Configuração do AC do nfa_inventory

Índice
uimpga-ga
nfa_inventory_AC
Índice
Pré-requisitos
Antes de implantar o probe nfa_inventory, revise os seguintes pontos:
  • Você está executando o CA Unified Infrastructure Management (CA UIM) 8.4 ou posterior.
  • Você está executando o CA Network Flow Analysis (CA NFA) 9.3.3 ou posterior.
  • O probe nq_services v1.2 é instalado no mesmo hub do trellis (para suporte à multilocação no CA NFA).
  • O Coletor de SNMP v2.1 ou superior está instalado.
  • O robô no qual o probe nfa_inventory é implantado tem acesso http (porta 80/TCP) ao console do CA NFA.
  • O probe wasp no host do UMP tem acesso http (porta 80/TCP) ao console do CA NFA.
  • As versões atuais do probe CA NFA, UDM, Servidor de detecção e wasp devem estar todos no mesmo domínio do CA UIM.
Visão geral da configuração
Em um nível elevado, a configuração do probe consiste nas seguintes ações:
Configuração do nfa_inventory v1.2
v1.2 nfa_inventory Configuration
  1. Configurar roteadores para enviar o NetFlow para CA NFA.
  2. Configure o probe nfa_inventory para se conectar com o console do CA NFA (especificando o endereço IP).
  3. Configurar snmpcollector para que todas as instâncias de snmpcollector e CA NFA tenham a mesma origem.
Configurar conexões do probe
Depois de instalar o probe, você deve configurar o probe usando o Console de administração do CA UIM.
  1. Na caixa de diálogo
    Adicionar console NFA
    , preencha os seguintes campos:
    • Nome do Console NFA
      - o nome do console do CA NFA.
    • Nome do host ou Endereço IP do Console NFA
      - o Endereço IP do console do CA NFA.
      Se você ativar o SSL, certifique-se de que o
      Nome do host do console NFA
      corresponda ao nome comum no certificado autoassinado.
    • Mensagem de alarme
      - o nível de mensagem de alarme enviada para o CA UIM se houve um erro de comunicação com o CA NFA.
    • Ativo
      - indica se o probe está ativo ou não.
    • Porta
      - especifica a porta para estabelecer conexão com o servidor NFA.
    • Usar SSL
      - permite que o Probe se conecte com segurança ao servidor NFA.
      Antes de ativar essa opção, certifique-se de que você tenha importado o certificado autoassinado que é gerado no Console do NFA.
  2. Clique em
    Enviar
    . Clique em
    Salvar
    e em
    Recarregar
    .
  3. Se o probe nfa_inventory estiver em um hub diferente de wasp, adicione a
    /ump_common/nfa_inventory
    chave à
    wasp
    configuração usando a Configuração de dados brutos no Console de administração. O valor da
    nfa_inventory
    chave deve ser o endereço do barramento (/
    domain
    /
    hub
    /
    robot
    /nfa_inventory) do probe nfa_inventory.
Configurar snmpCollector
Para evitar ter dispositivos duplicados no USM, os probes discovery_agent, snmpcollector e nfa_inventory precisam:
  • Estar instalados no mesmo robô ou
  • Os robôs em que estão instalados devem fazer parte da mesma origem.
Se estiverem instalados em robôs diferentes, verifique se compartilham a mesma origem da seguinte forma:
  1. No Gerenciador de infraestrutura, clique duas vezes no hub do qual deseja copiar a origem (o hub com snmpcollector).
  2. Na guia
    Geral
    , na área
    Avançado
    , clique em
    Configurações
    .
  3. Copie o conteúdo do campo
    Origem
    .
  4. Clique em
    OK
    para fechar a caixa de diálogo
    Hub Advanced Settings
    .
  5. No Gerenciador de infraestrutura, clique duas vezes no hub em que o nfa_inventory está instalado.
  6. Na guia
    Geral
    , na área
    Avançado
    , clique em
    Configurações
    .
  7. Cole a origem que você copiou do snmpcollector no campo
    Origem
    .
  8. Clique em
    OK
    .
Mais informações:
Configurar o SSO (Single Sign-on - Logon Único) para o USM e o CA NFA
Para facilitar o SSO, o probe nfa_inventory envia um inventário para CA UIM a cada 15 minutos.
  • Se você tiver o SSO sem LDAP ou SAML2, crie os mesmos usuários no CA NFA, bem como no portal do USM.
  • Se você tiver somente LDAP (não SAML2), configure o CA NFA e o USM para usar o mesmo servidor LDAP.
  • Se você tiver SAML2, configure o CA NFA e o USM para usar o mesmo provedor de SAML2.
Implementar suporte do SAML2 ao CA NFA
  1. Efetuar logon no servidor do console do CA NFA.
  2. Abra o arquivo
    <unidade>:\CA\NFA\Portal\SSO\webapps\sso\configuration\saml.properties
    com um editor de texto.
  3. Adicione as seguintes entradas (em que
    ip
    é o endereço IP do console do CA NFA e
    hostname
    é o nome do host do servidor do console do CA NFA):
    saml.sp.metadata.hostname=<
    ip
    /
    hostname
    > saml.sp.metadata.entityId=<
    ip
    /
    hostname
    > saml.sp.metadata.organizationName=<
    org_name
    > saml.sp.metadata.contactPerson=<
    contact_person
    > saml.sp.metadata.email=<email_address>
  4. Salve o arquivo
    saml.properties
    .
  5. Execute a ferramenta de configuração de SSO,
    ssoConfig.exe
    , a partir de um prompt de comandos do servidor CA NFA:
    1. <drive>:\CA\NFA\Portal\SSO\bin\ssoConfig.exe
      1. Clique em
        2
        para
        CA Network Flow Analysis
        .
      2. Clique em
        2
        para
        Autenticação do SAML2
        .
      3. Clique em
        2
        para
        Substituição de local
        .
      4. Insira
        2
        para
        Clonar contas de usuário padrão
        . Altere o valor para
        usuário
        .
      5. Insira
        4
        para
        Nova autenticação automática do SAML2 ativada
        . Altere o valor para 1.
      6. Insira
        5
        para
        Período para nova autenticação automática do SAML2
        . Altere o valor para 5.
      7. Insira
        6
        para
        Tempo limite da sessão IDP do SAML2
        . Altere o valor para 10.
      8. Insira
        b
        para voltar.
      9. Insira
        b
        para voltar novamente.
      10. Insira
        6
        para
        Exportar metadados do provedor de serviços do SAML2
        . Forneça um caminho e um nome de arquivo válidos. O tipo de arquivo deve ser
        xml
        , por exemplo:
        c:\temp\saml2SPmetadata.xml
      11. Insira
        q
        para sair da ferramenta de configuração de SSO.
    2. Envie o arquivo de metadados que foi salvo na etapa 5.a.x ao seu provedor de serviços do SAML2.
    3. Abra o arquivo
      <unidade>:\CA\NFA\Portal\SSO\webapps\sso\configuration\saml.properties
      com um editor de texto.
      1. Atualize a propriedade
        saml.idp.metadata.file
        com o caminho completo e o nome do arquivo de metadados xml criado na etapa 5.a.x.
      2. Atualize a propriedade
        saml.idp.sessionTimeout
        com o valor de tempo limite da sessão IDP selecionado na etapa 5.a.vii (10).
    4. Salve o arquivo
      saml.properties
      .
Multilocação para CA NFA
O aprimoramento de origem é implementado no CA UIM para ativar a multilocação no CA NFA. Anteriormente, somente os usuários do barramento poderiam detalhar do CA UIM para o CA NFA. Com o probe nfa_inventory v1.3, os usuários do barramento
e
os usuários de contato da conta podem detalhar o CA NFA com base nos direitos concedidos a eles no CA UIM. O probe nfa_inventory atualiza o CA NFA com base nas informações obtidas do CA UIM. Todos os usuários devem ter permissões ACL para detalhar para o CA NFA.
  • Para cada conta do CA UIM, o CA NFA cria um conjunto de permissões.
  • Os conjuntos de permissões do CA NFA têm acesso a grupos de interfaces.
  • Os grupos de interface correspondem a uma origem exclusiva do CA UIM na conta do CA UIM.
  • Para cada ACL do CA UIM, uma função correspondente do CA NFA é criada com direitos que correspondem às permissões ACL do CA UIM.
    • O CA UIM adiciona os direitos do CA NFA prefixados com
      NFA
      para facilitar o mapeamento.
  • As contas de usuário do CA NFA são criadas para corresponder aos usuários de contato da conta do CA UIM. A conta de usuário do CA NFA tem acesso ao conjunto de permissões do CA NFA que corresponde à conta do CA UIM.
  • Uma função do CA NFA é criada e corresponde aos ACLs do CA UIM.
  • Observe que os usuários do barramento têm acesso a todos os inquilinos no CA NFA.
Os parâmetros a seguir podem ser usados para modificar as configurações por meio da Configuração de dados brutos (no Console de administração):
  • interfaceMappingDelay – o tempo em minutos, após uma atualização do inventário para executar o mapeamento de grupos de interface de origem. O valor mínimo é 1, o valor máximo é 15 e o valor padrão é 5.
  • interfaceMappingBatchSize – o número de interfaces para solicitar origens de um lote. O valor mínimo é 1, o valor máximo é 20.000 e o valor padrão é 1000.
Exibir informações da interface do CA NFA no UMP
  1. Na interface de usuário do UMP, clique em um dispositivo que esteja enviando informações do NetFlow para o CA NFA.
  2. Clique em
    Interfaces
    .
  3. Selecione uma interface da qual o dispositivo esteja recebendo informações do NetFlow.
  4. Selecione um gráfico ou uma tabela de informações sobre o CA NFA:
    • Tendência de protocolo empilhada – Entrada
    • Tendência de protocolo empilhada – Saída
    • Hosts principais
    • Conversas principais
  5. Posicione o mouse próximo ao canto superior direito da tabela ou do gráfico selecionado, e o ícone de
    detalhamento
    aparece. Clique no ícone de
    detalhamento
    a ser redirecionado para o CA NFA.
    • Quando SSO (Single Sign-on) estiver configurado corretamente, você não será solicitado a efetuar logon no CA NFA.
Para acessar informações avançadas sobre a interface, clique na guia
Avançado
na página da interface do UMP. Os seguintes gráficos e tabelas são originados do CA NFA:
  • Tendência de ToS empilhado - Entrada
  • Tendência de ToS empilhado - Saída
  • Principais hosts por ToS
  • Principais comunicações por ToS
Quando você detalha a partir do UMP para uma das tabelas de ToS (Type of Service - Tipo de serviço) do CA NFA (
Principais hosts por ToS
ou
Principais comunicações por ToS
), você será redirecionado para a página ToS do CA NFA. A página ToS do CA NFA lista os diferentes nomes de ToS na
Tabela Resumo de ToS
. Clique em um nome de ToS para acessar uma página que mostra todos os gráficos e tabelas para esse nome de ToS.