Parlons du service de visibilité de l’application Cisco DNA Center
Vous voulez savoir quelles applications sont en cours d’exécution sur votre réseau local?
Les réseaux locaux et les réseaux de bureaux régionaux connectent les utilisateurs aux applications. C’est le rôle de l’administrateur de réseau de s’assurer que les utilisateurs ont une expérience exceptionnelle lorsqu’ils accèdent à celles-ci. Pour ce faire, les administrateurs de réseau doivent mettre en place les politiques de qualité de service (QoS) appropriées et avoir une bonne visibilité sur l’intégrité de leur application. On oublie souvent l’importance de détecter correctement les applications en cours d’exécution dans le réseau afin qu’elles puissent être optimisées en fonction des politiques d’entreprise.
Cisco DNA Center peut gérer les trois piliers nécessaires pour offrir une expérience d’application exceptionnelle, à savoir le déploiement des politiques QoS, la mesure de l’intégrité et la visibilité des applications en cours d’exécution dans le réseau. Dans ce blogue, nous nous concentrerons sur la façon dont les innovations dans les commutateurs IOS-XE et Catalyst 9K couplées à un contrôleur centralisé peuvent améliorer la façon de reconnaître les applications dans le réseau.
La reconnaissance des applications par le réseau de nouvelle génération (NBAR2) est un moteur de classification qui reconnaît et classe une grande variété d’applications et de protocoles. Il tire profit de l’inspection approfondie des paquets et peut également reconnaître une grande variété d’applications, y compris celles qui sont cachées dans le trafic chiffré.
Les périphériques réseau Cisco utilisent habituellement des « signatures » NBAR2 pour reconnaître ce qui est exécuté dans le réseau. Les définitions de ces signatures sont regroupées dans ce que nous appelons des ensembles de protocoles (PP), dont le dernier contient environ 1 500 signatures d’application. Cela signifie que les périphériques peuvent détecter ces applications en téléchargeant l’ensemble de protocoles approprié, connu sous le nom d’applications standard.
Bien que le NBAR2 soit un excellent point de départ pour la reconnaissance des applications, il y a encore quelques limites à considérer :
Uniformité : l’administrateur du réseau doit s’assurer que l’ensemble de protocoles est uniforme à l’échelle de l’infrastructure. Autrement, certaines parties du réseau pourraient être en mesure de reconnaître des applications que d’autres parties ne pourraient pas. Dans le diagramme ci-dessous, nous avons des périphériques avec un ensemble de protocoles de la version 48.0.0, tandis qu’un autre périphérique dispose d’un ensemble de protocoles de la version 47.0.0, ce qui signifie que ces périphériques reconnaissent un ensemble d’applications différent.
Applications maison : Même si le NBAR2 peut reconnaître un nombre important d’applications, des applications maison particulières doivent être ajoutées manuellement à la plupart des environnements. Il y a aussi des applications en nuage comme Office 365 avec des URL très dynamiques qui sont modifiées presque chaque semaine,
Chemins asymétriques : Le trafic pourrait également emprunter des chemins asymétriques dans le réseau, ce qui signifie qu’un certain périphérique dans le réseau pourrait constater des caractéristiques différentes du trafic réseau par rapport à un autre appareil.
À partir de Cisco DNA Center 2.1.2, nous avons introduit le service de la visibilité de l’application, une architecture basée sur un contrôleur qui permet aux périphériques compatibles avec NBAR2 de s’interconnecter par un contrôleur centralisé, de partager des données et d’augmenter de façon dynamique l’ensemble de protocoles pour les applications maison et les applications SaaS. Finalement, nous continuons d’exploiter les moteurs NBAR2 et les ensembles de protocoles (PP), mais l’application Cisco DNA Center permet d’améliorer de façon dynamique la signature des applications. Cette technologie est connue sous le nom de visibilité et contrôle de l’application définis par logiciel (SD-AVC) ou CBAR (reconnaissance des applications par le contrôleur).
Donc, comment fonctionne exactement la SD-AVC? Tous les périphériques compatibles avec NBAR2 continuent d’envoyer les règles de classification à l’application Cisco DNA Center. De cette façon, le service SD-AVC de Cisco DNA Center a un aperçu centralisé des applications reconnues par ces périphériques réseau. De plus, le service de visibilité des applications reçoit des renseignements de sources externes faisant autorité, comme le serveur DND Infoblox pour les applications maison et le connecteur Microsoft 365 pour les URL d’Office 365 et les noms de domaines complets (FQDN). Enfin, l’application Cisco DNA Center utilise l’heuristique pour résoudre les hôtes ou les serveurs et importe ensuite des applications personnalisées dans le registre des applications.
Maintenant que Cisco DNA Center a recueilli des renseignements sur les applications à partir de toutes ces différentes sources, il résout les conflits et génère un nouveau fichier de signature dédié (PPDK) qui est extrait par les périphériques réseau. Ce fichier PPDK améliore et augmente le nombre de signatures déjà disponibles avec le NBAR2. Le diagramme ci-dessous décrit la façon dont Cisco DNA Center reçoit les données de périphériques et de sources externes, et crée un PPDK téléchargé par les périphériques afin d’augmenter les applications qui peuvent détectées. De plus, les ensembles de protocoles sont maintenant uniformes entre les périphériques :
En résumé, Cisco a fait beaucoup de progrès en matière d’innovation pour améliorer la reconnaissance des applications dans le réseau. Voici quelques-uns des principaux avantages qu’offre le service de visibilité des applications Cisco DNA Center pour mieux visualiser et gérer vos applications intégrées et personnalisées :
- Il utilise le NBAR2 pour la reconnaissance des applicationsqui a fait ses preuves et a été adopté comme classification de protocole multiplateforme Cisco;
- Il aide à mettre à jour des ensembles de protocoles NBAR2 dans les périphériques réseau, ce qui aide à maintenir l’uniformité;
- Il se connecte à des sources externes comme Infoblox et le connecteur MS Cloud pour apprendre de façon dynamique les applications maison et les plages d’adresses URL et les adresses IP d’Office 365. Le service SD-AVC crée ensuite un PPDK pour améliorer les règles d’application dans le périphérique.
- Il prend en charge la visibilité des applications dans les flux asymétriques.
Accédez à la vidéo ci-dessous pour voir ces concepts prendre vie à l’aide d’une courte démonstration!
Tags:
