DNA Center Group-Based Policy Analytics 툴 검토

소개

이 문서에서는 Cisco DNA Center Group-Based Policy Analytics 툴 기본 개념을 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• Cisco UCS M4 또는 M5 어플라이언스, 44, 55 또는 112 코어 
• Cisco DNA Center 소프트웨어

• Cisco ISE(Identity Service Engine)

• 그룹 기반 정책 제어

사용되는 구성 요소

이 문서의 정보는 릴리스 2.3.5를 실행하는 Cisco DNA Center를 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

사전 검사

1을 선택합니다. Cisco Group-Based Policy Analytics를 사용하려면 NetFlow를 활성화해야 합니다. 이 표에서는 여러 네트워크 디바이스에서 NetFlow를 활성화할 수 있는 다양한 방법을 보여줍니다.

표 1.장치 지원

네트워크 디바이스	시리즈	Cisco DNA Center UI의 네트워크 설정(Flexible NetFlow 또는 Application Visibility and Control Based NetFlow)의 텔레메트리 섹션에서 NetFlow 구성 가능	Cisco DNA Center UI의 템플릿 허브 툴을 사용하여 NetFlow 구성 가능(Flexible NetFlow 또는 Application Visibility and Control Based NetFlow)	패브릭 구축의 NetFlow 수집	Nonfabric 구축의 NetFlow 수집
라우터	Cisco 1000 Series ISR1K(Integrated Services Router)	예	예	예	예
	Cisco 4000 Series ISR4K(Integrated Services Router)	예	예	예	예
	Cisco Cloud Services Router 1000v Series(CSR 1000v)	예	예	예	예
	Cisco 1000 Series Aggregation Services Router(ASR1K)	예	예	예	예
스위치	Cisco Catalyst 9200 시리즈	예	예	예	예
	Cisco Catalyst 9300 시리즈	예	예	예	예
	Cisco Catalyst 9400 시리즈	예	예	예	예
	Cisco Catalyst 9500 시리즈	아니요	예	예	예
	Cisco Catalyst 9600 시리즈	아니요	예	예	예
	Cisco Catalyst 2k 시리즈	아니요	예	해당 없음	예
	Cisco Catalyst 3560 시리즈	아니요	예	해당 없음	예
	Cisco Catalyst 3650 시리즈	아니요	예	예	예
	Cisco Catalyst 3850 시리즈	아니요	예	예	예
	Cisco Catalyst 4k Series	아니요	예	예	예
	Cisco Catalyst 6500 Series Switches	아니요	예	예	예
	Cisco Catalyst 6800 Series Switches	아니요	예	예	예
무선 컨트롤러	Cisco 3504 Wireless Controller(AireOS 기반)	예	예	아니요	예, 중앙 스위칭 SSID만
	Cisco 5520 Wireless Controller(AireOS 기반)	예	예	아니요	예, 중앙 스위칭 SSID만
	Cisco 8540 Wireless Controller(AireOS 기반)	예	예	아니요	예, 중앙 스위칭 SSID만
	Cisco Catalyst 9800 기반 컨트롤러	예	예	예	예

2를 선택합니다. 네트워크 장치에 Cisco DNA Advantage 또는 Cisco DNA Premier 라이센스가 활성화되어 있는지 확인합니다.

3. Cisco DNA Center GUI에서 System(시스템) > Software Management(소프트웨어 관리) > Currently Installed Applications(현재 설치된 애플리케이션)로 이동하고 Group-Based Policy Analytics(그룹 기반 정책 분석) 애플리케이션이 설치되어 있는지 확인합니다. 

 

그룹 기반 정책 분석 애플리케이션이 설치됨

4를 선택합니다. Cisco ISE는 ERS 및 PxGrid를 통해 Cisco DNA Center와 통합되고 사용 가능해야 합니다. System > System 360에서 확인합니다. 

홈 페이지 작업

Cisco DNA Center GUI에서 Policy(정책) > Group/Based Access Control(그룹/기반 액세스 제어)으로 이동합니다.

그룹 기반 액세스 분석 홈 페이지

이 페이지에서는 다음 항목을 찾을 수 있습니다.

1. 제목 상자 - 이 상자를 클릭하여 Scalable Groups(확장 가능한 그룹) 통신 흐름으로 이동합니다.
2. 검색 막대 - 어떤 그룹 유형에서든 필터링할 수 있습니다. IP 주소 또는 MAC 주소로 필터링할 수 있습니다. 
3. 즐겨찾기 아이콘 - 최근 검색 또는 저장된 검색을 표시합니다.
4. 컨피그레이션 아이콘 - 정책 설정 또는 분석 설정에 대한 바로 가기

타일 상자에는 지난 14개의 고유한 트래픽 플로우 수가 표시됩니다 확장 가능한 그룹, ISE 프로필 및 Stealthwatch 호스트 기간(일) 그룹(구성된 경우).

고유한 트래픽 흐름은 고유한 프로토콜 및 서버 포트(예: TCP 포트 80 또는 UDP 포트 123)를 사용하는 트래픽으로 정의됩니다

예를 들어, Stealthwatch가 구성되지 않은 경우 해당 타일 상자가 표시되지 않습니다. 

그룹

이 세 가지 그룹 유형에 대한 네트워크 가시성이 표시됩니다.

1. SG(Scalable Group)입니다. 라우터, 스위치 및 WLC의 ISE 및 TrustSec 그룹에서 Security Group이라고 함 
2. ISE 프로파일.
3. Stealthwatch 호스트 그룹(HG).

그룹 간 통신

그룹 커뮤니케이션은 세 가지 레벨로 구분할 수 있습니다.

1. 여러 그룹 대 여러 그룹(다대다) 
2. 단일 그룹 대 다중 그룹(일대다) 
3. 단일 그룹 대 단일 그룹(일대다) 

기본 설정 그룹을 클릭하면 플로우 보기가 표시됩니다. 소스는 항상 왼쪽에 있고 대상은 항상 오른쪽에 있습니다. 첫 번째 보기는 Multiple Groups to Multiple Groups 입니다.

플로우 뷰는 화살표의 폭이 표시된 속성의 유량에 비례하는 플로우 다이어그램의 유형인 Sankey 다이어그램입니다.

여러 그룹 - 여러 그룹 보기

확장 가능한 그룹의 흐름도

이 페이지에서는 다음 항목을 찾을 수 있습니다.

1. 검색 막대 - 소스 그룹을 필터링할 수 있습니다.
2. 통화 대상 옵션 - 소스가 확장 가능한 그룹인 경우에만 대상 그룹 유형을 선택할 수 있습니다. 
3. 시간 범위 - 날짜 및 시간 범위를 변경하려면 클릭합니다. 범위는 1시간, 12시간 또는 24시간일 수 있습니다.
4. Switch tool(스위치 도구) - Flow(흐름) 보기와 Table(테이블) 보기 사이를 전환합니다.
5. Source Group(소스 그룹) - Single Group to Multiple Groups(단일 그룹 - 여러 그룹) 보기로 드릴다운하려면 그룹을 클릭합니다.
6. 링크 - 링크를 마우스로 가리키고 클릭하여 두 레벨을 드릴다운하면 단일 그룹 대 단일 그룹 보기가 표시됩니다.

다중 그룹 대 다중 그룹의 테이블 보기

단일 그룹 대 다중 그룹 보기

이 보기에서 순서도는 아웃바운드 및 인바운드 옵션에 표시할 수 있습니다.

아웃바운드 보기에는 대화하는 모든 대상 그룹과의 소스 그룹 통신이 표시됩니다.

아웃바운드 단일 그룹-복수 그룹 보기

인바운드 보기에는 단일 대상 그룹과 통신하는 모든 원본 그룹이 표시됩니다.

단일 그룹에 대한 인바운드 보기 - 여러 그룹

이 페이지에서는 다음 항목을 찾을 수 있습니다.

1. Search bar(검색 막대) - Destination groups if Outbound(아웃바운드 경우 대상 그룹) 및 Source groups if Inbound(인바운드 경우 소스 그룹)를 필터링하는 값을 입력합니다.
2. 통신 옵션 - 소스가 확장 가능한 그룹인 경우에만 대상 그룹 유형을 선택할 수 있습니다. 
3. 시간 범위 - 날짜 및 시간 범위를 변경하려면 클릭합니다. 범위는 1시간, 12시간 또는 24시간일 수 있습니다.
4. Switch tool(스위치 도구) - Flow(흐름) 보기와 Table(테이블) 보기 사이를 전환합니다.
5. Navigation path(탐색 경로) - 경로를 따라 이동하려면 경로의 모든 수준을 클릭합니다.
6. 링크 - 링크 위에 마우스를 올려 놓고 클릭하여 한 레벨로 드릴다운하면 단일 그룹 대 단일 그룹 보기가 표시됩니다.
7. 인바운드 | Outbound selector(아웃바운드 선택기) - 트래픽 방향을 선택합니다.
8. 보고서 작성 및 보고서 다운로드 - 이 페이지에서 데이터를 내보내어 보고서를 작성하거나 이전에 작성한 보고서를 다운로드합니다.
9. 그룹 - 새 소스 그룹을 선택합니다.
10. 페이지 매김 - 이전 또는 다음 페이지로 이동하거나 페이지당 레코드 수를 변경합니다.

단일 그룹 대 단일 그룹 보기

이 보기에서는에서 대상 그룹과의 소스 그룹 통신을 볼 수 있습니다.

이 페이지에서는 다음 항목을 찾을 수 있습니다.

1. 시간 범위 - 날짜 및 시간 범위를 변경하려면 클릭합니다. 범위는 1시간, 12시간 또는 24시간일 수 있습니다.
2. Switch tool(스위치 도구) - Flow(흐름) 보기와 Table(테이블) 보기 사이를 전환합니다.
3. Navigation path(탐색 경로) - 경로를 따라 이동하려면 경로의 모든 수준을 클릭합니다.
4. 화살표 아이콘 - Source(소스) 및 Destination(대상) 그룹을 바꾸려면 클릭합니다.
5. 필터 - 열별로 필터링합니다.
6. Find(찾기) - 모든 기존 데이터를 필터링합니다.
7. 보고서 작성 및 보고서 다운로드 - 이 페이지에서 데이터를 내보내어 보고서를 작성하거나 이전에 작성한 보고서를 다운로드합니다.
8. 페이지 매김 - 이전 또는 다음 페이지로 이동하거나 페이지당 레코드 수를 변경합니다.

보고서

데이터 내보내기를 사용할 수 있는 대상:

• 모든 그룹 간 통신 테이블
• IP/MAC 주소

보고서 옵션

관련 정보

• Cisco 기술 지원 및 다운로드