In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument werden die Plattform der Cisco DNA Traffic Telemetry Appliance (Cisco Teilenummer DN-APL-TTA-M) sowie die Möglichkeiten zur Anwendungssicherung im Cisco DNA Center beschrieben. IAußerdem wird aufgezeigt, wie und wo die TTA zusammen mit dem Konfigurations- und Verifizierungsprozess in einem Netzwerk positioniert werden kann. In diesem Artikel werden auch die verschiedenen Voraussetzungen behandelt.
Cisco empfiehlt, dass Sie über die Funktionsweise von Cisco DNA Center Assurance and Application Experience Bescheid wissen.
Assurance ist eine vielseitig einsetzbare Engine für die Erfassung und Analyse von Netzwerkdaten in Echtzeit, die das Geschäftspotenzial von Netzwerkdaten erheblich steigern kann. Assurance verarbeitet komplexe Anwendungsdaten und stellt die Ergebnisse in Dashboards für die Gewährleistung der Zuverlässigkeit dar, um einen Einblick in die Leistung der im Netzwerk verwendeten Anwendungen zu geben. Je nachdem, wo die Daten erfasst werden, können Sie einige oder alle der folgenden Informationen anzeigen:
Je nach Menge der gesammelten Daten kann Application Assurance in zwei Modelle kategorisiert werden:
Anwendungsname und -durchsatz werden zusammen als quantitative Metriken bezeichnet. Die Daten für die quantitativen Metriken werden durch die Aktivierung von Anwendungstransparenz generiert.
DSCP-Markierungen und Leistungsmetriken (Latenz, Jitter und Paketverlust) werden zusammen als qualitative Metriken bezeichnet. Die Daten für die qualitativen Metriken stammen aus der Anwendungserfahrung.
Die Daten zur Anwendungstransparenz werden von Switches mit Cisco IOS® XE und von Wireless-Controllern mit AireOS erfasst. Auf Switches mit Cisco IOS XE werden Daten zur Anwendungstransparenz mithilfe einer vordefinierten NBAR-Vorlage erfasst, die bidirektional (Eingang und Ausgang) auf die Access Switch-Ports der physischen Ebene angewendet wird. Für Wireless-Controller, auf denen AireOS ausgeführt wird, werden Daten zur Anwendungstransparenz am Wireless-Controller erfasst. Diese Daten werden dann mithilfe von Streaming-Telemetrie an das Cisco DNA Center übertragen.
Die Application Experience-Daten werden von Cisco IOS XE-Routerplattformen erfasst, insbesondere unter Verwendung der Cisco Performance Monitor-Funktion (PerfMon) und der Cisco Application Response Time-Kennzahlen (ART). Beispiele für Routerplattformen sind ASR 1000, ISR 4000 und CSR 1000v. Informationen zur Gerätekompatibilität mit Cisco DNA Center finden Sie in der Cisco DNA Center-Kompatibilitätsmatrix.
Die kabelgebundenen und drahtlosen Geräte der Cisco Catalyst Serie 9000 führen eine Deep Packet Inspection (DPI) durch und stellen Datenströme für Services wie Cisco AI Endpoint Analytics und Application Assurance im Cisco DNA Center bereit. Was aber, wenn es im Netzwerk keine Geräte der Catalyst Serie 9000 gibt, aus denen Telemetrie extrahiert werden kann? Einige Unternehmen verfügen noch immer über einen Teil ihrer Netzwerkinfrastruktur, der nicht auf die Plattformen der Cisco Catalyst Serie 9000 migriert wurde. Die Catalyst 9000-Plattform generiert AppVis-Telemetriedaten. Um jedoch zusätzliche Informationen über AppX zu erhalten, kann die Cisco DNA Traffic Telemetry Appliance genutzt werden, um diese Lücke zu schließen. Das Ziel des TTA ist es, den Datenverkehr zu überwachen, den er über SPAN-Ports von anderen Netzwerkgeräten erhält, die nicht in der Lage sind, Application Experience-Daten an das Cisco DNA Center zu übermitteln. Da die älteren Infrastrukturgeräte die für erweiterte Analysen erforderliche Deep Packet Inspection nicht durchführen können, kann die Cisco DNA Traffic Telemetry Appliance verwendet werden, um AppX-Telemetrie aus vorhandenen älteren Bereitstellungen zu generieren.
Die Cisco IOS XE-basierte Telemetriesensor-Plattform generiert Telemetrie aus gespiegeltem IP-Netzwerkverkehr von SPAN-Sitzungen (Switched Port Analyzer) von Switches und Wireless Controllern. Die Appliance überprüft Tausende von Protokollen mithilfe der NBAR-Technologie (Network-Based Application Recognition), um einen Telemetrie-Stream für Analysen im Cisco DNA Center zu erstellen. Die Cisco DNA Traffic Telemetry Appliance kann 20 Gbit/s an Datenverkehr mit anhaltendem Durchsatz verarbeiten und 40.000 Endpunktsitzungen auf Erstellung von Geräteprofilen untersuchen.
Der TTA verfügt über eine Mischung aus 10-Gig- und 1-Gig-Verbindungen, die zur SPAN-Aufnahme verwendet werden. Von diesen Ports ist Gig0/0/5 der einzige Port, der mit einer IP-Adresse konfiguriert und für die Kommunikation mit dem Cisco DNA Center verwendet werden kann. Die Schnittstellenmatrix ist unten dargestellt.
TTA-Schnittstellenmatrix |
|||
1 |
10 GE SFP+ Port 0/0/0 |
5 |
GE SFP-Port 0/0/2 |
2 |
10 GE SFP+ Port 0/0/1 |
6 |
GE SFP-Port 0/0/3 |
3 |
GE SFP-Port 0/0/0 |
7 |
GE SFP-Port 0/0/4 |
4 |
GE SFP-Port 0/0/1 |
8 |
GE SFP-Port 0/0/5 |
In diesem Abschnitt werden die Konfigurationen und Voraussetzungen beschrieben, die erfüllt werden müssen, bevor das Cisco DNA Center die Telemetrie verarbeiten kann.
Für das zur Verwaltung der TTA und der Prozesstelemetrie verwendete Cisco DNA Center-Cluster müssen die folgenden Kriterien erfüllt sein:
Die Cisco Identity Services Engine (ISE) und das Cisco DNA Center können zur Identitäts- und Richtlinienautomatisierung integriert werden. Die ISE dient außerdem dazu, Informationen über die Endgeräte zu sammeln und so Cisco AI Endpoint Analytics zu nutzen. PxGrid wird zur Implementierung der Integration zwischen der ISE und dem Cisco DNA Center verwendet.
Für die Integration von Cisco DNA Center und ISE gelten folgende Anforderungen:
Es gibt Anforderungen, die implementiert werden müssen, um Application Assurance im Cisco DNA Center zu ermöglichen. Diese Anforderungen werden in den folgenden Abschnitten ausführlich erläutert.
Für Cisco DNA Center müssen diese drei Pakete installiert sein, damit Telemetriedaten analysiert werden können.
Um schnell auf diese Informationen zuzugreifen, klicken Sie auf den Link "About" (Über) unter dem Fragezeichen-Symbol oben rechts auf der Hauptseite von Cisco DNA Center. Wenn diese Anwendungen fehlen, müssen sie installiert werden, bevor mit dem Telemetrie-Setup fortgefahren werden kann. Verwenden Sie dieses Handbuch, um diese Pakete über die Cisco Cloud im Cisco DNA Center zu installieren. Cisco DNA Center Upgrade-Leitfaden
Der NetFlow-Datenexport ist der Technologietransport, der die Telemetriedaten bereitstellt, die zur eingehenden Analyse an Cisco DNA Center weitergeleitet werden. NetFlow muss in das Cisco DNA Center exportiert werden, um Datenerfassung für maschinelles Lernen und das logische Denken für Endpunktanalysen zu ermöglichen. Die TTA ist eine Telemetriesensor-Plattform, die Telemetriedaten aus gespiegeltem IP-Netzwerkverkehr generiert und für Anwendungs- und Endgeräte-Transparenz an das Cisco DNA Center weitergibt.
Führen Sie diese Schritte aus, um Cisco DNA Center als Telemetriesammler zu aktivieren.
Cisco AI Network Analytics ist eine Anwendung im Cisco DNA Center, die maschinelles Lernen und maschinelles Denken nutzt, um genaue Einblicke zu erhalten, die spezifisch für Ihre Netzwerkbereitstellung sind, sodass Sie Probleme schnell beheben können. Netzwerk- und Telemetrieinformationen werden im Cisco DNA Center anonymisiert und dann über einen sicheren verschlüsselten Kanal an die Cloud-basierte Infrastruktur von Cisco AI Analytics gesendet. Die Cisco AI Analytics-Cloud führt das maschinelle Lernmodell mit diesen Ereignisdaten aus und bringt die Probleme und allgemeinen Erkenntnisse zurück ins Cisco DNA Center. Alle Cloud-Verbindungen erfolgen ausgehend über TCP/443. Es gibt keine eingehenden Verbindungen. Die Cisco AI Cloud initiiert keine TCP-Flows zum Cisco DNA Center. FQDN (Fully Qualified Domain Names), die zum Zeitpunkt der Erstellung dieses Artikels im HTTPS-Proxy und/oder in der Firewall zugelassen werden können, sind:
Die bereitgestellte Cisco DNA Center-Appliance muss in der Lage sein, die verschiedenen von Cisco gehosteten Domänennamen im Internet aufzulösen und zu erreichen.
Befolgen Sie diese Schritte, um das Cisco DNA Center mit der Cisco AI Cloud zu verbinden.
Die Telemetrie-Appliance und die Catalyst 9000-Plattform erfassen Endpunkt-Metadaten mithilfe von Deep Packet Inspection der Paketflüsse und wenden Network Based Application Recognition (NBAR) an, um zu bestimmen, welche Protokolle und Anwendungen im Netzwerk verwendet werden. Cisco DNA Center verfügt über ein integriertes NBAR-Protokollpaket, das aktualisiert werden kann. Die Telemetriedaten können zur weiteren Analyse und zur Erkennung unbekannter Protokollsignaturen an die Cisco NBAR-Cloud gesendet werden. Um dies zu erreichen, muss die Cisco DNA Center-Appliance an die Cloud gebunden werden. Network-Based Application Recognition (NBAR) ist eine von Cisco entwickelte Engine zur erweiterten Anwendungserkennung, die verschiedene Klassifizierungsverfahren nutzt und Klassifizierungsregeln leicht aktualisieren kann.
Führen Sie diese Schritte aus, um das Cisco DNA Center an die Cisco NBAR Cloud anzubinden.
Um die Client-ID und die Client Secret-Anmeldeinformationen abzurufen, klicken Sie auf den Link "Cisco API Console". Daraufhin wird ein Portal geöffnet. Melden Sie sich mit der entsprechenden CCO-ID an, erstellen Sie eine neue App, wählen Sie die Optionen für die NBAR-Cloud aus, und füllen Sie das Formular aus. Nach Abschluss dieses Vorgangs erhalten Sie eine Client-ID und einen Schlüssel. Siehe nachstehende Abbildung.
Diese Images zeigen die Optionen für die Registrierung in der NBAR-Cloud.
CBAR wird zur Klassifizierung Tausender Netzwerkanwendungen, privater Anwendungen und des allgemeinen Netzwerkverkehrs verwendet. So kann das Cisco DNA Center Informationen zu Anwendungen erhalten, die dynamisch in der Netzwerkinfrastruktur verwendet werden. CBAR hilft, das Netzwerk auf dem neuesten Stand zu halten, indem es neue Anwendungen identifiziert, deren Präsenz im Netzwerk weiter zunimmt, und ermöglicht Aktualisierungen von Protokollpaketen. Wenn die Anwendungstransparenz aufgrund veralteter Protokollpakete verloren geht, kann es zu einer fehlerhaften Kategorisierung und anschließenden Weiterleitung kommen. Dies führt nicht nur zu Sichtbarkeitslücken im Netzwerk, sondern auch zu falschen Warteschlangen- oder Weiterleitungsproblemen. CBAR löst dieses Problem, indem es die Bereitstellung aktualisierter Protokollpakete im gesamten Netzwerk ermöglicht.
Cisco Software-Defined AVC (SD-AVC) ist eine Komponente von Cisco Application Visibility and Control (AVC). Er fungiert als zentralisierter Netzwerkservice, der mit bestimmten teilnehmenden Geräten in einem Netzwerk arbeitet. SD-AVC unterstützt auch das DPI der Anwendungsdaten. Zu den aktuellen Funktionen und Vorteilen von SD-AVC gehören:
Führen Sie die folgenden Schritte aus, um CBAR für relevante Geräte zu aktivieren.
Cisco DNA Center kann direkt in den Microsoft RSS-Feed integriert werden, um sicherzustellen, dass die Anwendungserkennung für Office 365 mit den veröffentlichten Richtlinien übereinstimmt. Diese Integration wird im Cisco DNA Center als Microsoft Office 365 Cloud Connector bezeichnet. Es empfiehlt sich, diese Funktion bereitzustellen, wenn der Benutzer Microsoft Office 365-Anwendungen im Netzwerk ausführt. Die Integration mit Microsoft Office 365 ist nicht erforderlich. Ist diese Option nicht aktiviert, kann Cisco DNA Center Hostdaten von Microsoft Office 365 nur verarbeiten und klassifizieren. Im Cisco DNA Center ist die Erkennung von Microsoft Office 365-Anwendungen bereits integriert. Durch die direkte Integration mit dem Anwendungsanbieter kann Cisco DNA Center jedoch aktuelle und präzise Informationen zu den aktuellen geistigen Eigentumsblöcken und URLs abrufen, die von der Microsoft Office 365-Suite verwendet werden.
Um Cisco DNA Center in die Microsoft Office 365 Cloud zu integrieren, befolgen Sie diese Schritte.
In diesem Abschnitt werden die erforderlichen Schritte zur Implementierung der TTA in einem Netzwerk beschrieben.
Die in diesem Diagramm hervorgehobenen Schritte beschreiben den Prozess- und Telemetriestrom zwischen TTA und Cisco DNA Center. Diese Schritte sind hier näher ausgeführt.
Das obige Diagramm zeigt, wie TTA im Netzwerk verbunden werden kann. Die 10-Gig- und 1-Gig-Schnittstellen können zur SPAN-Aufnahme mit Leitungsgeschwindigkeit verwendet werden. Die Gi0/0/5-Schnittstelle wird für die Kommunikation mit Cisco DNA Center, für die Orchestrierung und für die Weiterleitung von Telemetrie-Erkenntnissen an Cisco DNA Center verwendet. Diese Schnittstelle KANN NICHT für die SPAN-Erfassung verwendet werden.
TTA-Appliances, die im Netzwerk bereitgestellt werden, sind von entscheidender Bedeutung für die Bereitstellung von Telemetriedaten zu Benutzerdaten und Benutzerendpunkten. Um die Lösung erfolgreich bereitstellen zu können, müssen diese Anforderungen erfüllt sein.
Die Appliance unterstützt nur ein Betriebssystem und erfordert die Cisco DNA TTA Advantage-Lizenz zum Erfassen von Telemetriedaten. Es ist keine Funktionslizenz (wie IP Base oder Advanced IP Services) oder ein unbefristetes Lizenzpaket (wie Network Essentials oder Network Advantage) erforderlich.
Um Lizenzen im Cisco DNA Center zu verwalten, navigieren Sie zum Lizenzmanager, indem Sie im Dropdown-Menü von Cisco DNA Center auf Tools > License Manager klicken.
Um die Erkennung und Integration der TTA-Appliance durch Cisco DNA Center zu erleichtern, müssen auf den TTA-Appliances des Standorts Bootstrap-Befehle konfiguriert werden. Nach der Bootstrap-Konfiguration ist der TTA über das Dashboard von Cisco DNA Center sichtbar. Nachfolgend sind die Day-0-Konfigurationselemente für eine TTA-Appliance aufgeführt. Sobald das Gerät in die Standorthierarchie integriert wurde, übernimmt die TTA-Appliance die übrigen Konfigurationselemente von Cisco DNA Center.
hostname TTA
interface GigabitEthernet0/0/5
description ***** Management Interface ********
ip address x.x.x.x <SUBNET MASK>
negotiation auto
cdp enable
ip route 0.0.0.0 0.0.0.0 x.x.x.y
username dna privilege 15 algorithm-type scrypt secret
enable secret
service password-encryption
ip domain name <domain name>
ip ssh version 2
line vty 0 15
login local
transport input ssh
transport preferred none
ip ssh source-interface GigabitEthernet0/0/5
aaa new-model
aaa authentication login default local
aaa authorization exec default local
**SNMPv2c or SNMPv3 paramters as applicable**
snmp-server community <string> RO
snmp-server community <string> RW
Sobald diese Elemente für den TTA konfiguriert wurden, kann er vom Cisco DNA Center erkannt werden.
Um die TTA nutzen zu können, muss Cisco DNA Center die TTA-Appliance erkennen und verwalten. Sobald der TTA in Cisco DNA Center integriert ist, kann er über das Cisco DNA Center verwaltet werden. Bevor die TTA-Appliance erkannt wird, müssen wir sicherstellen, dass die vollständige Standorthierarchie für den Standort vorhanden ist. Danach fahren wir fort, die TTA-Appliance unter der spezifischen Standorthierarchie hinzuzufügen, indem wir die folgenden Schritte auf der Seite Menu > Provision > Devices > Inventory (Menü > Geräte > Bestand) ausführen, um das Gerät einem Standort hinzuzufügen.
Abhängig von den Hardwarefunktionen des Core-Switches kann die SPAN-Sitzung so konfiguriert werden, dass sie eine Gruppe von VLANs oder eine oder mehrere Schnittstellen mit der mit dem TTA verbundenen Schnittstelle SPAN verbindet. Eine Beispielkonfiguration ist hier angegeben.
Switch#configure terminal
Switch(config)#monitor session 1 source vlan|interface rx|tx|both
Switch(config)#monitor session 1 destination interface intx/y/z
Um auf die von der installierten Traffic Telemetry Appliance erfassten Assurance-Daten zuzugreifen, gehen Sie zum Abschnitt Assurance, und klicken Sie auf Health (Integrität).
Wählen Sie Applications (Anwendungen) aus, und Sie erhalten einen umfassenden Überblick über Anwendungsdaten, einschließlich Latenz und Jitter, die vom TTA basierend auf dem jeweiligen Anwendungstyp erfasst werden.
Für eine detailliertere Analyse können Benutzer einzelne Anwendungen erkunden, indem sie auf die jeweilige Anwendung klicken und den Exporter auswählen, der die Traffic Telemetry Appliance bilden soll. Anschließend können sie bestimmte Metriken untersuchen, z. B. Nutzung, Durchsatz und Paketverlust-Daten, Client-Netzwerklatenz, Server-Netzwerklatenz und Anwendungsserverlatenz.
1. Nachdem Sie CBAR aktiviert haben, überprüfen Sie, ob der SD-AVC-Service (Application Visibility Control) auf dem Gerät aktiviert ist, indem Sie sich bei der Cisco Traffic Telemetry Appliance anmelden und diesen CLI-Befehl ausführen. Der Ausgang entspricht in etwa diesem Beispiel und zeigt die IP-Adresse des Controllers sowie den Status "Verbunden" an.
Cisco-TTA#sh avc sd-service info summary
Status: CONNECTED
Device ID: Cisco-TTA
Device segment name: AppRecognition
Device address: <TTA IP Address>
Device OS version: 17.03.01
Device type: DN-APL-TTA-M
Active controller:
Type : Primary
IP : <Cisco DNA Center IP Address>
Status: Connected
Version : 4.0.0
2. Verwenden Sie den Befehl "show license summary" in der CLI des TTA, um die entsprechenden Gerätelizenzdetails zu überprüfen.
Device# show license summary
Smart Licensing is ENABLED
License Reservation is ENABLED
Registration:
Status: REGISTERED - SPECIFIC LICENSE RESERVATION
Export-Controlled Functionality: ALLOWED
License Authorization:
Status: AUTHORIZED - RESERVED
License Usage:
License Entitlement tag Count Status
-----------------------------------------------------------------------------
Cisco_DNA_TTA_Advantage (DNA_TTA_A) 1 AUTHORIZED
3. Überprüfen Sie, ob die SPAN-Sitzung auf dem Kern-/Aggregations-Switch ordnungsgemäß konfiguriert wurde.
AGG_SWITCH#show monitor session 1
Session 1
---------
Type : Local Session
Source VLANs : 300-320
RX Only :
Destination Ports : TenGigx/y/z
Encapsulation : Native
Ingress : Disabled
4. Sobald die TTA erfolgreich bereitgestellt wurde, werden diese Befehle an das Gerät gesendet (oder wurden gesendet).
avc sd-service
segment AppRecognition
controller
address <Cisco DNA Center IP Address>
.....
!
flow exporter <Cisco DNA Center IP Address>
destination <Cisco DNA Center IP Address>
!
crypto pki trustpoint DNAC-CA
.....
!
performance monitor context tesseract profile application-assurance
exporter destination <Cisco DNA Center IP Address> source GigabitEthernet0/0/5 transport udp port 6007
....
!
All interfaces must have
ip nbar protocol-discovery
performance monitor context tesseract
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
25-Jan-2024 |
Erstveröffentlichung |