O Application Recognition and Control (ARC) é uma funcionalidade recente nos switches da linha CX, onde os equipamentos realizam Deep Packet Inspection (DPI) do tráfego de usuários.
Essa funcionalidade é especialmente útil para administradores que precisam de políticas avançadas de priorização, bloqueio ou monitoramento de tráfego, garantindo desempenho e segurança em ambientes corporativos.
Com o ARC, é possível analisar padrões de tráfego mesmo em fluxos criptografados, oferecendo importantes para otimização de rede. A integração com o Aruba Central simplifica o gerenciamento, permitindo que as políticas sejam aplicadas de forma centralizada e escalável.
Os benefícios do ARC integrado ao Aruba Central incluem visibilidade completa em camada 7 de mais de 3.700 aplicações e categorias, permitindo a análise detalhada de versões TLS, datas de expiração de certificados e estatísticas de conexão. Além disso, possibilita a aplicação de políticas baseadas em aplicativos, integração com IPFIX para exportar estatísticas de fluxo a coletores externos, e oferece um resumo das principais categorias de aplicativos em uso. O recurso de “time travel” também permite visualizar o tráfego de aplicações em datas e horários específicos, facilitando análises retrospectivas.
Para utilizar o ARC, é necessário validar se o modelo do Switch e o firmware é compativel com a funcionalidade, assim como uma conta no Aruba Central configurada como coletor IPFIX e uma assinatura Foundational ativa (assumindo assume que o switch CX já está adicionado ao Aruba Central, possui uma licença válida e está configurado com conectividade básica, sendo gerenciado totalmente pela plataforma).
Atualmente, esse recurso está disponível nas famílias 6200, 6300 e 6400, permitindo maior controle e visibilidade sobre as aplicações em rede.
Verifique aqui: HPE Aruba Networking Switch Feature Navigator
Configuração
Disclaimer: uma parte relevante desse post é a tradução do blog https://solutiontechlab.com/2024/10/23/application-recognition-with-cx-switches-and-new-central/ e do paper gerado pelo Ariya Parsamanesh . Caso você necessite implementar e tenha duvidas leia todo o paper no fim do post.
A funcionalidade ARC utiliza DPI (Deep Packet Inspection) para identificar aplicações de rede, fornecendo visibilidade e estatísticas detalhadas ao administrador. O mecanismo de DPI opera em cada placa de linha nos switches da série 6400 ou em cada membro do stack nos modelos 6300, analisando os primeiros pacotes de um fluxo TCP/UDP para reconhecer a aplicação. Embora o IPFIX não seja obrigatório para o reconhecimento de aplicações, ele é necessário para reportar estatísticas de fluxo ao administrador. Portanto, o IPFIX deve estar habilitado, pois é responsável por exportar essas informações para um coletor interno ou externo.
O Traffic Insight (TI) atua como um coletor IPFIX interno, monitorando dados recebidos de exportadores de fluxo como o IPFIX. Ele consegue rastrear múltiplas requisições simultaneamente, exibindo os dados na WebUI do switch e disponibilizando essas informações via APIs, que são utilizadas pelo Aruba Central. Vale destacar que o IPFIX é um padrão aberto, compatível com diversos fabricantes de rede, e seu formato é praticamente idêntico ao NetFlow, exceto por alguns campos adicionais.
Antes de iniciar a configuração, é necessário desativar dois recursos: o “IP Source Lockdown” (que previne spoofing de endereço IP por porta) e o “IP Source Lockdown Resource Extended” (que estende dinamicamente os recursos de hardware do IP Source Lockdown). Além disso, para utilizar a visibilidade de aplicações, basta uma assinatura Foundational do Aruba Central nos switches. No entanto, o controle de aplicações (incluindo geração de tags de cliente e criação de políticas) exige uma assinatura Advance.
Existem dois modos de operação: o modo padrão (default) e o modo rápido (fast). A principal diferença entre eles está na quantidade de pacotes necessários para identificar as aplicações. Enquanto o modo padrão analisa cerca de 6 pacotes, o modo rápido requer apenas aproximadamente 2 pacotes, permitindo uma identificação 50 milissegundos mais rápida.
É importante observar que, no modo rápido, algumas informações não são capturadas, diferentemente do modo padrão. Isso inclui atributos TLS, códigos de motivo DNS e URLs. Portanto, a escolha entre os modos deve considerar a necessidade entre velocidade de detecção e a profundidade dos dados coletados.
O ARC pode ser habilitado tanto por porta quanto por função (role). Veja abaixo a configuração necessária para ativar o ARC em nível de porta em switches da série 6300. Observação: não é recomendável habilitá-lo em portas de uplink.
Ao utilizar o modo rápido (Fast mode), o sistema identifica o nome da aplicação, sua categoria e descrição, porém com limitações na coleta de metadados.
no ip source-lockdown resource-extended ! flow-tracking enable ! app-recognition enable mode fast ! interface 1/1/4-1/1/5 description clients-ports no shutdown no routing app-recognition enable exit
Referências
COMUTADORES 