NBAR2 سیسکو چیست و چه کاربردی دارد؟ Network Based Application Recognition 2 یا NBAR2 قابلیتهای Native و Stateful مربوط به Deep Packet Inspection یا DPI را فراهم میکند. NBAR2 نسل بعدی NBAR بوده و موتور شناسایی برنامههای کاربردی آن ارتقاع یافته تا بتواند بیش از 1000 برنامه کاربردی را تحت پشتیبانی قرار دهد.
قابلیت های NBAR2
- طبقهبندی برنامههای کاربردی به عبارات معنادار مانند Category، Subcategory، application Group و غیره. این امر پیکربندی کنترل و جمعآوری گزارشات را آسان میکند.
- فرآیند Field Extraction دادهها مانند HTTP URL، دامین SIP، Mail Server و غیره. اطلاعات Export شده برنامه کاربردی میتواند جهت طبقهبندی مورد استفاده قرار گیرد یا برای طراحی گزارش توسط IPFIX به Collector، Export شود.
- شناسایی قابل تنظیم برنامههای کاربردی براساس Portها، مقادیر Payload یا URL/Host ترافیک HTTP.
- مجموعه ویژگیهای هر پروتکل میتوانند تنظیم شوند.
با NBAR2 Protocol Packs ،Signatureهای جدید و بروزرسانی شده برنامه کاربردی میتوانند بدون ارتقاع Image نرمافزار به Router بارگزاری شوند. Packهای پروتکل اصلی که Signatureهای جدید و بروزرسانی شده را فراهم میکنند بصورت دورهای منتشر میشوند. Packهای پروتکل ثانویه ما بین نسخههای اصلی منتشر شده و بروزرسانیها و اصلاح Bugها را ارائه میدهند.
برای مشاوره رایگان و یا راه اندازی Splunk/SIEM و مرکز عملیات امنیت SOC با کارشناسان شرکت APK تماس بگیرید |
علاوه بر پروتکلهایی که برنامه کاربردی که از قبل تعریف شدهاند، میتوان شناسایی و تعریف برنامههای کاربردی را براساس Portها، مقادیر Payload یا URL/Host ترافیک HTTP تعریف نمود. ویژگیهای پروتکل از جمله Categorization برنامه کاربردی، Sub-Categorization، Application Group و غیره را نیز تنظیم نمود.
Metric Mediation Agent
پلتفرمهای Cisco IOS XE | پلتفرمهای Cisco IOS |
اضافه شده در نسخه 3.8S | اضافه شده در نسخه 15.4(1)T پیش از این نسخه، Cisco AVC از Measurement, Aggregation, and Correlation Engine یا MACE در پلتفرمهای Cisco IOS استفاده نمود. با شروع به کار نسخه جدید، MMA جایگزین عملکرد MACE میگردد. AVC به پشتیبانی از MACE ادامه میدهد اما به کاربران توصیه میشود تا MMA را اتخاذ کنند. |
Metric Mediation Agent یا MMA معیارها را از ارائه دهندگان مختلف جمعآوری، همبسته و مدیریت کرده و قابلیتهای زیر را فراهم میسازد:
- Policy فیلترینگ و مانیتورکردن ترافیک را کنترل مینماید.
- دادههای ارائهدهندگان معیار یا Metric Providerها را در یک رکورد همبسته میسازد.
- از عملکردهای هشدار و History پشتیبانی میکند. این امر نیازمند ارسال رکوردهای معیار به پردازنده Route یا RP پیش از Exportکردن آنها به ابزارهای مدیریتی و گزارش دهی است.
منظور از Metric Providerها در توضیح NBAR2 سیسکو چیست؟
در توضیح NBAR2 سیسکو چیست باید گفت این ارائه دهندگان، معیارها را جمعآوری و محاسبه نموده و آنها را جهت همبستگی به Metric Mediation Agent یا MMA ارائه میدهند. انواع مختلفی از ارائه دهندگان معیار وجود دارد: برخی از آنها معیارهای ساده و Stateless را برحسب هر Packet جمعآوری میکنند در صورتی که ارائه دهندگان پیچیدهتر حالتها را پیگردی نموده، معیارها را برحسب جریان جمعآوری کرده و آنها را به هنگام Exportگیری تغییر داده و محاسبات پیچیدهای را انجام میدهند. ممکن است این تغییرات نیازمند ارسال رکوردها به RP پیش از Exportکردن معیارها به سیستم مدیریتی و گزارشی باشد. MMA چندین ارائه دهنده معیار مختلف را در یک رکورد یکسان کمپایل میکند.
Netflow/IPFIX یک استاندارد صنعتی برای کسب دادههای عملیاتی از شبکههای IP جهت فعالسازی برنامهریزی شبکه، مانیتور کردن تحلیلات ترافیک و IP Accounting است. Flexible NetFlow یا FNF تنظیم کردن پارامترهای تحلیل ترافیک را طبق الزامات خاصی ممکن میسازد. راهکار AVC با NetFlow v9 (RFC-3954) و IPFIX (RFC-5101) تطبیقپذیر است.
Cisco Quality of Service یا QoS الویتبندی، شکلدهی و Rate-Limit کردن ترافیک را ممکن میسازد. QoS میتواند برنامههای کاربردی اختصاصی را در Class/Queueهای خاص QoS قرار دهد. این امر باعث میشود:
- قرار دادن ترافیک با الویت بالا و حساس نسبت به تاخیر در Queue الویت.
- تضمین حداقل پهنای باند برای هر یک از برنامههای کاربردی یا گروهی از آنها که درون ترافیک QoS هستند.
علاوه بر آن QoS میتواند برای Policing یا مدیریت برنامههای کاربردی غیرسازمانی و تفریحی مانند Youtube و Facebook نیز استفاده شود.
راهکار AVC عملکرد QoS را با NBAR2 یکپارچه ساخته و QoS میتواند اطلاعات برنامههای کاربردی ارائه شده از NBAR2 را در ترافیک شبکه مدیریت مورد استفاده قرار دهد. Statementهای Class-Map مربوط به QoS میتوانند تطابق با برنامههای کاربردی تحت پشتیبانی NBAR2 و Fieldهای برنامه کاربردی L7 مانند HTTP URL یا Host و همچنین ویژگیهای NBAR2 را فعال کنند. Statementهای Class-Map میتوانند همراه با تمامی ویژگیهای QoS قدیمی مانند IP، Subnet و DSCP حضور همزمان داشته باشند.
قابلیت Embedded Packet Capture
پلتفرمهای Cisco IOS XE | پلتفرمهای Cisco IOS |
اضافه شده در نسخه 3.8S | موجود نیست |
Embedded Packet Capture یا EPC قابلیت Captureکردن کل ترافیک را برای یک نوع ترافیک خاص فعال میکند و این امر تنها توسط حافظه در دسترس محدود میگردد. سیستم گزارشدهی و مدیریت میتواند Packetهای Capture شده را به عنوان فایل Packet Captured یا pcap بخواند.
Common Flow Table در NBAR2 سیسکو چیست و چه کاربردی دارد؟
Common Flow Table یا CFT اتصالات L4 را مدیریت نموده و ذخیره و بازیافتن حالات را برای هر جریان ممکن میسازد. استفاده از یک جدول جریان رایج استفاده از حافظه سیستم را بهبود بخشیده و تنها با یکبار ذخیره و اجرای دادهها عملکرد هر جریان را تقویت میکند. CFT مدیریت جریان را در تمامی سیستم استانداردسازی میکند.
Cisco AVC و سیستمهای مدیریت و گزارشدهی
Cisco AVC با انواع مختلفی از سیستمهای مدیریتی و گزارشی کار میکند.
- Cisco Prime Infrastructure Management and Reporting
- راهکارهای Third-Party گزارشدهی و مدیریت: Cisco از طریق Cisco Developer Network راهکارهای AVC را تایید میکند و برای مشاهده لیست راهکارهای مدیریتی Third-Party باید به Cisco Developer Network Solutions Catalog مراجعه نمود:
- ابتدا باید به آدرس http://marketplace.cisco.com/catalog مراجعه کرد.
- سپس Technology را انتخاب نمود.
- در لیست Technology قسمت Application Visibility and Control انتخاب نمود.
- و در نهایت بر روی Find Solution کیک کرد. یک لیست از راهکارها ظاهر میشوند و لوگوی Cisco Compatible نشان دهنده این است که این راهکارها تست تطابق با AVC را گذراندهاند.
Cisco Prime Infrastruct در NBAR2 سیسکو چیست و چه کاربردی دارد؟
Cisco Prime Infrastructure جهت بهبود فرآیند عیبیابی، مدیریت چرخه عمر زیرساخت و قابلیت دید End-to-End به سرویسها و برنامههای کاربردی را برای کاربران فراهم میکند. این قابلیت مراحل مختلف چرخه عمر راهکار را از مرحله طراحی تا مرحله مانیتورکردن و عیبیابی ترکیب میکند. برای پیکربندی، Cisco Prime Infrastructure دارای یک GUI آمادهسازی و Templateهای داخلی جهت فعالسازی قابلیتهای AVC در تجهیزات شبکه است.
برای مانیتور کردن، Cisco Prime Infrastructure از اطلاعات مفیدی که زیرساخت شبکه فراهم میسازد استفاده میکند؛ مانند Routerها، و همچنین جهت مانیتور کردن شبکه و عملکرد برنامه کاربردی، به مدیران شبکه یک ابزار واحد ارائه میدهد. مدیران شبکه میتوانند از Cisco Prime Infrastructure استفاده کنند تا بجای دید کلی سازمانی به شبکه، از دید جزئیتر در مقیاس هر کاربر در سایت بهره ببرند تا بتوانند بطور فعال و آینده نگرانه مشکلات عملکردی شبکه و برنامه کاربردی را مانیتور نمایند.
بیشتر بخوانید: کشف یک آسیبپذیری در Cisco Prime Infrastructure
تعاملپذیری AVC با سایر سرویسها
AVC شرکت Cisco با بسیاری از سرویسها و ویژگیهای Routerها تعاملپذیر است،از آن جمله می توان بهتعاملپذیری AVC با AppNav WAAS اشاره کرد.
پلتفرمهای Cisco IOS XE | پلتفرمهای Cisco IOS |
اضافه شده در نسخه 3.8S | موجود نیست |
شکل زیر نشاندهنده یک سناریو پیادهسازی برای Cisco AVC بوده و یکپارچگی با WAAS و ترکیبی از ترافیک بهینهسازی شده و Pass-Through را نشان میدهد.
منظور از رابط کاربری دارای WAAS فعال در NBAR2 سیسکو چیست؟
Cisco Wide Area Application Services یا WAAS بهینهسازی WAN و شتابدهی به برنامههای کاربردی را فراهم میسازد. راهکار Cisco AVC ارتباط نزدیکی با Cisco WAAS داشته و عملکرد را در ترافیکهای بهینهسازی شده و بهینهسازی نشده گزارش میدهد.
نقاط پیشنهادی مانیتورکردن WAAS
شکل زیر دو موقعیت را برای جمعآوری معیارها نشان میدهد، موقعیت مانیتور کردن در رابط کاربری WAN، معیارها را برای ترافیکهای بهینهسازی شده و بهینهسازی نشده جمعآوری میکند. موقعیت مانیتورکردن در رابط کاربری مجازی بهینه نشده، معیارها را برای ترافیک بهینهنشده جمعآوری مینماید.
به دلیل آنکه ممکن است از ترافیک بهینهشده دوبار Export گرفته شود پیش و پس از WAAS، یک بخش جدید به نام ervicesWaasSegment در طی رکورد Export میشود تا نوع ترافیک را در موقعیت مانیتورکردن توضیح دهد. جدود زیر تعاریف بخشها را نشان میدهد.
AppNav “servicesWaasSegment” Field Values
مقدار | توضیحات |
0 | Unknown |
1 | Client unoptimized |
2 | Server optimized |
4 | Client optimized |
8 | Server unoptimized |