تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند إجراء أستكشاف أخطاء تتبع بيانات وحدة رؤية الشبكة (NVM) وإصلاحها في تحليلات الشبكة الآمنة (SNA).
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
تأكد من أن الحساب الظاهري للترخيص الذكي الذي تم تسجيل إدارة SNA عليه، لديه تراخيص نقاط النهاية.
لتأكيد ما إذا كان مجمع تدفق SNA يستلم بيانات تتبع NVM ويدرجها من نقاط النهاية يتم المتابعة كما يلي:
1. سجل الدخول إلى مجمع التدفق عبر SSH أو وحدة التحكم باستخدام بيانات اعتماد الجذر.
2. شغل GREP 'NVM يسجل هذه الفترة:' /lancope/var/sw/today/logs/sw.log أمر.
3. من الإخراج المرتجع، تأكد مما إذا كان مجمع التدفق يقوم بإدخال سجلات NVM ويدرجها في قاعدة البيانات.
ao-fc01-cds:~# grep 'NVM records this period:' /lancope/var/sw/today/logs/sw.log
04:00:01 I-pro-t: NVM records this period: received 0 at 0 rps, inserted 0 at 0 rps, discarded 0
04:05:00 I-pro-t: NVM records this period: received 0 at 0 rps, inserted 0 at 0 rps, discarded 0
04:10:00 I-pro-t: NVM records this period: received 0 at 0 rps, inserted 0 at 0 rps, discarded 0
04:15:00 I-pro-t: NVM records this period: received 0 at 0 rps, inserted 0 at 0 rps, discarded 0
من هذا الإخراج يبدو أن مجمع التدفق لم يستلم أي سجلات NVM على الإطلاق، ومع ذلك يجب عليك تأكيد ما إذا تم تكوينه للاستماع إلى بيانات تتبع NVM.
1. سجل الدخول إلى واجهة مستخدم مسؤول مجمع التدفق (UI).
2. انتقل إلى الدعم > إعدادات متقدمة.
3. تأكد من تكوين السمات المطلوبة بشكل صحيح:
SNA الإصدار 7.3.2 أو 7.4.0
===================
ملاحظة: تأكد من أن المنفذ الذي تم تكوينه هو منفذ غير محجوز وليس 2055 أو 514 أو 8514. إذا كانت القيمة التي تم تكوينها هي "0"، يتم تعطيل الميزة.
ملاحظة: إذا لم يتم عرض حقل، قم بالتمرير إلى أسفل الصفحة. انقر فوق حقل إضافة خيار جديد. لمزيد من المعلومات حول الإعدادات المتقدمة في مجمع التدفق، راجع موضوع التعليمات على الإنترنت للإعدادات المتقدمة.
SNA، الإصدار 7.4.1
==============
ملاحظة: تأكد من أن المنفذ الذي تم تكوينه هو منفذ غير محجوز وليس 2055 أو 514 أو 8514.
ملاحظة: إذا لم يتم عرض حقل، قم بالتمرير إلى أسفل الصفحة. انقر فوق حقل إضافة خيار جديد. لمزيد من المعلومات حول الإعدادات المتقدمة في مجمع التدفق، راجع موضوع التعليمات على الإنترنت للإعدادات المتقدمة.
4. بمجرد تكوين الإعدادات المتقدمة على مجمع التدفق بشكل صحيح، تحقق مما إذا كان القياس عن بعد قد تم إستخدامه الآن، باستخدام نفس الإجراء كما هو موضح في قسم التحقق من تتبع NVM.
5. إذا كان تكوين نقطة النهاية مع AnyConnect NVM والإعدادات الموجودة على مجمع التدفق صحيحا، فيجب أن يعكسه ملف sw.log:
ao-fc01-cds:~# grep 'NVM records this period:' /lancope/var/sw/today/logs/sw.log
04:35:00 I-pro-t: NVM records this period: received 78 at 0 rps, inserted 78 at 0 rps, discarded 0
04:40:00 I-pro-t: NVM records this period: received 66 at 0 rps, inserted 66 at 0 rps, discarded 0
04:45:00 I-pro-t: NVM records this period: received 91 at 0 rps, inserted 91 at 0 rps, discarded 0
04:50:00 I-pro-t: NVM records this period: received 80 at 0 rps, inserted 80 at 0 rps, discarded 0
6. إذا كان مجمع التدفق لا يزال لا يدخل سجلات NVM، فتحقق مما إذا كان مجمع البيانات يستلم الحزم على الواجهة، وعلى أي حال، تأكد من أن تكوين نقاط النهاية صحيح.
يمكنك نشر وحدة الشبكة الخاصة الظاهرية (NVM) الخاصة ب AnyConnect بإحدى الطريقتين: أ) wمع حزمة AnyConnect أو (ب) معمع حزمة NVM المستقلة (على سطح المكتب AnyConnect فقط).
التكوين المطلوب هو نفسه لكل من عمليات النشر، حيث يكمن الفرق في تكوين "اكتشاف الشبكة الموثوق بها".
حدد موقع ملف تعريف NVM المستخدم من قبل نقطة النهاية وتأكد من إعدادات تكوين مجمع.
موقع ملف تعريف NVM:
ملاحظة: يجب أن يكون اسم ملف تعريف NVM هو NVM_ServiceProfile، وإلا فشلت "وحدة رؤية الشبكة" في تجميع البيانات وإرسالها.
يعتمد محتوى ملف تعريف NVM على التكوين الخاص بك، ومع ذلك فإن عناصر ملف التعريف ذات الصلة ب SNA يتم تعليمها بالخط الغامق. تأكد من مراجعة الملاحظات بعد مثال ملف تعريف NVM:
2
10.1.0.250
2030
false
5
5
500
all
false
false
ملاحظة: تأكد من أن المنفذ الذي تم تكوينه هو منفذ غير محجوز وليس 2055 أو 514 أو 8514. يجب أن يكون المنفذ الذي تم تكوينه في ملف التعريف هذا هو نفسه المنفذ الذي تم تكوينه في مجمع التدفق.
ملاحظة: تأكد من أنه إذا كان ملف تعريف NVM يحتوي على عنصر XML الآمن، فسيتم تعيينه على false، وإلا فسيتم تشفير التدفقات باستخدام DTLS ولا يمكن لمجمع التدفق معالجتها.
ترسل الوحدة النمطية لإمكانية رؤية الشبكة معلومات التدفق فقط عندما تكون على الشبكة الموثوق بها. وبشكل افتراضي، لا يتم تجميع أية بيانات. يتم تجميع البيانات فقط عند تكوينها على هذا النحو في ملف التعريف، ويستمر تجميع البيانات عند توصيل نقطة النهاية. إذا تم التجميع على شبكة غير موثوق بها، يتم تخزينها مؤقتا وإرسالها إلى المجمع عندما تكون نقطة النهاية على شبكة موثوق بها. يحتاج مجمع تدفق تحليلات الشبكة الآمنة إلى تكوين إضافي لكي يقوم بمعالجة التدفقات المخزنة مؤقتا (راجع تكوين مجمع التدفق للتدفقات المخزنة مؤقتا خارج الشبكة للتكوين المطلوب).
يمكن تحديد حالة الشبكة الموثوق بها من خلال ميزة النطاق الترددي العريض (TND) لشبكة VPN (التي تم تكوينها في ملف تعريف شبكة VPN) أو من خلال تكوين النطاق الترددي العريض (TND) في ملف تعريف NVM:
ملاحظة: لا يعد هذا خيارا لعمليات نشر NVM المستقلة.
1. حدد موقع ملف تعريف VPN المستخدم من قبل نقطة النهاية وتأكد من إعدادات نهج VPN التلقائي التي تم تكوينها
موقع ملف تعريف VPN:
في هذا المثال، يسمى ملف تخصيص VPN ACSNAProfile.
2. قم بتحرير ملف التخصيص باستخدام محرر نصوص وحدد مكان العنصر AutoVPNPolicy. تأكد من صحة النهج الذي تم تكوينه للكشف الناجح عن الشبكة الموثوق بها. في هذه الحالة:
...
true *.cisco.local
DoNothing Connect false
ملاحظة: بالنسبة لاتصال NVM: في حالة تعيين كل من نهج الشبكة الموثوق به ونهج الشبكة غير الموثوق به على عدم القيام بأي شيء، يتم تعطيل اكتشاف الشبكة الموثوق بها من ملف تعريف VPN.
حدد موقع ملف تعريف NVM المستخدم من قبل نقطة النهاية وتأكد من صحة إعدادات قائمة الخوادم الموثوق بها التي تم تكوينها.
موقع ملف تعريف NVM:
...
10.64.0.32 443 C6EF32AAAAAAAAAA26C4BB6829AD2809B5175C9437A7D085A31FA60000000000
</NVMProfile>
ملاحظة: يتم إرسال تحقيق SSL إلى وحدة الاستقبال والبث الموثوقة التي تم تكوينها، والتي تستجيب مع شهادة، إذا كان الوصول إليها ممكنا. بعد ذلك يتم إستخراج بصمة الإبهام (تجزئة SHA-256) ومطابقتها مع مجموعة التجزئة في محرر ملف التعريف. يدل التطابق الناجح على أن نقطة النهاية في شبكة موثوق بها، ومع ذلك، إذا كان وحدة الاستقبال والبث غير قابل للوصول، أو إذا لم تتطابق تجزئة الشهادة، عندئذ تعتبر نقطة النهاية في شبكة غير موثوق بها.
ملاحظة: الخوادم الموثوق بها خلف الوكلاء غير مدعومة.
يمكنك تجميع التقاط حزمة على محول شبكة نقطة النهاية للتحقق من إرسال التدفقات إلى مجمع التدفق.
أ. إذا كانت نقطة النهاية على شبكة موثوق بها ولكنها غير متصلة بشبكة VPN، فيجب تمكين الالتقاط على محول الشبكة الفعلي.
في هذه الحالة، يشير عميل AnyConnect إلى أن نقطة النهاية على شبكة موثوق بها، مما يعني أن التدفقات يتم إرسالها إلى مجمع التدفق الذي تم تكوينه عبر المنفذ الذي تم تكوينه من خلال محول الشبكة المادية لنقطة النهاية، كما يمكننا أن نرى في نافذة AnyConnect ونافذة Wireshark المعروضة بعد ذلك.
ب. إذا كانت نقطة النهاية متصلة بشبكة AnyConnect VPN، فإنها تعتبر تلقائيا موجودة على الشبكة الموثوق بها، لذلك يجب تمكين الالتقاط على محول الشبكة الظاهرية.
ملاحظة: في حالة تثبيت وحدة VPN النمطية وتكوين TND في ملف تعريف وحدة رؤية الشبكة، تقوم الوحدة النمطية لإمكانية رؤية الشبكة بتنفيذ اكتشاف شبكة موثوق به حتى داخل شبكة VPN.
يشير عميل AnyConnect إلى أن نقطة النهاية متصلة بشبكة VPN، مما يعني أن التدفقات يتم إرسالها إلى مجمع التدفق الذي تم تكوينه عبر المنفذ الذي تم تكوينه من خلال محول الشبكة الظاهرية لنقطة النهاية (نفق VPN)، كما يمكننا أن نرى في نافذة AnyConnect ونافذة Wireshark المعروضة بعد ذلك.
ملاحظة: يجب أن تتضمن تكوين "النفق المقسم" لملف تعريف VPN الذي يتم توصيل نقطة النهاية به عنوان IP الخاص بمجمع التدفق، وإلا فلن يتم إرسال التدفقات عبر نفق VPN.
c. إذا لم تكن نقطة النهاية على شبكة موثوق بها، فلن يتم إرسال التدفقات إلى مجمع التدفق.
هناك حاليا إثنان من العيوب المعروفة التي يمكن أن تؤثر على عملية تتبع بيانات تتبع إستخدام NVM على تحليلات الشبكة الآمنة:
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
22-Jun-2022 |
الإصدار الأولي |