DNA Centerのグループベースポリシー分析ツールの調査
概要
このドキュメントでは、Cisco DNA Center Group-Based Policy Analyticsツールの基本概念について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco UCS M4またはM5アプライアンス、44、55、または112コア
- Cisco DNA Centerソフトウェア
-
Cisco Identity Service Engine(ISE)
- グループベースポリシーコントロール
使用するコンポーネント
このドキュメントの情報は、リリース2.3.5を実行するCisco DNA Centerに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
事前チェック
1をチェックします。Cisco Group-Based Policy Analyticsを使用するには、NetFlowを有効にする必要があります。次の表に、さまざまなネットワークデバイスでNetFlowを有効にするさまざまな方法を示します。
| ネットワークデバイス | シリーズ | Cisco DNA Center UIのネットワーク設定のテレメトリセクションで設定可能なNetFlow(Flexible NetFlowまたはApplication Visibility and Control Based NetFlow) | Cisco DNA Center UIのテンプレートハブツールを使用して設定可能なNetFlow(Flexible NetFlowまたはApplication Visibility and Control Based NetFlow) | ファブリック導入におけるNetFlowの収集 | ファブリック以外の導入におけるNetFlow収集 |
|---|---|---|---|---|---|
| ルータ | Cisco 1000シリーズサービス統合型ルータ(ISR1K) | Yes | Yes | Yes | Yes |
| Cisco 4000シリーズサービス統合型ルータ(ISR4K) | Yes | Yes | Yes | Yes | |
| Cisco Cloud Services Router 1000vシリーズ(CSR 1000v) | Yes | Yes | Yes | Yes | |
| Cisco 1000シリーズアグリゲーションサービスルータ(ASR1K) | Yes | Yes | Yes | Yes | |
| スイッチ | Cisco Catalyst 9200 シリーズ | Yes | Yes | Yes | Yes |
| Cisco Catalyst 9300 シリーズ | Yes | Yes | Yes | Yes | |
| Cisco Catalyst 9400 シリーズ | Yes | Yes | Yes | Yes | |
| Cisco Catalyst 9500 シリーズ | いいえ | Yes | Yes | Yes | |
| Cisco Catalyst 9600 シリーズ | いいえ | Yes | Yes | Yes | |
| Cisco Catalyst 2000シリーズ | いいえ | Yes | 適用外 | Yes | |
| Cisco Catalyst 3560 シリーズ | いいえ | Yes | 適用外 | Yes | |
| Cisco Catalyst 3650 シリーズ | いいえ | Yes | Yes | Yes | |
| Cisco Catalyst 3850 シリーズ | いいえ | Yes | Yes | Yes | |
| Cisco Catalyst 4000シリーズ | いいえ | Yes | Yes | Yes | |
| Cisco Catalyst 6500 シリーズ スイッチ | いいえ | Yes | Yes | Yes | |
| Cisco Catalyst 6800 シリーズ スイッチ | いいえ | Yes | Yes | Yes | |
| ワイヤレスコントローラ | Cisco 3504ワイヤレスコントローラ(AireOSベース) | Yes | Yes | いいえ | はい、中央スイッチングSSIDのみ |
| Cisco 5520ワイヤレスコントローラ(AireOSベース) | Yes | Yes | いいえ | はい、中央スイッチングSSIDのみ | |
| Cisco 8540ワイヤレスコントローラ(AireOSベース) | Yes | Yes | いいえ | はい、中央スイッチングSSIDのみ | |
| Cisco Catalyst 9800ベースのコントローラ |
Yes |
Yes |
Yes |
Yes |
2をチェックします。ネットワークデバイスでCisco DNA AdvantageライセンスまたはCisco DNA Premierライセンスが有効になっていることを確認します。
チェック3.Cisco DNA CenterのGUIで、System > Software Management > Currently Installed Applicationsの順に選択し、Group-Based Policy Analyticsアプリケーションがインストールされていることを確認します。
Group-Based Policy Analyticsアプリケーションがインストールされている
チェック4。Cisco ISEは、ERSおよびPxGridとCisco DNA Centerを統合して使用できるようにする必要があります。System > System 360で確認します。
ホームページの操作
Cisco DNA CenterのGUIで、Policy > Group/Based Access Controlの順に移動します。
グループベースのアクセス分析ホームページ
このページには、次の項目があります。
- タイトル・ボックス:これをクリックして、スケーラブル・グループの通信フローに移動します。
- 検索バー:任意のグループタイプをフィルタリングするのに役立ちます。フィルタはIPアドレスまたはMACアドレスで実行できます。
- お気に入りアイコン:最近の検索または保存済みの検索を表示します。
- 構成アイコン – ポリシー設定または分析設定へのショートカット
タイルボックスには、過去14件の一意のトラフィックフロー数が表示されます スケーラブルグループ、ISEプロファイル、およびStealthWatchホストの日数 グループ(設定されている場合)。
一意のトラフィックフローは、一意のプロトコルとサーバポート(TCPポート80またはUDPポート123など)を持つトラフィックとして定義されます
例として、Stealthwatchが設定されていない場合、そのタイルボックスは表示されません。
グループ
これら3種類のグループについて、ネットワークの可視性が表示されます。
- Scalable Group(SG;スケーラブルグループ)ISEではセキュリティグループ、ルータ、スイッチ、WLCではTrustSecグループと呼ばれる
- ISEプロファイル。
- StealthWatchホストグループ(HG)
グループ間通信
グループ通信は、次の3つのレベルに分けることができます。
- 複数のグループから複数のグループ(多対多)
- 1つのグループから複数のグループ(1対多)
- 単一グループから単一グループ(1対多)
プリファレンスのグループをクリックするとフロービューが表示され、その上にSourceが常に左側に、Destinationが常に右側に表示されます。 最初に表示されるビューは、Multiple Groups to Multiple Groupsです。
フロービューは、矢印の幅が描画されたプロパティの流量に比例するフロー図のタイプであるサンキー図です。
[複数のグループ]ビューから[複数のグループ]ビューへ
スケーラブル・グループのフロー・チャート
このページには、次の項目があります。
- 検索バー:ソースグループをフィルタリングできます。
- 通話先オプション:発信元がスケーラブルグループの場合のみ、宛先グループタイプを選択できます。
- 時間範囲:クリックして日時範囲を変更します。範囲は、1時間、12時間、または24時間です。
- Switchツール – FlowビューとTableビューを切り替えます。
- ソース・グループ:グループをクリックすると、「Single Group to Multiple Groups」ビューにドリル・ダウンします。
- リンク:リンクの上にカーソルを置いてクリックすると、2つのレベルにドリルダウンし、[単一グループから単一グループへ]ビューに表示されます。
注:[Multiple Groups to Multiple Groups]ビューには、フローが最も多い上位25のソースグループが表示されます。
複数グループから複数グループへのテーブルビュー
ヒント:最初の25エントリよりも多くのエントリを表示するには、常に範囲を拡大できます。
単一グループから複数グループへのビュー
このビューでは、フローチャートをアウトバウンドおよびインバウンドオプションで表示できます。
アウトバウンドビューには、通話中のすべての宛先グループとのソースグループ通信が表示されます。
アウトバウンド単一グループから複数グループへのビュー
インバウンドビューには、単一の宛先グループと通信しているすべての送信元グループが表示されます。
単一グループから複数グループへのインバウンドビュー
このページには、次の項目があります。
- 検索バー:値を入力して、Destinationグループ(Outboundの場合)とSourceグループ(Inboundの場合)をフィルタリングします。
- オプションとの通信 – ソースがスケーラブルグループの場合のみ、宛先グループタイプを選択できます。
- 時間範囲:クリックして日時範囲を変更します。範囲は、1時間、12時間、または24時間です。
- Switchツール – FlowビューとTableビューを切り替えます。
- ナビゲーションパス:パスの任意のレベルをクリックして移動します。
- リンク:リンクの上にカーソルを置いてクリックすると、1レベル下にドリルダウンし、「単一グループから単一グループへ」ビューが表示されます。
- Inbound | アウトバウンドセレクタ:トラフィックの方向を選択します。
- レポートの作成とダウンロード:このページからデータをエクスポートして、レポートを作成したり、以前に作成したレポートをダウンロードしたりします。
- グループ:新しいソースグループを選択します。
- ページネーション:前のページまたは次のページに移動するか、1ページあたりのレコード数を変更します。
単一グループから単一グループビュー
このビューでは、送信元グループと宛先グループの通信を確認できます。
このページには、次の項目があります。
- 時間範囲:クリックして日時範囲を変更します。範囲は、1時間、12時間、または24時間です。
- Switchツール – FlowビューとTableビューを切り替えます。
- ナビゲーションパス:パスの任意のレベルをクリックして移動します。
- 矢印アイコン:クリックすると、送信元グループと宛先グループが切り替わります。
- フィルタ:列ごとにフィルタを適用します。
- 検索:既存のすべてのデータをフィルタします。
- レポートの作成とダウンロード:このページからデータをエクスポートして、レポートを作成したり、以前に作成したレポートをダウンロードしたりします。
- ページネーション:前のページまたは次のページに移動するか、1ページあたりのレコード数を変更します。
レポート
データのエクスポートの対象:
- Any Group to Group Communicationテーブル
- IP/MACアドレス
レポートオプション
ヒント:レポートセクションは読み取り専用ユーザーロールには使用できません。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
28-Jul-2023 |
初版 |
フィードバック