pt.2
1.啟用CBAR後,請通過登入到Cisco流量遙測裝置並執行此CLI命令,驗證裝置上是否已啟用SD-AVC(應用可視性控制)服務。輸出將類似以下範例,指出控制器的IP位址和狀態為已連線。
Cisco-TTA#sh avc sd-service info summary
Status: CONNECTED
Device ID: Cisco-TTA
Device segment name: AppRecognition
Device address: <TTA IP Address>
Device OS version: 17.03.01
Device type: DN-APL-TTA-M
Active controller:
Type : Primary
IP : <Cisco DNA Center IP Address>
Status: Connected
Version : 4.0.0
2.在TTA的CLI中使用「show license summary」命令檢查相關裝置許可證詳細資訊。
Device# show license summary
Smart Licensing is ENABLED
License Reservation is ENABLED
Registration:
Status: REGISTERED - SPECIFIC LICENSE RESERVATION
Export-Controlled Functionality: ALLOWED
License Authorization:
Status: AUTHORIZED - RESERVED
License Usage:
License Entitlement tag Count Status
-----------------------------------------------------------------------------
Cisco_DNA_TTA_Advantage (DNA_TTA_A) 1 AUTHORIZED
3.確認已在核心/聚合交換機上正確配置SPAN會話。
AGG_SWITCH#show monitor session 1
Session 1
---------
Type : Local Session
Source VLANs : 300-320
RX Only :
Destination Ports : TenGigx/y/z
Encapsulation : Native
Ingress : Disabled
4.成功調配TTA後,這些命令將被(或已經)推送到裝置。
avc sd-service
segment AppRecognition
controller
address <Cisco DNA Center IP Address>
.....
!
flow exporter <Cisco DNA Center IP Address>
destination <Cisco DNA Center IP Address>
!
crypto pki trustpoint DNAC-CA
.....
!
performance monitor context tesseract profile application-assurance
exporter destination <Cisco DNA Center IP Address> source GigabitEthernet0/0/5 transport udp port 6007
....
!
All interfaces must have
ip nbar protocol-discovery
performance monitor context tesseract
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
25-Jan-2024 |
初始版本 |