数据采集分析
Apic-em
分析
DNA架构网络服务的组成,包括IWAN、SD-Access(安全ise vxlan trustsec、自动化pnp)、Assurance、ISE、自动化(通过APIC-EM)、Easy QoS(APIC-EM上的应用)、DNA-Center(统一图形化界面)、分析系统NDP(Tesseract)等。
传输来源 |
交换机、路由器、无线ap、无线ac(WLC)、防火墙(FW),LB(Load Balance)、IOT设备-传感器(sensor)、终端(AnyConnect 客户端) DHCP服务器、AAA服务器、DNS服务器、LDAP服务器、(topology location inventory policy)服务器、IT服务管理系统(ITSM) IT Financial Management (ITFM) |
传输信息 |
flow(src ip,dst ip,src port,dst port,dscp,interface,protocol,start time,end time,packets,bytes)RSSI、cpu,memory,traffic(packets,bytes,loss,rtp jitter),认证过程信息from AAA、IP发配过程信息from DHCP |
传输协议 |
NetFlow、Flexible NetFlow、IPFIX、Syslog、SNMP、RMON、PnP协议、DHCP、DNS、蓝牙蓝牙低功耗(BLE)协议、streaming telemetry、netconf,restconf,grpc,cdp,ssh,telnet,steam telemetry(基于netconf的订阅模式) |
传输介质 |
ethernet, wifi, Bluetooth |
几个主要数据采集应用功能点
- NBAR2
在CSR 1000V、ISR 4300/4400、ASR 1000、ASA、WLC、CATALYST3650/3850/9000上支持,其中CATALYST是基于UADP2.0,ASR是基于QuantumFlow 处理器(QFP)
The QFP is an advanced, multi-core, feature-rich routing silicon found in the ASR platforms and the UADP processor, now in its 2.x version, provides a high-performance programmable switching silicon found in the Catalyst 3K, Catalyst 9K, Catalyst 4K
NBAR2技术,基于报文,使用DPI,从3层到7层数据分析,识别1400+种应用(NBAR只有150种左右),有粗粒度和细粒度,区别在于解析深度不同,前者节省内存,但分类会更粗糙,甚至不准确
采集信息包括:应用名称、类型、是否p2p、是否加密、是否隧道、字节数、报文数、接口索引、DSCP、应用响应时间(最大、最小、平均)(客户端到服务器、服务器到客户端、网络延迟)、重传计数、事物计数、延迟响应计数、各种时间段响应计数、丢包数、抖动、预定义字段:HTTP: URL, host, user-agent, referrer. / SMTP: server, sender. / POP3: server./ NNTP: group-name. / SIP: source, destination. / RTSP: host.
- FNF-NBAR(Flexible NetFlow for NBAR)
支持将采集数据通过FNF导出,用于AVC和第三方开发。Cisco Prime Infrastructure接收上述数据进行分析,生成应用和性能报告、系统预测、配置提醒、协助故障定位、应用优先级带宽。
可用于:
流量统计(每站点、每客户应用排名,每个应用用户排名)
URL可视化(常访问网站)
性能分析(应用响应时间,延迟,事务时间,延迟丢包抖动,ART将应用程序交付路径分割成多个部分,可观察每个应用的延迟)
结合QOS配置(easy-qos,基于应用对流量设置优先级)
- PFR-NBAR(v3版本,归属i-WAN)
采集报文,端口统计值,计算负载,吞吐量,reachability(repeated tcp sync without ack), delay(rtt:tcp sync,tpc ack), loss(tcp seq),cost, jitter, and Mean Opinion Score (MOS),具体涉及2种方式:被动监控:使用NetFlow技术,当流经过设备的时候,抓取目标流并测量其性能指标:reachability, delay, bandwidth(吞吐), loss;主动监控:使用cisco集成的IP SLA技术,主动创建一系列的合成流,代替目标流进行指标测量:Delay,Reachability,Jitter,MOS. TCP、UDP、Jitter需要ip sla responder
目的:根据应用需求(依赖nbar2)和当前网络性能特征选最优路,有别于传统路由协议基于最短路径和最小cost选路,计算方法:管理员提供政策指导,以及数据和智能分析
被动法采集数据
●WAN out-bound performance (traffic exiting from an enterprise): Delay, loss, reachability, throughput, jitter, and MOS
●WAN in-bound performance (traffic arriving into an enterprise): Delay, loss, reachability, and throughput
●WAN and Internet path parameters: Reachability, throughput, load, and link usage cost
主动法采集数据:对感兴趣业务流创建一个复本以衡量综合业务量的性能指标; 使用Cisco集成IP SLAs技术(Delay\Reachability\Jitter\MOS P.800 (MOS) and P.861)
应用在wan边缘、internet边缘
得到数据有:延时、丢包、可达性、吞吐量、抖动、MOS(平均意见得分)、链路使用情况。通过应用类型、性能、策略和链路状态动态控制转发策略。可以智能的在所有可用的带宽上进行负载均衡。
- PNP(归属APIC-EM)
零配置部署,运行在思科设备上的代理程序,用于设备安全性接入,与思科PNP服务器通信,让新增设备能够无缝嵌入到环境中;通过dhcp,dns,蓝牙方式进行设备初始化连接,发现pnp服务器,然后开始tls交互。
步骤1:中心管理员输入设备的信息、启动配置(使能PNP代理,通信接口、静态IP)、完整配置、ios镜像信息
步骤2:安装人员将移动设备连接上设备串口,把启动配置注入设备。(如果设备到服务器3层是连通的,无需这边)
步骤3:设备内部的PNP代理,通过带option的dhcp,或dhcp snp添加option,或NAPP邻居辅助配置协议,发现PNP服务器ip地址。
步骤4:一旦PNP代理发现PnP服务器,代理就会在传输层安全(TLS)握手中与服务器通信。服务器根据每台设备序列号识别设备,之后,预先针对每台设备设置好的配置会自动从APIC-下发到该设备上。
- ETA-NBAR(归属Stealthwatch)
在9x00(UADP)、isr、asr上支持
提取数据流的特征,结合标签使用随机森林算法学习分类,特征要素包括:
1) 数据流的前几个报文的数据包长度(数据包应用载荷的字节数,16位整数值)以及报文发送间隔时间顺序(毫秒,16位整数值)。
2) 数据包字节分布,通过字节分布可以发现一个特定的字节数值在报文载荷中出现的频率。每个频繁为16位整数值。
3) TLS特征,包括TLS记录、TLS记录长度、TLS记录时间间隔、TLS内容类型、TLS握手类型、TLS密码套件、TLS扩展、 TLS扩展长度、TLS扩展类型、TLS版本、客户端的公钥长度、TLS会话ID、TLS hello报文中观察到的随机值。
4) 初始数据包,获取数据流的第一个报文内容(从IP报文首部开始),可以提前关键数据。这一明文数据包可能包含加密相关的宝贵数据,如加密采用的HTTP URL、DNS主机名、TLS版本、算法、证书、TLS扩展选项等
- FLOW分析(归属Stealthwatch)
异常检测:基于NAAS(网络作为传感器),使用时间戳,每秒报文数,每秒字节数,每流报文数,流持续时间,SYN数,unseen traffic,等90种维度数据(双向),进行分析发现异常,并基于思科30年知识库来提供建议。
异常发现是通过2种途径,一种基于政策,比如医疗终端只能和服务器通信,这种不细述;一种是基于算法,比如观察用户行为模式,具体的就是先收集一段时间数据,以此为基准构建正常范式(例如某个主机是普通pc还是服务器,以及其具体流量模式),然后开始进行监测,结合算法(具体算法暂未找到,但有类似实现参考资料)来发现outliers和anomalies。这里是基于一种假定,就是用户网络流量总是遵循某些规律,比如白天流量比夜间高,比如服务器基本只会和客户端通讯,某些服务器之间基本不会通讯。学习期间,需要保证2点,收集的数据是正常的(避免漏报),收集的数据是充分的(避免误报)。
可以发现的异常有:超大流量;单个用户下载导致大流量;识别出连接恶意网络的设备;端口扫描流量;不同DDOS攻击类型;特定时间或区域的异常流量;超过均数的初始化连接请求;安静的长时间流;大容量的email;94+种安全事件;
- 其他:nbra2的性能,pc端实现的性能对标
- Easy-qos?基于nbar?
性能分析
|
|
Catalyst 9300(可堆叠接入交换机) |
Catalyst 9400(模块化接入交换机) |
Catalyst 9500(非模块化汇聚或核心交换机) |
|
|
|
|
|
|
容量 |
FNF表项 |
最多128000条流表项 |
384K(ipv4)/192K(ipv6) |
512K |
最多48000 |
|
128,000 |
1024K |
1024K |
|
Apicem
部署条件 |
64-bit x86 |
CPU (cores): 6 |
|
CPU speed: 2.4 GHz |
|
RAM: 64 GB (Single Node), 32 GB (Per Host for Multi-Node) |
|
Storage: 500 GB |
|
RAID level: Hardware-based RAID at RAID level 10 |
|
Disk I/O speed: 200 MBps |
|
Network adapter: 1 or more |
|
Web access required:https |
|
Java 1.7 |
|
Linux 操作系统和 vSphere 5.x 虚拟机监控程序 |
Stealthwatch 控制台
网络 |
|
|
1 个管理端口:10/100/1000BASE-TX |
|
数据库容量 |
|
|
1 TB(RAID 6 冗余) |
2 TB(RAID 6 冗余) |
支持流收集器容量 |
|
最多5台 |
5 |
25 |
流存储容量 |
|
1 TB |
1 TB |
2 TB |
流收集器
|
每秒最大流数 |
|
30K |
60K |
120K |
240K |
30K |
30K |
最大导出设备或路由器数量 |
|
500 |
1000 |
2000 |
4096 |
1000 |
1000 |
|
流存储 |
|
1 TB |
2 TB |
4 TB |
8 TB |
1 TB |
1 TB |
流传感器
|
吞吐量 |
1.0 Gbps(512 B) |
2.5 Gbps(512 B) |
5.0 Gbps(512 B) |
20.0 Gbps(512 B) |
|
|
|
管理端口 |
|
1 个端口:10/100/1000BASE-TX |
|
|
||||
监控端口 |
|
3 个端口:10/100/1000BASE-TX |
5 个端口:1 GB(5 个铜端口或3 个铜端口和 2 个光纤端口); |
2 个端口:10 GB, |
4 个端口:10 GB, |
|
|
Nbar2性能
PI
SCE
安全报文分析器
ETA
Stealthwatch中Netflow部署模式