檢查DNA中心基於組的策略分析工具
簡介
本檔案介紹Cisco DNA Center Group-Based Policy Analytics工具的基本概念。
必要條件
需求
思科建議您瞭解以下主題:
- Cisco UCS M4或M5裝置,44、55或112核
- Cisco DNA Center軟體
-
思科身分識別服務引擎(ISE)
- 基於組的策略控制
採用元件
本檔案中的資訊是根據執行版本2.3.5的Cisco DNA Center。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
預檢查
檢查1。必須啟用NetFlow才能使用思科基於組的策略分析。下表顯示了可在不同網路裝置上啟用NetFlow的各種方式。
| 網路裝置 | 系列 | NetFlow可配置在Cisco DNA Center UI中網路設定的遙測部分(Flexible NetFlow或基於應用可視性和控制的NetFlow) | NetFlow可配置使用思科DNA中心UI中的模板中心工具(Flexible NetFlow或基於應用可視性和控制的NetFlow) | 交換矩陣部署中的NetFlow收集 | 非交換矩陣部署中的NetFlow收集 |
|---|---|---|---|---|---|
| 路由器 | Cisco 1000系列整合式服務路由器(ISR1K) | 是 | 是 | 是 | 是 |
| Cisco 4000系列整合式服務路由器(ISR4K) | 是 | 是 | 是 | 是 | |
| Cisco Cloud Services Router 1000v系列(CSR 1000v) | 是 | 是 | 是 | 是 | |
| Cisco 1000系列聚合服務路由器(ASR1K) | 是 | 是 | 是 | 是 | |
| 交換器 | Cisco Catalyst 9200系列 | 是 | 是 | 是 | 是 |
| Cisco Catalyst 9300系列 | 是 | 是 | 是 | 是 | |
| Cisco Catalyst 9400系列 | 是 | 是 | 是 | 是 | |
| Cisco Catalyst 9500系列 | 否 | 是 | 是 | 是 | |
| Cisco Catalyst 9600系列 | 否 | 是 | 是 | 是 | |
| Cisco Catalyst 2k系列 | 否 | 是 | 不適用 | 是 | |
| Cisco Catalyst 3560系列 | 否 | 是 | 不適用 | 是 | |
| Cisco Catalyst 3650系列 | 否 | 是 | 是 | 是 | |
| Cisco Catalyst 3850系列 | 否 | 是 | 是 | 是 | |
| Cisco Catalyst 4k系列 | 否 | 是 | 是 | 是 | |
| Cisco Catalyst 6500 系列交換器 | 否 | 是 | 是 | 是 | |
| Cisco Catalyst 6800 系列交換器 | 否 | 是 | 是 | 是 | |
| 無線控制器 | Cisco 3504無線控制器(基於AireOS) | 是 | 是 | 否 | 是,僅中心交換SSID |
| Cisco 5520無線控制器(基於AireOS) | 是 | 是 | 否 | 是,僅中心交換SSID | |
| Cisco 8540無線控制器(基於AireOS) | 是 | 是 | 否 | 是,僅中心交換SSID | |
| 基於Cisco Catalyst 9800的控制器 |
是 |
是 |
是 |
是 |
檢查2。確保您的網路裝置已啟用Cisco DNA Advantage或Cisco DNA Premier許可證。
檢查3。在Cisco DNA Center GUI上,導航到System > Software Management > Currently Installed Applications,並確認已安裝Group-Based Policy Analytics應用程式。
已安裝基於組的策略分析應用程式
檢查4。思科ISE需要與Cisco DNA Center整合,並通過ERS和PxGrid可用。在System > System 360上確認。
首頁操作
在Cisco DNA Center GUI上,導航到Policy > Group/Based Access Control。
基於組的訪問分析首頁
在此頁面中,您可以找到:
- 標題框 — 按一下該框可導航到「可伸縮組」通訊流。
- 搜尋欄 — 幫助根據任何組型別進行過濾,過濾可以按IP地址或MAC地址進行。
- 收藏圖示 — 顯示最近搜尋或已儲存的搜尋。
- 配置圖示 — 策略設定或分析設定的快捷方式,
平鋪框顯示過去14年的唯一流量計數 可擴展組、ISE配置檔案和Stealthwatch主機的天數 組(如果已配置)。
唯一的流量流定義為具有唯一協定和伺服器埠的流量(例如TCP埠80或UDP埠123)
例如,如果未配置Stealthwatch,則不會顯示該磁貼框。
組
顯示這三種型別的組的網路可見性。
- 可擴展組(SG)。在ISE中稱為安全組,在路由器、交換機和WLC中稱為TrustSec組
- ISE配置檔案。
- Stealthwatch主機群組(HG)。
組到組的通訊
組通訊可以分為三個級別:
- 多個組到多個組(多對多)
- 單個組到多個組(一對多)
- 單個組到單個組(一對多)
按一下首選項的組,系統將顯示流檢視,其中Source始終位於左側,Destination始終位於右側。 第一個檢視是多組到多組。
流檢視是Sankey圖,是一種流圖,其中箭頭的寬度與所描繪屬性的流速成比例。
多組到多組檢視。
可擴展組的流程圖
在此頁面中,您可以找到:
- 搜尋欄 — 您可以篩選源組。
- 「對講」選項 — 僅當源是可擴展組時,才能選擇目標組型別。
- 時間範圍 — 按一下它可更改日期和時間範圍。範圍可以是1小時、12小時或24小時。
- 切換工具 — 在「流」檢視和「表」檢視之間切換。
- 源組 — 按一下某個組可細化到「單個組到多個組」檢視。
- 連結 — 將滑鼠懸停在連結上,然後按一下該連結可向下鑽取兩個級別,最後在「單個組到單個組」檢視中結束。
註:「將多個組複製到多個組」檢視顯示了流量最多的前25個源組。
多個組到多個組的表檢視
提示:您可以始終擴展範圍以檢視前25個條目以外的內容。
單組到多組檢視
在此檢視中,流程圖可以在「出站」和「入站」選項中顯示。
「出站」檢視顯示一個源組與您進行通訊的所有目標組的通訊。
出站單個組到多個組檢視
入站檢視顯示與單個目標組通訊的所有源組。
單個組到多個組的入站檢視
在此頁面中,您可以找到:
- 搜尋欄 — 輸入一個值,以篩選出站時的目標組,以及入站時的源組。
- Communication with選項 — 僅當源是可擴展組時,您才能選擇目標組型別。
- 時間範圍 — 按一下它可更改日期和時間範圍。範圍可以是1小時、12小時或24小時。
- 切換工具 — 在「流」檢視和「表」檢視之間切換。
- 導航路徑(Navigation path) — 按一下路徑的任何級別可沿其移動。
- 連結 — 將滑鼠懸停在連結上,然後按一下該連結可向下鑽取一個級別,最後在「單個組到單個組」檢視中結束。
- 傳入 | 傳出選擇器 — 選擇流量的方向。
- 建立報告和下載報告 — 從此頁面匯出資料以建立報告或下載以前建立的報告。
- 組 — 選擇一個新的源組。
- 分頁 — 移動到上一頁或下一頁,或更改每頁的記錄數。
單個組到單個組檢視
在此檢視中,您可以看到源組與目標組的通訊。
在此頁面中,您可以找到:
- 時間範圍 — 按一下它可更改日期和時間範圍。範圍可以是1小時、12小時或24小時。
- 切換工具 — 在「流」檢視和「表」檢視之間切換。
- 導航路徑(Navigation path) — 按一下路徑的任何級別可沿其移動。
- 箭頭圖示 — 按一下該圖示可交換「源」和「目標」組。
- Filter — 按列篩選。
- 查詢 — 篩選所有現有資料。
- 建立報告和下載報告 — 從此頁面匯出資料以建立報告或下載以前建立的報告。
- 分頁 — 移動到上一頁或下一頁,或更改每頁的記錄數。
報告
匯出資料可用於:
- 「任意組到組」通訊表
- IP/MAC地址
報告選項
提示:報告部分不可用於只讀使用者角色。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
28-Jul-2023 |
初始版本 |
意見