Содержание Введение Маски с подстановочными знаками Примеры подстановочных знаков с классом Примеры подстановочных знаков без класса Стандартный нумерованный ACL Стандартный именованный ACL Расширенный нумерованный пример 1 Расширенный нумерованный пример 2 Расширенный нумерованный пример 3 Расширенный нумерованный пример 4 Расширенный нумерованный пример 5 Расширенный нумерованный пример 6 Расширенный нумерованный пример 7 Расширенный нумерованный пример 8 Расширенные операторы ACL Пример 9 Расширенные операторы ACL Пример 10 Расширенный ACL с именами IPv4 Пример 1 Расширенный ACL с именами IPv4 Пример 2 Расширенный ACL с именами IPv6 Введение ACL Cisco — это одиночные или множественные операторы разрешения/запрета, которые фильтруют входящие или исходящие пакеты на сетевом интерфейсе. На каждый сетевой интерфейс и протокол допускается только два ACL. Например, один IP ACL, применяемый к входящему трафику, и один IP ACL, применяемый к исходящему трафику. Существует множество типов ACL, которые настраиваются в зависимости от требований безопасности. Рекомендации Cisco по созданию и применению ACL: Применяйте расширенный ACL рядом с источником Применяйте стандартный ACL рядом с пунктом назначения Упорядочивайте ACL с несколькими операторами от наиболее конкретных к наименее конкретным. К сетевому интерфейсу Cisco можно применить максимум два ACL. На каждый интерфейс для протокола уровня 3 можно применить только один ACL для входящего или исходящего трафика. Существуют некоторые рекомендуемые методы при создании и применении списков контроля доступа (ACL). Сетевой администратор должен применять стандартный ACL, наиболее близкий к месту назначения. Стандартное утверждение ACL состоит из IP-адреса источника и маски подстановочных знаков. Существует общий номер или имя, которое присваивает несколько утверждений одному и тому же ACL. Стандартные ACL являются более старым типом и очень общими. В результате они могут непреднамеренно неправильно фильтровать трафик. Для предотвращения возможной чрезмерной фильтрации рекомендуется применять стандартный ACL ближе к месту назначения. Расширенный ACL следует применять ближе к источнику. Расширенные ACL являются более детализированными (конкретными) и предоставляют больше возможностей для фильтрации. Они включают исходный адрес, адрес назначения, протоколы и номера портов. Применение расширенных ACL ближе к источнику предотвращает прохождение трафика, который должен быть отфильтрован, через сеть. Это позволяет сэкономить пропускную способность и дополнительную обработку, необходимую на каждом маршрутизаторе от исходного до конечного пункта назначения. Некоторые списки контроля доступа состоят из нескольких операторов. Порядок операторов имеет ключевое значение для обработки ACL. Маршрутизатор начинает с верхнего (первого) и проходит по всем операторам, пока не найдет подходящий. Если совпадения нет, пакет отбрасывается. Упорядочьте все операторы ACL от наиболее конкретных к наименее конкретным. Назначение наименее конкретных операторов в первую очередь иногда приводит к ложному совпадению. В результате совпадение с предполагаемым оператором ACL никогда не происходит. Более конкретное утверждение ACL характеризуется адресами источника и назначения с более короткими масками подстановочных знаков (больше нулей). Это настраивает конкретные подсети для сопоставления. Кроме того, также указываются протоколы приложений или номера портов. Первое утверждение ACL более конкретно, чем второе утверждение ACL. access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 10.10.64.1 eq 23 access-list 100 deny tcp any any eq 23 Динамический ACL предоставляет удаленному пользователю временный доступ к сети. Настроенный ACL определяет тип разрешенного доступа и исходный IP-адрес. Кроме того, существует значение таймаута, которое ограничивает время доступа к сети. Удаленный пользователь может войти в систему с помощью настроенного имени пользователя и пароля. Маски подстановочных знаков ACL Маска подстановочного знака — это метод сопоставления конкретного IP-адреса или диапазона IP-адресов. Списки контроля доступа Cisco (ACL) фильтруют на основе диапазона IP-адресов, настроенного с помощью маски подстановочного знака. Маска подстановочного знака — это инвертированная маска, в которой сопоставление IP-адреса или диапазона основано на 0 битах. Дополнительные биты устанавливаются в 1, так как сопоставление не требуется. Подстановочный знак 0.0.0.0 используется для сопоставления одного IP-адреса. Подстановочная маска для 255.255.224.0 — 0.0.31.255 (инвертируйте биты, чтобы ноль = 1, а один = 0), как показано в следующем примере. 11111111.11111111.111 00000.00000000 = маска подсети (255.255.224.0) 00000000.00000000.000 11111.11111111 = маска подстановочного знака (0.0.31.255) Все хосты и сетевые устройства имеют сетевые интерфейсы, которым присвоен IP-адрес. Каждая подсеть имеет диапазон IP-адресов хостов, которые могут быть присвоены сетевым интерфейсам. Подстановочные знаки ACL настраиваются для фильтрации (разрешения/запрета) на основе диапазона адресов. Это могут быть хосты, подсети или несколько подсетей. Существуют маски подсетей с классом и без класса, а также связанные с ними маски подстановочных знаков. Маски подстановочных знаков с классом основаны на маске по умолчанию для определенного класса адресов. Всякий раз, когда к классу адресов применяется маска подстановочных знаков (или маска подсети), не являющаяся маской по умолчанию, это является адресацией без класса. Пример 1: Классическая маска подстановочных знаков Следующий подстановочный символ 0.0.0.255 будет соответствовать только подсети 192.168.3.0 и не будет соответствовать всему остальному. Это может быть использовано, например, с ACL для разрешения или запрета подсети. 192 . 168 . 3 . 0 11000000.10101000.00000011.00000000 00000000.00000000.00000000 .11111111 = 0.0.0.255 192.168.3 .0 0.0.0 .255 = совпадение только с подсетью 192.168.3.0 Пример 2: Маска с подстановочным символом класса Следующий подстановочный знак 0.0.0.255 будет соответствовать только подсети 200.200.1.0 и не будет соответствовать всему остальному. Это можно использовать, например, с ACL для разрешения или запрета публичного адреса хоста или подсети. 200 . 200 . 1 . 0 11001000.11001000.00000001.00000000 00000000.00000000.00000000 .11111111 = 0.0.0.255 200.200.1 .0 0.0.0 .255 = совпадение только с подсетью 200.200.1.0 Пример 3: Маска с подстановочным символом класса Следующий подстановочный знак 0.0.255.255 будет соответствовать всем подсетям 172.16.0.0 и не будет соответствовать всему остальному. Это можно использовать, например, с ACL для разрешения или запрета нескольких подсетей. 172 . 16 . 0 . 0 10101100.00010000.00000000.00000000 00000000.00000000 .11111111.11111111 = 0.0.255.255 172.16 .0.0 0.0 .255.255 = совпадение только с подсетью 172.16.0.0 Пример 1: Маска без классов с подстановочным символом Всякий раз, когда вы применяете нестандартный подстановочный знак, это называется адресацией без классов. В этом примере 192.168.1.0 является сетевым адресом класса C. Все адреса класса C имеют маску подсети по умолчанию 255.255.255.0 (/24). И наоборот, маска подстановочного знака по умолчанию для адреса класса C составляет 0.0.0.255. Для разрешения или запрета диапазона адресов хостов в 4-м октете требуется маска без классов. В этом примере маска 0.0.0.15 будет соответствовать диапазону адресов хостов от 192.168.1.1 до 192.168.1.14 и не будет соответствовать всему остальному. Именно первые четыре бита четвертого октета составляют 14 адресов хостов. Сетевой и широковещательный адреса не могут быть назначены сетевому интерфейсу. Это может быть использовано, например, с ACL для разрешения или запрета только определенных адресов хостов. 192 . 168 . 1 . 0 11000000.10101000.00000001.0000 0000 00000000.00000000.00000000.0000 1111 = 0.0.0.15 192.168.1.0 0.0.0.15 = совпадение 192.168.1.1/28 -> 192.168.1.14/28 Пример 2: Маска без классов Следующая маска с подстановочным знаком 0.0.0.3 будет соответствовать диапазону адресов хостов от 192.168.4.1 до 192.168.4.2 и не будет соответствовать всему остальному. Это первые два бита четвертого октета, которые составляют 2 адреса хостов. Сетевой и широковещательный адреса не могут быть назначены сетевому интерфейсу. Это может быть использовано, например, для разрешения или запрета определенных адресов хостов в точечном соединении WAN. 192 . 168 . 4 . 0 11000000.10101000.00000100.000000 00 00000000.00000000.00000000.000000 11 = 0.0.0.3 192.168.4.0 0.0.0.3 = совпадает с 192.168.4.1/30 и 192.168.4.2/30 Пример 3: Маска без классов с подстановочным символом Сетевой администратор должен настроить ACL, разрешающий трафик только из диапазона хостов 172.16.1.32–172.16.1.39. Какие ACL и маска с подстановочным знаком позволят это сделать? Ответ Следующая маска подстановки 0.0.0.7 будет соответствовать диапазону адресов хостов от 172.16.1.33 до 172.16.1.38 и не будет соответствовать всему остальному. Это первые три бита четвертого октета, которые в сумме дают 6 адресов хостов. Сетевой адрес и широковещательный адрес не могут быть назначены сетевому интерфейсу. Это может быть использовано, например, для разрешения или запрета определенных адресов хостов в подсети. 172 . 16 . 1 . 32 10101100.00010000.00000001.00100 000 00000000.00000000.00000000.00000 111 = 0.0.0.7 172.16.1.0 0.0.0.7 = совпадение с 172.16.1.33/29 -> 172.16.1.38/29 Следующий стандартный ACL разрешит трафик из диапазона IP-адресов хоста 172.16.1.33/29 до 172.16.1.38/29. Инвертируйте маску подстановочного знака, чтобы вычислить маску подсети (0.0.0.7 = 255.255.255.248 (/29) или посчитайте все нули. access-list 10 permit 172.16.1.32 0.0.0.7 Стандартный нумерованный ACL Стандартный список доступа имеет диапазон номеров от 1 до 99 и от 1300 до 1999. Он определяет разрешение/запрет трафика только от источника с опциональной маской подстановочного знака. Маска подстановочных знаков используется для фильтрации диапазонов подсетей. По умолчанию в любом ACL в качестве последнего оператора присутствует неявная клаузула deny all . Она запрещает весь трафик , который явно не разрешен . Стандартный ACL требует добавления обязательного оператора permit any в качестве последнего оператора. access-list 99 deny host 172.33.1.1 access-list 99 permit any Это позволяет пропускать все пакеты, которые не соответствуют ни одному из предыдущих положений в ACL. Лучшая практика Cisco заключается в том, чтобы упорядочивать операторы в последовательности от наиболее конкретных к наименее конкретным. Стандартный ACL с именем Это ACL, который настраивается с помощью имени вместо номера. Он имеет те же правила, что и стандартный пронумерованный ACL. Следующий ACL с именем internet будет запрещать весь трафик со всех хостов в подсети 192.168.1.0/24. Кроме того, он будет регистрировать все пакеты, которые были запрещены. ip access-list internet log deny 192.168.1.0 0.0.0.255 permit any Именованные ACL позволяют динамически добавлять или удалять операторы ACL без необходимости удаления и перезаписи всех строк. Конечно, это также требует меньшего использования ресурсов ЦП. Они проще в управлении и позволяют устранять неполадки в сети. Расширенный нумерованный ACL Диапазон номеров составляет от 100 до 199 и от 2000 до 2699. Он поддерживает несколько операторов разрешения и запрета с IP-адресом источника и/или назначения. Кроме того, вы можете фильтровать по IP, протоколу на основе приложения TCP или UDP или номеру порта. В конец любого расширенного ACL добавляется неявная скрытая клаузула «запретить все». Вы должны включить «разрешить ip любой любой» в качестве последней инструкции во все расширенные ACL. Это эффективно разрешает все пакеты, которые не соответствуют ни одной из предыдущих клаузул в ACL. Некоторые ACL также состоят из всех инструкций «запретить», поэтому без последней инструкции «разрешить» все пакеты будут отброшены. Рисунок 1 Расширенный ACL [![acl.png] Пример 1: Расширенный нумерованный ACL Следующая команда IOS разрешает http-трафик от хоста 10.1.1.1 к хосту 10.1.2.1. access-list 100 permit tcp host 10.1.1.1 host 10.1.2.1 eq 80 Оператор списка контроля доступа (ACL) читается слева направо как « разрешить весь трафик tcp от исходного хоста только к хосту назначения, который является http (80) ». TCP относится к приложениям, основанным на TCP. Ключевое слово UDP используется для приложений, основанных на UDP, таких как, например, SNMP. Эта статья является выдержкой из моего курса CCNA 200-301 Masterclass. [image: a128f7ba1db913df93e1462bcf3f7400c3e22d06.png]

Я не инженер-электрик (самый близкий опыт, который у меня есть с электричеством, — это удар током, который я получил в детстве [из-за неисправной проводки электроприборов]), поэтому я избавлю читателей от технического жаргона и скучных формул, поскольку это руководство не предназначено для публикации в Международном журнале Mumbo-Jumbo. Это руководство призвано помочь любому пользователю уверенно использовать функцию TDR при устранении основных неполадок Ethernet уровня 1. Мои знания об этой функции основаны исключительно на опыте и многочисленных пробах и ошибках. Что такое рефлектометр во временной области (TDR)? «Временной рефлектометр (TDR) — это электронный прибор, используемый для определения характеристик и локализации неисправностей в металлических кабелях (например, витых парах проводов, коаксиальных кабелях) 1 ». В целях данного документа термины «тестирование TDR» и «TDR» используются как взаимозаменяемые, чтобы не вводить в заблуждение непосвященных. Оба они означают одно и то же. Как TDR может мне помочь? В своей простейшей форме TDR может помочь вам определить, ЕСТЬ ЛИ у вас проблема с кабелем, КАКАЯ пара (или пары) неисправна и НА КАКОМ РАССТОЯНИИ находится неисправность. Как правило, при возникновении проблемы на уровне 1 необходимо учитывать множество факторов: патч-кабель локального конца (LeS); патч-панель на локальном конце (LeS) (включая ударный блок); Горизонтальный кабель; патч-панель удаленного конца (красная) (включая перфорационный блок); патч-кабель удаленного конца (красный); и Сетевая карта устройства удаленного конца (красная) Как видите, дорогие читатели, TDR сводит к минимуму догадки. Представьте себе следующую ситуацию... Прежде чем начать, позвольте мне обрисовать вам общую картину. Предположим следующий сценарий: ![Drawing1.jpg] На каких моделях коммутаторов Cisco работает TDR? Во-первых, не все модели коммутаторов поддерживают TDR. Функция TDR впервые появилась в Catalyst 2960. Вот список моделей, с которыми она работает, и моделей, с которыми не работает: Модель Поддержка TDR 2960 Да1, 2 2960G Да 2960S Да 2918 Неизвестно 2350 Неизвестно 2360 Неизвестно 2975 Неизвестно 3560 Нет 3560G Да 3560E/3560X Да 3750 Нет 3750G Да 3750E/3750X Да Nexus 2K Неизвестно Nexus 5K Неизвестно Nexus 7K Да3 Sup7E/X4548 Да Примечание: 1. 2960 будет поддерживать TDR как в порту FastEthernet, так и в порту GigabitEthernet с двойной личностью, однако при использовании в порту FastEthernet TDR будет тестировать только первые две пары, а именно пары A и B. По понятным причинам пары C и D не будут тестироваться при использовании в портах, отличных от GigabitEthernet. 2. За исключением WS-C2960-48PDL, при использовании медного порта GigabitEthernet Catalyst 2960 необходимо вручную установить интерфейс на медный с помощью команды «media rj» перед проведением теста. 3. Подтверждено Cisco TAC, Анкур Гарг. В список не включены модули/блейды для Catalyst 4000/4500, 5000/5500, 6000/6500, хотя здесь упоминается, что TDR был введен в IOS Release 12.2 ZY для Catalyst 6000/6500. Он не включен в приведенный выше список, поскольку у меня нет ресурсов для тестирования и проверки. Устаревшие модели Cisco Catalyst 1900, 2900XL/3500XL, 2940/2950/2955, 2948G и 2970 не поддерживаются. Маршрутизаторы также не поддерживаются. У меня нет ресурсов для тестирования модулей Ethernet-коммутаторов маршрутизаторов (NME, HWIC, EHWIC). Беспроводные точки доступа не поддерживают TDR. Почему модели 3560 и 3750 с FastEthernet не поддерживают TDR, а более дешевая модель 2960 с FastEthernet поддерживает TDR? Исходя из временной шкалы, «обычные» (или не GigabitEthernet медные порты) 3560 и 3750 появились ДО 2960. «Чип» для TDR был включен в конструкцию 2960. Когда Cisco позже выпустила модели 3560G и 3750G, кто-то принял окончательное решение включить функцию TDR в качестве стандарта. Таким образом, обычные модели 3560 и 3750 являются единственными двумя сериями, которые НЕ БУДУТ ИМЕТЬ функцию TDR. (Обратите внимание, читатель: акцент на словах «НЕ БУДУТ ИМЕТЬ»). Есть ли какие-то нюансы, о которых нужно знать? Коммутаторы должны работать под управлением IOS версии 12.2 или более поздней. TDR поддерживается в IOS версии 15.0. IOS версии 12.0 и 12.1 НЕ поддерживают TDR. Если вы используете IOS версии 12.2(46)SE или более ранней, тест TDR будет ПРЕРЫВАТЬ РАБОТУ . Во время теста интерфейс будет отключаться и включаться. По понятным причинам все подключенные устройства потеряют сетевое соединение. Если удаленное устройство является устройством с питанием через Ethernet (PoE), тест приведет к потере питания устройства. Если у вас, например, есть телефон Voice over IP (VoIP) и к телефону подключен клиентский ПК, то и телефон, и клиент потеряют подключение к сети, поскольку телефон не имеет функции обхода. Это затронет ВСЕ версии IOS. Особенно при использовании старых версий IOS тест может занимать от пяти (5) до семи (7) секунд. TDR работает на 10/100/1000BaseTx. Волоконно-оптические порты (любых типов) здесь не рассматриваются. Медный порт TenGigabitEthernet (пока) НЕ поддерживает TDR. Модуль Cisco GLC-T/GLC-TX SFP НЕ поддерживает TDR. Следующие два пункта предназначены для тех, кто планирует использовать функцию TDR на Cisco Catalyst 2960 и 2960G (2960S не включен): 1. 2960 будет поддерживать TDR как в FastEthernet, так и в порту GigabitEthernet с двойной личностью, однако при использовании в порту FastEthernet TDR будет тестировать только первые две пары, а именно пары A и B. По понятным причинам пары C и D не будут тестироваться при использовании в портах, отличных от GigabitEthernet. Пары C и D будут отображать результат «Не поддерживается». 2. За исключением WS-C2960-48PDL, при использовании медных портов GigabitEthernet (Gig 0/1 и Gig 0/2) Catalyst 2960 необходимо вручную установить интерфейс на медный с помощью команды «media rj» перед проведением теста. Как использовать TDR? Команды очень просты: одна для запуска теста, а вторая для отображения результата. Вот простая процедура: Команда для запуска TDR: «test cable tdr interface <интерфейс по вашему выбору>»; Подождите около 5–7 секунд, пока тест будет выполнен; и Команда для отображения результатов теста TDR: «show cable tdr interface <интерфейс по вашему выбору>» Видите? Это просто! Теперь давайте посмотрим, как будут выглядеть результаты. Интерфейс Скорость Локальная пара Длина пары Удаленная пара Состояние пары Gi0/1 1000 М Пара A 3 +/- 1 метр Пара A Нормальный Пара B 3 +/- 1 метр Пара B Нормальная Пара C 3 +/- 1 метр Пара C Нормальная Пара D 3 +/- 1 метр Пара D Нормальная Что же говорит нам этот результат? Тестируемый порт находится на GigabitEthernet 0/1; Порт согласован на 1 Гбит/с; Используется прямой кабель (посмотрите и сравните значения «Локальная пара» и «Удаленная пара»); Длина кабеля составляет примерно 3 метра, погрешность (по длине) — 1 метр; и Все четыре пары работают нормально (статус пары). В разделе «Состояние пары» вы можете получить следующие результаты: Результат Объяснение Нормальный Идеальный результат, который вы хотите получить. При тестировании FastEthernet вы хотите, чтобы пары A и B были «Нормальными». При тестировании GigabitEthernet все должны быть «нормальными». Открытый Открытая цепь. Это означает, что одна (или несколько) пар «не имеет контакта с контактным штырьком». Короткое Короткое замыкание. Несоответствие импеданса Неисправный кабель. Более подробное объяснение см. здесь . Идеальным результатом является «Нормально». На практике, независимо от того, является ли удаленное устройство FastEthernet или GigabitEthernet, я никогда не приму результат TDR, отличный от «Нормально» во всех четырех парах . Что такое пары кабелей? Вот как я вижу, что контролирует каждая пара: Пары Функция A Эта пара управляет тем, должен ли порт подниматься или опускаться. B Уровень протокола и управление FastEthernet. C Power over Ethernet (PoE) D GigabitEthernet Дополнительные примеры Интерфейс Скорость Локальная пара Длина пары Удаленная пара Состояние пары Gi0/11 100 Пара A 13 +/- 1 метр Пара B Нормальный Пара B 12 +/- 1 метр Пара A Нормальная Пара C 0 +/- 1 метр Пара D Открытая Пара D 0 +/- 1 метр Пара C Открыта Обычно такой результат меня бы испугал. Посмотрите на элементы, выделенные КРАСНЫМ. Пары C и D показывают значение кабеля «0». Далее я перехожу к «Состоянию пары», и оно отображается как «Открытая цепь». Нет контакта с контактом. Вау! Но посмотрите на скорость. Она составляет 100 Мбит/с. Так что все нормально... я думаю. Но подождите. А что, если клиент на удаленном конце (красный) — GigabitEthernet? Так где же неисправный кабель? Какой из патч-кабелей? Или это горизонтальный кабель? Поддерживает ли клиент GigabitEthernet или нет? Вот еще одна подсказка: посмотрите на длину кабеля для пар A и B. Он сообщает о длине около 12–13 метров. Опыт подсказывает мне, что мой кабель на локальном конце (LeS) не превышает двух метров. Так что это исключает мой кабель, однако горизонтальная кабельная разводка составляет более 10 метров. Так что же находится между горизонтальной кабельной разводкой и удаленным клиентом? Есть три подозреваемых: 1) удаленный патч-блок; 2) удаленный патч-кабель; и 3) удаленный клиент. Виновниками оказались удаленный клеммный блок и горизонтальная кабельная разводка: кабельные подрядчики подключили только две пары. Никогда не просите мальчика делать работу мужчины! Интерфейс Скорость Локальная пара Длина пары Удаленная пара Состояние пары Gi1/0/48 авто Пара A 149 +/- 1 метр Пара B Нормальная Пара B 151 +/- 1 метр Пара A Нормальная Пара C 35 +/- 1 метр Пара D Короткая/несоответствие импеданса Пара D 21 +/- 1 метр Пара C Короткое замыкание/несоответствие импеданса Именно такие результаты, как выше, заставляют меня плакать. Хорошо, я смотрю в раздел «Состояние пары» и вижу «Короткое замыкание/несоответствие импеданса» для пар C и D. Нет никаких сомнений. Это плохое кабельное соединение. Но это не то, что заставляет меня плакать. Посмотрите на «Длину пары» для пар A и B. Теперь плачьте. Стоит ли мне беспокоиться? Интерфейс Скорость Локальная пара Длина пары Удаленная пара Состояние пары Fa0/39 100 Пара A 6 +/- 1 метр Не применимо Открытый Пара B 49 +/- 1 метр Н/Д Открыто Пара C Н/Д Н/Д Не поддерживается Пара D Н/Д Не применимо Не поддерживается Глядя на результат, я могу с уверенностью сказать, что устройство было 48-портовым Cisco Catalyst 2960. Как? Посмотрите в разделе «Интерфейс». Посмотрите «Состояние пары» для пар C и D. Только обычные порты FastEthernet 2960 могут поддерживать TDR. Но посмотрите на «Состояние пары» для пар A и B. Что это означает? ![Drawing2.jpg] Это означает, что отсутствует патч-кабель удаленного конца (красный). Раньше уже случались странные вещи Я воспользовался возможностью провести ограниченное тестирование TDR на 4510R+E. Шасси имеет Sup7E и линейную карту X4548-RJ45V+ (версия IOS 03.01.01.SG). Результаты очень, очень странные. Кстати, тестирование TDR на этой установке занимает 60 секунд. 60 секунд! Боже мой! Я понятия не имею, что является фактором: Sup7E или линейная карта. Пример ниже взят из ХОРОШЕГО кабеля: Интерфейс Скорость Локальная пара Длина пары Удаленная пара Состояние пары Gi2/36 1 Гбит/с 1-2 29 +/-10 м Неизвестно Неисправность 3-6 30 +/-10 м Неизвестно Разлом 4-5 29 +/-10 м Неизвестно Разлом 7-8 30 +/-10 м Неизвестно Неисправность А вот образец ниже получен с помощью неисправного кабеля: Интерфейс Скорость Локальная пара Длина пары Удаленная пара Состояние пары Gi2/37 0 Мбит/с 1-2 56 +/-10 м Неизвестно Неисправность 3-6 0 м Неизвестно Неисправность 4-5 56 +/-10 м Неизвестно Разлом 7-8 59 +/-10 м Неизвестно Неисправность Как видите, независимо от того, хороший у вас кабель или плохой, результаты «Удаленной пары» и «Статуса» могут быть обманчивыми. Единственный способ определить, есть ли у вас проблема с плохим кабелем, — это посмотреть на «Скорость» и выход на «Длину пары». Я подозреваю, что вводящие в заблуждение результаты «Удаленной пары» и «Статуса пары» являются ошибкой IOS. (25 августа 2023 г.) ВАЖНОЕ ДОПОЛНЕНИЕ: Начиная с версии IOS-XE (также известной как Polaris) 16.X.X (и более поздних), TDR полностью не работает. Я настоятельно рекомендую прекратить полагаться на результаты TDR от коммутаторов Catalyst, если платформа работает под управлением 16.X.X (и более поздних), 17.X.X (и более поздних), поскольку результаты не являются точными и надежными. Идентификаторы ошибок: CSCvw97924 и CSCwd97177 Скриншоты (ниже) неработающих результатов TDR: ![(Above) Pair A & B distance is "0".] (Вверху) Расстояние между парами A и B равно «0». ![(Above) Pair "A" distance is (significantly) more than Pairs B, C and D.] (Вверху) Расстояние между парой «A» значительно больше, чем между парами B, C и D. ![665f653f-31fe-4575-9483-4b33a7aa9d25.jpg] ![9300, IOS-XE version 17.9.4a] 9300, IOS-XE версия 17.9.4a -- КОНЕЦ ПЕРЕДАЧИ -- [image: 329515b8b04217e6ec5ea60aa4b78dca06cc20cc.jpg] [image: 28d892aad2e33d29f12570e2599bcd1087f92afa.jpg] [image: 6757624af3e482ad537fa0760d8a5545a18d0f66.] [image: 360093555c6d9da06256fe58125d7f0c1418f94f.] [image: 43ef970ff3949c6729baedda91646e5e5fbd4f7c.jpg] [image: 93e001b926d0bcff493fdb162d40a000a29f57c4.4a]

[Необходимые знания] [Обзор рабочего процесса внедрения в 3 этапа] [1) Определение варианта использования] [2) Архитектура] [l. Установка/определение агента] [II. Тестовая конфигурация] [3) Внедрение в эксплуатацию] [Дополнительные ресурсы] В современном цифровом мире поддержание бесперебойной работы приложений и обеспечение исключительного пользовательского опыта являются главными приоритетами для всех аспектов предоставления цифровых услуг. ThousandEyes, ведущее решение Cisco в области обеспечения качества, позволяет организациям с беспрецедентной точностью отслеживать, диагностировать и оптимизировать цифровые экосистемы. В этом блоге описан простой трехэтапный процесс внедрения ThousandEyes, который мы рассмотрим подробно: определение сценариев использования, проектирование платформы и ее внедрение для обеспечения постоянного успеха. Независимо от того, используете ли вы облачные, корпоративные или конечные агенты , в этом руководстве представлен подход, ориентированный на общее внедрение и простые для выполнения шаги. Необходимые знания Прежде чем приступить к внедрению, полезно иметь базовое понимание следующих концепций ThousandEyes: • Агенты: Cloud , Enterprise и Endpoint • Тесты • Оповещения • Панели мониторинга• API ![] Совет: если вам нужно освежить знания, ознакомьтесь с руководством по началу работы с ThousandEyes , в котором представлен краткий и полезный обзор. Обзор рабочего процесса внедрения в 3 шага Давайте рассмотрим рабочий процесс внедрения из 3 этапов. Каждый этап основывается на предыдущем и описывает, как эффективно внедрить ThousandEyes в вашей среде. Хотя этапы представлены в последовательном порядке, процесс может быть итеративным, что позволяет вам повторно проходить и дорабатывать каждый этап по мере необходимости: ![image2.png] Рисунок 1. Обзор рабочего процесса •Определение сценария использования : определите, как лучше всего адаптировать ThousandEyes к конкретным потребностям вашего бизнеса. • Архитектура: спроектируйте и настройте среду ThousandEyes в соответствии с вашими сценариями использования. • Внедрение: преобразуйте аналитические данные в действия с помощью оповещений, панелей мониторинга, интеграций и API. Именно здесь происходит волшебство! Каждый этап внедрения подробно описан ниже: 1) Определение сценария использования Для успешного внедрения ThousandEyes важно сначала понять текущее состояние мониторинга, выявить существующие пробелы в видимости и понять, как эти пробелы влияют на ваш бизнес. Определение конкретных проблем, с которыми сталкивается ваша организация, и их перевод в четкие сценарии использования — вот что принесет значимые результаты. Выявив эти проблемные моменты до внедрения, мы можем настроить ThousandEyes так, чтобы он приносил максимальную пользу с минимальными затратами. ![image1.png] Изображение 2. Примеры сценариев использования ThousandEyes При выявлении проблемных мест и определении сценариев использования учитывайте такие факторы, как: • Какие критически важные приложения или платформы имеют жизненно важное значение для вашей деятельности? Независимо от того, используете ли вы локальные решения или SaaS (такие как Microsoft 365, Salesforce или Zoom), определение «необходимых» приложений даст вам план действий на следующие этапы. • Какой уровень видимости вам действительно нужен и где? Подумайте, влияют ли сбои или проблемы с подключением на работу ваших различных офисов, какие облачные среды (такие как AWS, Azure или GCP) требуют постоянного мониторинга и видимости и т. д. ![] Совет: посетите наш веб-сайт ThousandEyes Solutions, чтобы ознакомиться с типичными сценариями использования, адаптированными к вашей отрасли. Для получения индивидуальных рекомендаций, соответствующих вашим бизнес-целям, обязательно свяжитесь с представителем отдела продаж и/или службы поддержки клиентов ThousandEyes! 2) Архитектура После определения сценариев использования следующим шагом является проектирование и настройка среды ThousandEyes в соответствии с выделенными приоритетами. Этот шаг гарантирует, что платформа настроена для сбора нужных данных из нужных мест, обеспечивая значимую видимость во всей вашей цифровой экосистеме. Независимо от того, мониторите ли вы SaaS-приложения, внутренние сети или опыт удаленных сотрудников, этап архитектуры — это ваш план успеха ThousandEyes, который должен охватывать следующие области: установка/определение агента , настройка теста и визуализация данных. l. Установка/определение агента Выберите (и при необходимости разверните) подходящие агенты ThousandEyes: • Облачные агенты : идеально подходят для внешних приложений или мониторинга публичных сетей. Мониторинг популярных SaaS-сервисов и моделирование пользовательского опыта из более чем 250 локаций по всему миру. Развертывание не требуется. •Агенты для предприятий : лучше всего подходят для внутренней видимости приложений и отслеживания путей в локальной сети. Развертываются в ваших центрах обработки данных, филиалах или облачных средах (OVA, Docker, AWS, GCP и т. д.). Требуют развертывания. • Конечные агенты : особенно полезны для удаленных или гибридных сотрудников. Устанавливаются на устройствах сотрудников для мониторинга пользовательского опыта и поведения приложений. Требуют развертывания. ![image3.png] Изображение 3. Пример размещения агента ll. Тестовая конфигурация Определите ключевые аспекты того, что вы будете отслеживать, на основе ваших сценариев использования и агентов из этапа установки/определения агентов: •Тип цели : в зависимости от вашего сценария использования — независимо от того, отслеживаете ли вы приложение или службу — вы можете выбрать в качестве цели URL, FQDN, IP-адрес или даже *агент . По сути, в качестве тестовой цели можно использовать все, что доступно внутренне, внешне или и то, и другое! *Это не применимо к агентам Endpoint, только к следующим тестам Cloud & Enterprise Agent: • Agent-to-Agent • Voice - RTP •Выбор агента : тщательно обдумайте, откуда будут исходить ваши тесты — из филиалов, облачных регионов или от удаленных сотрудников. Выберите количество агентов, необходимое для точного отражения разнообразия реального пользовательского трафика в вашей среде. • Частота и таймаут : установите интервал тестирования в зависимости от критичности — для важных приложений интервал должен быть более частым, с меньшим временем (рекомендуется 1, 2 и 5 минут). ![image4.png] Изображение 4. Пример теста Cloud & Enterprise Agent Более подробную информацию о настройке тестов ThousandEyes можно найти здесь: • Облачные и корпоративные агенты — настройки тестов ThousandEyes • Конечные агенты — настройки тестов конечных агентов После запуска тестов изучите данные, чтобы получить полезную информацию и убедиться, что ваши цифровые сервисы работают как ожидается: • Проверка на наличие ошибок : просмотрите график тестирования и визуализацию маршрута, чтобы убедиться в отсутствии ошибок, поскольку они могут указывать на проблемы с маршрутизацией, обрывы соединения или сбои в работе сервисов. • Проверка сквозной видимости : используйте визуализацию маршрута , чтобы подтвердить полный обзор сетевого маршрута. Отсутствующие прыжки или частичные маршруты могут сигнализировать о слепых зонах, которые могут повлиять на вашу способность эффективно устранять неполадки, поэтому обязательно проверьте их. ![] Дополнительная информация о визуализации данных ThousandEyes здесь: • Облачные и корпоративные агенты — просмотр данных • Визуализация маршрута — понимание визуализации маршрута • Конечные агенты — просмотр данных 3) Внедрение Итак, вы внедрили сценарии использования ThousandEyes, настроили и спроектировали платформу, и теперь собираете ценные данные и метрики — отлично! Но теперь наступает критический этап: интеграция ThousandEyes в вашу повседневную работу. Вот несколько ключевых областей, которые помогут вам внедрить платформу в эксплуатацию: • Оповещения: после запуска тестов очень важно обеспечить, чтобы ваша команда получала уведомления в случае возникновения проблем. Вот как максимально эффективно использовать оповещения: ◦Настройте оповещения для всех ваших тестов! ◦ Убедитесь, что правила оповещений включают как минимум получение уведомления по электронной почте ; просматривайте и управляйте всеми настройками оповещений в одном месте, чтобы обеспечить вовлечение нужных команд в зависимости от типов тестов и степени серьезности. ◦ Используйте адаптивные оповещения , чтобы автоматически настраивать пороги правил оповещений на основе наблюдаемого поведения; ◦ Внедрите динамические базовые показатели, чтобы сравнивать текущую производительность с историческими тенденциями/колебаниями. ◦ Вы можете получать уведомления об оповещениях через настраиваемые веб-хуки или настраиваемые интеграции , включая интеграции с такими сайтами, как PagerDuty , Slack , ServiceNow и AppDynamics! • Панели мониторинга: панели мониторинга ThousandEyes — это мощный инструмент для преобразования данных/показателей в полезную информацию, адаптированную к потребностям вашей команды: ◦ Быстро создавайте представления для наиболее распространенных случаев использования с помощью шаблонов панелей мониторинга , что позволит вам быстро ознакомиться с производительностью SaaS, мониторингом конечных точек или доступностью сети. ◦ Клоны не нужны! Используйте фильтры панели инструментов , чтобы динамически сужать данные по группам тестов, временным диапазонам, агентам и т. д., без необходимости запускать уникальную панель инструментов. ◦ Экономьте время и быстрее исследуйте проблемы с помощью функций детализированного устранения неполадок . Нажмите прямо на виджет, чтобы увидеть подробный вид теста! ◦ Сохраняйте согласованность всех ваших команд с минимальными усилиями, создавая снимки: ![Screenshot 2025-06-25 at 1.28.57 p.m..png] Изображение 5. Создание моментального снимка панели инструментов ![] Совет: хотите расширить видимость за пределы платформы? Легко встраивайте виджеты панели инструментов во внешние порталы, такие как SharePoint, Confluence или настраиваемые веб-страницы. • Автоматизация и эффективность: ручные задачи замедляют вашу работу. ThousandEyes может автоматизировать и оптимизировать ваши операции следующим образом: ◦ Использование API ThousandEyes для автоматизации планирования отчетов, экспорта данных или настраиваемых рабочих процессов, запускаемых оповещениями. ◦ Интеграция с платформами Cisco и сторонних производителей для согласования аналитических данных ThousandEyes с вашими существующими процессами управления инцидентами. Не позволяйте внедрению ThousandEyes стать для вас проблемой. Уделив время обдумыванию текущего состояния ( определение сценария использования ), желаемого состояния ( архитектура ) и эффективности на этом пути ( операционализация ), вы сможете заложить основу для успешного внедрения и с самого начала максимально увеличить ценность мониторинга цифрового опыта! Дополнительные ресурсы Чтобы поддержать вас на протяжении всего пути с ThousandEyes, вот несколько ценных ресурсов, которые помогут вам, обучат и ускорят внедрение: • Начало работы с ThousandEyes • Библиотека ресурсов ThousandEyes • [Сообщество ThousandEyes] • «Cisco ThousandEyes Essentials» — бесплатный курс Cisco U Готовы увидеть ThousandEyes в действии? Получите бесплатную 15-дневную пробную версию здесь и получите полезную информацию о важных приложениях и услугах, ориентированных на клиентов и сотрудников. [image: ba82814a6402856fb0ee1df22c7d8f32a8aafd4c.png] [image: 525a7253c3dbfd00356a30353eaf5b33a5589dd6.png] [image: c62cb0a5a483c884575c38f470ef0be972df7ed1.png] [image: 8df84876f2081d7a229a3e761d236ae7742d24ab.png] [image: d5f688c261d9f5b0568f5a5fb85c5a30fa691445.png] [image: 33c58ece8c6a35534b538e9f9d1ff7cc316e9086.png]

В этом месяце Касираман Элджей объясняет, как может быть полезна команда «ip access-list resequence». Спасибо Касираману за то, что он прислал свой любимый совет! Я обнаружил, что команда «ip access-list resequence» для ACL очень полезна. В большинстве случаев сетевые операторы пытаются удалить ACL, отредактировать записи в блокноте, а затем вновь вставить ACL через CLI. Изменение последовательности ACL может снизить накладные расходы на выполнение этой операции, когда требуются определенные изменения. Рассмотрим следующий ACL для иллюстрации этой концепции: Router_#sh ip access-lists TEST Расширенный список доступа IP TEST 2 permit ip host 10.10.10.1 host 10.10.10.2 3 разрешить ip хост 10.10.10.3 хост 10.10.10.4 Теперь давайте предположим, что между двумя существующими строками в ACL необходима дополнительная запись. Для этого нам нужно сделать пробел посередине, поэтому присвоим новый набор порядковых номеров. Router_(config)#ip access-list resequence TEST 10 10 Это запускает первую запись с порядковым номером 10 и увеличивает все новые строки на 10. Результат: Router_#sh ip access-lists TEST Расширенный список доступа IP TEST 10 разрешить ip хост 10.10.10.1 хост 10.10.10.2 20 разрешить ip хост 10.10.10.3 хост 10.10.10.4 Теперь легко вставить новую запись ACL с порядковым номером, например 15, которая будет находиться между двумя существующими записями в списке доступа TEST. URL-адрес конфигурации для справки: http://www.cisco.com/en/US/docs/ios/12_2s/feature/guide/fsaclseq.html Подпишитесь на новостную рассылку TS сегодня по адресу: https://tools.cisco.com/gdrp/coiga/showsurvey.do?surveyCode=474&keyCode=123668_1

[Введение] [Предпосылки и допущения] [Архитектура] [Развертывание] [Проверка] [Ресурсы и дополнительная поддержка] Введение Гибкость ThousandEyes позволяет размещать Enterprise Agents практически в любом месте, где ваша компания имеет сетевое присутствие. Однако развертывание этих агентов в облачных средах, таких как Azure, может привести к нежелательным административным и операционным затратам. В этом руководстве показано, как шаблон Azure Resource Manager (ARM) может снизить накладные расходы в процессе развертывания агентов. Предварительные условия и допущения В этой статье предполагается, что вы обладаете следующими знаниями, инструментами и доступом: Azure Существующая подписка Azure Виртуальная сеть и подсеть, способные разместить агент ThousandEyes ThousandEyes Ваша учетная запись ThousandEyes Токен группы Название группы ресурсов, на которой размещена существующая виртуальная сеть Имя существующей виртуальной сети Название существующей подсети в виртуальной сети Архитектура Общее правило для идеального размещения агента заключается в том, чтобы развернуть виртуальную машину как можно ближе к ресурсам, обрабатывающим рабочие процессы. Вот несколько примеров: Подключение через Expressroute ![Mauro1.png] Подключение через S2S VPN ![Mauro2.png] Развертывание Войдите в портал Azure. 2. В строке поиска найдите и выберите опцию «Развернуть настраиваемый шаблон». ![Mauro3.png] Выберите «Создать собственный шаблон в редакторе». ![Mauro4.png] Скопируйте и вставьте следующий JSON-код в редактор шаблонов, затем нажмите «Сохранить»: { "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "accountGroupToken": { "type": "String", "metadata": { "description": "The token for the ThousandEyes account group that the Enterprise Agent will belong to. You can find your ThousandEyes account group token under ThousandEyes Agent Settings." } }, "enableBrowserTests": { "defaultValue": true, "type": "Bool", "metadata": { "description": "Allow enabling ThousandEyes Browser test capabilities (Page Load and Transaction)." } }, "hostname": { "type": "String", "metadata": { "description": "Specify the VM hostname, this will also be the Agent name." } }, "VMSize": { "defaultValue": "Standard_B2s", "type": "String", "metadata": { "description": "Select the size of the Agent VM. Standard_B1s - 1 vCPU, 1 GB Mem; Standard_B2s - 2 vCPU, 4 GB Mem; Standard_D2_v2 - 2 vCPU, 7 GB Mem" } }, "ubuntuOSVersion": { "defaultValue": "22.04-LTS", "allowedValues": [ "22.04-LTS" ], "type": "String", "metadata": { "description": "This will use a fully patched image of your selected Ubuntu version. The "Ubuntu Pro for Azure" option is required to deploy this image." } }, "enableAutoPatch": { "defaultValue": "Yes", "allowedValues": [ "Yes", "No" ], "type": "String", "metadata": { "description": "Auto Patch is a feature that safely and automatically patches your virtual machine OS to maintain security compliance." } }, "adminUsername": { "defaultValue": "thousandeyes", "type": "String", "metadata": { "description": "Specify the admin user name for the VM." } }, "SSHPublicKey": { "type": "SecureString", "metadata": { "description": "Public key used to SSH to the Agent." } }, "proxyType": { "defaultValue": "None", "allowedValues": [ "None", "STATIC" ], "type": "String", "metadata": { "description": "If using a proxy, specify the proxy type. Default is none." } }, "proxyHost": { "defaultValue": "", "type": "String", "metadata": { "description": "If using a proxy, specify the proxy host and port (host:port)" } }, "proxyUser": { "defaultValue": "", "type": "String", "metadata": { "description": "If using a proxy, specify the proxy user (if required)." } }, "proxyPass": { "defaultValue": "", "type": "SecureString", "metadata": { "description": "If using a proxy, specify the proxy password (if required)." } }, "virtualNetworkResourceGroup": { "type": "String", "metadata": { "description": "Resource group of the existing VNet" } }, "virtualNetworkName": { "type": "String", "metadata": { "description": "Existing VNet Name" } }, "subnetName": { "type": "String", "metadata": { "description": "Existing Subnet Name" } }, "nicName": { "type": "String", "metadata": { "description": "Name for the new VM's NIC" } }, "publicIPAddressName": { "type": "String", "metadata": { "description": "Public IP Address Name for the new VM" } } }, "variables": { "imagePublisher": "[if(equals(parameters('ubuntuOSVersion'),'22.04-LTS'),'canonical','Canonical')]", "imageOffer": "[if(equals(parameters('ubuntuOSVersion'),'22.04-LTS'),'0001-com-ubuntu-server-jammy','UbuntuServer')]", "imageSku": "[if(equals(parameters('ubuntuOSVersion'),'22.04-LTS'),'22_04-lts',parameters('ubuntuOSVersion'))]", "imageVersion": "latest", "nicName": "[parameters('nicName')]", "vmName": "[parameters('hostname')]", "existingvnetId": "[resourceId(parameters('virtualNetworkResourceGroup'),'Microsoft.Network/virtualNetworks',parameters('virtualNetworkName'))]", "subnetId": "[concat(variables('existingvnetId'),'/subnets/',parameters('subnetName'))]", "publicIPAddressName": "[parameters('publicIPAddressName')]", "publicIPAddressType": "Dynamic", "linuxConfiguration": { "disablePasswordAuthentication": true, "ssh": { "publicKeys": [ { "path": "[concat('/home/', parameters('adminUsername'), '/.ssh/authorized_keys')]", "keyData": "[parameters('SSHPublicKey')]" } ] }, "provisionVMAgent": true, "patchSettings": { "patchMode": "[if(equals(parameters('enableAutoPatch'),'Yes'), 'AutomaticByPlatform', 'ImageDefault')]" } }, "bbotArg": "[if(parameters('enableBrowserTests'), ' -b ', '')]", "proxyTypeArg": "[if(equals(parameters('proxyType'), 'None'), '', concat(' -t ', parameters('proxyType'), ' '))]", "proxyHostArg": "[if(empty(parameters('proxyHost')), '', concat(' -P ', parameters('proxyHost'), ' '))]", "proxyUserArg": "[if(empty(parameters('proxyUser')), '', concat(' -U ', parameters('proxyUser'), ' '))]", "proxyPassArg": "[if(empty(parameters('proxyPass')), '', concat(' -u ', parameters('proxyPass'), ' '))]", "proxyHttp": "[if(empty(parameters('proxyUser')), concat(parameters('proxyHost')), concat(parameters('proxyUser'), ':', parameters('proxyPass'),'@', parameters('proxyHost')))]", "proxyEnv": "[if(empty(parameters('proxyHost')), '', variables('proxyHttp'))]", "cloudInitWriteProxyApt": "[concat('\n- path: /etc/apt/apt.conf.d/90proxyapt\n append: false\n content: |\n Acquire::http::proxy "http://',variables('proxyEnv'), '";', '\n Acquire::https::proxy "http://',variables('proxyEnv'), '";')]", "cloudInitWriteProxyEnv": "[concat('\n- path: /etc/environment\n append: true\n content: |\n http_proxy=',variables('proxyEnv'),'\n https_proxy=',variables('proxyEnv'))]", "teReleaseFile": "[concat('\n- path: /etc/te-release\n append: true\n content: |\n DISTRIB_FAMILY=AZURE_ARM\n DISTRIB_RELEASE=86fbdd9')]", "customDataProxy": "[concat('#cloud-config', '\n\nwrite_files:', variables('cloudInitWriteProxyApt') , variables('cloudInitWriteProxyEnv'), variables('teReleaseFile'),'\n\nruncmd:', '\n- export http_proxy=',variables('proxyEnv'),'\n- export https_proxy=',variables('proxyEnv'), '\n- curl -Os https://downloads.thousandeyes.com/agent/install_thousandeyes.sh\n- chmod +x install_thousandeyes.sh\n- sudo ./install_thousandeyes.sh ', variables('bbotArg'), variables('proxyTypeArg'), variables('proxyHostArg'), variables('proxyUserArg'), variables('proxyPassArg'), parameters('accountGroupToken'))]", "customDataNoProxy": "[concat('#cloud-config', '\n\nwrite_files:', variables('teReleaseFile') , '\n\nruncmd:\n- curl -Os https://downloads.thousandeyes.com/agent/install_thousandeyes.sh\n- chmod +x install_thousandeyes.sh\n- sudo ./install_thousandeyes.sh ', variables('bbotArg'), parameters('accountGroupToken'))]", "networkSecurityGroupName": "default-NSG", "customData": "[if(equals(parameters('proxyType'), 'None'), variables('customDataNoProxy'), variables('customDataProxy'))]", "location": "[resourceGroup.location]" }, "resources": [ { "type": "Microsoft.Network/publicIPAddresses", "apiVersion": "2019-06-01", "name": "[variables('publicIPAddressName')]", "location": "[variables('location')]", "properties": { "publicIPAllocationMethod": "[variables('publicIPAddressType')]" } }, { "type": "Microsoft.Network/networkInterfaces", "apiVersion": "2019-06-01", "name": "[variables('nicName')]", "location": "[variables('location')]", "dependsOn": [ "[variables('publicIPAddressName')]" ], "properties": { "ipConfigurations": [ { "name": "ipconfig1", "properties": { "privateIPAllocationMethod": "Dynamic", "publicIPAddress": { "id": "[resourceId('Microsoft.Network/publicIPAddresses',variables('publicIPAddressName'))]" }, "subnet": { "id": "[variables('subnetId')]" } } } ] } }, { "type": "Microsoft.Compute/virtualMachines", "apiVersion": "2021-03-01", "name": "[variables('vmName')]", "location": "[variables('location')]", "dependsOn": [ "[variables('nicName')]" ], "properties": { "hardwareProfile": { "VMSize": "[parameters('VMSize')]" }, "osProfile": { "computerName": "[variables('vmName')]", "adminUsername": "[parameters('adminUsername')]", "linuxConfiguration": "[variables('linuxConfiguration')]", "customData": "[base64(variables('customData'))]" }, "storageProfile": { "imageReference": { "publisher": "[variables('imagePublisher')]", "offer": "[variables('imageOffer')]", "sku": "[variables('imageSku')]", "version": "[variables('imageVersion')]" }, "osDisk": { "createOption": "FromImage" } }, "networkProfile": { "networkInterfaces": [ { "id": "[resourceId('Microsoft.Network/networkInterfaces',variables('nicName'))]" } ] } } } ] } Введите следующую информацию, затем нажмите «Проверить + создать»: Группа ресурсов : группа ресурсов, в которой размещены существующие ресурсы Регион : регион, в котором размещены существующие ресурсы Токен группы учетных записей : токен вашей группы учетных записей ThousandEyes Имя хоста : имя новой виртуальной машины агента SSH-ключ : мы рекомендуем добавить существующий SSH-ключ, чтобы мы могли подключиться к виртуальной машине сразу после завершения развертывания Группа ресурсов виртуальной сети : имя группы ресурсов, в которой размещена существующая виртуальная сеть Виртуальная сеть Имя : Имя существующей виртуальной сети Имя подсети : имя существующей подсети в виртуальной сети Имя сетевой карты : имя сетевой карты, которая будет создана для новой виртуальной машины агента Имя публичного IP-адреса : имя публичного IP-адреса, который будет создан для новой виртуальной машины агента ![Mauro5.png] После завершения окончательной проверки нажмите «Создать», чтобы начать развертывание. ![Mauro6.png] Подождите, пока развертывание будет завершено. Вы должны увидеть, как создаются виртуальная машина, сетевой интерфейс и публичный IP-адрес; этот процесс должен занять 3–5 минут. ![Mauro7.png] Проверка Перейдите к вновь созданной виртуальной машине и проверьте следующие элементы: Состояние виртуальной машины — «Работает» Убедитесь, что виртуальной машине назначен публичный IP-адрес ![Mauro8.png] Через 3–5 минут вы должны увидеть новый агент, зарегистрированный на платформе ThousandEyes ![Mauro9.png] Ваш новый агент готов к запуску тестов! Предупреждение по безопасности : убедитесь, что контроль доступа настроен правильно! Хотя новая виртуальная машина унаследует группы/правила сетевой безопасности, назначенные виртуальной сети, мы всегда рекомендуем проверять, что контроль доступа настроен правильно, особенно при доступе к новому публичному IP-адресу. Ресурсы и дополнительная поддержка Более подробную информацию о сетевых требованиях для Enterprise Agents можно найти здесь . Нужна дополнительная поддержка? [Свяжитесь с нашей службой поддержки] [Задайте вопрос на нашем форуме] Узнайте об основных функциях ThousandEyes [image: 26e15fc61674658db8702e6f9cbf413c83fed5b3.png] [image: 7ef016e96199b8d6c600eb97348449514031fe9e.png] [image: 3ac8a3ef4b5014d43a334e49ae0c22eb60fd0da7.png] [image: fd6eaba74939f1b048b40bc7d616a36dd5a740ec.png] [image: f40397806e0c8e4bbf5ad9e9272c79b1ef427a5a.png] [image: 20fa891ab0ec230a8cd9afacb02bf7208b56154e.png] [image: 99daa3c2bc38ea439bbc3530be6a472fb3792df3.png] [image: 0d1aa256ed52c721ea9d6357eb92b39bc9fd648c.png] [image: 66c14a89dc9be3a42b50939d8631ff4aa60f8556.png]

Это первый из серии документов, которые я пишу о MACsec. Поскольку конфигурация будет становиться все более сложной, я рекомендую вам читать их по порядку. Я также рекомендую вам нажать «Полезно», если эта информация была вам полезна, или оставить комментарий, если у вас есть вопросы или замечания! Другие документы из этой серии: [Настройка MACsec Switch to Switch с предварительно согласованным ключом] [MKA, обмен ключами MACsec, по кабелю] [Создание CSR, аутентификация CA и регистрация сертификатов в IOS XE] [Настройка MACsec Switch to Switch на основе сертификата с локальной аутентификацией] Настройка коммутатора MACsec на основе сертификата для переключения с удаленной аутентификацией ISE [Настройка MACsec Switch to Host с ISE и Cat9k] Особая благодарность Несколько сотрудников Cisco поддержали меня и помогли с этими документами. Особая благодарность Hitesh Maisheri и T.V. Yeswanth Reddy за их помощь и руководство, без которых я бы не смог этого сделать. История MACsec — это стандарт IEEE 802.1AE. Он был разработан IEEE в дополнение к стандарту 802.1X-2004. MACsec был разработан, чтобы позволить авторизованным системам подключаться, а затем шифровать данные, передаваемые по проводному каналу, и не давать злоумышленникам вставлять кадры в канал. MACsec не авторизует системы, подключающиеся к сети, он позволяет этим системам шифровать трафик, предназначенный для сети. MACsec предназначен для использования только в проводных сетях. MACsec является отраслевым стандартом с 2006 года, когда IEEE опубликовала документ 802.1AE-2006, и используется в решениях Cisco уже не менее 10 лет. Первое свидетельство поддержки MACsec со стороны Cisco, которое я нашел, относится к марту 2010 года и касается коммутаторов 3650-X и 3750-X. За прошедшие годы стандарт IEEE 802.1AE несколько раз пересматривался, и аналогичным образом Cisco усовершенствовала поддержку MACsec в продуктах LAN и WAN. MACsec — это метод шифрования L2, который применяется на физическом уровне порта коммутатора. Он всегда использовал реализацию AES в режиме Galois Counter Mode, что позволяет ему работать со скоростью линии. Стандарт 2006 года требовал использования GCM-AES-128 бит, более новые версии IEEE поддерживают как GCM-AES-128, так и 256-битные ключи. GCM — это алгоритм аутентифицированного шифрования, который обеспечивает подлинность и конфиденциальность данных. GCM необходим для выполнения шифрования со скоростью линии 1 Гбит, 10 Гбит, 100 Гбит или 400 Гбит. GCM способен достичь такой производительности благодаря использованию параллельной обработки. Поскольку он работает на втором уровне, он шифрует STP, CDP и другие протоколы второго уровня. Поддержка Cisco MACsec поддерживается почти во всех решениях Cisco Ethernet от ISR, ASR, Cat 8k и Cat 9k. Поддержка варьируется в каждой линейке продуктов, поэтому важно читать примечания к выпуску и/или технические характеристики. В прошлом Cisco поддерживала MACsec с помощью SAP. SAP является проприетарной реализацией и имеет много ограничений, которые MKA преодолевает. SAP может по-прежнему поддерживаться на некоторых текущих платформах, однако мы рекомендуем использовать MKA в любой новой реализации. Cisco AnyConnect уже довольно давно поддерживает MACsec. Я видел документы, подтверждающие поддержку MACsec в AnyConnect версии 3.1, поэтому вы можете быть уверены, что это также проверенное и надежное решение. Реализация MACsec в Cisco создает четкую границу между операциями контрольной плоскости и операциями плоскости данных. Соглашение о ключах MACsec (MKA) происходит в контрольной плоскости, а шифрование MACsec — в плоскости данных. Другие документы подробно описывают операции контрольной плоскости и плоскости данных. Терминология В этих документах вы увидите, что я использую такие аббревиатуры, как GCM, CBC, AES, MKA, SAK, CAK и многие другие; эти документы не являются глубоким погружением в криптографию, их цель — помочь понять, как реализовать MACsec в вашей сети. С учетом этого я предоставлю исчерпывающий словарь терминов для наглядности. Примечание: термины приведены в алфавитном порядке. Примечание: не все эти термины могут быть использованы в моих документах, те, которые не используются, приводятся для полноты. AN — номер ассоциации — номер, который объединяется с MACsec SCI для идентификации ассоциации безопасности (SA). Сервер аутентификации — доверенный сервер, в данном случае сервер RADIUS, предпочтительно Cisco Identity Solutions Engine, который может принимать и отвечать на запросы доступа к сети. Аутентификатор – сетевое устройство, которое может разрешать или блокировать канал передачи данных между клиентским устройством и сетью. CA – Secure Connectivity Association (ассоциация безопасного соединения) – отношения безопасности между устройствами MACsec. Существует два типа CA: парная CA, имеющая двух членов, и групповая CA, имеющая более двух членов. CAK — ключ ассоциации подключения — используется MKA для получения временного сеансового ключа, называемого SAK. CKN – имя ключа подключения – используется в качестве контейнера для хранения CAK. CKN передается по проводному каналу в виде открытого текста одноранговому узлу, чтобы помочь ему в проверке CAK. EAP – Extensible Authentication Protocol (расширяемый протокол аутентификации) – структура аутентификации, часто встречающаяся в проводных и беспроводных сетях. Клиенты EAP обычно называются Supplicants (запрашивающие устройства). Запросы EAP отправляются на серверы, которые обычно называются Authentication Server (сервер аутентификации), через Authenticator (аутентификатор). Запрашивающие устройства и аутентификаторы в этой структуре называются PAE. EAPoL — Extensible Authentication Protocol over LAN — протокол аутентификации сетевого порта, используемый в IEEE 802.1X. EAPoL PDU — незащищенное объявление, которое несет возможности набора шифров MACsec. Эти объявления используются для определения ширины ключа, используемого для MKA. ICK — ключ проверки целостности — используется для аутентификации сообщений от других членов в том же CA. ICV — Integrity Check Value (значение проверки целостности) — защищает MAC-адреса источника и назначения, а также все поля MPDU. KDF — функция вывода ключа — криптографическая хеш-функция, которая выводит один или несколько секретных ключей из секретного значения. В реализации MACsec компанией Cisco используются KDF, определенные в NIST SP800-108. KEK – ключ шифрования ключей – используется для защиты SAK, когда сервер ключей распределяет его участникам KS – сервер ключей – распределяет общий ключевой материал между одноранговыми узлами локальной сети. Генерирует SAK из CAK. Выбирает и объявляет набор шифров. Роль сервера ключей может быть динамической, обеспечивает избыточность и надежность. Мастер-ключ – секретный ключ, который используется для получения одного или нескольких криптографических ключей, используемых для защиты передачи данных MI – идентификатор участника – часть пары значений, используемая в сообщениях MKA MN – Member Number (номер участника) – счетчик, используемый в сообщениях MKA, который обеспечивает защиту от повторного воспроизведения. MKA — соглашение о ключах MACsec — определено в IEEE 802.1X-REV2010 как протокол соглашения о ключах. MKA обнаруживает одноранговые узлы MACsec, согласовывает ключи, предоставляет сеансовые ключи и управляет ключами шифрования. MKPDU – MACsec Protocol Data Unit – безопасный объявление EAPoL для повторной проверки возможностей набора шифров. MPDU — см. MKPDU MSK — главный сеансовый ключ — генерируется во время обмена EAP. Запрашивающая сторона и сервер аутентификации используют MSK для генерации CAK и CKN. MSK не используется, если настроен предварительно совместно используемый ключ MKA. NAM — Network Access Manager — дополнительный модуль для Cisco AnyConnect, который действует как суппликант 802.1x, а также обеспечивает программное шифрование MACsec nonce – неповторяющееся значение, такое как счетчик, используемое в протоколах управления ключами и KDF для предотвращения повторного воспроизведения и других типов атак PAE — Port Access Entity (сущность доступа к порту) — определяет тип порта, типы портов: суппликант, аутентификатор или оба. PN — номер пакета — asdf RNG – генератор случайных чисел – часто и по-разному используется для генерации и защиты ключей. В реализации MACsec компанией Cisco используются RNG, определенные в NIST SP800-108. SA – Secure Association (безопасное соединение) – связь между двумя устройствами, которая гарантирует, что кадры, передаваемые между устройствами, будут защищены SAK SAK – ключ безопасного соединения – ключ, полученный из CAK и используемый для шифрования данных, передаваемых между устройствами SC – Безопасный канал – каждый SC идентифицируется идентификатором безопасного канала, который состоит из MAC-адреса и идентификатора порта, уникального в системе. SCI – идентификатор безопасного канала – соединение MAC-адреса и идентификатора виртуального порта. Идентификатор виртуального порта можно определить по столбцу IF-ID. Cat9200# show platform software fed switch 1 ifm interfaces eth SecY – любое устройство в системе, которое работает с протоколом безопасности MACsec Supplicant (запрашивающая сторона) — клиентская сущность, желающая подключиться к сети. Также может быть программным обеспечением, установленным на клиентской сущности, которое предоставляет учетные данные аутентификатору. В заключение MACsec не заменяет IPsec, его следует рассматривать как еще один инструмент в арсенале сетевого архитектора. IPsec защищает пакеты TCP\IP на уровне 3, MACsec работает с кадрами Ethernet на уровне 2. Это позволяет MACsec защищать Multicast, ARP, DHCP, STP, DTP, VTP и другие протоколы уровня 2, которые IPsec не может защитить. С другой стороны, IPsec может работать через маршрутизаторы и брандмауэры, а MACsec — нет. Ссылки IEEE 802.1AE-2006 — Безопасность контроля доступа к среде IEEE 802.1X-2010 – Контроль доступа к сети на основе портов IEEE 802.1AEbw-2013 — Расширенная нумерация пакетов для безопасности контроля доступа к среде IEEE 802.1Xbx-2014 – Поправка к контролю доступа к сети на основе портов IEEE 802.1AE-2018 – Безопасность контроля доступа к среде RFC 4493 – Алгоритм AES-CMAC Справочник основных команд IOS https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/mcl/allreleasemcl/all-book.html Руководство по настройке безопасности Cat 9200 IOS XE 17.3 https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9200/software/release/17-3/configuration_guide/sec/b_173_sec_9200_cg/macsec_encryption.html Руководство по настройке безопасности Cat 9300 IOS XE 17.3 https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-3/configuration_guide/sec/b_173_sec_9300_cg/macsec_encryption.html Понимание и настройка срока действия CAK https://www.cisco.com/c/en/us/td/docs/optical/ncs1000/63x/configuration/guide/configuration-guide-65x/dwdm-configuration-guide-60x_chapter_0111.html#id_35027 IBNS: Безопасность MAC (2011) https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-services/deploy_guide_c17-663760.html#DebugCommands AnyConnect 3.1 Поддержка MACsec https://www.cisco.com/c/en/us/support/docs/lan-switching/8021x/117277-config-anyconnect-00.html MKA на основе сертификатов с сетевой аутентификацией https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/macsec/configuration/xe-16-6/macsec-xe-16-6-book/macsec-xe-16-6-book_chapter_010.html https://blogs.keysight.com/blogs/tech/traf-gen.entry.html/2020/07/30/macsec_mka_validatio-MqLY.html

![Screenshot 2025-04-10 at 9.17.19 AM.png] С выпуском облачной версии IOS XE 17.15.3 мы рады объявить о появлении облачного режима работы и гибридного режима работы — двух мощных способов управления коммутаторами Catalyst 9000 с панели управления Meraki. Эти обновления включают усовершенствования и новые возможности, которые обеспечивают большую гибкость при подключении и управлении коммутаторами Catalyst в панели управления Meraki. Давайте подробнее рассмотрим возможности каждого режима! ![:right_arrow:] Гибридный режим работы сегодня вступает в стадию публичной бета-версии и является развитием того, что ранее было известно как Cloud Monitoring. Гибридный режим работы предлагает вам возможность подключать любой коммутатор серии Catalyst 9200 или 9300 к панели управления Meraki. В гибридном режиме пользователи могут настраивать коммутатор через локальную консоль, SSH или CLI. Кроме того, в панель управления добавлен новый терминал Cloud CLI, который предоставляет команды чтения/записи, обеспечивающие дополнительную глубину и наглядность управления облаком. Гибридный режим обеспечивает мониторинг и устранение неполадок для коммутаторов Catalyst в панели управления, при этом конфигурации по-прежнему хранятся локально на устройстве. Хотя в гибридном режиме конфигурации не хранятся и не синхронизируются из облака, пользователи могут инициировать резервное копирование в облаке для дополнительной отказоустойчивости. ![:right_arrow:] Режим работы в облаке переходит в стабильную версию с IOS XE 17.15.3, обеспечивая полный набор функций управления в облаке для выбранных устройств Catalyst 9000 с панели управления Meraki. В режиме работы в облаке конфигурации управляются через панель управления и полностью поставляются из облака. Эта функция также предлагает терминал Cloud CLI только для чтения, который можно использовать для просмотра всей рабочей конфигурации или выполнения расширенного устранения неполадок с помощью команд IOS XE show. Кроме того, мы представляем совершенно новый опыт внедрения коммутаторов Catalyst при их переходе в облако. Узнайте больше об этом опыте внедрения здесь . ![Screenshot 2025-04-10 at 9.18.48 AM.png] Ключевой особенностью облачной версии IOS XE 17.15.3 является Cloud CLI, которая теперь также доступна в раннем доступе для управляемых облаком коммутаторов Catalyst с IOS XE 17.15.3 или более поздней версией. Cloud CLI — это интерактивный терминал, размещенный в панели управления Meraki, который инициирует безопасную прямую терминальную сессию с вашим устройством Catalyst 9000. Дополнительным преимуществом Cloud CLI является возможность считывать или записывать команды из любого места через панель управления Meraki. Для доступа к CLI коммутаторов, управляемых из облака, не требуется VPN-соединение или промежуточный хост. ![Screenshot 2025-04-10 at 9.28.45 AM.png] Будущее за облаком с IOS XE Эта версия обеспечивает большую гибкость в выборе способа перехода к облаку, более плавный процесс внедрения для начала работы, а также более глубокую видимость и контроль с помощью терминала CLI, размещенного в облаке. Все это в сочетании с облачным IOS XE помогает обеспечить беспроблемный переход к облаку для клиентов, использующих локальные коммутаторы Catalyst 9000, без необходимости перестройки существующей инфраструктуры. Обратите внимание : это внедрение будет происходить поэтапно, и доступность может варьироваться. Если при добавлении коммутаторов в сеть вы не видите опцию гибридного режима работы, обратите внимание, что она будет доступна в ближайшее время. Мы ценим ваше терпение и понимание, пока мы работаем над тем, чтобы сделать эту функцию доступной для всех подходящих организаций. Чтобы узнать больше о облачном и гибридном режимах работы, ознакомьтесь с документацией ниже! ![] Облачный IOS XE ![] Облачный режим работы ![] Гибридный режим работы ![] Обзор CLI для облака [image: bcfeda02198511a9030a20b2b8ddcb8f426e1b0e.png] [image: 34397ddaeed0bc25c3778167a7722fd4bd3cd623.png] [image: afa061757b58d5074aebdf32c4e32953c2970399.png] [image: 20bc7c099996825788a73417ad96b262f3d3939a.png] [image: 300c4092285e49170287e004d69fca41b86dc903.png]

[Введение] [Архитектура] [Предварительные условия и допущения] [Amazon Web Services] [ThousandEyes] [Развертывание] [Проверка] [Дополнительные ресурсы] Введение Гибкость ThousandEyes позволяет размещать Enterprise Agents практически в любом месте, где ваша компания имеет сетевое присутствие. Однако развертывание этих агентов в облачных средах, таких как Amazon Web Services (AWS), может привести к нежелательным административным и операционным затратам. Одним из распространенных примеров является попытка развернуть Enterprise Agent на основе в AWS, который изначально не поддерживается поставщиком облачных услуг. В этом руководстве показано, как импортировать ThousandEyes Open Virtual Appliance (OVA) в AWS Machine Image (AMI), чтобы сократить время, затрачиваемое на процесс развертывания агента. Архитектура Общее правило для идеального размещения агента заключается в том, чтобы развернуть виртуальную машину как можно ближе к ресурсам, обрабатывающим рабочие процессы. Вот несколько примеров: Подключение с помощью S2S VPN ![Mauro1.png] Подключение с Direct Connect ![Mauro2.png] Предварительные условия и допущения В этой статье предполагается, что у вас есть следующие знания, ресурсы и доступ: Amazon Web Services Существующая учетная запись AWS Существующая VPC и подсеть, способные разместить агент ThousandEyes Существующий S3-бакет для хранения файла OVA ThousandEyes Пользователь, запускающий этот процесс, должен иметь следующие разрешения в IAM: AWSMigrationHubFullAccess AWSMigrationHubOrchestratorConsoleFullAccess AWSMigrationHubOrchestratorPlugin AWSMigrationHubOrchestratorInstanceRolePolicy ThousandEyes Существующая организация ThousandEyes Ваша учетная запись ThousandEyes Токен группы Развертывание Войдите в свою организацию ThousandEyes. 2. Перейдите в раздел «Network & App Synthetics» (Синтетические сети и приложения) > «Agent Settings» (Настройки агента). 3. Нажмите кнопку «Add New Enterprise Agent» (Добавить новый корпоративный агент). ![Mauro3.png] В разделе «Устройство» нажмите кнопку «Скачать — OVA» ![Mauro4.png] После загрузки файла OVA войдите в свою учетную запись AWS. Перейдите в свой букет S3 и нажмите «Создать папку» ![Mauro5.png] Назовите и создайте папку, введя желаемое имя папки, а затем нажмите «Создать папку ». Важное примечание! Для обеспечения правильной работы имя папки ДОЛЖНО начинаться с префикса: migrationhub-orchestrator-vmie Пример: migrationhub-orchestrator-vmie- TEVA. ![Mauro6.png] Внутри вновь созданной папки нажмите «Загрузить ». ![Mauro7.png] Нажмите «Добавить файлы », выберите файл OVA, загруженный в шаге 4, а затем нажмите «Загрузить». ![Mauro8.png] В AWS перейдите в «Центр миграции» и выберите «Рабочие процессы» в разделе «Оркестрация ». Нажмите «Создать рабочий процесс ». ![Mauro9.png] В разделе «Шаблоны рабочих процессов » выполните поиск по ключевому слову «virtual», найдите и выберите «Импорт образов виртуальных машин в AWS» и нажмите «Далее». ![Mauro10.png] Присвойте процессу импорта имя, выберите папку, в которой находится файл OVA в S3 Bucket , и нажмите «Next» ( Далее ). Совет: не забудьте выбрать папку, содержащую файл OVA. Хотя интерфейс пользователя предлагает вам выбрать сам файл OVA, это приведет к ошибке. ![Mauro11.png] Проверьте детали рабочего процесса и нажмите «Создать ». Примечание. Подождите, пока создание рабочего процесса будет завершено, прежде чем переходить к следующему шагу. Как только статус покажет « Не начат », вы можете продолжить. Выберите название рабочего процесса из шага 13, затем нажмите «Выполнить», чтобы начать процесс импорта. ![Mauro12.png] Дождитесь завершения процесса импорта. В зависимости от размера это может занять до 30 минут. ![MauroLAST.png] Перейдите в EC2 и выберите AMI в разделе «Образы ». Вы должны увидеть в списке вновь созданный AMI; нажмите «Запустить экземпляр из AMI ». ![Mauro13.png] Заполните следующие поля и нажмите «Запустить экземпляр» , давая время на создание экземпляра после ввода: Имя Тип экземпляра Мы рекомендуем экземпляр с 2 виртуальными процессорами и 2 ГБ памяти. Пара ключей Используется для доступа по SSH после развертывания VPC Подсеть Вы можете использовать публичную или частную подсеть. Если вы используете частную подсеть, она должна иметь шлюз NAT, так как агенту потребуется подключение к Интернету. Группа безопасности Ознакомьтесь с нашими требованиями к правилам брандмауэра здесь . ![Mauro14.png] Перейдите к вновь созданному экземпляру и убедитесь, что он работает. ![Mauro15.png] Доступ к Enterprise Agent можно получить, введя в браузере публичный или частный IP-адрес экземпляра (в зависимости от вашей среды), после чего откроется экран входа в агент. ![Mauro16.png] Теперь вы можете настроить агент так же, как обычное виртуальное устройство. Примечание. Дополнительная информация о процессе настройки доступна здесь . Проверка После завершения настройки агента убедитесь, что новый агент зарегистрирован на платформе ThousandEyes (обычно это занимает около 3-5 минут). ![Mauro17.png] Поздравляем, ваш новый агент готов к запуску тестов! Соображения безопасности Предупреждение: хотя новая виртуальная машина унаследует группы безопасности, назначенные VPC, мы всегда рекомендуем проверять, что контроль доступа настроен правильно. Дополнительные ресурсы AMI в AWS [image: 28065c03d8b7d601974eeff72e470d7401e87b46.png] [image: 156f9e6bc4ca42e9c61ae0e072b76695546308fd.png] [image: 2d36f331fa5b919a48f3f6586dc469f5dde4e723.png] [image: 448847ec52ab24f0161a5fa1eed1511123c46b62.png] [image: a0d848bcbe471ee5996769d4ac251a365598378a.png] [image: c5604f9926ec6b8d54fc47cda7f02b1cbf6c2219.png] [image: 91838c56674cae54b8140f98fbf6064ed553ac6b.png] [image: 92e76ab44604ebac62d3de19ce74ff5fdbd091b9.png] [image: 56e9968d965abc69a07d6b541dcc234baaea2b0b.png] [image: fa2dbd2ef339d166cf8b1b2e0b3b6a19dfebd5fe.png] [image: d059559f8dd23053645239ebb53144dae40c6543.png] [image: 7aa8db49e4e0d8f00c57452a654c121a05b3f5e0.png] [image: f6514edc51643745f3a5c0b5bab95096933e8459.png] [image: 2ee4b603beaa99bacbda327c80c443a8b95eb1c6.png] [image: 8bad0a32b47a094830854954da8519ef8bac5679.png] [image: 6cd710fa1b6af09488e9941f73556d3c4d2a5f6e.png] [image: 79923b4d69684011820c3f4017c1b16263206686.png] [image: 556e0759ed1198b9a8f189d62e6146563efe2f2b.png]

Каждый может редактировать эту страницу. Пожалуйста, обновляйте/добавляйте все известные вам OID. Мониторинг ЦП на маршрутизаторах 1.3.6.1.4.1.9.2.1.58.0 Мониторинг памяти на маршрутизаторах 1.3.6.1.4.1.9.9.48.1.1.1.6.1 Система PIX/ASA/FWSM : 1.3.6.1.2.1.1 Интерфейсы: 1.3.6.1.2.1.2 IP: 1.3.6.1.2.1.4 Память: 1.3.6.1.2.1.4.1.9.9.48 ЦП: 1.3.6.1.2.1.4.1.9.9.109 Брандмауэр: 1.3.6.1.2.1.4.1.9.9.147 Буферы: 1.3.6.1.2.1.4.1.9.9.147.1.2.2.1 Соединения: 1.3.6.1.2.1.4.1.9.9.147.1.2.2.2 Статистика SSL: 1.3.6.1.4.1.3076.2.2.26 Статистика IPSec: 1.3.6.1.2.1.4.1.9.9.171 Статистика удаленного доступа: 1.3.6.1.2.1.4.1.9.9.392 Статистика FIPS: 1.3.6.1.2.1.4.1.9.9.999999 Активные соединения в брандмауэре PIX/ASA: 1.3.6.1.4.1.9.9.147.1.2.2.2.1.5.40.7 Общее количество активных в данный момент туннелей IPsec Phase-2: 1.3.6.1.4.1.9.9.171.1.3.1.1.0 Вам понадобятся следующие MIB: IF-MIB, RFC1213-MIB, CISCO-MEMORY-POOLMIB, CISCO-PROCESS-MIB, ENTITY-MIB, CISCO-SMI, CISCO-FIREWALL-MIB, ASA также добавляет CISCO-IPSEC-FLOW-MONITOR-MIB, CISCO-FIPS-STAT-MIB и ALTIGA-SSL-STATS-MIB. Серийный номер для стекируемых коммутаторов 1.3.6.1.2.1.47.1.1.1.1.11.1 Версия IOS для стекируемых коммутаторов 1.3.6.1.2.1.47.1.1.1.1.9.1 Кэш ARP на маршрутизаторе 1.3.6.1.2.1.3.1.1.2 Последнее изменение состояния интерфейса 1.3.6.1.2.1.2.2.1.9.[номер интерфейса, например 27] CPU маршрутизатора Cisco 7206vxr : 1.3.6.1.4.1.9.2.1.58.0 Mem: 1.3.6.1.4.1.9.9.48.1.1.1.5.1 Температура на входе 1: 1.3.6.1.4.1.9.9.13.1.3.1.3.1 Выпуск воздуха 2: 1.3.6.1.4.1.9.9.13.1.3.1.3.2 Выпуск воздуха 3: 1.3.6.1.4.1.9.9.13.1.3.1.3.3 Выпуск 4: 1.3.6.1.4.1.9.9.13.1.3.1.3.4 Температура шасси коммутатора Cisco 6509 Впуск двигателя коммутатора: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.1007 Выпуск двигателя коммутатора: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.1008 Впуск слота 1: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.1001 Выпускной канал слота 1: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.1002 Впускной канал слота 2: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.2001 Слот 2 Выпуск: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.2002 Слот 3 Впуск: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.7001 Слот 3 Выпуск: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.7002 Слот 4 Впуск: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.10001 Слот 4 Выпуск: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.10002 Слот 5 Впуск: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.9001 Слот 5 Выпуск: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.9002 Слот 6 Впуск: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.3001 Слот 6 Выпуск: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.3002 Слот 7 Впуск: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.4001 Слот 7 Выпуск: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.4002 Слот 8 Впуск: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.5001 Слот 8 Выпуск: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.5002 Слот 9 Впуск: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.6001 Слот 9 Выпуск: 1.3.6.1.4.1.9.9.91.1.1.1.1.4.6002 Преобразовать в градусы Фаренгейта * 1,8 + 32 Карты управления American Power Conversion (APC) Остаток заряда батареи: 1.3.6.1.4.1.318.1.1.1.2.2.1.0 Нагрузка: 1.3.6.1.4.1.318.1.1.1.4.2.3.0 Среднее высокое напряжение: 1.3.6.1.4.1.318.1.1.1.3.2.3.0 Среднее низкое напряжение: 1.3.6.1.4.1.318.1.1.1.3.2.2.0 Cisco AS5300 series 1.3.6.1.4.1.9.10.19.1.1.9.1.3.3.1 = Количество активных DS0 на DS1

Содержание [Содержание] [Автоматизация] [Резюме] [Терминология] [Уровни безопасности] [Поддержка] [Шаги по настройке] [Создание списка доступа SNMP-опросника] [Создание представлений SNMP] [Создание групп SNMP] [Создание пользователей SNMP только для чтения] [Создание пользователей SNMP с правом чтения и записи] [Часто используемые OID] [Проверка] [Ссылки] Автоматизация Скоро появятся сценарии Ansible! Резюме Я часто слышу, как люди говорят: «Настройка SNMPv3 слишком сложна» или «Настройка SNMPv2 проще». Я хотел бы развеять этот миф! SNMP — очень мощный инструмент, который можно использовать для получения информации об устройстве IOS XE и внесения изменений в сетевое устройство. Я согласен, что для настройки SNMPv3 требуется несколько дополнительных команд, однако он прост для понимания, легко настраивается, и, если возможно, мы всегда должны шифровать везде. Танцуйте, как будто никто не смотрит, шифруйте, как будто все смотрят! ![] Терминология Агент Устройство IOS XE, которое мы будем опрашивать Пароль аутентификации Секретный ключ, используемый для аутентификации Строка сообщества Строка безопасности, используемая в незашифрованных SNMP v1 и v2c Get Операция, используемая приложениями-менеджерами SNMP для извлечения одного или нескольких значений из управляемых объектов, поддерживаемых агентом SNMP Get Next Операция, которая извлекает значение следующего OID в дереве. GETNEXT может использоваться для извлечения данных таблицы, а также для переменных, которые не имеют имени. Менеджер Программа, также известная как станция управления сетью, которая работает на хосте в сети. MIB База управленческой информации. MIB представляет собой иерархическую коллекцию OID, обычно в формате текстового файла. OID Идентификаторы объектов. OID уникально идентифицируют управляемые объекты в MIB. При запросе OID возвращают информацию об управляемом устройстве. Пароль конфиденциальности Секретный ключ, используемый для шифрования Набор Операция, используемая приложением Manager для изменения значений в агенте SNMP-просмотр Виды определяют уровень доступа, который будет иметь опрашивающее устройство. Группа SNMP Группы сопоставляются с SNMP-просмотрами SNMP-опрашиватель Приложение, которое запрашивает сетевые устройства для получения статистических данных об устройстве Пользователь SNMP Пользователи являются членами групп SNMP Walk Операция, которая выполняет несколько запросов Get Next Уровни безопасности В SNMPv3 определено 3 уровня безопасности. NoAuthNoPriv — не использует аутентификацию или шифрование AuthNoPriv — использует аутентификацию, но не использует шифрование AuthPriv — использует как аутентификацию, так и шифрование. В нашем примере ниже будет использоваться этот уровень. Поддержка С 2022 года поддержка SNMPv3 в IOS XE существует уже более десяти лет. Я лично использовал приведенную ниже конфигурацию на 2960, 2960G, 2960X, 3560, 9200, 9300, ASR1000, ISR4k и, вероятно, других платформах. Настройка SNMPv3 в основном означает настройку пользователей и групп, звучит просто, да? Продолжайте читать! Пользователи должны быть настроены с помощью пароля аутентификации и пароля конфиденциальности. AuthPass используется для аутентификации пользователя, а PrivPass — для шифрования данных, передаваемых между устройствами. Лучше всего настроить SNMP на использование как AuthPass, так и PrivPass. Cisco поддерживает методы аутентификации MD5 и SHA. SHA является более надежным и широко поддерживается. Cisco поддерживает алгоритмы шифрования и конфиденциальности AES-128, AES-192 и AES-256. Некоторые продукты Network Manager также поддерживают AES 192 или AES 256. Я рекомендую использовать Auth=SHA и Priv=AES-128. Обновление: обратите внимание, что SHA-2 поддерживается начиная с IOS-XE 17.10 — подробности см. в разделе «Поддержка SHA-2 для аутентификации пользователей SNMPv3 ». Я начал использовать этот шаблон в конце IOS 12.1 или 12.2 и до сих пор использую его в IOS XE 17.9. Этот шаблон оказался очень надежным. Шаги по настройке Создание списка доступа SNMP Poller SNMP — это мощный сервис, к которому следует относиться так же, как к SSH или любому другому протоколу управления. Только авторизованные IP-адреса должны иметь возможность запрашивать данные у ваших сетевых устройств. ! configure terminal ip access-list standard snmp-service remark SNMP Poller Server #1 permit 192.168.100.101 remark SNMP Poller Server #2 permit 192.168.100.102 end ! Создание представлений SNMP Эти команды создают представление только для чтения и представление для чтения и записи. Оба представления включают все OID на устройстве Cisco. ! configure terminal snmp-server view snmp-v3-ReadOnly-View iso included snmp-server view snmp-v3-ReadWrite-View iso included end ! Создание групп SNMP Эти группы связаны с представлениями SNMP, которые мы создали на предыдущем шаге. Эти команды создают группу «Только для чтения» и группу «Чтение-запись». Запросы могут выполнять только IP-адреса, определенные в ACL, созданном на первом шаге. ! configure terminal snmp-server group snmp-v3-ReadOnly v3 priv read snmp-v3-ReadOnly-View access snmp-service snmp-server group snmp-v3-ReadWrite v3 priv write snmp-v3-ReadWrite-View access snmp-service end ! Создание пользователей SNMP только для чтения ПРИМЕЧАНИЕ. Я считаю, что пароли auth или priv лучше всего работают, когда они состоят из букв и цифр и имеют длину менее 15 символов. Специальные символы могут привести к неожиданным результатам. Обратите внимание, что эти пользователи являются членами группы ReadOnly, созданной на предыдущем шаге. ! configure terminal snmp-server user cacti-user snmp-v3-ReadOnly v3 auth sha AaBbCcDdEe1234 priv aes 128 123456789AaBbCc access snmp-service snmp-server user read-only-user snmp-v3-ReadOnly v3 auth sha 5678MmNnOoPp priv aes 128 MnNnOo7890 access snmp-service end ! Создание пользователей SNMP с правом чтения и записи ! configure terminal snmp-server user net-config-user snmp-v3-ReadWrite v3 auth sha 9876QqRrSsTt priv aes 128 TtUuVv3456 access snmp-service end ! Часто используемые OID Ниже приведены некоторые распространенные OID, на которые должны реагировать все устройства Cisco. Они очень хорошо подходят для тестирования. OID Название OID Описание 1.3.6.1.2.1.1.1 sysDescr Текстовое описание сущности. 1.3.6.1.2.1.1.3 sysUpTime Время (в сотых долях секунды) с момента последней переинициализации части системы, отвечающей за управление сетью. 1.3.6.1.2.1.1.5 sysName Административно назначенное имя для этого управляемого узла. По соглашению, это полное доменное имя узла. Проверка Пользователи SNMPv3 не отображаются в рабочей конфигурации, но мы можем увидеть их с помощью этой команды show. show snmp user ![TimGlen_0-1671315090651.png] Мы можем использовать популярные инструменты snmpget и snmpwalk для запроса устройства IOS XE. Запросим OID sysDescr. Команда приведена ниже. Мы видим, что коммутатор возвращает версию IOS XE и некоторую другую информацию. snmpwalk -v3 -a SHA -A 5678MmNnOoPp -x AES -X MnNnOo7890 -u read-only-user -l authPriv 10.65.0.6 1.3.6.1.2.1.1.1 ![snmpwalk-example1.png] Вот результат, когда имя пользователя неверно. ![TimGlen_1-1671313474165.png] Вот результат, когда ключ аутентификации неверный. ![TimGlen_0-1671313379043.png] Вот результат, когда ключ конфиденциальности неверный. ![TimGlen_2-1671313584560.png] Ссылки Справочник команд поддержки SNMP Cisco IOS Руководство по настройке SNMP для Cisco Catalyst 9300 IOS XE 17.6 RFC 3414 — Модель безопасности на основе пользователя (USM) для версии 3 простого протокола управления сетью (SNMPv3) [image: 7e6a7b5046a4d1d24bd13785ce2b43f6c9e6dc40.png] [image: 14d05a2a9ab0353cfc1ef66e60a35130d3508abe.png] [image: 63ee137bd4ef0f1fa5f4ae040b762fb1d3b5fad4.png] [image: 53c434353a146b0797d7744457493e677f0977e3.png] [image: fe8ea1403fa9e04954eadd2fd12bd00ef41541ca.png] [image: 670d039f6f2f596d578fc47c8a071ba221bfda98.png]

Команда Cisco Document Team опубликовала статью. В этом документе описывается, как настроить расширение TLOC с помощью шаблона функций vManage. Знаете о чем-то, что необходимо задокументировать? Отправьте запрос на новый документ по адресу doc-ic-feedback@cisco.com Ваш вклад очень важен! Если вы обнаружили проблему, связанную с документом, сообщите нам об этом. Не забудьте предоставить как можно больше подробностей при отправке запроса или отзыва о существующем документе, включая информацию о разделе, области или проблеме, с которой вы столкнулись в документе, а также о том, что можно улучшить. Вы можете оставить отзыв несколькими способами: Используя кнопку «Отзыв», расположенную в правой панели соответствующей статьи. Отправив отзыв о существующей статье или видео, либо запрос на новый документ по адресу doc-ic-feedback@cisco.com . Если вы открываете заявку в TAC (Центр технической поддержки) , вы можете уведомить инженера о пробеле или отсутствующем контенте, и он сможет создать запрос от вашего имени. См. в этом блоге, как Cisco TAC преобразует документацию и упрощает самообслуживание.

[В. Что такое Catalyst Center Global Manager (CCGM)?] [В. Как Catalyst Center Global Manager (CCGM) обеспечивает бизнес-ценность для предприятий?] [В. Какие функции Catalyst Center поддерживаются в Catalyst Center Global Manager (CCGM)?] [В. Сколько Catalyst Center может управлять CCGM?] [В. Мой 3-узловой HA Catalyst Center считается одним контроллером для CCGM или тремя контроллерами?] [В. Сколько пользователей могут одновременно получать доступ к CCGM?] [В. Может ли CCGM управлять контроллерами в конфигурации аварийного восстановления или FIPS?] [В. Каковы системные и платформенные требования для развертывания Catalyst Center Global Manager (CCGM)?] [В. Какие браузеры поддерживаются CCGM?] [В. Каковы учетные данные для входа в CCGM UI по умолчанию?] [В. Как заказать CCGM? Какой PID/SKU необходимо указать при заказе?] [В. Какой договор поддержки необходим для CCGM?] [В. Какое лицензирование требуется для CCGM?] [В. Нужна ли мне лицензия Advantage или Essential для CCGM?] [В. Можно ли запустить CCGM на других гипервизорах или облачных платформах?] [В. Каковы требования для добавления Catalyst Center в CCGM?] [В. Что произойдет, если CCGM перестанет работать?] [В. Что произойдет, если Catalyst Center потеряет связь с CCGM?] [В. Как убедиться, что определенные пользователи имеют контролируемый доступ к данным CCGM и Catalyst Center?] [В. Поддерживает ли CCGM темный режим?] [В. Есть ли способ резервного копирования/восстановления CCGM?] [В. Поддерживается ли обновление облака в CCGM?] [В. Есть ли данные, которые хранятся в CCGM?] [В. Может ли CCGM просматривать/редактировать настройки конфигурации системы в Catalyst Center?] В. Что такое Catalyst Center Global Manager (CCGM)? О. CCGM предоставляет централизованную платформу для управления несколькими Cisco Catalyst Center. Он предлагает единый обзор сайтов, устройств и предупреждений по всем зарегистрированным контроллерам. В. Как Catalyst Center Global Manager (CCGM) приносит пользу предприятиям? О. CCGM упрощает управление глобально распределенными или многосайтовыми сетями и оптимизирует управление сетью, обеспечивая централизованный обзор и контроль до 25 Catalyst Centers, что помогает снизить сложность эксплуатации и административную нагрузку. Он объединяет данные из нескольких Catalyst Center в единую панель управления, что позволяет быстрее устранять неполадки. В результате организации получают выгоду от снижения эксплуатационных расходов, увеличения времени безотказной работы и более тесной увязки с целями управления ИТ, обеспечения соответствия нормативным требованиям и цифровой трансформации. В. Какие функции Catalyst Center поддерживаются в Catalyst Center Global Manager (CCGM)? О. CCGM поддерживает просмотр в режиме «только для чтения» для маршрутизации, коммутации, беспроводных сетей, конечных точек, программно-определяемого доступа (SD-Access) и инвентаризации. Он обеспечивает централизованный мониторинг состояния, оповещений и данных о сайтах во всех зарегистрированных Catalyst Centers. Однако функции настройки и предоставления, такие как шаблоны CLI и соответствие конфигурации, не поддерживаются. В. Сколько Catalyst Center может управлять CCGM? О. CCGM поддерживает до 25 контроллеров Catalyst Center, если они работают под управлением версии 2.3.7.9 или выше. В. Мой 3-узловой HA Catalyst Center считается одним контроллером для CCGM или 3 контроллерами? О. 3-узловой HA Catalyst Center считается одним контроллером для CCGM. При ограничении в 25 контроллеров CCGM подсчитывает количество адресов управления Catalyst Center. Таким образом, кластер из 3 узлов отображается с одним IP-адресом управления. В. Сколько пользователей могут одновременно получить доступ к CCGM? О. CCGM в настоящее время поддерживает до 20 активных одновременных пользователей. В. Может ли CCGM управлять контроллерами в конфигурации аварийного восстановления или FIPS? О. Нет, контроллеры, настроенные с DR, FIPS или IPv6, в настоящее время не поддерживаются в CCGM. В. Каковы системные и платформенные требования для развертывания Catalyst Center Global Manager (CCGM)? О. CCGM должен быть развернут на VMware ESXi версии 7.x или более поздней, работающей на серверах с процессорами Intel Xeon Scalable (Cascade Lake+) или AMD EPYC Gen2 с тактовой частотой ≥2,1 ГГц. Виртуальная машина требует 8 виртуальных процессоров (16 ГГц зарезервированы), 16 ГБ ОЗУ и 650 ГБ хранилища с 2000–2500 IOPS. В. Какие браузеры поддерживаются для CCGM? О. Протестированы Chrome (v134+) и Firefox (v120.0.1+). В. Каковы стандартные учетные данные для входа в CCGM UI? О. Имя пользователя: admin, пароль: P@ssword9. Обязательно измените пароль администратора! В. Как заказать CCGM? Какой PID/SKU нужно указать при заказе? О. Вот ссылка на CCW для размещения заказа: https://apps.cisco.com/Commerce/home Вот PID/SKU, который необходимо указать при заказе на CCW: DN-MM-APL В. Какой договор на техническую поддержку необходим для CCGM? A13. Поддержка CCGM входит в поддержку Catalyst Center Appliance, дополнительный договор на поддержку не требуется. В. Какое лицензирование требуется для CCGM? A. Для CCGM не требуется лицензирование, однако нам необходим заказ на сумму 0 долларов, чтобы в процессе регистрации продукта ваши Catalyst Centers были автоматически добавлены в CCGM. В. Нужна ли мне лицензия Advantage или Essential для CCGM? О. Лицензии Advantage и Essential являются частью лицензирования сетевых устройств. Лицензия CCGM предоставляется вместе с лицензией на устройство Catalyst Center. В. Можно ли запускать CCGM на других гипервизорах или облачных платформах? A16. В настоящее время CCGM поддерживается только на VMWare ESXi, другие форм-факторы находятся в стадии разработки. В. Каковы требования для добавления Catalyst Center в CCGM? О. Catalyst Center должен работать под управлением версии 2.3.7.9 или выше. 350 мс между CCGM и Catalyst Center Доступность IP через порт 443 В. Что произойдет, если CCGM выйдет из строя? О. CCGM является «бесстатусным» приложением, то есть не хранит данные. Это НЕ повлияет на подключенные Catalyst Center. Когда CCGM возобновит работу, он обновит свой кэш с помощью API. Q. Что произойдет, если Catalyst Center потеряет связь с CCGM? О. Ничего не происходит — CCGM теряет возможность отправлять API-запросы в Catalyst Center до тех пор, пока связь не будет восстановлена. Поскольку CCGM не хранит данные, это не приводит к потере данных в CCGM. В. Как убедиться, что определенные пользователи имеют контролируемый доступ к данным CCGM и Catalyst Center? О. Пользователь ДОЛЖЕН существовать как в CCGM, так и в Catalyst Center, чтобы кросс-запуск работал. Если пользователь существует только в CCGM, кросс-запуск НЕ будет работать. CCGM не повышает уровень доступа к Catalyst Centers. В. Поддерживает ли CCGM темный режим? О. Да, для всех, кто любит темный режим, у нас есть темный режим на CCGM. В. Есть ли способ резервного копирования/восстановления CCGM? О. Резервное копирование CCGM поддерживается так же, как и Catalyst Center VA на ESXi — с помощью внешнего сервера NFS или локального диска ESXi. См. эту ссылку: Руководство Cisco В. Поддерживается ли обновление облака на CCGM? О. Да, это то же самое, что обновление Catalyst Center прямо из графического интерфейса CCGM. В. Есть ли какие-либо данные, которые хранятся в CCGM? О. CCGM не хранит никаких данных. Данные кэшируются в CCGM в течение 5 минут, а затем из CCGM в Catalyst Center запускается другой набор API для получения новых данных. В. Может ли CCGM просматривать/редактировать настройки конфигурации системы в Catalyst Center? О. В настоящее время CCGM может ТОЛЬКО просматривать настройки в Catalyst Center. На сегодняшний день возможность редактирования отсутствует.

[Введение] [Требования и ограничения NAT Transversal] [Требования:] [Ограничения:] [Практический сценарий] Введение Тест ThousandEyes Agent-to-Agent (A2A) обеспечивает возможности мониторинга для двух конечных точек и визуализацию сетевого пути в обоих направлениях. Однако для клиентов, использующих частные IP-адреса или имеющих несколько локаций для мониторинга, которые не связаны напрямую, может возникнуть ситуация, когда конечная точка не может принимать сетевой трафик, инициированный другими хостами, либо из общедоступного Интернета, либо из других сетевых локаций. Поскольку частные IP-адреса не могут маршрутизироваться через Интернет, устройство с частным IP-адресом не может быть целью теста A2A. Исторически, для устранения этой проблемы требовалось изменить настройки правил преобразования сетевых адресов (NAT), преобразования портов (PAT) и/или фильтрации пакетов с учетом состояния (SPF, т. е. брандмауэр). Чтобы сэкономить ваше время (и избавить вас от головной боли), ThousandEyes предоставляет функцию NAT-траверса, которая устраняет необходимость в микроуправлении настройками. Для этого ThousandEyes использует собственный метод, аналогичный методам NAT-траверса, описанным в стандартах IETF, таких как RFC 5382. Агенты за устройствами NAT регистрируются на сервере NAT-траверса ThousandEyes, чтобы определить характеристики NAT и PAT агентов, а затем используют полученную информацию при выполнении тестов A2A. Требования и ограничения NAT Transversal Требования: Сеть агента позволяет связываться с сервером NAT-траверса ThousandEyes ( ntrav.thousandeyes.com) на портах назначения 9119 и 9120 через TCP и UDP. NAT не является симметричным Устройство брандмауэра/NAT поддерживает TCP keep-alives Только для тестов на основе TCP: устройство брандмауэра/NAT поддерживает одновременное открытие TCP Ограничения: Чтобы нацелиться на Enterprise Agent за NAT, он должен иметь публичный IP-адрес, если используется UDP ( подробности здесь ). Enterprise Agents, установленные на устройствах Meraki, не поддерживаются в качестве целевого агента теста A2A/RTP ( подробности здесь ). Практический сценарий Давайте посмотрим, как это работает! В следующем примере два агента с частными IP-адресами используются в тесте A2A. Оба агента используют сервер NAT через своего интернет-провайдера. Каждый агент может подключиться к Интернету и облаку ThousandEyes. ![erikaa_0-1754002237234.png] ![erikaa_1-1754002237347.png] ![erikaa_2-1754002237316.png] В этом конкретном примере одна и та же подсеть (192.168.100.0/24) существует в двух разных местах: Пачука и Аскапотсалько. Это частный IP-блок, который не маршрутизируется через Интернет. Все попытки подключиться к устройству в той же подсети останутся в своем собственном местоположении. Для мониторинга соединения между сайтами предполагается, что два агента будут взаимодействовать друг с другом. В случае, когда невозможно использовать назначенные частные IP-адреса, мы можем полагаться на NAT/PAT местоположений. Когда реализована функция NAT Transversal, мы можем использовать публичные IP-адреса и порты, назначенные местными интернет-провайдерами/сервером NAT, для перехода через Интернет и завершения этого соединения. С помощью функции NAT Transversal от ThousandEyes агенты, находящиеся за NAT, регистрируются на сервере трансверсального доступа, чтобы обнаружить характеристики NAT и PAT агентов, а затем используют обнаруженную информацию при выполнении тестов между агентами. Для этого сначала необходимо включить функцию NAT Transversal, установив флажок «Behind a NAT» (За NAT) на вкладке «Advanced Settings» (Дополнительные настройки) агента на странице «Network & App Synthetics» (Синтетические сети и приложения) > «Agent Settings» (Настройки агента) > «Enterprise Agents» (Корпоративные агенты) . После запуска теста агенты попытаются подключиться к ntrav.thousandeyes.com по портам 9119 и 9120. В зависимости от конфигурации теста это может быть TCP или UDP. ![erikaa_3-1754002237339.png] В нашем сценарии в этом тесте используется TCP, поэтому подключение к серверу траверса происходит через TCP 9119-9120. ![erikaa_4-1754002237340.png] Тест настроен на запуск каждые две минуты. Обратите внимание, что на отметке двух минут в следующем снимке мы видим сеанс агента с сервером NAT transversal. Он находится по TCP-портам 9119 и 9120. Примечание: после завершения тестового цикла агенты закроют соединение с трансверсальным сервером. ![erikaa_5-1754002237482.png] После успешного установления сеанса с трансверсальным сервером агенты отправят поток из 50 пакетов для тестирования сети. ![erikaa_6-1754002237337.png] После установления сеанса агенты теперь имеют информацию NAT/PAT на дальнем конце, поэтому они могут подключиться. Агент Azcapo-Rasp будет использовать публичный IP-адрес NAT-сервера в Пачуке ( 187.190.XX.XX ) для подключения к агенту Pachuca-Rasp. Аналогично, агент Pachuca-Rasp будет использовать публичный IP-адрес NAT-сервера в Ацкапотсалько ( 187.191.XX.XX ) для подключения к агенту Azcapo-Rasp. Чтобы проверить успешность пересечения, найдите и проверьте фактический поток сетевого теста. Совет от профессионала: При настройке конфигураций теста вручную установите MSS на определенное значение (в этом примере используется 632). Это полезно для отслеживания потока для теста A2A, поскольку ни одна другая сессия в этих агентах не использует этот MSS. Затем используйте фильтр захвата пакетов tcp.len == 632 , чтобы найти поток сетевого теста. Фильтрация TCP-обмена обеспечит визуализацию TCP-рукопожатия и преамбулы синхронизации часов. ![erikaa_7-1754002237301.png] После открытия обычного TCP-соединения исходный и целевой агенты запускают процесс измерения, обмениваясь начальным набором пакетов (5 в каждом направлении) для синхронизации своих внутренних часов. Эта часть теста иногда называется «преамбулой синхронизации часов». После учета смещения и дрейфа часов фактические пробные пакеты (50) отправляются целевому агенту. ![erikaa_8-1754002237495.png] Теперь агенты используют NAT-серверы друг друга для подключения. Пакеты, которые покидают Pachuca-Rasp (192.168.100.2) в направлении NAT-сервера в Azcapo (187.191.XX.XX), принимаются агентом Azcapo-Rasp (192.168.100.47) с использованием NAT-сервера в Pachuca (187.190.XX.XX). Обратный трафик идет в обратном направлении. На захваченных пакетах это утверждение подтверждается с помощью IP-идентификатора. Пакет, отправленный агентом Pachuca-Rasp, содержит тот же идентификатор, что и пакеты, которые достигают агента Azcapo-Rasp. ![erikaa_9-1754002237502.png] Ссылки: https://docs.thousandeyes.com/product-documentation/global-vantage-points/enterprise-agents/configuring/nat-traversal-for-agent-to-agent-tests https://docs.thousandeyes.com/product-documentation/tests/network-tests/agent-to-agent-test-overview https://docs.thousandeyes.com/product-documentation/tests/network-tests/network-tests-explained#agent-to-agent-measurements [image: d104ffb88939de71c0d850c976e5d5baed873df6.png] [image: 02d77804282147ae7e224e991b7317a28e0bf46c.png] [image: 72f1bdea28c243d78c7185fe44ad2db8bc409f42.png] [image: b5e2b63f7b64ac3705bb589cef35221bb4312576.png] [image: df8ac936112bb95888ecae3dcf386841c5c23ac8.png] [image: 4b48e30675e199067bd28ecd56982d0b45c9eea9.png] [image: d586b9db18ec470b6307fdc01e9a5554ccf05d63.png] [image: e6f478acd6056dc862396e3b9fabb145de2a5768.png] [image: bc9c85f0b239527e8cc71960e60da8799bb1a9d6.png] [image: 9f25f65f4f9e9d103a6d3025660668572befb492.png]

![Empowering Catalyst Center Excellence.jpg] Повысьте свой уровень знаний о Cisco Catalyst Center с помощью нашей новой серии Expert Insights! Эта всеобъемлющая серия курсов базового и среднего уровня поможет вам раскрыть весь потенциал вашего развертывания Catalyst Center, быть в курсе последних достижений и применять передовые методы для достижения постоянного успеха. Что вы можете ожидать от этих сессий: Углубленное обучение: лучшее понимание Catalyst Center Пошаговое руководство: углубите свои знания о Catalyst Center с помощью живых демонстраций [Живые вопросы и ответы с нашими экспертами] : получите ответы на свои вопросы в режиме реального времени от нашей опытной команды, с возможностью последующего общения после сессии [Спросите меня о чем угодно] по ссылке здесь! ![Foundational Series.jpg] Зарегистрируйтесь сейчас! Демонстрация бизнес-ценности с помощью Catalyst Center Дата: 5 июня 2025 г. Время: 13 :00–14:30 (восточное время) Подробности сессии: узнайте, как продемонстрировать заинтересованным сторонам ощутимое влияние Catalyst Center на бизнес. [Запись здесь] Варианты установки Catalyst Center и лучшие практики развертывания Дата: 12 июня 2025 г. Время: 13 :00–14:30 (ET) Подробности сессии: Получите информацию об оптимальных вариантах установки и стратегиях развертывания для обеспечения бесперебойной работы. [Запись здесь] Что нового в Catalyst Center 2.3.7 Дата: 19 июня 2025 г. Время: 13 :00–14:30 (ET) Подробности сессии: Будьте в курсе последних функций и улучшений, представленных в версии 2.3.7. [Запись здесь] Ценность телеметрии — основы NX Дата: 26 июня 2025 г. Время: 13 :00–14:30 (восточное время) Подробности сессии: Узнайте, как телеметрия может предоставить полезную информацию и повысить операционную эффективность. [Запись здесь] [СПРОСИТЕ МЕНЯ О ЧЕМ УГОДНО] ![Intermediate Series.jpg] Зарегистрируйтесь Комплексное управление сетью с Catalyst Center Дата: 10 июля 2025 г. Время: 13 :00–14:30 (восточное время) Подробности сессии: Используйте Catalyst Center для оптимизации работы сети. Узнайте о ресурсах и методах автоматизации повседневных задач, начиная с определения сетевых стандартов, масштабирования с помощью повторно используемых шаблонов и расширения подключения устройств с помощью функции plug-and-play. [Запись здесь] Обеспечьте соответствие сети требованиям с помощью Catalyst Center Дата: 17 июля 2025 г. Время: 13 :00–14:30 (ET ) Подробности сессии: Используйте Catalyst Center для поддержания стабильной и безопасной инфраструктуры, легко обнаруживая сетевые устройства, которые не соответствуют вашим стандартам. Используйте правильные ресурсы для эффективного устранения любых нарушений соответствия, защищая целостность вашей сети. [Запись здесь] Автоматизация беспроводной сети с помощью Catalyst Center Дата: 24 июля 2025 г. Время: 13 :00–14:30 (ET) Подробности сессии: Изучите возможности Catalyst Center для управления вашей беспроводной инфраструктурой (Brownfield/Greenfield). [Запись здесь] Инструменты и аналитика для устранения неполадок с Catalyst Center Assurance Дата: 31 июля 2025 г. Время: 13 :00–14:30 (ET) Подробности сессии: Погрузитесь в мир Catalyst Center Assurance, откройте для себя комплексные панели мониторинга, освойте передовые инструменты устранения неполадок, получите советы и рекомендации, а также узнайте о лучших практиках телеметрии. [Запись здесь] [image: 46a468f6dd8f8da5ee41f357ffa6aab8b086e283.jpg] [image: 52f2dbb1b296aa2a486ab236d64b382abcfc7f53.jpg] [image: d1c9e8981c11b40ad6c97685e9da65c319be7587.jpg]

Глобальный менеджер Catalyst Center (CCGM) ![ccgm logo.png] [Введение] [Примеры использования] [Как начать] [Выпуски CCGM] [Полезные ссылки] Введение Cisco Catalyst Center Global Manager (CCGM) — это решение для управления сетью с единым интерфейсом, разработанное для организаций, управляющих глобально распределенными сетями или сетями с несколькими узлами. Оно предоставляет централизованную панель управления, доступную по всему миру, с полной видимостью стека, аналитикой состояния сети и функцией глобального поиска для обнаружения устройств, конечных точек или пользователей. Этот инструмент позволяет беспрепятственно переходить в Catalyst Center, оптимизируя рабочие процессы и повышая операционную эффективность. Являясь основным компонентом Catalyst Center, Global Manager дает ИТ-командам возможность эффективно контролировать распределенные сети большого масштаба, обеспечивая согласованность и повышая производительность, а также предлагая более интеллектуальный и упрощенный подход к управлению сложными сетевыми средами. ![Screenshot 2025-07-17 at 5.42.57 PM.png] Примеры использования ![Screenshot 2025-07-17 at 5.43.11 PM.png] Как начать Шаг 1: Разместите PID за 0 долларов для CCGM 1.3.1, следуя инструкциям по заказу CCGM 1.2.1: http://cs.co/ccgm-order Шаг 2: Загрузите OVA CCGM 1.3.1 отсюда: http://cs.co/ccgm-ga Шаг 3: Убедитесь, что все предварительные условия выполнены. Ссылка 1. Catalyst Center версии 2.3.7.9 или выше 2. CCGM должен быть развернут на VMware ESXi версии 7.x или выше, работающей на серверах с процессорами Intel Xeon Scalable (Cascade Lake+) или AMD EPYC Gen2 с тактовой частотой ≥2,1 ГГц. Виртуальная машина требует 8 виртуальных процессоров (16 ГГц зарезервированы), 16 ГБ ОЗУ и 650 ГБ хранилища с 2000–2500 IOPS. 3. Виртуальная машина CCGM развернута в VLAN, которая будет иметь доступ к Интернету. Шаг 4. Следуйте инструкциям руководства по развертыванию и видео на YouTube Руководство по развертыванию Плейлист CCGM на канале Catalyst Center в YouTube Примечания к выпуску Выпуски CCGM Выпуск Руководство по развертыванию Примечания к выпуску 1.3.1 Руководство по развертыванию Примечания к выпуску Полезные ссылки 1. Руководство по заказу CCGM 2. Часто задаваемые вопросы о CCGM 3. Плейлист CCGM на YouTube-канале Catalyst Center Все, что вам нужно знать о развертывании CCGM, за менее чем 15 минут! Как зарегистрировать CCGM в службе регистрации облачных сервисов (CRS) Как добавить новый Catalyst Center в CCGM [image: 4feb7b8fc8f0357c4555f52c8160e0379e1b63c1.png] [image: 557ef532ee9da435cfcc1537b2ae6fb9551768df.png] [image: c285268461feec207e02608306a322c981c13687.png]

[Примечания] [Слово от наших спонсоров:] [Введение:] [Раздел 1: Общая процедура] [Раздел 2: Обновление ROMMON] [Раздел 3: Обновление прошивки сотового модема] [Раздел 4: ГОТОВО] Примечания Эта процедура предназначена ТОЛЬКО для маршрутизаторов Cisco ISR 1k, ISR 4k и ASR 1k. Режим IOS-XE Bundle Mode не рассматривается. 3850, 9300 и 9500 (обычные и высокопроизводительные) не рассматриваются. Маршрутизаторы и коммутаторы, работающие под управлением «классической» IOS, не рассматриваются. Слово от наших спонсоров: Существует очень тонкая грань между написанием чего-то краткого и лаконичного и написанием чего-то исчерпывающего, при этом теряя целевой «рынок». Я сделал все, что мог, чтобы сделать этот документ максимально «легким для восприятия», не теряя при этом большую часть важной информации, но сохраняя при этом некоторую динамику. Введение: Прошивка коммутаторов и/или маршрутизаторов имела (в прошедшем времени) простую процедуру, однако для IOS-XE каждая платформа имеет разные команды, процессы и процедуры, а также «подводные камни». Из-за этого я разделил процесс на разные разделы: Раздел 1: Общая процедура Раздел 2: Обновление ROMMON Раздел 3: Обновление прошивки сотового модема Раздел 4: ПОДВОДНЫЕ КАМНИ Раздел 1: Общая процедура Внимательно прочтите примечания к выпуску. Прошивка IOS-XE имеет расширение файла «bin». Файлы ROMMON имеют расширение «pkg». Очистите bootflash: запросите очистку пакета программного обеспечения платформы Скопируйте файл в маршрутизатор. ПРЕДУПРЕЖДЕНИЕ : Маршрутизаторы Cisco IOS-XE строго соблюдают расположение файлов в «bootflash:». Если «bootflash:» не используется, маршрутизатор загрузится в ROMMON -- CSCvg37458 . Убедитесь, что строка boot-variable указывает на файл «packages.conf». ![MonicaLluis_0-1625107911230.png] Запустите режим установки ( без прерывания/без перезагрузки ) ![:disappointed_face:] request platform software package expand file bootflash: filename.bin force verbose ![MonicaLluis_1-1625107911246.png] ВАЖНО : Если извлечение файла прошло успешно (или нет), последние две строки отобразят результат. Перейдите к разделу «ВНИМАНИЕ», если появится следующее предупреждение (изображение ниже): ![MonicaLluis_2-1625107911259.png] Проверьте содержимое файла «packages.conf». Это нужная версия или нет? Если НЕТ, перейдите к разделу «ВАЖНО». more bootflash: packages.conf ![MonicaLluis_3-1625107911271.png] Перезагрузите маршрутизатор. [РЕКОМЕНДУЕТСЯ][ОПЦИОНАЛЬНО] Очистите bootflash: request platform software package clean ![MonicaLluis_4-1625107911292.png] ГОТОВО. Раздел 2: Обновление ROMMON Внимательно прочтите примечания к выпуску. ВАЖНО : В случае сомнений обновите ROMMON. Проверьте текущую прошивку ROMMON: sh platform ![MonicaLluis_5-1625107911301.png] Скопируйте файл ROMMON в bootflash. Запустите обновление ROMMON: upgrade rom filename bootflash:filename.pkg all ПРЕДУПРЕЖДЕНИЕ : Не перезагружайте и не отключайте питание маршрутизатора, пока пакеты (еще) записываются. ![MonicaLluis_6-1625107911318.png] Перезагрузите маршрутизатор [ДОПОЛНИТЕЛЬНО] Проверьте прошивку ROMMON: sh platform ГОТОВ Раздел 3: Обновление прошивки сотового модема ПРИМЕЧАНИЕ Загрузки Главная > Интерфейсы и модули Cisco > Беспроводные интерфейсы WAN LTE > Беспроводной интерфейс WAN 7430 для сотовой связи для австралийской компании Telstra Файлы прошивки сотового модема имеют расширение «cwe» и «nvu». Требуются оба файла. Внимательно прочтите примечания к выпуску. Создайте подкаталог в маршрутизаторе: mk bootflash:MODEM Скопируйте файлы в подкаталог. ПРИМЕЧАНИЕ . Убедитесь, что этот подкаталог содержит только эти два файла. (При необходимости удалите предыдущие файлы.) Запустите обновление прошивки: microcode reload cellular <port> <slot> modem-provision bootflash: /MODEM/ ПРЕДУПРЕЖДЕНИЕ : Обновление прошивки сотового модуля займет примерно 20 минут. Router# microcode reload cellular 0 2 modem-provision bootflash:/MODEM/ Reload microcode? [confirm] Log status of firmware download in router flash?[confirm] Firmware download status will be logged in bootflash:fwlogfile Microcode Reload Process launched for cwan slot/bay =0/2; hw type=0x102download option = 0 Router#Success !! send FW Upgrade command to card The interface will be Shut Down for Firmware Upgrade This will terminate any active data connections. Modem will be upgraded! Upgrade process will take up to 15 minutes. During this time the modem will be unusable. Please do not remove power or reload the router during the upgrade process. *Jun 25 2021 11:31:33.499 AEST: %LINK-5-CHANGED: Interface Cellular0/2/0, changed state to administratively down *Jun 25 2021 11:31:33.499 AEST: %LINK-5-CHANGED: Interface Cellular0/2/1, changed state to administratively down FIRMWARE INFO BEFORE UPGRADE: Modem Device ID: EM7430 MODEM F/W Boot Version: SWI9X30C_02.30.03.00 Modem F/W App Version: SWI9X30C_02.30.03.00 Modem SKU ID: 1102682 Modem Package Identifier: Modem PRI Ver: 000.010 Modem Carrier Name: TELSTRA Modem Carrier Revision: 002.044_000 FW_UPGRADE: Modem needs CWE, PRI *Jun 25 2021 11:31:50.546 AEST: %IOSXE-3-PLATFORM: R0/0: ngiolite: WWAN modem Action:[remove] State[0] FW_UPGRADE: Upgrade begin at Fri Jun 25 11:31:53 2021 FW_UPGRADE: Upgrade end at Fri Jun 25 11:33:08 2021 FW_UPGRADE: Firmware upgrade success..... FW_UPGRADE: Waiting for modem to become online *Jun 25 2021 11:33:35.445 AEST: %IOSXE-3-PLATFORM: R0/0: ngiolite: WWAN modem Action:[add] State[1] FIRMWARE INFO AFTER UPGRADE: Modem Device ID: EM7430 MODEM F/W Boot Version: SWI9X30C_02.33.03.00 Modem F/W App Version: SWI9X30C_02.33.03.00 Modem SKU ID: 1102682 Modem Package Identifier: Modem PRI Ver: 000.010 Modem Carrier Name: TELSTRA Modem Carrier Revision: 002.067_000 F/W Upgrade: Firmware Upgrade has Completed Successfully Перезагрузите маршрутизатор, чтобы прошивка была загружена модемом. Проверьте: sh cellular 0/2/0 firmware ![MonicaLluis_7-1625107911325.png] ГОТОВО. Раздел 4: ВНИМАНИЕ Если в конце процесса извлечения пакета появится сообщение ПРЕДУПРЕЖДЕНИЕ (изображение ниже), имейте в виду, ЧТО ЭТО НЕ ЛОЖНЫЙ ПОЗИТИВ. ![MonicaLluis_8-1625107911338.png] Проверьте содержимое bootflash и сравните дату извлеченных пакетов с датой в файле «packages.conf» (см. изображение ниже). ![MonicaLluis_9-1625107911360.png] Найдите в каталоге bootflash два (2) файла с расширением «conf». (Изображение ниже) ![MonicaLluis_10-1625107911364.png] Сначала переименуйте файл «packages.conf», например, в «packages.conf.00-». Затем переименуйте файл firmware.conf в «packages.conf» (см. ниже). ![MonicaLluis_11-1625107911371.png] Проверьте содержимое нового файла «packages.conf» (см. ниже). ![MonicaLluis_12-1625107911383.png] Убедитесь, что строка boot-variable указывает на файл «packages.conf». Перезагрузите маршрутизатор. ГОТОВО.</slot></port> [image: ee5ec7523e99a3f5b4520cd74e3420b86f21dd5b.png] [image: 5037879fe8ac953478fe8edbc19fc7e4f2a208c1.png] [image: 5ce4d34502873ada5058162efcb5f092be18ea2b.png] [image: 9bb3267c3e6ce320e43838f1c0b244f45d518bcd.png] [image: 890fd5672207689f99c35b91dc919507e450227a.png] [image: 4d11359e63ffbe91b1e57b2f5fabbae58ee37ba2.png] [image: ac9efc29afce0ca484be85ca793860fbbc3b39a9.png] [image: e06b49d3aa8a833ed6df5a3dcf8eb72949f782bf.png] [image: c6074ca8630caa9f78c5f81fac3d16772a9449c4.png] [image: a1900830f74a951de205a3c00c63f59fe4ec3d78.png] [image: 84f45e8cdca0caa9a515e4db712983e2b850637d.png] [image: 8b3ca72768f60a6ca554f221eadb04f29de44a87.png] [image: 5712aa7365791b6ed17fec86cfc1cea9dd95c23e.png] [image: 2612ec81d8a03de091fb3ab06f65a50073bce719.png]

[Введение] Португальскую версию этой статьи можно найти по ссылке: ССЫЛКА. ![josimaru85_0-1758193170052.png] Чтобы получить офлайн-версию или распечатать этот документ, просто выберите ⋮ Параметры > Страница для печати . Затем вы можете выбрать «Печать» > «Печать в PDF» или скопировать и вставить в любой другой формат документа по вашему усмотрению. Введение Современный цифровой бизнес требует быстрой, безопасной и готовой к работе в облаке сети. Старая централизованная модель обратной связи увеличивает затраты и задержки, замедляя инновации. В этой статье показано, как Cisco SD-WAN , Equinix Fabric и Equinix Network Edge в сочетании обеспечивают оптимизированную мультиоблачную архитектуру с прямыми подключениями к ведущим публичным облакам. Вы узнаете: • Четкую структуру архитектуры Digital Core × Digital Edge. • Как Network Edge и Fabric сокращают время выполнения заказов, одновременно улучшая задержку и безопасность. • Шаблоны развертывания и виртуальные устройства (CSR 1000V, ASAv, FTDv) Статья предназначена для ИТ-руководителей, сетевых архитекторов и руководителей, ответственных за стратегию развития облачных технологий и инфраструктуры. [image: fa98a137f0a559e5adef018b82c1763a432dbd8d.png]

Cisco AI Endpoint Analytics – Deployment guide This deployment guide is meant for Cisco AI Endpoint Analytics adoption for customers, partners and everyone focusing on Endpoint Visibility and to how achieve it with Endpoint Analytics. It has sections that discusses integration with ISE for policy enforcement and best practices to define segmentation policies for SDA. This does not cover topic such as Authentication Authorization and Accounting or full SDA integration that is currently beyond the scope of this document. ![Overview-Deployment guide -pic1.png] Dated: 9/9/2022 [Cisco AI Endpoint Analytics – Deployment guide] [Overview] [Data Sources] [Deployment Types] [Endpoint Analytics - Solution Requirements (minimum support)] [Application Status Checks] [Verify Service checks post installation] [Verify Logging] [ISE setup] [ISE Profiling configuration] [ISE and DNAC integration] [Provisioning of Network Device ( Cat9k / Cisco Traffic Telemetry Appliance)] [Connect to Machine Learning(ML)/AI Cloud Services] [AI Cloud registration] [Enabling DNAC as Netflow Collector (needed for ML data collection)] [Enabling netflow on network devices (needed for ML data collection).] [SD-AVC(Software Defined Application Visibility Control) setup] [Catalyst 9200/9300/9400] [IOS-XE image installation/upgrade] [Upgrade steps] [Enable CBAR ( Controller Based Application Recognition)] [Cisco Traffic Telemetry Appliance] [Physical connections] [Cisco Traffic Telemetry Appliance Connections] [Cisco Traffic Telemetry Appliance pre-configuration] [Adding Telemetry Box to DNAC inventory] [Enable CBAR (Controller Based Application Recognition)] [Connect to Network Based Application Recognition(NBAR) cloud] [Start endpoint data collection from Cisco TTA] [Profiling using AI Endpoint Analytics and ISE integration] [Trust Analytics] [How is Trust Score calculated?] [Anomaly, Vulnerability and Threat detection] [Concurrent MAC Detection] [Changing Profile Labels] [NAT Mode detection] [Unauthorized Open port and Weak credential scan:] [AI Spoofing Detection] [Rapid Threat Containment] [Adding ANC policy for AI spoof detection] [For DNAC v 2.1.x you will see the following Endpoint inventory screen.] [Adding Custom Profiling policy in ISE] [Policy and Segmentation tips and best practices] [Creating Authorization policy in ISE with Custom Profiles] [Troubleshooting tips] [Appendix 1: Cisco Traffic Telemetry Appliance bootstrapping] [Appendix 2: ML data collection configuration checklist] [Glossary:] Overview IT organizations are challenged with protecting endpoints and IOT devices everyday. New IOT devices get connected everyday and these are pretty much unknown so it is hard to protect them and provide them right level of access to the network. Visibility is the first step towards securing an endpoint. Key to endpoint visibility is the ability to successfully identify and classify different types of Endpoints that are IT and IOT devices. Cisco AI Endpoint Analytics is a solution that detects and classifies endpoints/IOT devices into different labels such as (Endpoint Type, Hardware Model, Manufacturer, OS Type). This can be called as Multi-Factor Classification (MFC) or assigning multiple labels to endpoints. A big advantage in doing this to categorize endpoint by variety of ways that can be used in enforcing access policies from ISE. AI Endpoint Analytics engine and the user interface runs on Cisco DNA Center on prem. It assigns labels to endpoints upon receiving telemetry from the network and other sources. Here is a diagram showing Multi-Factor Classification(MFC) ![Overview-Deployment guide -MFC.png] Cisco AI Endpoint Analytics uses three key sources of endpoint meta data. Using Deep Packet Inspection from Cat9k and/or Telemetry sensor ISE discovery mechanism and probe data Asset information from external databse (Service NOW (Configuration Management Database)) Endpoint meta data collected by turning on the deep packet inspection capability in the network infrastructure (Cat9k acess switches, Catalyst 9800 WLC, Cisco Traffic Telemetry Appliance), endpoint information is also learnt from ISE. These metadata are fed into DNAC and Endpoint Analytics profiles these endpoints for assigning labels to IT and IOT devices as mentioned above. Here is a sample deployment picture with Endpoint Analytics that will give you an idea of components included. ![Deployment Scenarios.png] AI Endpoint Analytics upon assigning labels sends the context over to ISE for authorization. ISE uses these labels to create custom profiles to be used in Authorization policies. These authorization policies are policy decision points to enforce network access across the enterprise. Data Sources Deep Packet Inspection from Cat9k/Cisco Traffic Telemetry Appliance: Network Based Application Recognition(NBAR2), is an embedded technology built-in to switches (e.g.: Cat9k access switches) that can detect and analyzes Layer 7(Application layer) packet data from a variety of IT and IOT protocols(around 1500 protocols) along with specific network and transport layer information from associated endpoints. These protocols include standard application protocols used in enterprise(e.g.: browser, email, chat, voice/video). Enterprise IOT devices expands from carpeted to non-carpeted space where building security and building automation devices reside. NBAR2 supports a range of IT and IOT protocols such as Building Automation protocols(BACNET), IOT Messaging(MQTT etc.), mDNS (Multicast protocols) and other protocols. For Healthcare it supports DICOM, HL7 etc. used for imaging and electronic records storage and retrieval etc. Further, Software Defined Application visibility Controller (SDAVC) agent collects endpoint information from the network using CDP/LLDP and SNMP. NBAR2 can also be used for application visibility/QoS in Cisco DNA Center and is supported in variety of platforms(Cat9k access, Cisco Traffic Telemetry Appliance (TTA). In this document we will focus on use of NBAR2 towards Endpoint visibility. Telemetry Sensor is nothing but Cisco TTA appliance running IOSXE. This is meant to replace Cat9k DPI functionality as explained above when using legacy or 3rd party switches that does not have NBAR2 embedded. This is used to collect network traffic using SPAN/Tap connections from the distribution switch. The diagram below is a very simplified representation of the topology that has both Cat9k and Cisco Telemetry Traffic Appliance sending information to Cisco AI Endpoint Analytics. ![Overview-Deployment guide -NBAR.png] ISE Discovery Mechanism and probe data: Identity Services Engine is a software appliance used for visibility and profiling IT assets and Network Access control. It collects endpoint meta data from IT systems using traditional protocols such as RADIUS, DHCP, SNMP etc. to detect IT assets in an enterprise. ISE probes such as Active Directory, Mobile Device Manager, Anyconnect(ACIDEX extensions) provides additional value to the asset information gathered by Endpoint Analytics. Service NOW (Configuration Management Data Base – CMDB) Service NOW is a configuration management database that is a repository of asset information in an enterprise. Endpoint Analytics will have the capability to only receive asset information from Service NOW and in future will provide bi-directional support. Endpoint Asset information from Service Now can be used by Endpoint Analytics to profile an endpoint. Deployment Types AI Endpoint Analytics can be deployed in the following ways and their combinations. ![Endpoint Analytics - deployment types.JPG] Here is an example of Wired network topology with Cat9k Access switches. ![Endpoint Analytics - wired.JPG] Here is the same topology using Cisco TTA (Telemetry Sensor) via legacy switches/non-Cisco switches ![Endpoint Analytics - TTA.JPG.png] Endpoint Analytics - Solution Requirements (minimum support) Management: Cisco DNA Controller (2.1.2.x) Policy and Access: Cisco ISE 2.4 P11 or ISE 2.6 P5 or ISE 2.7 P1 or higher Network Devices : Cat 9200/Cat 9300/9400 and Cat9800 WLC(IOSXE 17.3.1), Cat9800 WLC (IOSXE 17.7.1 (SDA Fabric) Legacy/3rd part Network devices: Cisco Traffic Telemetry Appliance (IOSXE 17.3.1) The Cisco AI Endpoint Analytics deployment guide documentation is not an install guide for DNAC. For full installation of DNAC please check https://www.cisco.com/c/en/us/support/cloud-systems-management/dna-center/products-installation-guides-list.html Application Status Checks Following are list of quick checks to make sure Endpoint Analytics and associated packeges are installed and running. 1. When DNAC is installed and connected to the network, you will see a login message displayed. Welcome to the Maglev Appliance Log in with the maglev user from the CIMC console or connect using an SSH session to the host IP address as assigned during the installation and destination port 2222. maglev-master-1 login: maglev Password: [Type in Cisco DNA Center CLI password assigned during installation] 2. Login to the DNAC UI and go to left top of the screen, click on ?, click About and from the window, click packages to open. You will see the key packages listed as in the screenshot below. Package version varies depending on the DNAC version. ![image016.png] 3. You can also check installed applications by going to Hamburger Menu > System > Software Updates > Installed Apps page and check that all 3 key applications that installed “AI Endpoint Analytics”, “AI Network Analytics” and “Application Visibility Services” installed. ![Endpoint Analytics - installed apps.png] Verify Service checks post installation From DNAC UI, Go to System > System 360 . Under Cluster:Hosts, click on the # services. Find Kairos agent (ai), collector-ise (ise), endpoint analytics(eps), SDAVC Server (avc). The status of those service should be ‘ UP’ . If you hover on the information icon near’ UP’ you will see the service status and version number. Make note of the versions. (Optionally) If you find the services not running. Login to the DNAC CLI using SSH. Execute the following commands to verify if the package is deployment and service is running. The versions should be as in the “About” section in the UI discussed above and the status should show deployed. $ sudo maglev package status [administration] username for 'kong-frontend.maglev-system.svc.cluster.local': admin [administration] password for 'admin': maglev-1 [main - https://kong-frontend.maglev-system.svc.cluster.local:443] NAME DISPLAY_NAME DEPLOYED AVAILABLE STATUS PROGRESS access-control-application Access Control Application 2.1.260.62555 - DEPLOYED ai-network-analytics AI Network Analytics 2.4.15.0 - DEPLOYED app-hosting Application Hosting - 1.4.244.200727 NOT_DEPLOYED application-policy Application Policy - 2.1.260.170177 NOT_DEPLOYED application-registry Application Registry 2.1.260.170177 - DEPLOYED application-visibility-service Application Visibility Service 2.1.260.170177 - DEPLOYED assurance - Base 2.1.2.273 - DEPLOYED …. …. endpoint-analytics AI Endpoint Analytics 1.2.1.320 - DEPLOYED group-based-policy-analytics Group-Based Policy Analytics 1.0.1.158 - DEPLOYED …. … ssa Stealthwatch Security Analytics 2.1.260.1095096 - DEPLOYED system 1.5.208 - DEPLOYED system-commons System Commons 2.1.260.62555 - DEPLOYED umbrella Cisco Umbrella - 2.1.260.592206 NOT_DEPLOYED wide-area-bonjour Wide Area Bonjour - 2.4.260.12079 NOT_DEPLOYED [Mon Oct 12 21:04:36 UTC] maglev@10.1.100.110 (maglev-master-10-1-100-110) ~ $ ^C You can use other commands to check the appstack (magctl appstack status), service (magctl service display) for troubleshooting. Verify Logging Verify the logs from Settings >System 360. Click on Services and endpoint-analytics ![Endpoint Analytics - Logs1.png] To follow/tail the current log of any service, execute the following command in the CLI magctl service logs –r -f <service-name 1+="" 11+="" 2.4="" 2.6="" 2.7="" 3.0+="" 3.1="" 5+="" 802.1x="" [ise="" a="" access="" admin="" administration="" ai="" already="" analytics="" and="" any="" are="" as="" assumes="" attributes="" authentication,="" authorization="" basic="" be="" been="" beyond="" center="" cisco="" conditions="" configuration="" configured="" create="" data="" design="" details:="" devices="" dictionary.="" dna="" dnac="" document="" enable="" enabled="" endpoint="" endpoints="" exposes="" first="" following="" for="" foremost,="" from="" further="" greater="" gui="" guide="" guide]="" have="" if="" in="" installed="" instance.="" integrated="" integration="" is="" ise="" ise.="" it="" lab="" level="" levels.="" login="" macauthbypass="" make="" navigate="" network="" not="" of="" on="" onboarding="" one="" patch="" policy="" portal,="" possible.="" post-authentication.="" pre-authentication="" pre-requisite="" probe="" probes="" production="" profiling="" provide="" provides="" publisher="" recommend="" refer="" requires="" send="" service="" setup="" should="" supported="" sure="" that="" the="" this="" to="" unique="" upgraded="" user.="" using="" versions="" we="" with="" “profiling”=""> System > Deployment . Go to Node, Select the ISE Node, click Edit Node option. Go the Profiling Configuration tab and select pxGrid probe. This is used to gather incoming profiling labels from Endpoint Analytics service in Cisco DNA Center. ![Endpoint Analytics - pxgrid-service.png] Go to Work Center -> Profiler -> Settings and check the Enable Probe Data Publisher checkbox entry with default as disabled. Save the changes. This is needed to ensure ISE publishes endpoint data. ![Endpoint Analytics - probe data publisher.jpg] ISE and DNAC integration To integrate Cisco ISE and Cisco DNAC, please make sure DNAC can use ISE Fully Qualified Domain Name (please update DNS host/pointer records for ISE for this to function) while adding ISE as AAA server in DNAC. This needs DNS to be configured in the environment. Adding ISE server, creates a pxGrid certificate in ISE that has DNAC MAC address in the Subject Alternate Name(SAN). Use the following documentation for [DNAC to ISE integration] Few key steps to remember. Turn on ISE pxGrid service, and pxGrid probe. Go to Administration > System: Deployment > Edit Node, select PxGrid service. Go to Profiler Configuration tab and enable PxGrid probe From Administration > Settings > ERS Setting , enable ERS Make sure ISE IP/FQDN are in the certificate and is DNS resolvable. If you have ISE 3.1 and beyond, following configuration is needed for exposing Endpoint Analytics attributes in ISE 3.1 authorization policy. Ask ISE to publish endpoint asset information to AI Endpoint Analytics via pxGrid and also to consume information from AI Endpoint Analytics so that the attributes are visible in Authorization policy conditions. Here are the steps to configure this in ISE. Navigate to Work Centers > Profiler > Settings . Select the options, Publish Endpoint Attributes to AI Endpoint Analytics and Consume Endpoint Profiles from Endpoint Analytics (if not already selected). Note: Turn on Endpoint Attribute Filter as part of ISE profiling best practices. ![ISE3_1-profiling-defaults.png] In DNAC, Add ISE from DNAC Settings , go to menu > System> Settings > External Services. Click on Authentication and Policy Servers. Click Add. Fill in the form with IP address, Shared Secret and type in ISE admin user credentials. Under subscriber, type in a name for pxGrid client (choose the name wisely). Once you add it you will see the Status “IN PROGRESS” that is updated to “ACTIVE” ![Endpoint Analytics - In progress.png] You would see the following in ISE UI, when you go to Administration > pxGrid Services . Notice that the “dnac” has new publications “endpoint asset”. This is meant to send the classifications back to ISE. Approve the “DNAC” pxGrid clients if they are Pending from the “All Client’s” tab. ![Endpoint Analytics - DNAC topic.png] Status of ISE will be ACTIVE in DNAC after you approve the client. ![Endpoint Analytics - Active.PNG] Note: If you are using versions of ISE before ISE 3.0, make sure you approve the “DNAC” pxgrid clients if they are Pending from the “All Client’s” tab (pre ISE 3.0). Post ISE 3.0, you will see pxGrid clients listed under Administration > pxGrid Services > Client Management >Clients. Next, under Administration >pxGrid Services , go to Diagnostics tab, go to Websockets > Clients you will see the pxGrid clients mentioned above. Hover over the Subscriptions for pxgrid client that has ndp as suffix, you will see a box that should show all topics subscribed that should have /topic/com.cisco.ise.endpoint . ![pxgrid_client_subscriptions.png] Now hover over the Publications for pxgrid client listed that has ndp as suffix, you will see a box that should show all topics Published by DNAC that should have you should see / topic/com.cisco.ea.data.<ise fqdn=""> . This topic is used to send the profile labels back to ISE. ISE uses this topic to receive profile labels, CMDB attributes and Trust Score from Cisco DNA Center. You will see the topic published once you enable the two options to publish and subscribe to Endpoint Analytics topics in ISE. ![pxgrid_client_publications.png] Provisioning of Network Device ( Cat9k / Cisco Traffic Telemetry Appliance) As a pre-requisite, if you have Cat9k access switches or Cisco TTA, the network device(s) need to be managed and SD-AVC configuration provisioned by the Cisco DNA Center Appliance. Make sure to back up your network device configuration before provisioning. Turn on snmp-server community public RO on cat 9k vty settings to support all transport Before you configure SDAVC make sure you turn on AI Cloud so that the probe data is passed to ML for learning. Connect to Machine Learning(ML)/AI Cloud Services All connections to the cloud are outbound on TCP/443; no inbound connections (our Cloud will not be initiating TCP flows towards Cisco DNA Center). Fully Qualified Domain Name (FQDN) to allow/whitelist in the HTTPS proxy and/or firewall is: api.euc1.prod.kairos.ciscolabs.com (API Endpoint) Cisco DNA Center must also be able to perform DNS lookups for the cloud server addresses. Connections to our cloud servers may also go through a proxy (explicit or transparent) if required. The proxy server setting, if any, is inherited from Cisco DNA Center. AI Cloud registration For Machine Learning(ML) to be enabled, DNAC should be tethered to the AI cloud. This needs cloud communication that requires cloud registration. Once the steps above are completed, go to the Cisco DNA Center appliance web UI to complete the AI Cloud registration: System > Settings > External Services > Cisco AI Analytics ![Endpoint Analytics - AI analytics.png] Click on Configure and enable Endpoint Smart Grouping and AI spoof detection option. Endpoint Smart Grouping uses AI/ML cloud to cluster unknown endpoint to help admins label the endpoint. This is very useful to reduce the net unknowns in the network. AI spoof detection is an option that helps Cisco gather netflow information from your network(when enabled) and helps in modeling the endpoint. Choose the right region based on your location. The cloud connection verification is done and you will see a green checkbox when the connection is successfull. Note: If the connection is unsuccessfull, check your proxy settings in DNAC by going to System > Settings > System Configuration > Proxy config ![Endpoint Analytics - AI analytics2.png] Mark the checkbox to accept the Cisco Universal Cloud Agreement terms and click on “ Enable ”: ![Endpoint Analytics - AI analytics2-cloudagreement.png] Once the registration is completed a pop-up message will show up: ![Endpoint Analytics - AI analytics2-success.png] Enabling DNAC as Netflow Collector (needed for ML data collection) In DNAC, Click Menu > Design > Network Settings and enable telemetry for DNAC to collect netflow. Enable DNAC as collection server if the network devices sends the flows to DNAC else use the option to add a different netflow collection server. ![Endpoint Analytics - Enabling Netflow.png] Enabling netflow on network devices (needed for ML data collection). This is supported in Cat9k access switches. This is used for ML to collect data for modeling. Go to Menu > Provision > Inventory > Select the site, the switch. Click Actions dropdown > Telemetry > select Enable Application Telemetry . This enables netflow on all the ports. If you want to selectively do it only on certain ports use the following CLI commands. You can also add descriptions to the switchports use key words ‘lan’, that will push the configuration only to those ports. Manually configured netflow on the device Interface GigabitEthernet1/0/13. --- access ports ip flow monitor fnf-avc-mon input ip flow monitor fnf-avc-mon output flow exporter DNAC destination 10.62.140.77  DNAC IP transport udp 6007 option interface-table timeout 10 option vrf-table timeout 10 option sampler-table option application-table timeout 10 option application-attributes timeout 10 flow monitor fnf-avc-mon exporter DNAC cache timeout inactive 10 cache timeout active 60 record fnf-avc-ipv4 flow record fnf-avc-ipv4 match ipv4 version match ipv4 protocol match application name match connection client ipv4 address match connection server ipv4 address match connection server transport port match flow observation point collect flow direction collect connection initiator collect connection new-connections collect connection client counter packets long collect connection client counter bytes network long collect connection server counter packets long collect connection server counter bytes network long collect timestamp absolute first collect timestamp absolute last Please see [Appendix-2] at the end of the document for a complete check list of items that needs to be configured and verified. SD-AVC(Software Defined Application Visibility Control) setup SD-AVC service on supported IOS-XE platforms facilitates aggregation of the telemetry and connects to Cisco DNAC to provide high fidelity classification of endpoints. SD-AVC can be deployed with the following network devices: Cisco Catalyst 9200/9300/9400 and Cat9800 wireless controller( from IOSXE 17.7.1) Cisco Traffic Telemetry Appliance ( IOSXE version: IOS-XE 17.3.1). These are used as Telemetry boxes to capture SPAN traffic in the aggregation layer if your network has legacy Cisco network devices or third party. Catalyst 9200/9300/9400 IOS-XE image installation/upgrade Customers using Cat9k and SD-AVC functionality to gather telemetry from the endpoints should upgrade the switches to IOS-XE-17.3.1 version. This should be in advance before deploying and integration of DNAC/Endpoint Analytics service. Upgrade steps Follow the instructions below to upgrade the switch: Upgrading the Switch Software Once device is rebooted, check show version output is showing DNA Advantage license. #sh version Technology Package License Information: Technology-package Current Type Next reboot network-advantage Smart License network-advantage dna-advantage Subscription dna-advantage The switch should be configured for 802.1x / MacAuthBypass. MacAuthBypass allows ISE to authenticate using the MAC address of the IOT devices but will allow or deny access based on authorization. Profiling is used to identify and classify the IOT device that will be reauthorized to provide the right level of access. Enable CBAR ( Controller Based Application Recognition) Following steps describes steps to add a network device to DNAC, provision the configuration and enable the CBAR. Follow the instructions below to Discover and add your network device(s) to the Cisco DNA Center Inventory: Cisco DNA Center – Discover your Network Go to Settings -> Device Controllability and check its Enabled Go to Provision -> Devices -> Inventory and add the device under a site. Provide the CLI and SNMP credentials needed to connect and go to enable mode. Wait till device is added successfully. Go to Provision -> Services -> Application Visibility and go to bottom of page to see device details. ![Endpoint Analytics - enable AVC.png] Select device and Enable CBAR from the top of the table, wait for deployment to be completed. In certain cases, when the certificate is not installed corrected while provisioning or when the Connect to switch and check SD-AVC status “CONNECTED” Cat9k-DNAC-DCS#sh avc sd-service info summary Status: CONNECTED If Endpoint Analytics and DNAC does not get SD-AVC data, it could be a provisioning error. If the network device was managed by another DNAC server, then you need to clean up the certificate from the switch and add it again. Here is one way clean up the certificate. Remove the Cat9k from DNAC. Cleanup the DNAC trustpoints in switch using 'no crypto pki trustpoint DNAC-CA' command. Cleanup SD-AVC configuration on switch using 'no avc sd-service' command. Add the Cat9K to the DNAC and check its managed. Enable Application visibility and check it shows Enabled. Connect to switch and run following command to check it shows Connected for SD-AVC. Cat9k-DNAC-DCS#sh avc sd-service info summary Status: CONNECTED Cisco Traffic Telemetry Appliance This is an appliance from Cisco that gathers telemetry using Deep packet inspection where you have legacy and 3rd party network devices. This requires Layer 2 traffic to be sent to the appliance for NBAR and Deep packet Inspection.( Appliance has the PID for ordering: DN-APL-TTA-M.) Physical connections If using Cisco TTA, this need to be connected to the distribution layer via typically 1 SPAN port( L2 Traffic, Discovery) for a single distribution switch. Cisco Traffic Telemetry Appliance Connections Below you can find information on ports and connections used in Cisco Traffic Telemetry Appliance(Cisco TTA). The blue cable in the chassis picture was connected to GE1 when the picture was taken. This need to be connected to GE0 as shown in the connection diagram below). ![Endpoint Analytics - TTA.PNG] Typically the 2 * 10G interface is used for SPAN on Cisco TTA. Gi0/0/5 is configured as a management port with an IP address to talk to Cisco DNAC If you have multiple distribution/aggregation points in your network you can use both the 10G or four 1G ports for mirroring your traffic via SPAN and send endpoint/IOT Layer 2 traffic from different VLANs. You can also use RSPAN or ERSPAN wherever possible depending on the use case. ![kthiruve_0-1662774205567.png] RSPAN is used when you have overlapping VLAN infrastructure and if you want to use a unique VLAN for this traffic(L2). ![kthiruve_1-1662774251753.png] ERSPAN is used if you want to locate the Cisco TTA appliance in a central location and you can terminate the ERSPAN on central switch or Cisco TTA across a Layer 3 network. ![kthiruve_2-1662774306431.png] Cisco TTA also supports decapsulating CAPWAP for wireless traffic and VXLAN using Fabric. Note: Cisco TTA supports up to 40,000 endpoints in an appliance. Cisco Traffic Telemetry Appliance pre-configuration Allow endpoint’s VLAN’s in the SPAN or remote SPAN from your distribution switch. Note that VLAN 1 is used to send discovery(CDP, LLDP) traffic. From your aggregation switch enable SPAN using following commands. If your IOT endpoints are in VLAN 10, 20, 30 configure the following. The example below shows gigabit Ethernet port. Same configuration applies to Ten Gig ports as well. You can use VLANs or Interfaces as source. switch(config)#monitor session 1 source vlan 1, 10 , 20 , 30 both switch(config)#monitor session 1 destination interface gigabitEthernet 1/0/x To verify: switch#do show run | inc monitor monitoring monitor session 1 source vlan 10 , 20 , 30 monitor session 1 destination interface Gi1/0/x On the Cisco TTA, Gi0/0/5 is used for management, to send Telemetry data to DNAC. Here are the commands you need to execute on the appliance before adding to the DNAC inventory. (config)#hostname Cisco-TTA Cisco-TTA(config)#enable password <password string=""> Cisco-TTA(config)#aaa new-model Cisco-TTA(config)#aaa authentication login default local Cisco-TTA(config)#username admin privilege 15 password 0 cisco Cisco-TTA(config)#snmp-server community <string> RO Cisco-TTA(config)#snmp-server community <string> RW Cisco-TTA(config)#int gi0/0/5 Cisco-TTA(config)#description Management interface** Cisco-TTA(config)#ip address <ip address=""> <subnet mask=""> Cisco-TTA(config)#cdp enable Cisco-TTA(config)#end Cisco-TTA# conf t Cisco-TTA(config)#ip nbar classification tunneled-traffic capwap Building configuration…. Adding Telemetry Box to DNAC inventory Cisco TTA can be managed from DNAC. Currently you cannot change configuration on the appliance but check the status of the appliance, configuration, ports etc. Go to Menu, Provision -> Devices -> Inventory and add the device under a site. If you don’t have a site, create one by going Design > Network Hierarchy menu. Provide the username/password(CLI) and SNMP community needed to connect and password enable mode. Wait till device is added successfully. Check the Device Name, Family (Network management), Reachability - Reachable, Manageable, Device Role - Distribution. Device will be Non-Compliant, once it is fully provisioned the “Non-compliant” status will change. Note: The serial number should be updated, Device Series is Cisco DNAC Traffic Telemetry Appliances. ![Endpoint Analytics - TTA-DNAC.png] If you double click the Device Name entry for e.g: Entourage-TTA, it opens a screen that let you see overall appliance status. ![Endpoint Analytics - TTA-DNAC2.png] Note : For Endpoints to be visibility is Endpoint Analytics, the network device connected to the Endpoint should be added in the DNAC inventory. This requirement is being addressed in the future DNAC releases/patches. Endpoints will not be visible in EA without this step. Enable CBAR (Controller Based Application Recognition) Go to Menu, Provision > Application visibility, if this is the first time you are in application visibility you have to go through a wizard shown below. Select the device to enable CBAR and proceed to next step. If not, select the device from the list and click ‘Enable CBAR’ button. Once CBAR is enabled, the deployment status will show completed . ![Endpoint Analytics - enable CBAR.png] You can verify if AVC(Application Visibility Control) service is enabled in the box, by logging into the Cisco Traffic Telemetry Appliance and executing following CLI command. Cisco-TTA#sh avc sd-service info summary Status: CONNECTED Device ID: Cisco-TTA Device segment name: AppRecognition Device address: 10.1.100.90 Device OS version: 17.03.01 Device type: DN-APL-TTA-M Active controller: Type : Primary IP : 10.1.100.24 Status: Connected Version : 4.0.0 Last connection: *02:26:00.000 UTC Sat Sep 5 2020 Connect to Network Based Application Recognition(NBAR) cloud Both Cat9k and Cisco TTA collects endpoint metadata using Deep Packet Inspection of packet flows. This is further sent to NBAR cloud for analysis and for detecting unknown protocol signatures. To allow this to happen, DNAC appliance need to be tethered to the cloud. From DNAC UI, go to Provisioning > Services > All Services > Application Visibility for this. Click Configure under NBAR Cloud and it opens a panel. Enable the service. If you have Client ID, Client Secret and Organization Name(Please give a unique name depending on the organization and use). Make sure the region is USA and save it. Note: You can get this credential by clicking on “Cisco API Console” from the panel that opens up a portal. Login with you CCO id, create a new app, select the options corresponding to NBAR cloud and complete the form. At the end of it you will get a Client ID and Secret. ![Endpoint Analytics - NBAR cloud.png] Start endpoint data collection from Cisco TTA Login to the Cisco TTA appliance and from the CLI go to the interface connected to SPAN port of your distribution. Do a “no shut”, on the Gig/Ten Gig interface from the CLI. Profiling using AI Endpoint Analytics and ISE integration When using DNAC 2.2.3 and ISE 3.1 following 2 steps ensures DNAC and ISE are integrated to send and receive Endpoint data correctly for smooth integration. Login to DNAC with admin credentials navigate to menu > Policy > AI Endpoint Analytics Look for ‘ Configuration ’ option on the top right corner (above AI) as shown in screenshot below.(applicable to DNAC 2.2.x) Click ‘ Configuration ’ and then the ‘ ISE Integration ’ menu from the left. You will see a screen as below. These should be enabled already in the lab pod refresh. If not enabled, please make sure you enable both the options and save it. ![DNAC-ISE-configuration.png] All version of DNAC, login to DNAC UI and go to Endpoint Analytics application You have to open the left panel by clicking the icon to the left of DNA Center from the hamburger menu From DNAC UI: Go to Policy > AI Endpoint Analytics to start the UI. ![DNAC-Endpoint Analytics menu.png] You will see the “Total Endpoints” on the left and “AI Proposals” on the right. It takes a while for ML grouping to show enough clusters, give it a few hours. Total Endpoints will show endpoints that are Unknown (not profiled), endpoints partially profiled ( Missing Profiles), and endpoints that are fully profiled.You will see the following screen, with Endpoints (Fully Profiled, and Missing profile labels for missing classification). You will see the AI proposals getting populated to the right side of the screen. You will also see the Trust Score dashlet in the middle that is used in identifying Trustworthiness of an endpoint feature. We will discuss this below. Finally, in the left bottom of the overview screen you will see a dashlet with information of static and Random MAC address seen in your environment. On the top you will see 4 tabs. 'Endpoint inventory' provides a list of endpoint seen in the network. Profiling Rules’ will give you list of rules used for profiling including Custom rules, AI Rules you create. 'Hierarchy' allows admins to create a custom hierarchy of endpoints that can be sent to Cisco ISE. ![EA dashboard with TrustScore.png] The dashlet in the middle stands for Overall Trustscore. We have several sources for Trustscore across release. Authentication, posture are sources that have positive influence on TrustScore, if posture is non-compliant then trustscore will be lowered. Same with the case of threats or vulnerability. ![Trust-Score.png] Endpoint Analytics have other sources or features such as AI spoof detection, Concurrent MAC address detection and Changing Profile labels which identifies MAC spoofing and Attribute spoofing attempts and generate Trust scores with low(1-3), medium(4-7) and high scores(8-10). It can detect other threats that detects weak software interface, endponit reaching to malicious websites and unauthorized endpoints NAT'ed Hosts. Trust Analytics The evaluation of endpoint security posture on a continual basis results in a Trust Score. The process of evaluation of endpoint security posture is called Trust Analytics. How is Trust Score calculated? Overall Trust Score is calculated by an algorithm that considers the prior state of endpoint’s, frequency of the alerts and aggregates the scores based on certain weights based on inputs from different sources. In general, there are positive inputs to Trust Score as well as risk factors. Positive inputs adds to the Trust Score, risk factors removes points from the score. If your authentication is using MacAuthBypass or use MAC address list then currently it will show as medium score(6). Note : There was a defect were endpoints that are getting authenticated via MACauthbypass was assigned low score(2). That was fixed in the latest patch. If you have wired or wireless endpoints that authenticated using 802.1x based on authentication methods score increases further. For high secure authentication method such as EAP-TLS, EAP-Fast/PEAP(Mschapv2) score is high(8 to 9). If you still are using authentication method that is less secure (EAP-GTC, PAP/CHAP) then it will show medium score. Risks are associated with anomalies/threats. AI Endpoint Analytics has suite of features that are used to identify anomalies, vulnerabilities and threats related to endpoints. From the Overview page, in the Trust Score dashlet, click Manage Sources , go to Trust Score Sources to see the list of supported functionalities which will help you identify various endpoint anomalies. You can enable or disable these functionalities from here. From the AI Endpoint Analytics tabs, click on Endpoint Inventory tab; You will see 3 new columns named 'IP address', 'Trustscore' and ‘Is Random MAC’ in the table. When you click on a MAC address, you can see a lot of details on the side panel that includes “Authentication Status”, “Authorization profile”, “Scalable Group Tag” associated and Last seen by DNAC. Most of these attributes are received from ISE after endpoint authenticates and gets an access policy. If you have MDM integration you will see the DUID associated with the endpoint received from Cisco ISE. In the side panel, you will see previous MAC addresses used incase your endpoint has Random MAC address. ![Endpoint-inventory-details-shockware.png] Anomaly, Vulnerability and Threat detection Cisco AI Endpoint Analytics supports following use cases as of Cisco DNAC 2.3.3. 1. Impersonation attacks: It identifies and alerts devices impersonating as authorized and legitimate devices in the network. Bad actors use spoofing to get into the network for doing this. Customers are concerned and they need to satisfy their audit and compliance needs. You can use a suite of functions to identify this that includes following detection features "AI Spoofing detection", "Concurrent MAC address" and "Changing Profile Labels". 2. Detect Weal software Interface: It identifies and alerts weak software interface that helps bad actor to scan for open/vulnerable ports and weak login credentials. 3. NAT'ed endpoint detection: Identify and alert presence of endpoint behind a NAT'ed device ( e.g: Guest VM's inside a host that may not be authorized by IT). 4. Detecting IP reputation using TALOS: It identifies if an endpoint is reaching out to a bad reputed site that could be malicious to the end user. The site may host SPAM or malware. An alert is generated as a result. Endpoint Analytics with DNAC 2.3.4 has a way to manage and customize alerts, create custom impact( Available from Cisco DNAC 2.3.3) to tweak the Trust Score based on customer needs. Each of the options below can be enabled globally or locally for every endpoint from DNA Center UI. For Global configurations, from the AI Endpoint Analytics Overview screen, Click Configuration option on the right corner and then the Trust Analytics or Trust Score Sources(before DNAC 2.3.3) menu from the left. You can also click manage sources in the Trustscore dashlet. AI Spoofing Detection: AI spoofing detection assists in identifying unauthorized endpoints impersonating legitimate endpoints in the network using MAC and probe spoofing techniques. This is done using cloud-generated behavior models for different types of endpoints. These models are trained using crowdsourced NetFlow data for a known endpoint type that is functioning under normal operating conditions. These are downloaded to DNA Center on a frequent basis and is updated for efficacy. When an unauthorized endpoint generates traffic that deviates from the machine learning model, an anomaly is triggered with a low, medium, or high probability of detection. The presence of an anomaly and probability of detection is represented as a Trust Score of the endpoint. We support ML models of endpoints such as IP Phone, Printers, Cameras and other IOT devices etc. Concurrent MAC Detection This feature is meant to discover and alert on situations where same MAC address is seen simultaneously on the network in more than one location. This functionality is supported for wired endpoints with Cat9k access switches. This can detect MAC addresses appearing concurrently across different switchports or across different switches. You need NBAR to be enabled on the switches for this. This functionality will work for all types of traffic(TCP/UDP) seen by the switch port. This functionality looks at two aspects. Collisions: How many times MAC addresses appear exactly at the same time(sampled every minute) on different ports or different switches over a 15 mins period. Alert is triggered if collision is more than 1. Transitions: How many times MAC address keeps appearing, not at the same minute but keeps hopping back and forth, across different switchports over a 15 minute period and half hour across switches. Alert is triggered if transition is 4 or more. Endpoint Analytics tracks the switch ID, switchport and VLAN and presents that in the UI for admins to take action on the anomaly. This anomaly triggers a low to medium Trustscore Changing Profile Labels Endpoint Analytics have 4 profile labels, only significant change in profile label will be considered as anomaly. Significant change in profile label may indicate an underlying condition where there is a possibility of MAC spoofing, probe spoofing or the endpoint is running a NAT’ed device behind. What is considered a significant change? For example, if an endpoint changes from endpoint type ‘Workstation’ to ‘IP Phone’, it is considered a significant change since one or more attributes used to evaluate this has changed with high confidence. Let us consider a second example. A change in operating system label from Windows to Linux may not be considered a significant change immediately if the change is a result of a weaker attribute such a "User agent". Attributes are stronger or weaker based on how easy it is to tamper that by an average user. Non-significant changes in labels does not trigger an anomaly to avoid false positives. Endpoint analytics profiling engine compares the confidence level of probes(protocols) and attributes to track changes. Attributes such as LDAP/NetBIOS have higher confidence level since they are not easily manipulated. So if a label is created by a strong attribute it cannot be overridden by a conflicting weak attribute such as “User agent”. It needs a strong probe/attribute to override it or multiple probes. So if you see a change in “User agent” attribute which did not trigger this detection, you know why it is now. NAT Mode detection AI Endpoint Analytics will recognize the presence of a NAT device that can be used in situations where unauthorized guest VM’s are NAT’ed and get connected to the network via NAT. Presence of NAT device is calculated using TTL, change in profile labels etc. Endpoints behind the NAT’ed device will be identified with an alert message with low Trust Score. Note: To reduce false positives, please refrain turning on CBAR on Trunk ports on your switch that carries several VLAN traffic. Unauthorized Open port and Weak credential scan: Endpoint Analytics can use a security sensor application to scan for vulnerable open ports and weak credentials. The Security Sensor application can be downloaded from Cat9300 section of, software download center. This can be pushed from Cisco DNA Center from Provisioning > App Hosting section to the Cat9k switches to be hosted as a container in Cat9300 switch. The application helps Endpoint Analytics scan the endpoints for unauthorized open ports in endpoints/IOT devices and also look for weak login credentials for SSH/Telnet protocols. To install Security Sensor(SDAVC application) in Cat9k, Cisco DNAC has a wizard that will walk through the install, where admins have to select options(Fabric/Non-Fabric), switches, VLAN, IP or DHCP for the container app to talk to the endpoints. The container creates an interface and an IP address that is used to scan endpoints and would reach endpoints using L3 connection. Once the installation is complete and the application is running you have to turn on the functionality You have the go to Endpoint Analytics overview page, click Configuration and go to Trust Score Sources, use the slider to come down the page to section " Open port Scan ". Configuration for Unauthorized port scan: Click configuration to setup list of open ports to be scanned, then create a subset of unauthorized ports list to be scanned more deeply. You need to create a Scan task for the container app to start scanning. Configuration for weak login credentials: Click configuration, then setup a list of credentials you want to scan. This should include common/well known username/passwords for Telnet/SSH protocols. Once the task is configured to scan, scanning will happen and complete. You have the option of tweaking the interval. Alerts are raised in Endpoint Inventory page, when you change the focus to Trust Score you will see results from every Trust Score source(based on its availability and if it was on during that time). Video Player is loading. Play Video Play Mute Current Time 0:00 / Duration 0:00 Loaded : 0% Stream Type LIVE Seek to live, currently behind live LIVE Remaining Time 0:00 1x Playback Rate Chapters Chapters Descriptions descriptions off , selected Captions captions settings , opens captions settings dialog captions off , selected Audio Track Picture-in-Picture Fullscreen This is a modal window. The Playback API request failed for an unknown reason Error Code: VIDEO_CLOUD_ERR_UNKNOWN Technical details : Unknown catalog request error. Session ID: 2026-02-24:cc8b332bda0a68d35a1ff298 Player Element ID: vjs_video_3 OK Close Modal Dialog Beginning of dialog window. Escape will cancel and close the window. Text Color White Black Red Green Blue Yellow Magenta Cyan Transparency Opaque Semi-Transparent Background Color Black White Red Green Blue Yellow Magenta Cyan Transparency Opaque Semi-Transparent Transparent Window Color Black White Red Green Blue Yellow Magenta Cyan Transparency Transparent Semi-Transparent Opaque Font Size 50% 75% 100% 125% 150% 175% 200% 300% 400% Text Edge Style None Raised Depressed Uniform Dropshadow Font Family Proportional Sans-Serif Monospace Sans-Serif Proportional Serif Monospace Serif Casual Script Small Caps Reset restore all settings to the default values Done Close Modal Dialog End of dialog window. Close Modal Dialog This is a modal window. This modal can be closed by pressing the Escape key or activating the close button. [(view in My Videos)] AI Spoofing Detection AI Spoof detection is an already supported feature that was part of previous release, that identifies endpoints impersonating a legitimate endpoint connected to the network. For AI Spoof detection, AI/ ML cloud looks at the traffic patterns from different endpoints from many customers to create ML models. ML models are downloaded to Cisco DNAC are used to compare with the active traffic pattern coming from the endpoint connected to the network. Deviations from the models are detected and inference made about possible anomalies. An anomaly event is triggered with high, medium and low probability along with a Trust score that identifies the Trustworthiness of the endpoint. The impersonating device can use different ways to do this e.g.: MAC spoofing, Probe Spoofing etc. Hence it helps identifying endpoints used for impersonating a legitimate device in the network such as IP Phones, Printers etc. Overview screen will show a dashlet to show endpoints and their Trust scores. ![Trust-Score.png] When an endpoint exhibits anomalous behavior while impersonating a legitimate endpoint, you can click on the endpoint from the overview screen, from the Trust Score dashlet, click on endpoints that has low/medium scores that takes you to the Endpoint inventory screen below. You will see the endpoint entry with Trust Score view. Remember you will only see the endpoints that has a Trust Score associated. ![Endpoint-low-trustscore-AI spoofing.png] On the top left, you can see the Focus: All Endpoints drop down that helps you toggle from Trust Score to All Endpoints to change the view. Click on the endpoint MAC address to open the side panel, click on Trust Score tab in the side panel to gather details on why you are seeing the issue. ![AI Spoof detection-alert-score1.png] Trust Score view. will only show endpoints that has Trust Score associated. If the endpoint is in the database for a while and not purged and is not seen connecting again, it will not show in the Trust Score view. The Endpoint inventory side panel screen helps you take action caused by the anomaly/threat. Click on the endpoint of interest to observe the details on the right side panel and take appropriate action based on alert shown. You can also take action to change the access policy of the endpoint by clicking on the ‘Apply ANC Policy’ button in the bottom of the side panel shown below. ![Apply-ANC-policy.png] Rapid Threat Containment Adding ANC policy for AI spoof detection This is a mechanism that allows Cisco DNA Center and other products to contain the threat by swiftly acting on the infrastructure to block or quarantine the endpoints. If an admin finds that there is an anomaly, he or she can use ISE Adaptive Network Control (ANC) Policy to block or limit access to the bad actor endpoint. When Security/IT admin finds an anomaly with a low or medium Trustscore, you can Apply ANC policy from DNA Center directly that allows action on the switchports connected to the endpoint to shutdown (or) terminate connection/reauthenticate (e.g. update SGT) etc. If you chose to shutdown the port, this action is carried out by ISE on the network. ISE uses Adaptive Network Control policy which is a mechanism to accept and take action from external systems, that are integrated via pxGrid, such as DNA Center/Stealthwatch or Firepower. ISE then sends a CoA to perform the action on the switchport connected to the endpoint. The first step for this is to create the ANC policy in ISE. ANC service gets enabled by default when pxGrid is enabled. You can disable it manually from admin portal only if needed. You need to set up this policy for different anomaly testing for EFT. Here is a procedure. Login to ISE UI, go to Operations > Adaptive Network Control. This allows you to create a policy that will allow ISE to Quarantine, Port-Bounce, Re-authenticate or Shutdown the ports connected to the endpoints. 1. Create a policy for each of the action you want to use to isolate the endpoint. ![ANCpolicy-ISE.png] 2. You can apply ANC Policy by clicking on Apply ANC policy button in the Endpoint inventory, Endpoint details and TrustScore side panel. 3. Once applied, you can also “Remove ANC Policy” from DNAC by clicking on the relevant button from the screen. ![Applied ANC policy.png] 4. The 'Trust Score' It also allows you to provide a feedback by clicking on the Thumbs up/down icon and Reset the Trust score once you complete your investigation on the anomaly. For DNAC v 2.1.x you will see the following Endpoint inventory screen. When you click on ‘Endpoint Inventory’ tab on top of the screen above, you can see a list of Endpoints in the inventory. To look at Endpoint details. Click on the MAC address under ‘Endpoint inventory’ tab. A UI side panel opens up from the right. It shows list of protocols and attributes collected. You can also see the type ‘IOTAsset’ attributes that are populated by Endpoint Analytics. These attribute/values will be sent to ISE. Do not close this browser. ![Endpoint Analytics - inventory.png] Adding Custom Profiling policy in ISE Warning: When enabled, this will change the profile of all the endpoints that matches causing massive reprofiling in ISE deployment. Avoid doing this in a production ISE system. Create custom policy in ISE with care per device and/or use Network Device Groups as outlined below. Login to ISE UI on a different browser tab. The following procedure is applicable if you have pre ISE 3.1 or Cisco DNAC 2.2.3. Go to Context visibility > Endpoint Classification view. You will see a list of endpoints in the bottom. Click the right top corner on the < gear icon > . It opens the list of columns that can be added in the view. C heck the Total Certainty Factor option. This the total weight of the Endpoint profile on ISE. ![Endpoint Analytics - ISE custom profiling.png] Make note of a few endpoints that needs to be classified by Endpoint Analytics along with ’ Total Certainty Factor’ as shown in example below. Let us focus on one endpoint with MAC address “58:0A:20:FA:4F:84”. The total certainty factor is 285. ![Endpoint Analytics - ISE custom profiling -TCF.png] Click on the MAC address to open Endpoint details. Go to Attributes tab and locate the IOT attributes associated with that Endpoint as in the screenshot below. ![Endpoint Analytics - ISE endpoint attributes.png] Here is a list as in the table below that will match what you saw in Endpoint Analytics UI screen under “IOTAsset”. Also make note of the “Calling station ID”. Calling-Station-ID 58-0A-20-FA-4F-64 assetDeviceType IP Phone assetHwRevision Cisco IP Phone 8945^^Cisco-IP-Phone^^Cisco-Device assetIpAddress 172.16.103.203 assetMacAddress 58:0A:20:FA:4F:64 assetSwRevision Cisco IP Phone assetVendor Cisco Systems, Inc. From ISE UI, go to Workcenter > Profiling > Profiling policies. Add a new custom profiling policy. Use “IP_Phone_FromEA” as the name of the policy. ![Endpoint Analytics - ISE profiling policy.png] Before doing any changes “uncheck” the policy enabled checkbox from the list of options. In the bottom, from Rules, add a new rule below by clicking <gear icon=""> drop down to the right of screen. ![Endpoint Analytics - ISE profiling condition.png] Once you create a new rule, click on the + in the condition box( Select_Attribute…). Click on create a new condition button. Then Select the attribute as below. Choose “IOTAsset” folder and for e.g.: assetDeviceType attribute. In the center box choose the operator “CONTAINS”. ![Endpoint Analytics - ISE profiling condition -add.png] This creates a condition and once you select the attribute and the operator, in the third box you must type in the value for the chosen attribute. You can get this from DNAC >AI Endpoint Analytics UI browser tab and capturing the value of attributes under IOTAsset and paste it here. Add more conditions based on “assetVendor”, “assetHwRevision” and “assetDeviceType” attributes etc. ![Endpoint Analytics - ISE profiling policy -final.png] Note: Last but most importantly add a condition with “AssetMACAddress” and use that. If you do not use this, the profile will match all endpoints based on the conditions added. It is very important to include “AssetMACAddress”. If you are running in a “production ISE” environment you have to add all the conditions, most importantly the condition to check the MAC address before enabling this. You can also add “Calling-station-ID” which is a RADIUS attribute and use MAC address for the value. Finally enable, two key things are “Minimum certainty factor” on the top and “Policy enabled” option before saving the policy. The minimum certainty factor of a custom profiling policy we just created is the aggregation of certainty factor of the conditions below. Importantly the Minimum certainty factor has to be greater than the Total Certainty Factor we saw above for the endpoint in ISE (Context Visibility > Endpoint Classification). In our case let us make it 300 which is greater than 285 . If you are unsure you can have a number like 500 or 1000. ![Endpoint Analytics - ISE profiling policy -final-with-CF.png] Last step is to create authorization policy and add the custom profile created above. Note: If you are using Cisco DNAC 2.2.3 and Cisco ISE 3.1, when you create an authorization policy in ISE you will see the Endpoint Analytics option and you can select the attribute and value based on the Endpoint details screen or from the ISE endpoint details screen. Before that, you need to consider the level of access you need for different type of devices before and after profiling. Here are some best practices. Policy and Segmentation tips and best practices Here are the guidelines on security policy for IOT devices, while creating authorization policies pre and post authentication and profiling. Designing Security policies: While designing security policies, for NBAR to do Deep Packet Inspection(DPI), remember that it needs to see the application traffic to profile endpoints correctly. So, default ACL should allow application traffic before authentication and after authentication. Here are some recommendations for different type of endpoints. If you start with limited access or closed mode, use MAC allowed list (or) Register the devices in the Endpoint Analytics UI that creates labels, use these attributes to create custom profile policy in ISE. You can also create Endpoint ID Groups in Cisco ISE and use it for MAC allowed list. Idea is to give more privileges as you know more context. Having that said, there are two types of devices, Critical Infrastructure/Medical IOT devices and IT managed device. Here are few best practices for these. Critical infrastructure/Medical IOT devices: Medical IOT should be in its own VN. You can use SGT’s to allow/prevent access between Medical IOT device once it is profiled. Medical IOT devices may need continuous access for critical patient care. Even if the other Edge switches are down you need continuous access to its resources with fail open. You can add more access restrictions after profiling as needed after testing and observation(monitor mode). Access restrictions should be based on the type of Medical IOT device. Example 1: MRI machine may need access to PACs server or a Gateway. MRI machine does not need internet access or to other MRI machines. A PAC server should allow access from a Gateway/MRI machine and Doctor’s workstation. PACs(Picture Archiving and Communications system) is used for image storage and retrieval and use protocols such as DICOM and HL7 to communicate to outside world. If in doubt, err towards more access not less access when dealing with Critical IOT for infrastructure or Medical IOT for patient care. Availability is very critical for Medical IOT devices. IT devices: For IT devices, it can be part of Campus VN and you can use SGT’s to control access between each other. The same approach mentioned above holds good. Alternatively, you can provide limited access if we know the level of access and applications used by IT. For example: printers, scanners, employee mobile devices or BYOD(Bring Your Own Device). Typically, access to DHCP, DNS, AD, print servers and applications are necessary for continuous access to services can be allowed before authentication. More access can be provided at the end of profiling based on SGT(Scalable Group Tags). E.g.: Printers may need access to Print server and may be to a specific website to download drivers. BYOD may not need access to internal resources. If you are working with Enterprise IOT devices(Roku, Apple TV etc) that works based multicast or other applications, remember to open those ports and protocols for NBAR to understand the application and identify the endpoints as default access before authentication. Based on the role, location, and context of the device, you can provide granular access to the device. Finally, use the ACL and/or SGT in combination with VN in Authorization policy to provide the right level of access. Creating Authorization policy in ISE with Custom Profiles Final step is to use this Profiling policy in Authorization policy to provide the right level of access. From ISE UI, go to Administration > Network Resources > Network Device Groups . Create a new Network Devices Group with parent “All Device Types” for the test network device you are adding. From Administration > Network Resources > Network Devices , add a new network device with IP/Subnet mask, check the RADIUS settings. Make sure the shared secret is the same in ISE and Network device. Select the Network Device Group just created from the Device Type drop down. Go to Work Centers > Network Access > Policy Elements > Results . You will see options in the left panel for Authorization profile . Create a new Authorization profile with VLAN/Downloadable ACL or Scalable Group Tags. Note: There are default Authorization profiles already available in ISE. When using default Authorization profile, open it to make sure you assign the right ACL in the Authorization profile. The assignment of VLAN/ACL or SGT can be done under “ Common Tasks ” inside an Authorization profile. When assigning SGT, choose the name of the SGT that opens up another drop down to choose the corresponding Virtual Network for SDA deployments. For non-SDA deployments leave this empty. To create a new Downloadable ACL you can see the corresponding option on the left panel of the screen under Work Centers > Network Access > Policy Elements > Results. Once you create Downloadable ACL, add it to the Authorization profile you created. Go to WorkCenter > Profiling > Policy Sets Now you need to add a new policy set by clicking ⊕. Type in the name of the policy set. Add a condition by clicking + that opens a Condition Studio, select DEVICE from the Dictionary and Device Type as attribute. Select the new Network Device Group we created above, from the drop down. Click on the right arrow > (to the right of the Policy set entry) to open the policy set. Click on the authorization policy, to open it and you will see policies already available out of box. You can create new authorization policies on the top to get processed first. Following configuration steps is needed to map the endpoint profile policy to an authorization policy. Click on ⊕ to add a new authorization policy. Highlight the new rule name and type in a new rule name, e.g.: ‘EA IP Phone’ Click + under conditions, this opens a Condition studio (close the help screen if one pops up). In the Editor window, click to add an attribute (close the help screen if one pops up), choose Endpoints Dictionary from Dictionary drop down. Select EndPointPolicy attribute. In the ‘Choose from list or type’ box, choose the Profiling policy you created above for the IP Phone as the value (IP_Phone_FromEA). Click Use . This brings you back to the Authorization policy screen. For the Authorization policy you created, under the Results > Profiles column. Click on select from list and choose a “Cisco_IP_Phone”. Scroll down and Save it. Add the Scalable Group Tag in the Results of the Authorization policy. Save it. Troubleshooting tips Check if pxGrid is turned on ![Endpoint Analytics - ISE troubleshooting tips.png] Check if the following setup is done to get the PxGrid on1k ![Endpoint Analytics - ISE troubleshooting pxgrid tips.png] Appendix 1: Cisco Traffic Telemetry Appliance bootstrapping Configure the Telemetry Box authentication. (Use this for pre-configuring the box for on-boarding) Hostname telemetry-box enable password lab aaa new-model aaa authentication login default local username admin privilege 15 password 0 cisco enable password <xyx1123!!> Configure UTC time. Example: ntp server 2.2.2.2 source GigabitEthernet0/0/5 or clock set 18:00:00 1 Jan 2019 Configure the Cisco NBAR configuration for Control and Provisioning of Wireless Access Points protocol (CAPWAP) traffic. Example: ip nbar classification tunneled-traffic capwap ip nbar classification granularity fine-grain Configure Management interface to send Telemetry data to DNAC interface GigabitEthernet0/0/5 description ***** Management port to talk to DNAC ******** ip address <management address="" appliance="" ip="" of=""> <subnet mask=""> Configure the default route. Example: ip route 0.0.0.0 0.0.0.0 <gateway address="" ip=""> Configure the DNS server. Example: ip name-server <ip address="" dns="" of="" server=""> Cisco Traffic Telemetry appliance port initial port configuration before managed by DNAC. Example: Configure Telemetry Box Network Settings int Te0/0 description ****** Ten Gig SPAN **** int Te0/1 description *Ten Gig SPAN from second distribution interface GigabitEthernet0/0/0 description ***** Span Traffic ******** interface GigabitEthernet0/0/1 description ***** Span Traffic ******** interface GigabitEthernet0/0/2 description ***** Span Traffic ******** interface GigabitEthernet0/0/3 description ***** Span Traffic ******** interface GigabitEthernet0/0/4 description ***** Span traffic ******** interface GigabitEthernet0/0/5 description ***** Management port to talk to DNAC ******** ip address <x.x.x.x> <y.y.y.0> int gi0 description Port used as a backup Management for Router Appendix 2: ML data collection configuration checklist Verify presence of DNAC packages (without them you won’t see anything of the things you show afterwards) AI Endpoint Analytics, Application Visibility Service, AI Network Analytics. NetFlow configuration: Enable NetFlow under network design, telemetry, pointing to DNAC or to an external netflow collector (Stealthwatch UDP director) In case of pre-existing config (e.g. netflow configuration for Stealthwatch) the config may need to be manually pushed/reviewed. Verify the correct flow monitor is assigned to each of the access ports. ISE config (as in the document) Add to check the profiler config for Probe Endpoint Data export / pxGrid as profiler probe source Verify network devices in DNAC inventory (This should be the same network device between DNAC and ISE, use the NAS (Network Access Server) IP address to add to DNAC inventory. Verify ISE integration in DNAC (on System 360) and pxGrid turned on. Verify if endpoints authenticated by ISE (either with dot1x or MAB). ISE profiler config (as in the document) Devices are CBAR ready and provisioned (as in the document) NetFlow config (provisioning from DNAC, record template details, verify on the device, check the pre-existing config and add/change the flow records based on the configuration provided) Check if Endpoints shows up in Assurance in Client 360 and Endpoint Analytics UI. Confirm logical class (Verify in EA if the MAC address corresponds to IP Phone/Printer and is having the Endpoint Type label). Glossary: EA : Cisco AI Endpoint Analytics: An application running on Cisco DNAC that provides Endpoint visibility and collects asset information from various sources. DNAC : Cisco DNA Controller: A platform/controller that provides Automation, Assurance and Policy to Enterprise in managing their network. ISE: Identity Service Engine, a software appliance that provides AAA services, verifies compliance and enforces network access and access control policies. pxGrid: Platform Exchange Grid Service that exchanges endpoint information between ISE and other Cisco and non-Cisco products. AAA : Authentication, Authorization and Accounting, that refers to how endpoints and users are authenticated and authorized in the network typically using RADIUS protocol. SDAVC: Software Defined Application Visibility Control is a service that runs on Cisco DNA Center that gathers application and endpoint information from network used for application recognition and endpoint visibility. NBAR: Network Based Application Recognition is the sensor engine embedded in the network device that does deep packet inspection of Layer 7 protocols as well as information from Layer 3 and Layer 4 for detecting applications and endpoints in the network. CBAR: Controller Based Application Recognition is the controller side component in DNAC that enables NBAR in network device. SPAN: Refers to a connection where a copy of L2 traffic is mirrored from one or more VLANs, ports to a destination. AI: Artificial Intelligence refers to use of the AI service on DNAC and in the cloud to provide intelligence for endpoint analytics along with crowdsourcing. ML: Machine Learning refers to algorithm/s used for clustering unknown endpoints for admins to label them that can be used for crowdsourcing. IOT: Internet of Things are endpoints in an enterprise that has specific purpose and not general purpose endpoints(mobile devices, laptops, printers etc.). DNS: Domain Name Service, that provides name services to map IP address to a name that is used by applications, products, services to reach a certain destination.(e.g.: Email service, application service, servers, endpoints)</y.y.y.0></x.x.x.x></ip></gateway></subnet></management></xyx1123!!></gear></subnet></ip></string></string></password></ise></service-name> [image: beb6b4613bc548432d156d17b701d7be2361a02d.png] [image: 0374fbd309e7345d53e19adac1f67a106d9a7ad7.png] [image: 76ec32d606772e639f33fe27596fa3f1d5333fc7.png] [image: a4aa538ec78aec91edc1e530682c183c80fe5a48.png] [image: 98e2904663b197c617d18895bcad199f38934055.jpg] [image: bdaff8b21433beded39842ba0c1841f632d2ee02.jpg] [image: 63c0812a676366fef74a9b91c753bdc1ce2187d8.png] [image: 952b6dccd54af4cc8de66f940a29d1c398656bd0.png] [image: fe4036d452677b377d9c1d2bbca6d9c795001c80.png] [image: 84554eed349c76fbea84120d9ac7dbcd7f3f99dc.png] [image: 1a126cad8f08a524777e81ea8de9a15d38376355.png] [image: 680454d3893657fac5c4eb3bdf32c5aa122cbb52.jpg] [image: e6b4509d135a2253c1ed55a5a81024532160d43a.png] [image: ad0b3311ac7d910197f9508585d7ca3ff1801404.png] [image: 84827b629e5c047cbe08885b1c117ee8406d2d52.png] [image: 106a1b3639d552143ed407c68c6f8940255107d2.png] [image: b88c318fbdb01c3b5a353da6a1c7c91a67c8c419.png] [image: fbcdf64d46a785a28f128e9713a3d1d24f3343b5.png] [image: e1a8835dd8b7aadc1e2e0d3a2a4e283f5d82f646.png] [image: bb5d13fb86cfde1a7e6a029efc7c9267bf40adf4.png] [image: a14120ac767d56592fa0f5ca6229b6c25852b897.png] [image: 8df5a29858bb7a541653d9796585534c12705872.png] [image: 1c2b8d29fa8c06122cd52c503bd0168c8485d80d.png] [image: af41efd925105de9806ff27bad95ae26dd1f6be5.png] [image: 1ce4189ae6e7175d6ad4c6a2cd5620c8b9a91f62.png] [image: 8a5db00218d307a92d883fdc58a81e8f4672b107.png] [image: 442fd2cf1300e44f0d43bac8c8c58484f38df1bd.png] [image: fe906897e3f81dedda69e1756d019edc11f57638.png] [image: a9ed137ef5adbea720ef491ca50906b06e775dd4.png] [image: 81dc997507cf4edbf8784d6fd0783dbd8eaf7c63.png] [image: 50e86ab8f9d45c0f90eac99baea3fc6b19e297c1.png] [image: 36277fcaf85a9dc7120df3e83d3190f1c697962c.png] [image: ad85e17a012edeaf1576b0664aa28a21dba520fe.png] [image: 4245f0bf6c261131f787912c227806547e69ddf4.png] [image: 8505beac7225e3a177169667c852a350bc443aa8.png] [image: b9a6d773e576701e881cb9a6d0f6576f9ebee187.png] [image: c2b25913fc752b2eb7c0e8d8b83fb877c204f22b.png] [image: 5583c465f0d54c3f1f12bae10adef300ea5113d1.png] [image: a0503c3f0e8cbe139a6f7ee44fb84199e4340226.png] [image: 35caffa48971b06692bb9a010ec148810a52ea41.png] [image: 0143bd0555a146bf6946fa89b2c42c26e494956e.png] [image: ddf6bfb2c4e735d4d45d263a9d7fe222d777c2f6.png] [image: a2e86cf59f06e434467c9d9fcd7fa6c95b1fa742.png] [image: 20bc9dfbc20a6e4e028ded18a0133a17e5cc92a9.png] [image: 235236becfd57db8c8158fc7c9cf46e02e72fed5.png] [image: f96ebc9321d359898970c467aa9667b6b735548b.png] [image: a334271653245f27be15563c13f0dd0fd354dcf2.png] [image: 35677713f6240a797da39ed71152efb75d60cd27.png] [image: 931dfd6eb0ad48952a987317a9f84c29f4323381.png] [image: f6c87c48dc2e60612537db383e817c12387d9bd3.png] [image: 58691f38d500e14e155faebc25662196bfd7778b.png] [image: d5906c6514de0ac4c7f9e5b4600ccadcd839b4f7.png] [image: 5045d8cd564a5b001ba29e1dc7f6869fea3ba39c.png] [image: c7026a0b5391ebbbc068cc87a0e6bb1ca83fedd8.png]

Понимание вызовов API API (интерфейс прикладного программирования) — это способ взаимодействия одной программы с другой. Вызов API или запрос API — это сообщение, отправляемое на сервер с просьбой предоставить API услугу или информацию. В нашей лабораторной установке, поскольку мы взаимодействуем с Catalyst Center, вызовы API, которые мы выполняем через Postman (клиент), взаимодействуют с конечной точкой API, присутствующей в Catalyst Center, для получения некоторой информации или вызова некоторой услуги (конфигурации) в Catalyst Center. Intent API — это REST API северного направления , который раскрывает определенные возможности платформы Cisco Catalyst Center. RESTful Cisco Catalyst Center Intent API использует HTTPS-глаголы (GET, POST, PUT и DELETE) со структурами JSON для обнаружения и управления сетью. Понимание HTTPS-глаголов, используемых в лаборатории: POST — в этой лабораторной работе мы будем в основном использовать вызовы POST. POST используется для отправки данных на сервер CATALYST CENTER с целью выполнения любых изменений/обновлений конфигурации. GET — мы будем использовать их редко, однако это еще один важный глагол. GET используется для запроса информации из Catalyst Center. Вызовы API Catalyst Center Создание сайтов Первым шагом в настройке автоматизации и обеспечения качества является создание сетевой иерархии. URL https://{{CatalystCenter-ip}}/dna/intent/api/v1/site Заголовки – x-auth-token = {{CatalystCenter_token}} Пример тела запроса — это создаст область с названием «United States» в разделе Global. { «type»: «area», "site": { "area": { "name": "United States", "parentName": "Global" } } } ![Screenshot 2025-09-10 at 8.37.34 PM.png] Пример тела запроса — это создаст область с названием «Нью-Йорк» в разделе «Глобальный/Соединенные Штаты». { «type»: «area», «site»: { "area": { "name": "New York", "parentName": "Глобальный/Соединенные Штаты" } } } ![Screenshot 2025-09-10 at 8.39.34 PM.png] Создание зданий и этажей в разделах «Сайты» Здесь мы создадим здания и этажи под объектами. URL https://{{CatalystCenter-ip}}/dna/intent/api/v1/site Заголовки — x-auth-token = {{CatalystCenter_token}} Пример тела запроса — это создаст здание с названием «Penn Plaza» в разделе «Глобальный/США» { "type": "building", "site": { "area": { "name": "New York", "parentName": "Global/United States" }, «здание»: { «name»: «Penn Plaza», "address": " 250 West 34th Street Manhattan, New York" } } } ![Screenshot 2025-09-10 at 8.41.10 PM.png] Пример тела запроса — это создаст этаж с названием «Floor_2» в «Global/United States/New York/Penn Plaza» { «type»: «floor», "site": { "area": { «name»: «New York», «parentName»: «Global/United States» }, «здание»: { «name»: «Penn Plaza», «адрес»: «250 West 34th Street Manhattan, New York» }, «этаж» : { «name»: «Floor_2», "parentName": "Global/United States/New York/Penn Plaza", «rfModel»: «Кубы и офисы с перегородками», «width»: 100, «length»: 100, «height»: 10 } } } ![Screenshot 2025-09-10 at 8.43.38 PM.png] Создание учетных данных CLI и SNMP для чтения/записи После создания сетевой иерархии нашей следующей задачей является создание учетных данных CLI и SNMP для чтения/записи, которые будут использоваться при обнаружении устройств. Примечание — все вызовы в этом разделе будут вызовами POST . URL — https://{{CatalystCenter-ip}}/dna/intent/api/v2/global-credential Заголовки — x-auth-token = {{CatalystCenter_token}} Пример тела запроса — это создаст учетные данные CLI с именем «admin-cli» и учетные данные SNMPv2 для чтения/записи. { "cliCredential": [ { "description": "admin-cli", "username": "admin", "password": "password", "enablePassword": "password" } ], «snmpV2cRead»: [ { "description": "SNMP read community ", "читающее сообщество": "public" } ], «snmpV2cWrite»: [ { «description»: «SNMP-сообщество записи », "writeCommunity": "private" } ] } ![Screenshot 2025-09-10 at 8.46.52 PM.png] Обнаружение устройств В предыдущем задании мы определили глобальные учетные данные для устройств. Теперь мы будем использовать эти глобальные учетные данные для обнаружения устройств, присутствующих в сети. Мы будем следовать приведенным ниже шагам, чтобы обнаружить устройства в нашей сети. Получение идентификатора CLI Первым шагом будет получение идентификатора CLI глобально настроенных учетных данных CLI, которые мы определили в предыдущем разделе. Мы будем использовать его в процессе обнаружения. Шаг 1. Используйте следующий URL-адрес запроса: https://{{CatalystCenter-ip}}/dna/intent/api/v2/global-credential и добавьте токен в раздел «Headers», как мы делали в предыдущих задачах. Шаг 2. Отправьте запрос. В разделе «Ответ» перейдите к «cliCredentiali» и скопируйте значение ключа «id». Сохраните его в блокноте, так как мы будем использовать это значение в нашем следующем вызове POST. Аналогичным образом скопируйте значение «id» для ключей «snmpV2cRead» и «snmpV2cWrite». Обнаружение устройства URL https://{{CatalystCenter-ip}}/dna/intent/api/v1/discovery Заголовки – x-auth-token = {{CatalystCenter_token}} Пример тела запроса — добавьте идентификатор cli, который мы скопировали в предыдущем вызове API, и замените его в ключе «globalCredentialIdList». { "name": "discover-device-1", "discoveryType": "Range", "ipAddressList": "198.19.1.2-198.19.1.2", "protocolOrder": "ssh", "timeOut": 5, «retryCount»: 3, «globalCredentialIdList»: [ «Добавьте здесь идентификатор CLI!», «Добавьте идентификатор snmp_read», «Добавьте идентификатор snmp_write» ], «preferredMgmtIPMethod»: «UseLoopBack» } Шаг 4 — Нажмите «Отправить». В разделе ответов должен появиться ответ 202 «Принято ». Проверьте, были ли обнаружены устройства В этом разделе мы проверим, были ли обнаружены устройства. Для этого мы воспользуемся другим вызовом API, который будет вызовом GET. Шаг 1. Используйте следующий URL-адрес запроса: https://{{CatalystCenter-ip}}/dna/intent/api/v1/discovery/count и {{CatalystCenter-token}} в качестве токена. Шаг 2. Нажмите «Отправить». В разделе «Ответ» значение, соответствующее ключу «response», должно быть равно количеству заданий обнаружения, выполненных с помощью предыдущего вызова POST. Кроме того, для проверки в графическом интерфейсе перейдите в «Инструменты» > «Обнаружение» > «Просмотреть все обнаружения». ![Screenshot 2025-09-10 at 8.51.28 PM.png] Назначение устройств сайту В последнем разделе мы обнаружили устройства, и они присутствуют в инвентаре как «Неназначенные устройства». Таким образом, нам необходимо назначить их сайтам, прежде чем мы сможем использовать возможности Catalyst Center по автоматизации и обеспечению качества. Получите идентификатор сайта/здания/этажа, к которому будет назначено устройство Первый шаг — получить идентификатор места, где мы собираемся назначить устройство. Шаг 1. Используйте следующий URL-адрес запроса: https://{{CatalystCenter-ip}}/dna/intent/api/v2/site и добавьте токен в раздел «Заголовки». Шаг 2 — В разделе «Ответ» скопируйте значение ключа «id» для конкретного имени иерархии объектов и сохраните его в блокноте, чтобы использовать позже. 2. Получите device-id устройства, которое необходимо назначить Второй шаг — получить deviceID, то есть идентификатор устройства, которое мы пытаемся назначить сайту. Шаг 1. Используйте следующий URL-адрес запроса: https://{{CatalystCenter-ip}}/dna/intent/api/v1/network-device и добавьте токен в раздел «Headers» (Заголовки). Шаг 2. В разделе «Ответ» скопируйте значение ключа «id» для устройства, которое необходимо назначить сайту, и сохраните его для дальнейшего использования. 3. Присвойте устройство этажу URL-адрес — https://{{CatalystCenter-ip}}/dna/intent/api/v1/networkDevices/assignToSite/apply Заголовки — x-auth-token = {{CatalystCenter_token}} Пример тела запроса — добавьте значения ID сайта и ID устройства, которые мы получили в предыдущих разделах, и добавьте их в тело запроса. { "deviceIds": [ "string" ], "siteId": "string" } Выполните вызов API, вы должны получить ответ 202 Accepted в разделе ответа. Чтобы проверить в графическом интерфейсе Catalyst Center, перейдите в раздел Provision > Inventory > {site}, чтобы увидеть, присутствует ли устройство. ![Screenshot 2025-09-10 at 8.55.23 PM.png] Разверните шаблон DayN на устройстве Мы развернем шаблон DayN на обнаруженных устройствах с помощью API шаблонов. Найдите ID шаблона Шаг 1. Используйте следующий URL-адрес: https://{{CatalystCenter-ip}}/dna/intent/api/v2/template-programmer/project. Это будет запрос GET , используйте токен в качестве заголовка, как и для других запросов. Шаг 2. Вы должны получить ответ 200 OK . В теле ответа проверьте название шаблона, скопируйте значение ключа «id» из словаря с названием шаблона — это идентификатор шаблона, который мы будем использовать для его развертывания. Развертывание шаблона на устройстве URL - https://{{CatalystCenter-ip}}/dna/intent/api/v1/template-programmer/template/deploy Заголовки — x-auth-token = {{CatalystCenter_token}} Пример тела запроса — добавьте идентификатор шаблона в тело запроса ниже и выполните вызов AP. { "forcePushTemplate": false, "targetInfo":[ { "id": "198.19.1.2", "type": "MANAGED_DEVICE_IP" } ], "templateId":"Добавьте здесь идентификатор шаблона!" } После выполнения мы получим ответ 202 Accepted . В теле ответа скопируйте идентификатор развертывания: и сохраните его, так как он будет использоваться для проверки статуса развертывания шаблона. Проверка статуса развертывания шаблона Мы проверим, был ли шаблон развернут на устройстве. Шаг 1 — Это будет запрос GET . Используйте следующий URL-адрес. https://{{CatalystCenter-ip}}/dna/intent/api/v1/template-programmer/template/deploy/status/{Deployement-Id} Вместо Deployment-Id вставьте идентификатор развертывания, который вы сохранили из последнего вызова. Шаг 2. Вы должны получить сообщение 202 Accepted . В теле ответа проверьте статус SUCCESS. Если он отсутствует, повторно отправьте запрос, чтобы проверить последний статус. Получение данных Assurance Здесь мы посмотрим, как использовать Assurance API для получения данных о состоянии нашей сети Используйте следующий URL-адрес — https://{{CatalystCenter-ip}}/dna/intent/api/v1/network-device/count, чтобы получить общее количество устройств из CatalystCenter, добавьте токен. Вы должны получить ответ 200 OK. В ответе мы увидим общее количество устройств Используйте следующий URL-адрес — https://{{CatalystCenter-ip}}/dna/intent/api/v1/network-health, чтобы получить данные о состоянии всех сетевых устройств. Используйте следующий URL-адрес — https://{{CatalystCenter-ip}}/dna/intent/api/v1/client-health, чтобы получить данные о состоянии клиентов в сети. Используйте следующий URL-адрес — https://{{CatalystCenter-ip}}/dna/intent/api/v1/issues, чтобы получить информацию о проблемах, влияющих на сеть. ![Screenshot 2025-09-10 at 9.00.23 PM.png] [image: 03ad2a217236098a1e1bae2344f0d44635f76eb0.png] [image: cc617bda7820c6d0d37ac056e6a8e2be5c05afb3.png] [image: 9ad197b0d690374e0016672343a2082aa77150c2.png] [image: 88b04a41412ed65132fdbd667c80c3fc8524c618.png] [image: b9519c148ccf51d63915ad739730181dcb918bc8.png] [image: 087ee16ab39c5093d8c9ecfed4e080d052c72af7.png] [image: 5ac9f903a4d08e6ad6919364cdb43f48c4c08021.png] [image: eea2d341a13cf5e95306e1308bd5d030966fd76a.png]

[Введение] [Что это?] [Отказ от ответственности] [Требования и предварительные условия] [Рабочий процесс:] [Шаг 1. Получите данные об экземпляре Grafana] [Шаг 2. Создайте политику доступа для токена] [Шаг 3. Получите строку токена] [Шаг 4. Получите конечную точку/URL OTLP] [Шаг 5. Создайте интеграцию в портале ThousandEyes] [Шаг 6. Проверьте, что интеграция работает.] [Дополнительные ресурсы] Введение В этой статье описано, как настроить ThousandEyes OpenTelemetry (вкладка «Интеграции 1.0») для передачи данных в Grafana. Что это Интеграция ThousandEyes для OpenTelemetry позволяет передавать телеметрические данные ThousandEyes в формате OpenTelemetry. Это позволяет легко интегрировать данные с такими платформами, как Splunk Observability Cloud, Grafana и т. д. Более подробную информацию о ThousandEyes для OpenTelemetry можно найти здесь . Отказ от ответственности Это было протестировано в контролируемой лабораторной среде в определенных условиях (например, пробная версия Grafana и лицензия ThousandEyes). Однако, поскольку настройки и требования каждого клиента могут различаться, могут возникнуть различные результаты или ошибки. Если у вас возникнут какие-либо проблемы, отправьте запрос в службу поддержки соответствующей команды — ThousandEyes или Grafana. Требования и предварительные условия Сценарий, описанный в этом документе, предполагает наличие предварительных знаний и доступа к правам администратора в следующих продуктах: Grafana Cloud Stack Учетная запись Grafana Cloud Консоль ThousandEyes Рабочий процесс : Шаг 1. Получите сведения об экземпляре Grafana Войдите в Grafana Cloud Stack и перейдите в Grafana Cloud MyTestingLab Управление стеком > Сведения. Найдите и запишите название экземпляра и его ID , вам понадобятся оба этих параметра: ![Pepe1.png] ![Pepe2.png] Примечание : Учетная запись Grafana Cloud (например, https://MyCustomName.grafana.net ) имеет настраиваемый URL-адрес, который будет принимать все данные, отправленные ThousandEyes, а на странице Grafana Cloud Stack отображаются экземпляры всех служб Grafana и другие настройки. Шаг 2. Создание политики доступа для токена В левой части страницы «Управление стеком » перейдите в раздел «Безопасность» > «Политики доступа» и нажмите «Создать политику доступа »: ![Pepe3.png] В следующем окне заполните требуемые данные и разрешения. В этой статье мы использовали следующие разрешения, однако вы можете обновить или изменить права в соответствии со своими потребностями. Для получения более подробной информации см. ссылку «Области действия в Grafana »: ![Pepe4.png] Примечание . Убедитесь, что вы выбрали правильную «сферу», в которой политика применяется в вашей среде Grafana. Если права назначены другой сфере, эта интеграция не будет работать. Примечание . Уделите время тому, чтобы убедиться, что созданная политика доступа Grafana Cloud не представляет угрозу безопасности в вашей среде, в противном случае вам потребуется настроить разрешения и область действия в соответствии с вашими потребностями. Для получения более подробной информации см. официальную документацию по использованию токена политики доступа Шаг 3. Получите строку токена После создания политики доступа необходимо авторизовать интеграцию. На экране «Создать новую политику доступа» нажмите «Добавить токен », присвойте ему имя, выберите «Без срока действия » и нажмите «Создать ». Важное примечание : сохраните строку токена, сгенерированную на этом шаге! Вы не сможете вернуться и получить ее снова. ![Pepe5.png] ![Pepe6.png] Шаг 4. Получите конечную точку/URL OTLP После создания токена нам понадобятся URL-адрес конечной точки и ID экземпляра, которые ThousandEyes будет использовать для отправки данных. Чтобы получить их, перейдите в Grafana Cloud > MyTestingLab > Manage your stack > OpenTelemetry > Configure . Не забудьте записать URL-адрес и ID экземпляра, так как они понадобятся нам на следующем шаге! ![Pepe7.png] ![Pepe8.png] Шаг 5. Создайте интеграцию в портале ThousandEyes Теперь, когда Grafana готова к приему данных, пришло время настроить ее на стороне ThousandEyes! В своей учетной записи ThousandEyes перейдите в раздел Manage > Integrations > Integrations 1.0 New Integration > ThousandEyes for OpenTelemetry и заполните необходимую информацию. ![Pepe9.png] Важное примечание : обязательно добавьте /v1/metrics в конец URL-адреса конечной точки OTLP, который мы сгенерировали на шаге 4. Например: Исходный URL-адрес конечной точки из шага 4 : https://otlp-gateway-prod-us-east-0.grafana.net/otlp URL, который нужно использовать: https://otlp-gateway-prod-us-east-0.grafana.net/otlp/ v1/metrics AuthType : выберите Basic, Password — это ID экземпляра, а пароль — это токен ![Pepe10.png] Нажмите «Сохранить » и убедитесь, что вы получили подтверждение, как показано ниже. Мы почти закончили! ![Pepe11.png] Шаг 6. Убедитесь, что интеграция работает. Чтобы убедиться, что все работает правильно, пришло время проверить! Откройте свою учетную запись Grafana Cloud (например, https://MyCustomName.grafana.net ), чтобы убедиться, что информация поступает из ThousandEyes. Со стороны ThousandEyes статус интеграции будет отображаться как «Ожидание» до завершения подключения, после чего он изменится на «Подключено» (пример ниже). Этот процесс может занять от нескольких минут до нескольких часов. В примере, который мы использовали в этой статье, это заняло около часа. ![Pepe12_.png] Войдите в учетную запись Grafana Cloud, чтобы убедиться, что интеграция работает правильно и ваш экземпляр получает данные, отправленные ThousandEyes. ![Pepe13.png] Дополнительные ресурсы ThousandEyes для OpenTelemetry Grafana — интеграция TE Cisco Devnet — панель управления Grafana ThousandEyes Панель инструментов ThousandEyes Политики доступа к Grafana Cloud [image: b36b02a7b0c632ec71353e9b7687cc5114b5ca59.png] [image: 24b0a5321a8a1439e4016ed3814e35c898cb1d60.png] [image: fe1f57771c45bb94c9158df4f5878b0bcc9b1395.png] [image: c095ce4e936bdbbf32fcfee360dd7aa0b00b79de.png] [image: 601fea5f289af1c7d611eb446871a8fa39c8b6c4.png] [image: e0983dd814df128789b4e372d5b69a53c1be8925.png] [image: d85d365c647c3f228d578d0c8f16b922e9cac216.png] [image: d84e9406ef68f83829d316d64657c840f8d94c74.png] [image: 7e597233162c5c86a41e0d4ef069968c27d6fe16.png] [image: 4b6d9399964e1f0e5a156eef1731d191a2338300.png] [image: 451165a2473e11c1a9f5538ff68596c450898d23.png] [image: 482ba686263186f0e61ec5277a11d3f1721d786b.png] [image: a32f5b8be72c84c42cbc19f396b1d5b67b390455.png]