网络分析模块部署指南 部署 无边界 IBA
advertisement
IBA 无边界 网络 部署 指南 网络分析模块部署指南 智能业务平台IBA 2012年8月系列 前言 本指南的目标受众 如何阅读命令 Cisco®智能业务平台(IBA)指南主要面向承担以下职务的读者: •需 要撰写思科IBA实施项目工作说明书的项目经理 许多思科IBA指南详细说明了思科网络设备的配置步骤,这些设备运行着Cisco IOS、 Cisco NX-OS或其他需要通过命令行界面(CLI)进行配置的操作系统。下 面描述了系 统命令的指定规则,您需要按照这些规则来输入命令: •需 要销售新技术或撰写实施文档的销售合作伙伴 在CLI中输入的命令如下所示: •需 要用标准程序来实施方案时的系统工程师 •需 要课堂讲授或在职培训材料的培训人员 一般来说,您也可以将思科IBA指南作为增加工程师和项目实施统一性的指导文 件,或利用它更好地规划项目成本预算和项目工作范围。 版本系列 思科将定期对IBA指南进行更新和修订。在开发新的思科IBA指南系列时,我们将 会对 其进行整体评测。为确保思科IBA指南中各个设计之间的兼容性,您应当使 用同一系列 中的设计指南文档。 每一个系列的Release Notes(版本说明)提供了增加和更改内容的总结。 所有思科IBA指南的封面和每页的左下角均标有指南系列的名称。我们以某系列 指南发 布时的年份和月份来对该系列命名,如下所示: 年 月 系列 configure terminal 为某个变量指定一个值的命令如下所示: ntp server 10.10.48.17 包含您必须定义的变量的命令如下所示: class-map [highest class name] 以交互示例形式显示的命令(如脚本和包含提示的命令)如下所示: Router# enable 包含自动换行的长命令以下划线表示。应将其作为一个命令进行输入: wrr-queue random-detect max-threshold 1 100 100 100 100 100 100 100 100 系统输出或设备配置文件中值得注意的部分以高亮方式显示,如下所示: interface Vlan64 ip address 10.5.204.5 255.255.255.0 例如,我们把于2011年8月发布的系列指南命名为: “2012年8月系列” 问题和评论 您可以在以下网址查看最新的IBA指南系列: 如果您需要评论一个指南或者提出问题,请使用 IBA反馈表。 http://www.cisco.com/go/cn/iba 2012年8月系列 如果您希望在出现新评论时获得通知,我们可以发送RSS信息。 前言 目录 网络分析模块部署指南. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 网络分析简介. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 业务概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 技术概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 部署详情 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 为NAM Web用户身份验证准备Cisco ACS. . . . . . . . . . . . . . . . . . . . . 8 配置 Cisco Catalyst 6500 系列 NAM-3. . . . . . . . . . . . . . . . . . . . . 13 配置Cisco NAM 2220设备. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 在 Cisco ISR G2 SRE上配置Cisco Prime NAM. . . . . . . . . . . . . . . 26 超过1个工作日的故障排除场景. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 应用性能故障排除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 语音分析和故障排除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 总结. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 更多信息. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 附录A:产品列表. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 附录B:变更. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 2012年8月系列 目录 本IBA指南的内容 关于本指南 关于IBA无边界网络 思科IBA能帮助您设计和快速部署一个全服务企业网络。IBA系统是一种规范式 设计,即购即用,而且具备出色的可扩展性和灵活性。 思科IBA在一个综合的解决方案中集成了局域网、广域网、无线、安全、数据 中心、应用优化和统一通信技术,并对其进行了严格测试,确保能实现无缝协 作。IBA采用的模块化分类简化了多技术系统集成的复杂度,使您能够根据需要 解决企业需求,而无需担心技术复杂性。 思科IBA无边界网络是一个稳固的网络基础架构,为拥有250至10,000名用户 的企业网络设计。IBA无边界网络架构集成了有线和无线局域网接入、广域网连 接、广域网应用加速以及互联网边缘的安全架构。 本部署指南包括一个或多个部署章节,其中包含如下内容: •业 务概述——描述本设计的商业用例,业务决策者可通过本章内容来了解解 决方案与企业运营的相关性。 •技 术概述——描述该商业用例的技术设计,包含思科产品如何应对业务挑 战。技术决策者可利用本章节理解该设计如何实现。 •部 署详情——提供解决方案的逐步实施和配置的指导。系统工程师可以在这 些步骤的指导下快速和可靠的设计和部署网络。 您可以在以下网址查看最新的IBA指南系列: http://www.cisco.com/go/cn/iba 成功部署路线图 为确保您能够按照本指南中的设计成功完成部署,您应当阅读本指南所依据的所 有相关指南——即如下路线中本指南之前的所有指南。 您在这里 预备知识 无边界网络 局域网设计概览 2012年8月系列 局域网部署指南 网络分析模块部署指南 本IBA指南的内容 4 网络分析简介 Cisco NAM 2220设备部署在局域网的核心,特别是当您有紧缩型的局域网核 心层和分布层(见图 1)。Cisco NAM 2220设备通过两个万兆接口监控交换机 流量。 Cisco NAM-3和Cisco NAM 2220都能高效帮助您监控、测量和报告局域网 核心层的网络健康状态。 业务概述 企业依靠应用来确保高效运营和获得竞争优势。与此同时,IT部门则面临着在分 散、动态的环境中管理应用交付的巨大挑战。随着企业应用不断增多,应用架构 日益复杂,应用流量激增,流量模式难以预测。 此外,出于安全、法规要求和经济方面的考虑,企业正在大举进行数据中心整合、 服务器和桌面虚拟化,以及网络和应用融合。在这种新型业务需求的影响下,全 面的应用和网络可视性不再是可有可无的选择,而是成为了关键业务功能。现在, 具备这种可视性对于提高运营效率和成功管理最终用户整体体验至关重要。 作为ISR G2一部分,位于Cisco Services Ready Engine(SRE) 710或910 系列上的Cisco Prime NAM部署在地区办公室中(参见图 2),以帮助您监控、 测量和报告分支机构级的网络健康状态。 如需了解更多有关思科IBA网络的信息,请参见位于以下网址的局域网部署指 南: http://www.cisco.com/go/cn/iba 技术概述 Cisco Prime Network Analysis Module(Cisco Prime网络分析模块 (NAM))是Cisco Prime整体解决方案的一部分,该产品: •在 用户服务层上提供先进的网络检测功能,以支持数据、语音和视频服务。 •允许网络管理员、经理和工程师通过简单的工作流程方法—从监控网络整体 健康状态、分析各种详细指标,到用数据包级详细信息故障排除等,查看用户 服务层。 •支 持网络服务层,如应用优化等。 •结 合了多种特性,包括实时流量分析、历史数据分析、数据包捕获,以及测量 广域网中用户所感受到的延迟等。 •提 供了一个统一的实现层(instrumentation layer),可从各种源收集数 据,然后分析并提交信息。这些信息通过基于Web的板载图形用户界面显 示,您还能将其输出到第三方应用。 从思科IBA部署角度来看,Cisco Catalyst 6500系列网络分析模块(NAM-3 )部署在局域网核心的Cisco Catalyst 6500系列交换机中。Cisco NAM-3通 过简化可管理性、降低总体拥有成本、缩小网络占地面积和机架空间,充分发挥 了背板集成的优势。Cisco NAM-3通过两个内部万兆数据端口,监控Catalyst 6500交换机上的流量。 作为备用选择,当核心没有建立使用Cisco Catalyst 6500交换机时,也可将 2012年8月系列 网络分析简介 5 图 1 - Cisco NAM在思科IBA智能业务平台中提供网络和应用智能特性 动、丢包率和其它VoIP参数的能力。 借助应用性能情报(Application Performance Intelligence),改进应用 和服务交付 为准确评估最终用户体验,Cisco Prime NAM提供了全面的应用性能情报 (application performance intelligence,API)测量。Cisco Prime NAM 设备可分析基于TCP的客户端/服务器请求和应答,来提供客户端延迟、服务器延 迟、网络延迟、事务处理时间和连接状态等事务感知型响应时间统计数据。这些 数据可帮助您将应用问题与网络或服务器隔离。它还能帮助您快速诊断延迟的根 本原因,从而更好地解决问题,最大限度降低对最终用户的影响。 API能帮助繁忙的IT人员解决应用性能问题;分析和引导应用行为;发现应用整 合机会;定义和确保服务级别;以及对应用优化和加速服务部署前及部署后的状 况加以监控。 简化问题的检测和解决 借助Cisco Prime NAM,您可以设置多种网络参数的阈值和相关报警,如不断 增高的使用率、应用响应严重延迟以及语音质量下降等,并在发生潜在问题时 获得通知。当一个或多个报警被触发后,Cisco Prime NAM可发送提示电子邮 件,生成系统日志或SNMP陷阱,自动捕获和解码相关流量,帮助解决问题。借助 浏览器,管理员能在捕获数据的同时,通过流量分析器GUI,手动捕获和浏览解 码。Cisco Prime NAM的数据捕获和解码功能使用基于触发条件的捕获、过 滤、解码、捕获分析和错误扫描工具集,提供深入、细致的数据分析,能够快速识 别并解决问题区域。 Cisco Prime NAM数据源和输出功能 实时和历史应用监控 在Cisco Prime NAM环境中,数据源指的是被发送到Cisco Prime NAM 设 备进行监控的整个流量或流量数据总结的数据来源。Cisco Prime NAM可监 控多种数据源并计算相关指标。图 2提供了所有可能数据源的快照,以及Cisco Prime NAM支持的各种输出机制。 Cisco Prime NAM能实时监控流量,提供各种分析数据。它能根据所收集 的数据,提供按需历史分析。这类监控的范围包括应用识别、对话矩阵(top conversation)分析、主机、协议、差分服务代码点和虚拟局域网(VLANs) 等。更高级的流程包括: •应 用性能分析,包括响应时间测量和各种与用户体验相关的参数。 •语 音质量监控,包括检测实时流传输协议流量,以及计算平均意见得分、抖 2012年8月系列 网络分析简介 6 图 2 - Cisco Prime NAM的数据源 该图显示了Cisco Prime NAM作为中间层工具的作用—收集和分析来自各种源 的网络数据,在集成管理和报告控制台上显示结果,并能选择性地通过表述性状 态转移(REST)/XML接口为北向应用提供数据。 利用SPAN功能,Cisco Prime NAM能够监控来自物理端口、VLAN或者本地 交换机或路由器的Cisco EtherChannel的流量。为选择性监控大量流量或收 集自广域网接口的流量,VLAN访问控制列表(VACL)能在流量发送给Cisco Prime NAM之前对其进行过滤。NetFlow能够分析实时和历史流量使用情况, 全面了解网络的运营状况。远程SPAN(RSPAN)或封装远程SPAN(ERSPAN) 则将故障排除功能延伸到了网络的远端。借助思科快速转发(CEF),Cisco Prime NAM可直接监控并分析从穿过路由器接口的数据包到内部Cisco NAM 接口的广域网数据流。源自WAE(思科广域应用引擎)的WAAS(思科广域应用 服务) Flow Agent可提供有关优化前和优化后网络的关键数据。这样Cisco Prime NAM便能够根据Flow Agent数据,确定有可能进行广域网优化的潜 在对象。Cisco Performance Agent (PA)是Cisco IOS的一个许可软件特 性,以基于NetFlow 版本9模板的格式,概括了应用性能分析、流量统计数据和 广域网优化参数,并将其报告给Cisco Prime NAM。Cisco PA提供对于分支 机构应用流量和性能的可视性。通过内置在思科基础设施中的检测功能,Cisco Prime NAM提供了更多查看和了解网络事件的途径。 2012年8月系列 网络分析简介 7 部署详情 本部分介绍了如何在Cisco ISR G2 SRE上配置Cisco Catalyst 6500系列 NAM-3、Cisco NAM 2220设备和Cisco Prime NAM,以建立网络连接,如 何配置IP参数,以及如何使用Cisco Prime NAM命令行界面来执行其它所需管 理任务。本节还介绍了如何着手使用Cisco Prime NAM GUI以及如何执行各 种系统管理任务。 步骤 5: 单击Submit(提交)应用以上配置到ACS。 步骤 6: 转至Network Resources(网络资源) > Network Devices and AAA Clients(网络设备和AAA客户端),并单击Create(新建)。 步骤 7: 在Network Devices and AAA Clients(网络设备和AAA客户端) 配置页面输入以下值: 流程 •N ame(名称) — NAM 为NAM Web用户身份验证准备Cisco ACS 1、添加NAM到ACS网络设备列表 2、定义命令以设置ACS许可 3、配置NAM访问策略 •D escription (描述)— HQ Core NAM-3 •IP — 10.4.40.2 •TACACS+ — Selected •S hared Secret(共享密钥) — SecretKey 步骤 8: 单击Device Type(设备类型)字段右边的Select(选择)按钮。 步骤 9: 展开All Device Types(所有设备类型)下拉列表并且选择在步骤 2 创建的设备组(NAM)。单击OK插入这个Device Type(设备类型)。 程序 1 添加NAM到ACS网络设备列表 步骤 10: 单击Submit(提交),将NAM在ACS中添加到网络设备列表。 步骤 1: 通过https://ACS.cisco.local登录Cisco ACS。 步骤 2: 转至Network Resources(网络资源) > Network Device Groups(网络设备组) > Device Type(设备类新),单击Create(新建) 。 步骤 3: 在Name(名称)字段为NAM设备输入组名称。在此例中使用NAM。 步骤 4: 在Description(描述)字段输入合适的描述。在此例中使用NAM Devices(NAM设备)。 2012年8月系列 部署详情 8 步骤 5: 单击(提交)以完成命令设置的配置。 程序 2 定义命令以设置ACS许可 步骤 1: 转至Policy Elements (策略元素)> Authorization and Permissions(授权和权限) > Device Administration(设备管理) > Command Sets(命令设置),并单击Create(新建)。 步骤 2: 在Name(名称)字段输入NAM _ Full _ Access,并且在 Description(描述)字段输入Full Access to all NAM Com mands。 步骤 3: 选择Permit any commands that is not in the table below(允许任何不在下列表格中的命令)。 步骤 4: 使用下表,通过提取Grant,Command和Arguments字段中所录 入每个数据行,将所有可用的网络命令添加到NAM上,并单击Add(添加)。 Grant Command Arguments Permit web account Permit web view Permit web capture Permit web collection Permit web alarm Permit web system 程序 3 配置NAM访问策略 步骤 1: 转至Access Policies(访问策略) > Access Services(访问服 务),并单击Create(新建)。 步骤 2: 在Access Services(访问服务)配置部分填写Name(名称) 和Description(描述)字段。在此例中我们使用NAM Admin和NAM Administration Access Services。 2012年8月系列 部署详情 9 步骤 3: 选择User Selected Service Type(用户选择的服务类型),使用 被选中的单选按钮右边展开下拉列表,选择Network Access(网络访问),并 单击Next(下一步)。 步骤 4: 在步骤 2中选择Allow PAP/ASCII(允许PAP/ASCII)。单击 Finish(完成)。 步骤 5: 一个关于Service Selection(服务选项)策略修改的对话框将出现。 单击Yes(是),转至Service Selection Rules(服务选择规则)页面,并单击 Create(创建)生成一条规则。 步骤 6: 在Name(名称)字段输入一个合适名称。在此例中我们使用NAM Admin。在Status(状态)下确保选中Enabled(开启)。 2012年8月系列 部署详情 10 步骤 7: 在Conditions(条件)选项下选择Protocol(协议)。确保字段右侧 的match(匹配)被选中。单击这些字段旁边的Select(选择)按钮。 步骤 15: 选择NAM Admin规则,并按向上箭头,直到它被适当取代,这样确保 新规则取代上述任何默认TACAS或RADIUS规则。 步骤 8: 一个对话页面出现。选择Tacacs并单击OK。 步骤 9: 在Conditions(条件)选项下选择Compound Condition(复合条 件)。确保在Dictionary(字典)下选择NDG,并单击Dictionary(字典)选项 右边的Select(选择)按钮。 步骤 10: 一个对话页面出现。选择Device Type(设备类型)并单击OK。 步骤 11: 在Value(数值)选项的下拉列表确保Static(静态)被选中,并单击 Value(数值)字段旁的Select(选择)按钮。 步骤 12: 在出现的对话框中打卡All Device Types(所有设备类型)下拉列 表,选择在程序 1里,步骤 2中创建的设备组。在此例被选择的名称为NAM。单击 OK。 步骤 13: 在Current Condition Set(当前条件设置)下单击Add(添加)。 步骤 14: 在Results(结果)选项中,使用Service(服务)旁的下拉并选择在 步骤 6中创建的Access Service(访问服务)。此列中为NAM Admin。 步骤 16: 转至Access Policies(访问策略) > Access Services(访问 服务) > NAM Admin> Identity(身份)并单击Select(选择)。 2012年8月系列 部署详情 11 步骤 17: 在出现的对话框中选择在NAM上打算用于身份验证的身份源。在 此例中我们选择AD the Local DB。按OK来应用此身份源并且按Save Changes(保存更改)来修改Access Service(访问服务)。 步骤 23: 当下一个页面出现时,选择准备用于去访问NAM页面UI的组。在此例 我们选择cisco.local/Builtin/Network Device Admins。单击OK。 步骤 18: 转至Access Policies(访问策略) > Access Services(访问 服务) > NAM Admin(NAM管理员) >Authorization(授权)并且单击 Create(创建)。 步骤 19: 在Name(名称)字段输入一个合适的规则名称。这里我们使用NAM Access(NAM访问)。 步骤 20: 选择Compound Condition(复合条件),并在Dictionary( 字典)下拉菜单为NAM网页访问选择授权的源,在此我们选择AD-AD1。在 Attribute(属性)字段的右侧单击Select(选择)按钮。 步骤 24: 单击Add(添加)应用新条件到Current Condition Set(当前条件 设置)。 步骤 21: 在出现的对话框选择ExternalGroups(外部组)并单击OK。 步骤 25: 单击Shell Profile(Shell配置文件)右边的Select(选择)。在出 现的窗口选择Permit Access(许可访问)并单击OK。 步骤 22: 在Value(数值)字段下单击Select(选择)按钮。 步骤 26: 单击Command Sets(命令集)字段下的Select(选择)。 步骤 27: 在出现的页面选择较早在程序 2,步骤 1中创建的命令集,NAM _ Full _ Access。单击OK。 2012年8月系列 部署详情 12 步骤 28: 单击OK以保存Access Service Authorization(接入服务授权) 。 流程 配置 Cisco Catalyst 6500 系列 NAM-3 1、安装Cisco NAM-3 2、登录Cisco NAM Traffic Analyzer GUI 3、确认SNMP 4、为用户身份验证配置NAM 5、确认托管设备参数 6、创建用于捕获的SPAN会话 7、设置站点 8、浏览主仪表板 程序 1 安装Cisco NAM-3 步骤 1: 在Cisco Catalyst 6500交换机上,将Cisco NAM插入任意可用的 插槽(为主控模块预留的插槽除外)中。 步骤 2: 确认Cisco NAM 正在运行。 C6509-1#show module Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ----------------- ----------1 24 CEF720 24 port 1000mb SFP WS-X6824-SFP SAL1533MAVH 2012年8月系列 部署详情 13 2 4 Trifecta NAM Module WS-SVC-NAM-3-K9 SAL16063ZHB 4 8 DCEF2T 8 port 10GE WS-X6908-10G SAL16020LYU 5 5 Supervisor Engine 2T 10GE w/ CTS (Acti VS-SUP2T-10G SAL1534NB4Q Mod MAC addresses Hw Fw Sw Status --- ---------------------------------- ------ ------------ ----------- ------1 0007.7d90.5050 to 0007.7d90.5067 1.0 12.2(18r)S1 15.0(1)SY1 Ok 2 e8b7.4829.b0d8 to e8b7.4829.b0e7 1.1 12.2(50r)SYL 15.0(1)SY1 Ok 4 70ca.9bc5.e4f8 to 70ca.9bc5.e4ff 1.1 12.2(50r)SYL 15.0(1)SY1 Ok 5 44d3.ca7b.c840 to 44d3.ca7b.c847 1.1 12.2(50r)SYS 15.0(1)SY1 Ok Mod Sub-Module Hw Status ---- --------------------------------- ------1 Distributed Forwarding Card 1.0 Ok 2/0 NAM Application Processor 1.0 Ok 4 Distributed Forwarding Card 1.1 Ok 5 Policy Feature Card 4 1.0 Ok 5 CPU Daughterboard 1.1 Ok Base PID: Mod Model 2012年8月系列 Serial No. Model Serial ------------------ ----------WS-F6K-DFC4-A SAL1534N0K4 SVC-APP-PROC-1 SAL16063SD2 WS-F6K-DFC4-E SAL16010BPL VS-F6K-PFC4 SAL1535P6WS VS-F6K-MSFC5 SAL1537PPAT ---- -------------------2 WS-SVC-APP-HW-1 SAL16063ZHB Mod ---1 2 2/0 4 5 Online Diag Status ------------------Pass Pass Pass Pass Pass 步骤 3: 为Cisco NAM 配置一个管理VLAN。 vlan [id] name [VLAN Name] interface vlan [id] description [description] ip address [ip–address] [subnet] exit analysis module [slot]management-port 1access-vlan [id] end Example: vlan 141 name NAM ! interface Vlan141 description NAM Management ip address 10.4.41.1 255.255.255.252 no shutdown ! analysis module 2 management-port1 access-vlan 141 步骤 4: 打开一个会话以进入Cisco NAM。 session slot [slot] processor 1 步骤 5: 登录Cisco NAM,用户名root,默认密码root。 Cisco Prime Network Analysis Module nam.localdomain login: root 部署详情 14 Password: root Cisco Network Analysis Module (WS-SVC-NAM-2) Console, 5.1(2) Copyright (c) 1999-2011 by Cisco Systems, Inc. 步骤 6: 更改根密码。 System Alert! Default password has not been changed! Please enter a new root user password. Enter new UNIX password: ******* Enter the new password for the root user. Retype new UNIX password: ******* passwd: password updated successfully root@nam.localdomain# 步骤 7: 为网络连接配置Cisco NAM。 ipaddress [ip-address] [subnet-mask] ipgateway [ip-address] ipdomain [domain-name] iphost [name] ipnameserver [ip-address] Example: root@nam.localdomain# root@nam.localdomain# root@nam.localdomain# root@nam.cisco.local# root@nam.cisco.local# ip ip ip ip ip address 10.4.41.2 255.255.255.252 gateway 10.4.41.1 domain cisco.local host nam name server 10.4.48.10 步骤 8: 确认网络配置如下所示。 root@nam.cisco.local# show ip IP ADDRESS: 10.4.41.2 SUBNET MASK: 255.255.255.252 IP BROADCAST: 10.4.41.3 DNS NAME: NAM.CISCO.LOCAL DEFAULT GATEWAY: 10.4.48.1 NAMESERVER(S): 10.4.48.10 HTTP SERVER: DISABLED HTTP SECURE SERVER: DISABLED HTTP PORT: 80 2012年8月系列 HTTP SECURE PORT: TACACS+ CONFIGURED: TELNET: SSH: 443 NO DISABLED DISABLED 步骤 9: 为网络时间配置Cisco NAM。 time sync ntp [ntp server] zone [timezone] exit 步骤 10: Example: root@NAM.cisco.local# time Entering into subcommand mode for this command. Type ‘exit’ to apply changes and come out of this mode. Type ‘cancel’ to discard changes and come out of this mode. root@NAM.cisco.local(sub-time)# sync ntp 10.4.48.17 root@NAM.cisco.local(sub-time)# zone PST8PDT root@NAM.cisco.local(sub-time)# exit 步骤 11: 确认网络时间如下所示。 root@NAM.cisco.local# show time NAM synchronize time to: NTP server1: NAM time zone: Current system time: 2012 NTP 10.4.48.17 PST8PDT Thu Jun 28 16:04:01 PDT 步骤 12: 启用SSH直接访问设备。 root@nam.cisco.local# exsession on ssh 步骤 13: 启用思科NAM流量分析网络安全服务器。 root@nam.cisco.local# ip http secure server enable Enabling HTTP server... 步骤 14: 输入一个web用户名和密码。默认用户名和密码都是admin。 No web users configured! Please enter a web administrator username [admin]:admin 部署详情 15 New password: ******* Confirm password: ******* User admin added. 步骤 2: 登录窗口出现后,输入您在程序 1,步骤 11中配置的管理员用户名和密 码,然后单击Login(登录)。 步骤 15: 确认SSH和HTTPS按如下内容被开启。 root@nam.cisco.local#show ip IP ADDRESS: 10.4.41.2 SUBNET MASK: 255.255.255.252 IP BROADCAST: 10.4.41.3 DNS NAME: NAM.CISCO.LOCAL DEFAULT GATEWAY: 10.4.48.1 NAMESERVER(S): 10.4.48.10 HTTP SERVER: DISABLED HTTP SECURE SERVER: ENABLED HTTP PORT: 80 HTTP SECURE PORT: 443 TACACS+ CONFIGURED: NO TELNET: DISABLED SSH: ENABLED 程序 2 登录Cisco NAM Traffic Analyzer GUI 在您配置了Cisco NAM Traffic Analyzer Web服务器并启用对它的访问后, 您应登录。这样可检验Web服务器是否正在运行。 步骤 1: 在您的浏览器地址栏,输入Cisco Catalyst 6500 系列NAM-3的完 整主机名,例如: https://machine_name.domain (例如: nam.cisco.local) 程序 3 确认SNMP 确认网络中的所有设备,如连接Cisco NAM的托管设备等,已配置了简单网络管 理协议(SNMP)。 步骤 1: 如需要,配置SNMP,以支持托管设备和Cisco NAM之间的通信。在托 管设备上配置SNMP读写团体字符串。 snmp-server community cisco RO snmp-server community cisco123 RW 程序 4 为用户身份验证配置NAM 如果您拥有一个集中的TACACS+服务器,我们以配置安全的用户身份认证作为 主要方法,通过为访问控制启用AAA认证,来为用户身份验证(登录)和用户授权 (配置)。AAA控制访问至Cisco NAM (HTTPS)的所有管理。 2012年8月系列 部署详情 16 步骤 1: 转至Setup(设置) > Managed Device(托管设备) > Device Information(设备信息)。 技术提示 在安装过程中,Cisco NAM 将创建一个本地网络管理员。当集中的 TACACS+服务器不可用,或者在您的组织中没有TACACS+服务器 时,这个用户帐号可以用来管理设备。 步骤 2: 确认SNMP read from chassis(SNMP从机箱读取)和SNMP write to chassis(SNMP写入机箱)字段显示为OK。 步骤 1: 在NAM Web UI上,转至Administration (管理)> Users(用 户) > TACACS+。 步骤 2: 在TACACS+配置界面输入以下值。 •E nable TACACS+ Authentication and Authorization(开启 TACACS+身份认证和授权) —Selected •P rimary TACACS+ Server(主TACACS+服务器) —10.4.48.15 •S ecret Key(密钥) —SecretKey •Verify Secret Key(确认密钥) —SecretKey 步骤 3: 单击Submit(提交)应用这些配置到NAM。 程序 6 创建用于捕获的SPAN会话 托管设备上需要建立SPAN会话,以便向Cisco NAM-3提供流量,进行分析。您 可使用Cisco NAM GUI创建一个SPAN会话。 步骤 1: 转至Setup(设置) > Traffic(流量) > SPAN Sessions(SPAN会话),然后单击Create(创建)。 步骤 2: 对于SPAN Type(SPAN类型): •如 果您希望监控物理接口,选择Switch Port(交换机端口)。 •如 果您希望监控EtherChannel接口,选择EtherChannel。 程序 5 确认托管设备参数 步骤 3: 使用Switch Module(交换机模块)下拉菜单,选择您希望用于监控 的源模块。Available Sources(可用源)列表将显示已选模块的可用端口信 息和相关端口说明。. 现在您需要在Cisco NAM中确认托管设备参数。 根据交换机的SNMP配置,Cisco NAM-3将能自动与其主机Cisco Catalyst 6500进行通信。 2012年8月系列 部署详情 17 步骤 4: 将您希望监控的接口从Available Sources(可用源)移动到 Selected Sources(选定源)。 步骤 2: 定义站点名称和相关子网,然后单击Submit(提交)。 步骤 3: 如果您希望显示Cisco NAM能看到的所有子网,单击Detect(检测) 。 步骤 4: 在Subnet detection(子网检测)窗口,在 Subnet Mask(子网掩 码)字段输入需要的值,然后单击Detect(检测)。 步骤 5: 单击Submit(提交)。SPAN会话创建完毕。 步骤 5: 选择相应行,然后单击Add to Site Rules(添加到站点规则)。 步骤 6: 在活动的SPAN会话窗口中,单击Save(保存)。这能将目前属于运行 中配置的SPAN会话保存到启动配置中。 程序 7 设置站点 在Cisco NAM中设置站点,以开启站点分级监控。您可以分别为校园和数据中 心各创建一个站点。 步骤 1: 转至Setup(设置) > Network(网络) > Sites(站点),然后单击 Create(创建)。出现站点配置窗口。 程序 8 浏览主仪表盘 步骤 1: 创建站点后,在菜单中,单击Home(主仪表盘)。 主仪表盘链接到Monitor(监控) > Overview(概况) > Traffic Summary(流量总结)。Traffic Summary Overview(流量总结概况) 仪表盘提供Top N Applications(Top N应用)、Top N Application 2012年8月系列 部署详情 18 Groups(Top N应用组)、Top N Hosts(In and Out)( Top N主机(输入和 输出))、IP Distribution by Bits(按位进行的IP分配)、Top N DSCP和Top N VLAN信息。 流程 配置Cisco NAM 2220设备 1、连接管理端口 2、连接控制台终端 3、连接监控端口 4、安装Cisco NAM设备 5、保护Cisco NAM 2220 6、登录Cisco NAM Traffic Analyzer GUI 7、为用户身份验证配置NAM 8、确认SNMP配置 9、配置托管设备参数 10、创建用于捕获的SPAN会话 11、设置站点 12、浏览主仪表板 正如图 3中所示,您设置Cisco NAM 2220设备,连接到一个管理端口(#1)、 一个控制台终端(#2)和监控端口(#3)。 2012年8月系列 部署详情 19 图 3 - Cisco NAM 2220设备后面板 技术提示 Cisco NAM 2220设备右面的XFP插槽为逻辑数据端口1提供输入 信号,而左面的插槽则为逻辑数据端口2提供输入信号。 程序 1 连接管理端口 Cisco NAM 2220设备管理端口位于图 3中位置#1处,是一个RJ-45 10BASE-T/100BASE-TX/1000BASE-T网络接口。 步骤 1: 将一条Cat5E UTP线缆的一端与设备的管理端口相连。 步骤 2: 将线的另一端连接到您网络中的交换机。 程序 2 连接控制台终端 Cisco NAM 2220设备控制台端口位于图 3中位置#2处,它是一个RJ-45串行 (控制台)接口。 步骤 1: 将一个使用运行终端仿真软件的PC的控制台终端连接到Cisco NAM 2220设备的控制台端口。 程序 3 连接监控端口 Cisco NAM 2220设备的监控端口位于图 3中位置#3处。每个监控端口都支持 一个10GB长距离(LR)或短距离(SR) XFP收发器模块。 步骤 1: 通过在远程设备的10 GB以太网端口和Cisco NAM 2220设备的 DataPort 1(数据端口1)间部署一条光纤电缆,将Cisco NAM 2220设备直 接与核心交换机相连。 程序 4 安装Cisco NAM设备 步骤 1: 连接设备控制台,使用用户名root和默认密码root登录。 Cisco NAM 2220 Appliance (NAM2220) nam.localdomain login: root Password: root Cisco NAM 2220 Appliance (NAM2220) Console, 4.0 Copyright (c) 1999-2008 by Cisco Systems, Inc. 步骤 2: 更改根密码。 System Alert! Default password has not been changed! Please enter a new root user password. Enter new UNIX password:****** Enter the new password for the root user. Retype new UNIX password:****** passwd: password updated successfully root@nam.cisco.local# 步骤 3: 配置Cisco NAM,进行网络连接。 ip ip ip ip ip address [ip-address] [subnet-mask] gateway [ip-address] domain [domain-name] host [name] nameserver [ip-address] 例如: root@nam.localdomain# ip address 10.4.41.2 255.255.255.252 root@nam.localdomain# ip gateway 10.4.41.1 root@nam.localdomain# ip domain cisco.local 2012年8月系列 部署详情 20 root@nam.cisco.local# ip host nam root@nam.cisco.local# ip name server 10.4.48.10 步骤 4: 确认网络配置如下所示。 root@nam.cisco.local#show ip IPADDRESS:10.4.41.2 SUBNET MASK: 255.255.255.252 IP BROADCAST: 10.4.41.3 DNS NAME: NAM.CISCO.LOCAL DEFAULT GATEWAY: 10.4.41.1 NAMESERVER(S): 10.4.48.10 HTTP SERVER: DISABLED HTTP SECURE SERVER: DISABLED HTTP PORT: 80 HTTP SECURE PORT: 443 TACACS+ CONFIGURED: NO TELNET: DISABLED SSH: DISABLED 步骤 5: 配置Cisco NAM 的网络时间。 保护Cisco NAM 2220 为提高Cisco NAM解决方案的安全性,在本节您将: •在Cisco NAM 2220设备上启用安全套接字层(SSL),以支持安全、加密的 HTTP会话。 •启用安全外壳(SSH)协议,以保护到Cisco NAM的Telnet连接。 步骤 1: 从以下网址下载加密补丁: http://www.cisco.com/cisco/ software/navigator.html 步骤 2: 转至Network Management and Automation(网络管理和自 动化) > Network Analysis Module (NAM) Products(网络分析模块 (NAM)产品) ,选择适当的Cisco NAM form-factor(Cisco NAM型号) ,然后转至 All Releases(所有版本) > 5 > 5.1.2。 步骤 4: 将加密补丁复制到FTP可访问的目录下。 步骤 5: 安装补丁。 例如: root@NAM.cisco.local# time Entering into subcommand mode for this command. Type ‘exit’ to apply changes and come out of this mode. Type ‘cancel’ to discard changes and come out of this mode. root@NAM.cisco.local(sub-time)# sync ntp 10.4.48.17 root@NAM.cisco.local(sub-time)# zone PST8PDT root@NAM.cisco.local(sub-time)# exit 步骤 6: 确认网络时间配置如下所示。 2012年8月系列 程序 5 PST8PDT Thu Jun 28 16:04:01 PDT 步骤 3: 在以下文件上单击Download Now(立即下载):nam-app.5-1-2. cryptoK9.patch.1-0.bin time sync ntp [ntp server] zone [timezone] exit root@NAM.cisco.local# show time NAM synchronize time to: NTP server1: NAM time zone: Current system time: 2012 NTP 10.4.48.17 root@nam.cisco.local# patch [ftp-url] 其中ftp-url是指FTP的位置和该强大加密补丁的名称。 root@nam.cisco.local# patch ftp://10.4.48.11/nam-app.5-1-2. cryptoK9.patch.1-0.bin Proceeding with installation. Please do not interrupt. If installation is interrupted, please try again. Downloading nam-app.5-1-2.cryptoK9.patch.1-0.bin. Please wait... ftp://10.4.48.11/nam-app.5-1-2.cryptoK9.patch.1-0.bin (2K) /usr/local/nam/patch/wor [########################] 2K 2248 bytes transferred in 0.01 sec (306.60k/sec) Verifying nam-app.5-1-2.cryptoK9.patch.1-0.bin. Please wait... 部署详情 21 Patch nam-app.5-1-2.cryptoK9.patch.1-0.bin verified. Applying /usr/local/nam/patch/workdir/nam-app.5-1-2.cryptoK9. patch.1-0.bin. Please wait... #################################### (100%) ########################################### [100%] Patch applied successfully. 步骤 6: 确认补丁已成功安装。 root@nam.cisco.local# show patches MON SEP 20 13:39:58 2010 PATCH: NAM-APP.STRONG-CRYPTOPATCHK9-5.1.2-0 DESCRIPTION: STRONG CRYPTO PATCH FOR NAM. 步骤 7: 重启Cisco NAM,使用新安装的镜像。 root@nam.cisco.local# reboot 步骤 8: 启用SSH,以直接访问设备。 root@nam.cisco.local# exsession on ssh HTTPSERVER: HTTPSECURESERVER: HTTPPORT: HTTPSECUREPORT: TACACS+CONFIGURED: TELNET: SSH: 程序 6 DISABLED ENABLED 80 443 NO DISABLED ENABLED 登录Cisco NAM Traffic Analyzer GUI 在您配置了NAM Traffic Analyzer Web服务器并启用对它的访问后,您应登 录。这样可检验Web服务器是否正在运行。 步骤 1: 在您的浏览器的地址框中,输入Cisco NAM 2200系列设备的完整主 机名,例如: https://machine_name.domain (例如: nam.cisco.local) 步骤 9: 启用Cisco NAM Traffic Analyzer Web Secure Server(Cisco NAM流量分析网络安全服务器)。 root@nam.cisco.local# ip http secure server enable Enabling HTTP server... 步骤 10: 输入web用户名和密码。默认用户名和密码都是admin。 No web users configured! Please enter a web administrator username [admin]:admin New password:****** Confirm password:****** User admin added. 步骤 11: 确认SSH和HTTPS已启用,如下所示。 root@nam.cisco.local#show ip IPADDRESS: 10.4.41.2 SUBNET MASK: 255.255.255.252 IP BROADCAST: 10.4.41.3 DNS NAME: NAM.CISCO.LOCAL DEFAULT GATEWAY: 10.4.41.1 NAMESERVER(S): 10.4.48.10 2012年8月系列 部署详情 22 步骤 2: 当出现登录窗口,输入您在程序 5,步骤 11中配置的管理员用户名和密 码,然后单击Login(登录)。 步骤 1: 在NAM Web UI上,转至Administration (管理)> Users(用 户) > TACACS+。 步骤 2: 在TACACS+配置界面输入以下值。 •E nable TACACS+ Authentication and Authorization(开启 TACACS+身份认证和授权) —Selected •P rimary TACACS+ Server(主TACACS+服务器) —10.4.48.15 •S ecret Key(密钥) —SecretKey •Verify Secret Key(确认密钥) —SecretKey 步骤 3: 单击Submit(提交)应用这些配置到NAM。 程序 7 为用户身份验证配置NAM 如果您拥有一个集中的TACACS+服务器,我们以配置安全的用户身份认证作为 主要方法,通过为访问控制启用AAA认证,来为用户身份验证(登录)和用户授权 (配置)。AAA控制访问至Cisco NAM (HTTPS)的所有管理。 技术提示 在安装过程中,Cisco NAM 将创建一个本地网络管理员。当集中的 TACACS+服务器不可用,或者在您的组织中没有TACACS+服务器 时,这个用户帐号可以用来管理设备。 2012年8月系列 在将托管设备的输出接口连接到Cisco NAM 2220设备的监控端口后,您还必 须对托管设备进行配置,以便向该端口发送数据。 程序 8 确认SNMP配置 确认您的网络中的所有设备,如连接Cisco NAM的托管设备等已配置了 SNMP。 步骤 1: 如需要,配置SNMP,以支持托管设备和Cisco NAM之间的通信。在托 管设备上配置SNMP读写团体字符串。 snmp-servercommunity cisco RO snmp-servercommunity cisco123 RW 部署详情 23 程序 9 步骤 7: 在Device Information(设备信息)页面,单击Submit(提交)。 配置托管设备参数 现在您需要在Cisco NAM中配置托管设备参数。 步骤 1: 转至Setup(设置) > Managed Device(托管设备) > Device Information(设备信息)。 步骤 2: 输入托管设备的IP地址。输入同样的在托管设备上配置的IP地址。 (例 如10.4.40.252) 步骤 3: 输入SNMP v1/v2c RW Community String(SNMP v1/v2c RW团体字符串)。您还必须输入托管设备上配置的相同的读写团体字符串(例 如:cisco123),否则Cisco NAM无法通过SNMP与托管设备进行通信。 步骤 4: 在Verify String(确认字符串)框中,再次输入SNMP读写团体字符 串。 步骤 5: 输入托管设备参数之后,单击Test Connectivity(测试连接),打开 Connectivity Test(连接测试)对话框。 步骤 6: 在Connectivity Test(连接测试)对话框中,确认SNMP Read from Managed Device(SNMP从托管设备读取)和SNMP Write from Managed Device(SNMP写入托管设备)参数的状态为OK,然后单击 Close(关闭)。 程序 10 创建用于捕获的SPAN会话 托管设备上需要建立SPAN会话,以便向Cisco NAM 2220设备提供流量,进 行分析。您可使用Cisco NAM设备GUI创建一个SPAN会话。 技术提示 确保在创建SPAN对话前被用来作为远程目标端口的接口不被关闭。 使用NAM web的接口将只能配置监控配置,而当它down时接口将 不能UP。 步骤 1: 转至Setup(设置)>Traffic(流量)>SPAN Sessions(SPAN会 话),然后单击Create(创建)。 步骤 2: 对于SPAN Type(SPAN类型): •如 果您希望监控物理接口,选择Switch Port(交换机端口)。 •如 果您希望监控EtherChannel接口,选择EtherChannel。 步骤 3: 选择Remote Destination Port(远程目标端口),以配合在程序 3, 步骤 1中使用的光学10 GB以太网端口。 2012年8月系列 部署详情 24 步骤 4: 使用Switch Module(交换机模块)下拉菜单,选择您希望用于监控 的源模块。Available Sources(可用源)列表将显示已选模块的可用端口信 息和相关端口说明。 步骤 2: 定义站点名称和相关子网,然后单击Submit(提交)。 步骤 5: 将您想要监控的接口从Available Sources(可用源)移至 Selected Sources(选定源)。 步骤 3: 如果您希望显示Cisco NAM能看到的所有子网,单击Detect(检测) 。 步骤 4: 在Subnet detection(子网检测)窗口,在Subnet Mask(子网掩 码)字段输入所需要的值,单击Detect(检测)。 步骤 5: 选择相应行,然后单击Add to Site Rules(添加到站点规则)。 步骤 6: 单击Submit(提交)。 步骤 7: 在活动的SPAN对话窗口,单击Save(保存)。这能将目前属于运行中 配置的SPAN会话保存到启动配置中。 程序 11 设置站点 在Cisco NAM 中设置站点以开启站点分级监控。分别为校园和数据中心创建一 个站点。 步骤 1: 转至Setup(设置)>Network(网络)>Sites(站点),然后单击 Create(创建)。出现Site Configuration(站点配置)窗口。 2012年8月系列 程序 12 浏览主仪表盘 步骤 1: 创建站点后,在菜单中,单击Home(主仪表盘)。 主仪表盘链接到Monitor(监控) > Overview(概况) > Traffic Summary(流量总结)。Traffic Summary Overview(流量总结概况) 仪表盘提供Top N Applications(Top N应用)、Top N Application 部署详情 25 Groups(Top N应用组)、Top N Hosts(In and Out)( Top N主机(输入和 输出))、IP Distribution by Bits(按位进行的IP分配)、Top N DSCP和Top N VLAN信息。 流程 在 Cisco ISR G2 SRE上配置Cisco Prime NAM 1、在SRE上安装Cisco Prime NAM 2、保护SRE上的Cisco Prime NAM 3、登录Cisco NAM Traffic Analyzer GUI 4、配置NAM进行用户身份验证 5、启用NAM数据包监控 6、设置站点 7、浏览主仪表板 要求: •思科集成多业务路由器(ISR) 2911、2921、2951、3925或3945。 •支 持任一服务就绪引擎(SRE) 710或910模块的开放插槽。 •IOS 15.1(4)M或更高版本 •从Cisco网站下载用于SRE的Cisco Prime NAM软件5.1(2)到本地FTP服 务器。 程序 1 在SRE上安装Cisco Prime NAM 步骤 1: 从以下网址下载Cisco Prime NAM 5.1(2)软件: http://www. cisco.com/cisco/software/navigator.html 步骤 2: 转至Network Management and Automation(网络管理和自 动化) > Network Analysis Module (NAM) Products(网络分析模块 (NAM)产品),选择合适的appropriate NAM form-factor(适当的NAM 型号),然后转至All Releases(所有版本)>5> 5.1.2。 2012年8月系列 部署详情 26 步骤 3: 在以下文件上单击Download Now(立即下载):namapp-x86_64.5-1-2.bin.gz.zip 步骤 4: 将下载镜像复制到本地FTP服务器上并将内容解压缩到文件夹中。 步骤 5: 登录Cisco ISR G2并配置SRE接口,用于支持路由器端(内部)和模 块端(Cisco NAM管理)连接。 interface sm [slot]/0 ip address [router-side-ip-address] [subnet-mask] service-module [ip address module-side-ip-address][subnetmask] service-module ip default-gateway [gateway-ip-address] no shutdown 例如: interface sm 4/0 ip address 10.5.0.17 255.255.255.252 service-module ip address 10.5.0.18 255.255.255.252 service-module ip default-gateway 10.5.0.17 no shutdown 步骤 6: 通过show run命令确认接口配置。 下例显示了Cisco SM-SRE和路由器间内部接口的配置。 Router# show running-config interfaceSM4/0 interface SM4/0 ip address 10.5.0.17 255.255.255.0 service-module fail-open service-module ip address 10.5.0.18 255.255.255.252 service-module ip default-gateway 10.5.0.17 接下来,如果AAA在路由器上被开启,为SRE设备配置一个AAA豁免。 步骤 8: 确定哪一行号被分配给SRE。下面的示例输出显示的是67行。 RS200-3925-1# show run | begin line con 0 line con 0 logging synchronous line aux 0 line 67 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 flowcontrol software line vty 0 4 transport preferred none transport input ssh 步骤 9: 通过创建一个访问列表限制对于SRE控制台的访问。访问列表号码是 随机的,但是IP地址必须与在步骤 5中分配给SM接口的地址匹配。 access-list 67 permit 10.5.0.17 步骤 10: 分配此方法至相应的行(分配给SRE)。 line 67 login authentication MODULE access-class 67 in transport output none 步骤 11: 在SRE上安装Cisco Prime NAM。这个命令将花费大约15至20分 钟以完成安装。 service-module sm [slot]/0 install url [url] 在路由器上配置豁免是需要的,因为当在路由器上开启AAA时,您将被同时提示 路由器登录和Cisco NAM 登录;这可能会造成混淆。禁用初始路由器身份验证 需要您创建一个AAA的方法,然后应用到路由器与SRE关联的特定行配置中。 例如: 步骤 7: 创建AAA登录方法。 步骤 12: 打开一个会话,以进入Cisco NAM: aaa authentication login MODULE none Router# service-module sm 4/0 install url ftp://10.4.48.11/ NAM/nam-app-x86_64.5-1-2.bin.gz service-module SM [slot]/0 session 步骤 13: 使用用户名root和默认密码root,登录Cisco NAM。 2012年8月系列 部署详情 27 RS200-3945-1# service-module SM4/0 session Cisco Prime Network Analysis Module nam.localdomain login: root Password: Cisco SM-SRE Network Analysis Module (SM-SRE-910-K9) Console, 5.1(2) Copyright (c) 1999-2011 by Cisco Systems, Inc. 步骤 14: 更改根密码。 System Alert! Default password has not been changed! Please enter a new root user password. Enter new password:****** Confirm new password:****** Successfully changed password for user ‘root’ root@nam.localdomain# 步骤 15: 配置NAM,进行网络连接。 ip domain [domain-name] ip host [name] ip nameserver [ip-address] 例如: root@nam.localdomain# ip domain cisco.local root@nam.cisco.local# ip host nam root@nam.cisco.local# ip nameserver 10.4.48.10 步骤 16: 确认网络配置如下所示: root@ nam.cisco.local# show ip IP ADDRESS: 10.5.0.18 SUBNET MASK: 255.255.255.252 IP BROADCAST: 10.5.0.19 DNS NAME: NAM.CISCO.LOCAL DEFAULT GATEWAY: 10.5.0.17 NAMESERVER(S): 10.4.48.10 HTTP SERVER: DISABLED 2012年8月系列 HTTP SECURE SERVER: HTTP PORT: HTTP SECURE PORT: TACACS+ CONFIGURED: TELNET: SSH: DISABLED 80 443 NO DISABLED DISABLED 步骤 17: 配置Cisco NAM 网络时间。 time sync ntp [ntp server] zone [timezone] exit 例如: root@NAM.cisco.local# time Entering into subcommand mode for this command. Type ‘exit’ to apply changes and come out of this mode. Type ‘cancel’ to discard changes and come out of this mode. root@NAM.cisco.local(sub-time)# sync ntp 10.4.48.17 root@NAM.cisco.local(sub-time)# zone PST8PDT root@NAM.cisco.local(sub-time)# exit 步骤 18: 确认网络时间配置如下所示。 root@NAM.cisco.local# show time NAM synchronize time to: NTP server1: NAM time zone: Current system time: 2012 程序 2 NTP 10.4.48.17 PST8PDT Thu Jun 28 16:04:01 PDT 保护SRE上的Cisco Prime NAM 为提高Cisco NAM的安全性,在本节您将: •在 NAM上启用安全套接字层(SSL),以支持安全、加密的HTTP会话。 •启用安全外壳(SSH)协议,以保护到NAM的Telnet连接。 步骤 1: 启用SSH,直接访问SRE上的Cisco Prime NAM。 root@nam.cisco.local# exsession on ssh 部署详情 28 步骤 2: 启用Cisco NAM Traffic Analyzer Web Secure Server(Cisco NAM流量分析的网络安全服务器)。 步骤 2: 登录窗口出现后,输入您在程序 2,步骤 3中配置的管理员用户名和密 码,然后单击Login(登录)。 root@nam.cisco.local# ip http secure server enable Enabling HTTP server... 步骤 3: 输入web用户名和密码。默认用户名和密码都是admin。 No web users configured! Please enter a web administrator username[admin]:admin New password:******* Confirm password:******* User admin added. 步骤 4: 确认SSH和HTTPS已启用,如下所示。 root@nam.cisco.local# show ip IP ADDRESS: 10.5.0.18 SUBNET MASK: 255.255.255.252 IP BROADCAST: 10.5.0.19 DNS NAME: NAM.CISCO.LOCAL DEFAULT GATEWAY: 10.5.0.17 NAMESERVER(S): 10.4.48.10 HTTP SERVER: DISABLED HTTP SECURE SERVER: ENABLED HTTP PORT: 80 HTTP SECURE PORT: 443 TACACS+ CONFIGURED: NO TELNET: DISABLED SSH: ENABLED 程序 3 登录Cisco NAM Traffic Analyzer GUI 在您配置了Cisco NAM Traffic Analyzer Web服务器并启用对它的访问后, 您应登录。这样可检验Web服务器是否正在运行。 步骤 1: 在您的浏览器的地址框中,输入Cisco Prime NAM的完整主机名,例 如: 程序 4 配置NAM进行用户身份验证 如果您拥有一个集中的TACACS+服务器,我们以配置安全的用户身份认证作为 主要方法,通过为访问控制启用AAA认证,来为用户身份验证(登录)和用户授权 (配置)。AAA控制访问至Cisco NAM (HTTPS)的所有管理。 技术提示 在安装过程中,Cisco NAM 将创建一个本地网络管理员。当集中的 TACACS+服务器不可用,或者在您的组织中没有TACACS+服务器 时,这个用户帐号可以用来管理设备。 https://machine_name.domain (例如: nam.cisco.local) 2012年8月系列 部署详情 29 例如: 步骤 1: 在NAM Web UI上,转至Administration (管理)> Users(用 户) > TACACS+。 步骤 2: 在TACACS+配置界面输入以下值。 •E nable TACACS+ Authentication and Authorization(开启 TACACS+身份认证和授权) —Selected •P rimary TACACS+ Server(主TACACS+服务器) —10.4.48.15 •S ecret Key(密钥) —SecretKey •Verify Secret Key(确认密钥) —SecretKey ip cef ! interface GigabitEthernet 0/0 analysis-module monitoring 程序 6 设置站点 在Cisco NAM设置站点以开启站点分层监控。 步骤 1: 转至Setup(设置) > Network(网络) > Sites(站点),单击 Create(创建)。出现站点配置窗口。 步骤 2: 定义站点名称和相关子网,然后单击Submit(提交)。 步骤 3: 单击Submit(提交)应用这些配置到NAM。 步骤 3: 如果您希望显示Cisco NAM能看到的所有子网,单击Detect(检测) 。 程序 5 启用NAM数据包监控 您可在您希望通过内部Cisco NAM接口监控的路由器接口上,启用Cisco NAM数据包监控。 步骤 1: 在一个路由器LAN(局域网)接口上启用Cisco NAM数据包监控。 思科快速转发将该接口收发的每个IP数据包的一个额外副本,通过路由器上的 SRE(服务就绪引擎)接口和内部Cisco NAM接口,发送到Cisco NAM。 ip cef interface type [slot/port] analysis-module monitoring 2012年8月系列 部署详情 30 步骤 4: 在Subnet detection(子网检测)窗口,在Subnet Mask(子网掩 码)字段输入需要的值,然后单击Detect(检测)。选择相应行,然后单击Add to Site Rules(添加到站点规则)。 程序 7 N VLAN信息。 浏览主仪表盘 步骤 1: 创建站点后,在菜单中,单击Home(主仪表盘)。 主仪表盘链接到Monitor(监控) > Overview(概况) > Traffic Summary(流量总结)。Traffic Summary Overview(流量总结概况) 仪表盘提供Top N Applications(Top N应用)、Top N Application Groups(Top N应用组)、Top N Hosts(In and Out)( Top N主机(输入和 输出))、IP Distribution by Bits(按位进行的IP分配)、Top N DSCP和Top 2012年8月系列 部署详情 31 超过1个工作日的故障排除 场景 本部分旨在帮助您概括了解两种常见的分析场景:不良应用性能故障排除和不良 语音质量故障排除。 在此场景中,假设您是IT网络经理。您目前已在园区层部署了Cisco Catalyst 6500系列NAM-3或Cisco NAM 2220设备,并已配置一个数据中心站点。 用户上周一直抱怨关于SharePoint有断断续续的访问延迟现象。您不确定 SharePoint性能下降究竟发生在哪里以及为什么发生,所以您应采取以下程 序。 程序 1 监控SharePoint响应时间 流程 因为所有应用服务器都位于数据中心,而位于园区核心层的客户端出现延迟,您 可在Response Time Summary(响应时间总结)仪表盘中查看应用性能概 况。 应用性能故障排除 步骤 1: 转至Monitor(监控) > Overview(概况) > Response Time Summary(响应时间总结)。 1、监控SharePoint响应时间 2、详细分析 SharePoint响应时间 3、分析SharePoint响应时间趋势 4、分析网络与服务器拥塞 5、分析SharePoint服务器 6、设置数据包捕获会话 7、设置Cisco NAM报警电子邮件 8、设置报警操作 步骤 2: 在左边的Interactive Report(交互式报告)窗格中,选择Filter(过 滤)。 9、设置报警阈值 10、查看报警总结 11、解码已触发的数据包捕获 12、扫描数据包捕获错误 2012年8月系列 超过1个工作日的故障排除场景 32 步骤 3: 在Site(站点)列表中,选择Data Center(数据中心),并在Time Range(时间范围)列表中,选择Last 1 week(最近一周),然后单击 Submit(提交)。您现在即可查看园区层到数据中心的应用性能。 程序 2 详细分析 SharePoint响应时间 注意到SharePoint的响应速度下降(在Top N Application by Server Response Time(按服务器响应时间划分的Top N应用)报告中显示)后,您应 详细分析SharePoint。 2012年8月系列 步骤 1: 在Top N Applications by Server Response Time(按服务器 响应时间划分的Top N应用)报告中,单击SharePoint,然后选择Analyze Application Response Time(分析应用响应时间)。 程序 3 分析SharePoint响应时间趋势 在SharePoint响应时间趋势分析中,可看到整体响应时间中出现了一个尖峰。您 放大显示该时间段信息,能够看到受影响的客户端,以及受影响的服务器列表。 超过1个工作日的故障排除场景 33 步骤 1: 在Analyze(分析) > Response Time(响应时间) > Application(应用)仪表盘,通过将左滑块移动到感兴趣的时间段的起点,将 右滑块移动到感兴趣的时间段的终点,来放大显示SharePoint响应时间尖峰的 相关信息。 出现SharePoint应用的事务处理时间。 步骤 3: 向下滚动鼠标,查看在此期间受SharePoint响应时间过长影响最大的 客户端和服务器。 步骤 2: 为获得更精确的详细信息,单击Filter(过滤),在Time Range(时 间范围)列表中,选择Custom(自定义)。如下所示,将时间范围指定为从2011 年12月1日11:26到2011年12月1日12:46,然后单击Submit(提交)。 程序 4 分析网络与服务器拥塞 为确定其原因是网络拥塞问题还是服务器问题,对网络时间和应用事务处理时 间进行分析。因为网络时间是稳定的(没有网络延迟),所以可确定其根源在于过 载服务器造成的应用延迟。 接下来,确定其根源是网络延迟还是服务器延迟。 步骤 1: 在Transaction Time(事务处理时间)报告页面,继续向下滚动鼠标, 至Other Metrics(其它指标)图表。 2012年8月系列 超过1个工作日的故障排除场景 34 步骤 2: 在Metric 1(指标1)列表中,选择Average Network Time( 平均网络时间),它反映了网络延迟情况。在Metric 2(指标2)列表中,选择 Average Server Response Time(平均服务器响应时间),它反映了服务 器应用延迟情况。 步骤 3: 检查所获得的数据。鉴于绿色线(平均服务器响应时间)有尖峰,而蓝 色线(平均网络时间)平稳,可推断出问题来自应用服务器延迟。 程序 5 分析SharePoint服务器 步骤 2: 进一步分析该服务器。单击10.0.250.12,然后单击Analyze Host Traffic(分析主机流量)。 步骤 3: 从10.0.250.12分析仪表盘,向下滚动,在Top N Applications(Top N应用)中查看此服务器上运行的应用。从中可看出, 该服务器上除了关键业务应用外,还运行着SharePoint、FTP和CIFS。您可 发现,许多用户正在下载此服务器上托管的最新Windows 7补丁,这也会影响 SharePoint。 因为能够推断出问题来自于应用服务器延迟,所以也要查看除了SharePoint之 外可能会造成延迟的应用。 步骤 1: 回到上一界面,查看Top Servers by Avg Server Response Time(按平均服务器响应时间划分的Top服务器)图表。 步骤 4: 采取纠正措施,确保在另一台服务器上托管现有和未来的Windows补 丁。 2012年8月系列 超过1个工作日的故障排除场景 35 •A pplication(应用)—sharepoint 程序 6 设置数据包捕获会话 为采取主动方式继续后面的操作,您可创建报警,通过电子邮件提醒您,并根据 SharePoint响应时间标准趋势值,来触发数据包捕获。 步骤 1: 转至Capture(捕获) > Packet Capture/Decode(数据包 捕获/解码) > Sessions(会话),单击Create(创建)。出现Capture Settings(捕获设置)窗口。 步骤 2: 在Name(名称)字段,键入SharePoint _ Capture。 步骤 3: 在Capture Source(捕获源)中,选择DATA PORTs(数据端口) 。将Packet Slice Size(数据包切片大小)保留为500字节(默认值),以限制 捕获数据包的大小。 步骤 4: 在Storage Type(存储类型)中,选择Memory(内存),在 Memory Size(内存大小)字段,输入100。 步骤 5: 在Software Filter(软件过滤器)窗格,单击Create(创建)。出现 Software Filter Dialog(软件过滤器对话框)。 步骤 6: 输入以下值: 步骤 7: 单击Apply(应用),然后单击Submit(提交)。创建捕获会话。 •N ame(名称)—SharePoint •B oth Directions(双向)—selected •A pplication or Port(应用或端口)—Application 程序 7 设置Cisco NAM报警电子邮件 步骤 1: 转至Administration(管理) > System(系统) > E-Mail Setting(电子邮件设置),然后选择Enable Mail( 启用邮件)。 步骤 2: 输入External Mail Server(外部邮件服务器)的主机名。 步骤 3: 在Mail Alarm to(邮件报警收件人)字段中,输入一个或多个用来接 收Cisco NAM报警电子邮件的邮件地址。多个电子邮件地址之间用空格分开。 步骤 4: 单击Submit(提交)。 2012年8月系列 超过1个工作日的故障排除场景 36 步骤 5: 单击Submit(提交)。 程序 8 设置报警操作 步骤 1: 转至Setup(设置) > Alarms(报警) > Actions(操作),单击 Create(创建)。 Alarm Events(报警事件)表格会在列表中显示新配置的报警事件。 步骤 6: 如需再为下限报警操作定义第二个事件,在进行以下变动后,重复步骤 1-5。 •N ame(名称)—SharePoint _ fall •Trigger Capture(触发捕获)—Stop 程序 9 设置报警阈值 步骤 1: 转至Setup(设置) > Alarms(报警) > Thresholds(阈值)。报 警事件表显示所有已配置报警事件。 步骤 2: 单击Create(创建),然后单击Response Times(响应时间)选项 卡。 步骤 3: 为响应时间阈值输入一个名称(例如:SharePoint_ResponseTime) 。 步骤 4: 在Application(应用)列表中,选择sharepoint。 步骤 5: 在Server(服务器)中,选择将Site(站点)设置为Data Center( 数据中心),将Host(主机)设置为Any(任意) (因为在运行SharePoint的数 据中心,有多个服务器)。 步骤 6: 在Actions(操作)中,为上限阈值和下限阈值选择您在程序8中创建 的报警操作。在此例中,SharePoint_rise与上限操作相关联,SharePoint_fall 与下限操作相关联。 步骤 2: 输入报警事件说明。 (例如:SharePoint_rise)。 步骤 3: 在Actions(操作)中,选择Email(电子邮件)。当超出上限阈值时, 将向您在程序 7.中定义的电子邮件地址发送一封报警电子邮件。 步骤 4: 选择Trigger Capture(触发捕获),在Session(会话)中,选择 SharePoint_Capture(已在程序6中配置的),然后选择Start(开始)。由 此,当超出上限阈值时,将开始捕获数据包。 2012年8月系列 超过1个工作日的故障排除场景 37 步骤 7: 在Response Time Metrics(响应时间指标)中,选择Average Response Time(平均响应时间),并将Rising(上限)值设置为10,000毫 秒,将Falling(下限)值设置为8,000毫秒。 技术提示 Scan(错误扫描),快速查看异常数据包。 步骤 1: 转至Monitor(监控) > Overview(概况) > Alarm Summary(报警总结),查看Top N Applications by Alarm(按报警数量 划分的Top N应用)图表。 步骤 2: 找到SharePoint应用。 单击Add Metrics(添加指标),可为此阈值添加更多衡量指标。 步骤 3: 单击SharePoint,并单击All Alarms(所有报警)。显示Additional details(更多详细信息)。 程序 11 步骤 8: 单击Submit(提交)。 程序 10 查看报警总结 当您收到一份报警电子邮件,提醒您SharePoint响应时间已超出您所配置的阈 值,您可使用Cisco NAM仪表盘来了解有关报警的更多详细信息,并分析所触 发的数据包捕获。为帮助减少分析数据包捕获所需的时间和精力,激活Error 2012年8月系列 解码已触发的数据包捕获 步骤 1: 转至Capture(捕获) > Packet Capture/Decode(数据包捕 获/解码) > Sessions(会话),然后选择SharePoint_Capture(在程序6 中已创建的),当超出SharePoint阈值,就触发此操作。 超过1个工作日的故障排除场景 38 步骤 2: 单击Decode(解码)。出现一个显示数据包解码的对话框。 程序 12 步骤 7: 在Capture Errors and Warnings Information(捕获错误和报警 信息)对话框,选择一个异常数据包,然后单击Decode Packets(数据包解 码)。您可进一步分析此数据包,继续进行故障排除。 扫描数据包捕获错误 步骤 1: 转至Capture(捕获) > Packet Capture/Decode(数据包捕 获/解码) > Sessions(会话),选择SharePoint_Capture。 步骤 2: 如果正在进行捕获,单击Stop(停止)。 步骤 3: 单击Save To File(保存为文件)。 步骤 4: 在Save File(保存文件)对话框,提供一个New File Name(新文件 名),然后单击OK。 步骤 5: 转至Capture(捕获) > Packet Capture/Decode(数据包捕 获/解码) > Files(文件),然后选择SharePoint_Capture.pcap。 步骤 6: 单击Errors Scan(错误扫描)。打开Capture Errors and Warnings Information(捕获错误和报警信息)对话框。 2012年8月系列 超过1个工作日的故障排除场景 39 流程 程序 2 语音分析和故障排除 1、启用语音和RTP监控 2、分析RTP流 3、查看地区办事处流量使用情况 分析RTP流 步骤 1: 转至Analyze(分析) > Media(媒体) > RTP Streams(RTP 流)。 步骤 2: 在左边的Interactive Report(交互式报告)窗格中,单击Filter(过 滤)。 步骤 3: 在Site(站点)中,定义地区办事处站点。 在此场景中,假设您是一位IT网络经理。您目前已在新加坡地区办事处的Cisco ISR G2 SRE 710上部署了Cisco Prime NAM,并已配置了一个地区办事处站 点和一个园区层站点。 步骤 4: 将Time Range(时间范围)设定为最近一小时,然后单击Submit( 提交)。 出现RTP Streams(RTP流)图表。 为解决几位用户提交的故障单,描述最近几天音频质量不稳的问题,请按以下程 序执行。 程序 1 启用语音和RTP监控 步骤 1: 转至Setup(设置) > Monitoring(监控) > Voice(语音)。 步骤 2: 确保选择Enable Call Signal Monitoring(启用呼叫信号监控), 且您对默认MOS值满意。 步骤 3: 转至Setup(设置) > Monitoring(监控) > RTP Filter(RTP 过滤器),并且确保已选择Enable RTP Stream Monitoring(启用RTP流 监控)。 2012年8月系列 超过1个工作日的故障排除场景 40 步骤 5: 为分析低MOS值,使用横条上的滑块放大显示相关时段的信息。在下 面的屏幕截图中,共有41个RTP流,1个RTP流的MOS值低,3个RTP流的MOS 值正常。 步骤 6: 向下滚动鼠标,查看Top N Source/Destination Endpoints(Top N源/目的地终端)、Top N RTP Stream(Top N RTP流)和Top N RTP Streams by Adjusted Packet Loss %(按调整后的丢包率划分的Top N RTP流)图表。 步骤 7: 为进一步分析RTP流,从Top N RTP Streams by Adjusted Packet Loss %(按调整后的丢包率划分的Top N RTP流)图表中选择一个终 端,单击相关的数据点,然后单击RTP Stream Details(RTP流详细信息)。 出现一个新对话框,提供各种RTP流信息,如编解码器、MOS、抖动、丢包 2012年8月系列 超过1个工作日的故障排除场景 41 率、RTP流统计数据总结和RTP流统计数据详细信息等。 程序 3 查看地区办事处流量使用情况 步骤 1: 转至Monitor(监控) > Overview(概况) > Site Summary( 站点总结)。 步骤 2: 在Top N Sites by Traffic(按流量划分的Top N站点)图表的网格 视图中,观察地区办事处的流量使用情况。 2012年8月系列 超过1个工作日的故障排除场景 42 总结 Cisco Prime NAM有多种型号,能够灵活地适用于不同的网络部署环境。同 时,它还内置了能够进行实时监控、历史分析和基于阈值的主动故障排除等强大 的分析功能,所有这些为现有网络提供了无可匹敌的可视性,能够确保可靠的交 付应用,实现统一、稳定的用户体验,提高运营效率,最大限度发挥IT投资的作 用,预测基础设施的变化,并有助于扩展到适用的网络。 2012年8月系列 总结 43 更多信息 Cisco Prime Network Analysis Module(Cisco Prime网络分析模块) http://www.cisco.com/go/nam Cisco Prime Network Analysis Module Product Family Data sheets(Cisco Prime网络分析模块系列产品数据表) http://www.cisco.com/en/US/prod/collateral/netmgtsw/ps5740/ ps5688/ps10113/data_sheet_c78-642316.html Cisco Prime Network Analysis Module (NAM) for ISR G2 SRE(用于 ISR G2 SRE的Cisco Prime网络分析模块(NAM)) http://www.cisco.com/en/US/docs/net_mgmt/network_analysis_ module_software/5.1/sm_sre/SM_SRE_incfg_5_1.html Cisco Prime Network Analysis Module 5.1(2) User Guides(Cisco Prime网络分析模块5.1(2)用户指南) http://www.cisco.com/en/US/docs/net_mgmt/network_analysis_ module_software/5.1_2/user/guide/NAM_UG512.html Cisco Prime Network Analysis Module 5.1(2) Software Download(Cisco Prime网络分析模块5.1(2)软件下载) http://www.cisco.com/cisco/software/navigator.html Product Portfolio(产品系列): Cisco Catalyst 6500 Series Network Analysis Module (NAM-3) (Cisco Catalyst 6500系列网络分析模块(NAM-3)) http://www.cisco.com/en/US/products/ps11659/index.html Cisco NAM 2200 Series Appliances(Cisco NAM 2200系列设备) http://www.cisco.com/en/US/products/ps10113/index.html Cisco Prime Network Analysis Module (NAM) for ISR G2 SRE(用于 ISR G2 SRE的Cisco Prime网络分析模块(NAM)) http://www.cisco.com/en/US/products/ps11658/index.html Install and Configuration Guides(安装和配置指南): Cisco Catalyst 6500 Series Network Analysis Module (NAM-3) (Cisco Catalyst 6500系列网络分析模块(NAM-3)) http://www.cisco.com/en/US/docs/net_mgmt/network_analysis_ module_software/5.1_2/switch/installation/guide/instcfg.html Cisco NAM 2200 Series Appliances(Cisco NAM 2200系列设备) http://www.cisco.com/en/US/docs/net_mgmt/network_analysis_ module_appliance/5.1/2220/Cisco_NAM_Appliances_Installation_ and_Configuration_Note_2220,_5.1.html 2012年8月系列 更多信息 44 附录A:产品列表 网络管理 功能区域 产品描述 产品编号 软件版本 Cisco Catalyst 6500 Series Network Analysis Module (NAM-3) WS-SVC-NAM36G-K9 5.1(2) 局域网核心NAM 6500模块 局域网核心NAM装置 Cisco NAM 2220 Appliance with 2x10 Gigabit XFP ports NAM2220 5.1(2) 远端站点NAM SRE Cisco SRE 910 with 4-8 GB RAM, 2x 500 GB 7,200 rpm HDD, RAID 0/1, dual-core CPU configured with ISR G2 SM-SRE-910-K9 5.1(2) Cisco Prime NAM Software 5.1 for ISR G2 SRE SM SM-NAM-SW5.1-K9 Cisco SRE 710 with 4 GB RAM, 500 GB 7,200 rpm HDD, single-core CPU configured with Cisco ISR G2 SM-SRE-710-K9 Cisco Prime NAM Software 5.1 for ISR G2 SRE SM SM-NAM-SW5.1-K9 功能区域 产品描述 产品编号 身份认证服务器 ACS 5.3 VMware Software and Base License CSACS-5.3-VM-K9 5.3 功能区域 产品描述 产品编号 软件版本 模块化核心层交换机 Cisco Catalyst 6500 E-Series 6-Slot Chassis WS-C6506-E 15.0(1)SY1 远端站点NAM SRE 5.1(2) 访问控制 软件版本 LAN核心层 IP services 2012年8月系列 Cisco Catalyst 6500 VSS Supervisor 2T with 2 ports 10GbE and PFC4 VS-S2T-10G Cisco Catalyst 6500 24-port GbE SFP Fiber Module w/DFC4 WS-X6824-SFP Cisco Catalyst 6500 8-port 10GbE Fiber Module w/ DFC4 WS-X6908-10G-2T 15.0(1)SY1 IP services 附录A:产品列表 45 WAN远端站点 功能区域 产品描述 产品编号 软件版本 模块化WAN远端站点路由器 Cisco 3945 Voice Sec. Bundle, PVDM3-64, UC and SEC License PAK C3945-VSEC/K9 15.1(4)M4 Cisco 3925 Voice Sec. Bundle, PVDM3-64, UC and SEC License PAK C3925-VSEC/K9 securityk9, datak9 Data Paper PAK for Cisco 3900 series SL-39-DATA-K9 模块化WAN远端站点路由器 Cisco 2951 Voice Sec. Bundle, PVDM3-32, UC and SEC License PAK C2951-VSEC/K9 Cisco 2921 Voice Sec. Bundle, PVDM3-32, UC and SEC License PAK C2921-VSEC/K9 Cisco 2911 Voice Sec. Bundle, PVDM3-32, UC and SEC License PAK C2911-VSEC/K9 Data Paper PAK for Cisco 2900 series 2012年8月系列 15.1(4)M4 securityk9, datak9 SL-29-DATA-K9 附录A:产品列表 46 附录B:变更 本附录总结了相对于以前的Cisco IBA系列的变更。 •我 们升级NAM软件至5.1(2)。 •我 们用NAM-3取代NAM-2。 •我 们做了细微的变化以提高本指南的可读性。 2012年8月系列 附录B:变更 47 反馈 点击 这里 提供反馈到IBA 本手册中的所有设计、规格、陈述、信息和建议(统称为“设计”)均按“原样”提供,可能包含错误信息。思科及其供应商不提供任何保证,包括但不限于适销性、适合特定用途和非侵权保证,或与交易过程、 使用或贸易惯例相 关的保证。在任何情况下,思科及其供应商对任何间接的、特殊的、继发的或偶然性的损害均不承担责任,包括但不限于由于使用或未能使用本手册所造成的利润损失或数据丢失或损害,即 使思科或其供应商已被告知存在此类损害 的可能性。这些设计如有更改,恕不另行通知。用户对于这些设计的使用负有全部责任。这些设计不属于思科、供应商或合作伙伴的技术建议或其它专业建议。用户 在采用这些设计之前应咨询他们的技术顾问。思科未测试的一些因 素可能导致结果有所不同。 文中使用的任何互联网协议(IP)地址均非真实地址。文中的任何举例、命令显示输出和图示仅供说明之用。在图示中使用任何真实IP 地址均属无意和巧合。 © 2012 思科系统公司。保留所有权利。 美国总部 Cisco Systems, Inc. San Jose, CA 亚太总部 Cisco Systems (USA) Pte. Ltd. Singapore 欧洲总部 Cisco Systems International BV Amsterdam, The Netherlands 思科在全球拥有超过200家办公室。地址,电话号码和传真在思科网站中列出: www.cisco.com/go/offices。 Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1110R)
