Sonda nfa_inventory: Configuración en la Consola de administración

Contenido
uimpga-ga
nfa_inventory_AC
Contenido
Requisitos previos
Antes de implementar la sonda nfa_inventory, revise los siguientes puntos:
  • CA Unified Infrastructure Management (CA UIM) 8.4 o posterior está en ejecución.
  • CA Network Flow Analysis (CA NFA) 9.3.3 o posterior está en ejecución.
  • La sonda nq_services v1.2 está instalada en el mismo concentrador que la sonda trellis (para admitir la función multicliente en CA NFA).
  • El recopilador de SNMP v2.1 o posterior está instalado.
  • El robot en el que se ha implementado la sonda nfa_inventory tiene acceso HTTP (puerto 80/TCP) a la consola de CA NFA.
  • La sonda wasp en el host de UMP tiene acceso HTTP (puerto 80/TCP) a la consola de CA NFA.
  • Todas las versiones actuales de CA NFA, UDM, el Servidor de detección y la sonda wasp deben encontrarse en el mismo dominio de CA UIM.
Descripción general de la configuración
De forma general, la configuración de la sonda se compone de estos pasos:
Sonda nfa_inventory v1.2: Configuración
v1.2 nfa_inventory Configuration
  1. Configurar los enrutadores para enviar NetFlow a CA NFA.
  2. Configurarla sonda nfa_inventory para conectarse a la consola de CA NFA (mediante la especificación de la dirección IP).
  3. Configurar snmpcollector para que todas las instancias de snmpcollector y de CA NFA tengan el mismo origen.
  4. Configurar el inicio de sesión único (SSO) para el Gestor de servicios unificados y CA NFA.
Configuración de las conexiones de la sonda
Una vez instalada la sonda, se debe establecer la configuración de la sonda mediante la Consola de administración de CA UIM.
  1. En el cuadro de diálogo
    Agregar consola de NFA
    , rellene los campos siguientes:
    • NFA Console Name
      (Nombre de la Consola de NFA): Especifique el nombre de la Consola de CA NFA.
    • NFA Console Hostname or IP Address
      (Nombre de host o dirección IP de la Consola de CA NFA): Especifique la dirección IP de la Consola de CA NFA.
      Si se activa SSL, asegúrese de que el
      nombre de host de la consola de NFA
      coincide con el nombre común en el certificado autofirmado.
    • Alarm Message
      (Mensaje de alarma): Especifique el nivel del mensaje de alarma que se envía a CA UIM si se experimenta un error al establecer la comunicación con CA NFA.
    • Active
      (Activo): Indique si la sonda está activa.
    • Puerto
      : Especifica el puerto para conectarse al servidor de NFA.
    • Utilizar SSL
      : permite que la sonda se conecte de forma segura con el servidor de NFA.
      Antes de activar esta opción, asegúrese de que se ha importado el certificado autofirmado que se genera desde la consola de NFA.
  2. Haga clic en
    Enviar
    . Haga clic en
    Guardar
    y, a continuación, en
    Volver a cargar
    .
  3. Si la sonda nfa_inventory se encuentra en un concentrador que no es de WASP, agregue la
    /ump_common/nfa_inventory
    clave a la
    wasp
    configuración mediante la Configuración sin formato en la Consola de administración. El valor de la
    nfa_inventory
    clave debe ser la dirección de bus (/
    Domain
    /
    hub
    /
    robot
    /nfa_inventory) para la sonda nfa_inventory.
Configuración de la sonda snmpcollector
Para evitar tener dispositivos duplicados en USM, las sondas snmpcollector, discovery_agent y nfa_inventory necesitan lo siguiente:
  • Estar instaladas en el mismo robot, o
  • Hacer que los robots en los que están instaladas formen parte del mismo origen.
Si están instaladas en diferentes robots, verifique que compartan el mismo origen realizando los siguientes pasos:
  1. En el Gestor de la infraestructura, haga doble clic en el concentrador del que se desea copiar el origen (el concentrador con la sonda snmpcollector).
  2. En la ficha
    General
    , en el área
    Opciones avanzadas
    , haga clic en
    Configuración
    .
  3. Copie el contenido del campo
    Origen
    .
  4. Haga clic en
    Aceptar
    para cerrar el cuadro de diálogo
    Configuración avanzada del concentrador
    .
  5. En el Gestor de la infraestructura, haga doble clic en el concentrador donde está instalada la sonda nfa_inventory.
  6. En la ficha
    General
    , en el área
    Opciones avanzadas
    , haga clic en
    Configuración
    .
  7. Pegue el origen que se ha copiado de la sonda snmpcollector al campo
    Origen
    .
  8. Haga clic en
    Aceptar
    .
Configuración del inicio de sesión único (SSO) para el Gestor de servicios unificados y CA NFA.
Para facilitar el inicio de sesión único, la sonda nfa_inventory envía el inventario a CA UIM cada 15 minutos.
  • Si dispone de inicio de sesión único sin LDAP o SAML2, cree los mismos usuarios en CA NFA que aparecen en el portal del Gestor de servicios unificados.
  • Si dispone solamente de LDAP (no SAML2), configure CA NFA y el Gestor de servicios unificados para utilizar el mismo servidor LDAP.
  • Si dispone de SAML2, configure CA NFA y el Gestor de servicios unificados para utilizar el mismo proveedor de SAML2.
Implementación de la compatibilidad con SAML2 para CA NFA
  1. Inicie sesión en el servidor de la Consola de CA NFA.
  2. Abra el archivo
    <unidad>:\CA\NFA\Portal\SSO\webapps\sso\configuration\saml.properties
    mediante un editor de texto.
  3. Agregue las siguientes entradas (donde
    ip
    hace referencia a la dirección IP de la consola de CA NFA y
    nombrehost
    hace referencia al nombre de host del servidor de la consola de CA NFA):
    saml.sp.metadata.hostname=<
    ip
    /
    hostname
    > saml.sp.metadata.entityId=<
    ip
    /
    hostname
    > saml.sp.metadata.organizationName=<
    org_name
    > saml.sp.metadata.contactPerson=<
    contact_person
    > saml.sp.metadata.email=<email_address>
  4. Guarde el archivo
    saml.properties
    .
  5. Ejecute la herramienta de configuración del inicio de sesión único
    ssoConfig.exe
    desde el símbolo del sistema del servidor de CA NFA:
    1. <unidad>:\CA\NFA\Portal\SSO\bin\ssoConfig.exe
      1. Haga clic en
        2
        para
        CA Network Flow Analysis
        .
      2. Haga clic en
        2
        para
        SAML2 Authentication
        (Autenticación de SAML2).
      3. Haga clic en
        2
        para
        Local Override
        (Sustitución local).
      4. Introduzca
        2
        para
        Clone Default User Accounts
        (Clonar cuentas de usuario predeterminadas). Cambie el valor a
        user
        (usuario).
      5. Introduzca
        4
        para
        SAML2 Auto-Reauthentication Enabled
        (Reautenticación automática de SAML2 activada). Cambie el valor a 1.
      6. Introduzca
        5
        para
        SAML2 Auto-Reauthentication Time Period
        (Período de tiempo de la reautenticación automática de SAML2). Cambie el valor a 5.
      7. Introduzca
        6
        para
        SAML2 IDP Session Timeout
        (Tiempo de espera de la sesión del proveedor de identidad de SAML2). Cambie el valor a 10.
      8. Introduzca
        b
        para volver.
      9. Introduzca
        b
        para volver de nuevo.
      10. Introduzca
        6
        para
        Export SAML2 Service Provider Metadata
        (Exportar metadatos del proveedor de servicios de SAML2). Proporcione un nombre de archivo y ruta válidos. El tipo de archivo debe ser
        xml
        , por ejemplo:
        c:\temp\saml2SPmetadata.xml
      11. Introduzca
        q
        para salir de la herramienta de configuración del inicio de sesión único.
    2. Envíe el archivo de metadatos guardado en el paso 5.a.x al proveedor de servicios de SAML2.
    3. Abra el archivo
      <unidad>:\CA\NFA\Portal\SSO\webapps\sso\configuration\saml.properties
      mediante un editor de texto.
      1. Actualice la propiedad
        saml.idp.metadata.file
        con el nombre completo del archivo y de la ruta del archivo de metadatos XML creado en el paso 5.a.x.
      2. Actualice la propiedad
        saml.idp.sessionTimeout
        con el valor del tiempo de espera de la sesión del proveedor de identidad seleccionado en el paso 5.a.vii (10).
    4. Guarde el archivo
      saml.properties
      .
Función multicliente para CA NFA
Se ha implementado una mejora del origen en CA UIM para activar la función multicliente en CA NFA. Anteriormente, solo los usuarios del bus podían obtener los detalles de CA UIM para CA NFA. Con la versión 1.3 de la sonda nfa_inventory, los usuarios del bus
y
los usuarios de contacto de la cuenta pueden obtener los detalles de CA NFA en función de los derechos que se les haya concedido en CA UIM. La sonda nfa_inventory actualiza CA NFA según la información obtenida de CA UIM. Todos los usuarios deben disponer de los permisos de ACL para obtener los detalles para CA NFA.
  • CA NFA crea un conjunto de permisos para cada cuenta de CA UIM.
  • Los conjuntos de permisos de CA NFA tienen acceso a los grupos de la interfaz.
  • Los grupos de la interfaz se corresponden con un único origen de CA UIM en la cuenta de CA UIM.
  • Para cada ACL de CA UIM, se crea un rol de CA NFA correspondiente con los derechos que se corresponden con los permisos de ACL en CA UIM.
    • CA UIM agrega los derechos de CA NFA prefijados con
      NFA
      para facilitar la asignación.
  • Se crean las cuentas de usuario de CA NFA que corresponden a los usuarios de contacto de la cuenta de CA UIM. La cuenta de usuario de CA NFA tiene acceso a los permisos de CA NFA establecidos correspondientes a la cuenta de CA UIM.
  • Se crea un rol de CA NFA, que corresponde a las listas de control de acceso de CA UIM.
  • Se debe tener en cuenta que los usuarios del bus tienen acceso a todos los clientes de CA NFA.
Los siguientes parámetros se pueden utilizar para modificar la configuración mediante la Configuración sin formato (en la Consola de administración):
  • interfaceMappingDelay: Indica el tiempo en minutos después de una actualización de inventario para realizar la asignación de los grupos de la interfaz a los orígenes. El valor mínimo es 1, el valor máximo es 15 y el valor predeterminado es 5.
  • interfaceMappingBatchSize: Indica el número de interfaces para solicitar los orígenes para un lote. El valor mínimo es 1, el valor máximo es 20000 y el valor predeterminado es 1000.
Visualización de la información de la interfaz de CA NFA en UMP
  1. En la interfaz de usuario de UMP, haga clic en un dispositivo que esté enviando información de NetFlow a CA NFA.
  2. Haga clic en
    Interfaces
    .
  3. Seleccione una interfaz desde la que el dispositivo recibe la información de NetFlow.
  4. Seleccione una gráfica o tabla de información de CA NFA:
    • Tendencia del protocolo apilada: entrante
    • Tendencia del protocolo apilada: saliente
    • Host principales
    • Conversaciones principales
  5. Coloque el ratón cerca de la esquina superior derecha de la tabla o gráfica seleccionada. Aparece el icono de
    detalles
    . Haga clic en el icono de
    detalles
    para que se le redirija a CA NFA.
    • Si el inicio de sesión único (SSO) se ha configurado correctamente, no se solicita al usuario que vuelva a iniciar sesión de nuevo en CA NFA.
Para acceder a la información avanzada acerca de la interfaz, haga clic en la ficha
Opciones avanzadas
, ubicada en la página de la interfaz de UMP. Las siguientes gráficas y tablas provienen de CA NFA:
  • Tendencia apilada del tipo de servicio: entrante
  • Tendencia apilada del tipo de servicio: saliente
  • Hosts principales por tipo de servicio
  • Conversaciones principales por tipo de servicio
Cuando se obtienen los detalles de UMP para una de las tablas del tipo de servicio (ToS) de CA NFA (
Hosts principales por tipo de servicio
o
Conversaciones principales por tipo de servicio
), se redirige al usuario a la página del tipo de servicio de CA NFA. La página del tipo de servicio de CA NFA enumera los nombres de los diferentes tipos de servicio en la tabla
ToS Summary
(Resumen del tipo de servicio). Haga clic en un nombre de tipo de servicio para acceder a una página que muestra todas las gráficas y tablas para ese nombre de tipo de servicio.