Cisco Wireless LAN Controller コンフィギュレーション ガイド リリース 8.0
Application Visibility and Control の設定
Application Visibility and Control の設定

Application Visibility and Control の設定

Application Visibility and Control について

Application Visibility and Control(AVC)は、ネットワークベースのアプリケーション認識(NBAR)(NBAR2)エンジンによるディープ パケット インスペクション技術を使用してアプリケーションを分類し、無線ネットワークにアプリケーション レベルの可視性と制御(QoS)を提供します。 アプリケーションの認識後は、AVC 機能によってデータ トラフィックをドロップ、マーク、またはポリシングできます。

AVC はプロトコルと一致するように QoS クライアント ポリシー内のクラス マップを定義することによって設定されます。

AVC を使用して、1000 以上のアプリケーションを検出できます。 AVC により、リアルタイム分析を実施し、ネットワークの輻輳、コストの掛かるネットワーク リンクの使用、およびインフラストラクチャの更新を削減するためのポリシーを作成することができるようになります。

(注)  


UI の [Monitor Summary] セクションで、[Top Applications] に 30 のアプリケーションのリストを表示できます。

AVC DSCP は、コントローラ内の元のパケットの DSCP のみを両方向(アップストリームおよびダウンストリーム)でマークします。 これは外部 CAPWAP DCSP には影響しません。 アプリケーションが分類された場合にのみ AVC DSCP を適用できます。 たとえば、AVC プロファイル設定に基づいて、アプリケーションが ftp または http に分類される場合、対応する DSCP マーキングは WLAN QoS にかかわらず適用されます。 ダウンストリームの場合、外部 CAPWAP ヘッダーの DSCP 値および内部パケットの DSCP が AVC DSCP から取得されます。 WLAN QoS は CAPWAP を介した WLC から AP へのすべてのトラフィックに対してのみ適用されます。 元のパケットの DSCP は変更されません

トラフィック フローは、アクセス ポイントの NBAR2 エンジンを通して分析および認識されます。 NBAR2 対応プロトコルまたはアプリケーションについて、8.0 プロトコル パックを参照してください。 特定のフローが WebEx などの認識されたプロトコルまたはアプリケーションでマークされます。 このフロー単位の情報は Flexible NetFlow(FNF)によるアプリケーションの可視化に使用できます。 FNF の詳細については、『Flexible NetFlow コンフィギュレーション ガイド、Cisco IOS XE Release 3E(Cisco WLC 5700 シリーズ)』を参照してください。 QoS を使用したトラフィックの制御にも同じアプリケーション名を使用できます。 QoS の詳細については、『QoS コンフィギュレーション ガイド、Cisco IOS XE Release 3E(Cisco WLC 5700 シリーズ)』を参照してください。

AVC QoS アクションは、AVC フィルタを通してアップストリームとダウンストリームの両方向に適用されます。 アップストリーム フローに対してサポートされる QoS アクションはドロップ、マーク、およびポリシングで、ダウンストリーム フローに対してサポートされるアクションはマークとポリシングです。 AVC QoS は、アプリケーションが正しく分類され、ポリシー マップ内のクラス マップ フィルタに一致する場合にだけ適用できます。 たとえば、ポリシーにアプリケーション名に基づくフィルタが含まれており、トラフィックも同じアプリケーション名に分類されている場合は、ポリシー内でこの一致に対して指定されたアクションが適用されます。 すべての QoS アクションについては、サポートされる AVC クラス マップおよびポリシー マップのフォーマットを参照してください。

AVC ルールを使用すれば、WLAN 上で join されたすべてのクライアントの特定アプリケーションの帯域幅を制限できます。 この帯域幅コントラクトは、アプリケーション単位のレート制限より優先されるクライアント単位のダウンストリーム レート制限と共存します。


(注)  


コントローラを 8.0 からそれより前のバージョンにダウングレードすると、AVC レート制限ルールにはアクションがドロップとして表示されます。 コントローラ バージョン 8.0 で AVC レート制限ルールが導入されたため、このアクションが想定されます。


AVC コントローラをサポートしているプラットフォームは、Cisco 2500 シリーズ ワイヤレス LAN コントローラ、Cisco 5500 シリーズ ワイヤレス LAN コントローラ、中央スイッチング モードの Cisco Flex 7500 シリーズ ワイヤレス LAN コントローラ、Cisco 8500 シリーズ ワイヤレス LAN コントローラ、および Cisco Wireless Services Module 2 (WiSM2)です。

8.0 リリース用のさまざまなコントローラ プラットフォーム上の AVC 分類でサポートされる同時フロー数を次の表に示します。 1 つのプラットフォームでサポートされるフローの絶対最大数は、次の表に示す数値の 110% を超えることはなく、この 10% の余分なフロー サポートはシステム内の空きメモリ容量に基づいて実施されます。
コントローラ フロー
Cisco 5500 シリーズ Wireless LAN Controller 1,75,000
Cisco 2500 シリーズ Wireless LAN Controller 25,000
WISM-2 3,75,000
Cisco 8500 シリーズ ワイヤレス LAN コントローラ 3,50,000

Application Visibility and Control プロトコル パック

プロトコル パックとは、コントローラ ソフトウェアのリリース トレーニング以外のプロトコル アップデートを配布する方法です。コントローラ ソフトウェアを交換せずにコントローラにロードできます。

Application Visibility and Control プロトコル パック(AVC プロトコル パック)は、複数のプロトコル記述言語(PDL)ファイルとマニフェスト ファイルを含む単一の圧縮ファイルです。 必要なプロトコルのセットをロードすることができ、ネットワークでの分類のために追加プロトコルを認識する際に役立ちます。 マニフェスト ファイルは、プロトコル パックの名前、バージョン、およびプロトコル パック内の利用可能な PDL の情報など、プロトコル パックに関する情報を提供します。

AVC プロトコル パックは、特定の AVC エンジン バージョン向けにリリースされています。 コントローラ プラットフォームのエンジン バージョンがプロトコル パックに必要なバージョン以降であれば、プロトコル パックをロードできます。

AVC プロファイルの AAA オーバーライド

クライアントまたはユーザ プロファイルの AAA 属性は、RADIUS サーバ、Cisco ACS、または Cisco ISE からの認証を使用している AAA サーバ上で設定されます。 AAA 属性は、レイヤ 2 またはレイヤ 3 認証中にコントローラによって処理され、WLAN 上の設定によってオーバーライドされます。

AAA AVC プロファイルは、Cisco AV ペアとして定義されます。 文字列オプションは avc-profile-name として定義されており、この値をコントローラで利用可能な AVC プロファイルに対して設定する必要があります。

Application Visibility and Control の制限

  • IPv6 パケットの分類はサポートされていません。

  • レイヤ 2 ローミングは、コントローラでサポートされていません。

  • マルチキャスト トラフィックはサポートされていません。

  • AVC プロトコル パック機能にコントローラ GUI サポートはありません。

  • AVC プロトコル パックのダウンロードは Cisco 2500 シリーズ ワイヤレス LAN コントローラではサポートされていません。

  • レート制限に適用できるアプリケーションの数は 3 です。
  • 1 つのアプリケーションに設定できるルールは 1 つです。 アプリケーションに、レート制限とマーク ルールを両方設定することはできません。
  • ペアリングの前に、スタンバイ コントローラでインストールされているプロトコル パックのバージョンが異なる場合は、HA 環境におけるアクティブ コントローラとスタンバイ コントローラは、ペアリング後に異なるプロトコル パックのバージョンを持つことになります。 スタンバイ コントローラでは、転送されたプロトコル パックは、デフォルトのプロトコル パックよりも優先されます。

    たとえば、リリース 8.0 のソフトウェアを備えているコントローラに、デフォルトでプログラム パックのバージョン 9.0 が含まれています。 ペアリングの前に、コントローラの中の 1 つにプロトコル パックのバージョン 11.0 がインストールされていると、ペアリング後は、1 つのコントローラにプロトコル パック バージョン 9.0 が含まれ、他のコントローラにはプロトコル パック 11.0 がインストールされます。

  • AVC は次のアクセス ポイントでのみサポートされます。
    • Cisco Aironet 1260 シリーズ アクセス ポイント
    • Cisco Aironet 1600 シリーズ アクセス ポイント
    • Cisco Aironet 2600 シリーズ アクセス ポイント
    • Cisco Aironet 2600 シリーズ ワイヤレス アクセス ポイント
    • Cisco Aironet 2700シリーズアクセスポイント
    • Cisco Aironet 3500 シリーズ アクセス ポイント
    • Cisco Aironet 3600 シリーズ アクセス ポイント
  • AVC は、Cisco Aironet 702W、702I(128 M メモリ)、および 1530 シリーズ アクセス ポイントではサポートされません。

  • データ トラフィック(コントロール部分)の廃棄またはマーキングは、ソフトウェア リリース 3.3 ではサポートされません。

  • データ トラフィック(コントロール部分)の廃棄またはマーキングは、ソフトウェア リリース 3E でサポートされます。

  • アプリケーションの可視性で認識されるアプリケーションのみ、QoS 制御の適用に使用できます。

  • マルチキャスト トラフィック分類はサポートされていません。
  • App の可視性と認識されているアプリケーションのみ、QoS 制御の適用に使用できます。
  • ICMPv6 トラフィック分類を含む IPv6 はサポートされていません。
  • データリンクは AVC の NetFlow フィールドではサポートされていません。
  • 次のコマンドは、AVC フロー レコードではサポートされていません。
    • collect flow username
    • collect interface { input | output}
    • collect wireless client ipv4 address
    • match interface { input | output}
    • match transport igmp type
  • テンプレート タイムアウトは AVC が設定されたエクスポータで変更できません。 テンプレート タイムアウト値が別の値に設定されていても、デフォルト値の 600 秒だけが使用されます。

  • AVC ベースのレコード テンプレートのユーザ名情報については、ユーザ名マッピングに対してユーザ MAC アドレスを取得するようにレコード オプションを設定する必要があります。 詳細については、フロー エクスポータの作成(オプション)を参照してください。

  • 3600 などの AVC 対応の AP と、1140 などの非 AVC 対応の AP があり、クライアントに対して選択されたポリシーが AVC 対応の場合は、ポリシーは、AVC をサポートできない AP には送信されません。

  • 入力 AVC の統計情報のみがサポートされます。 統計情報を更新する頻度は、その時点で、AP にロードされているクライアントの数によって異なります。 大規模ポリシー フォーマット サイズでは、統計情報はサポートされません。

  • ダウンストリーム AVC QoS がサポートされる、クライアントごとのフローの合計数は 1000 です。

  • Cisco WLC 5700 シリーズでサポートされるフローの最大数は 360 K で、Catalyst 3850 シリーズ スイッチは 48 K.です。

  • これらは、クラス マップとポリシー マップの関連の制限です。 サポートされるポリシー フォーマットについては、「サポートされる AVC クラス マップおよびポリシー マップのフォーマット」を参照してください。
    • AVC および非 AVC クラスは、ダウンストリーム方向のポリシーとして共に定義することはできません。 たとえば、match protocol クラス マップがある場合、ダウンストリーム方向のポリシー マップ内では、一致フィルタの他のタイプは使用できません。

    • ドロップ アクションは、ダウンストリーム AVC QoS ポリシーには適用できません。

    • match protocol は、SSID ポリシーの入力または出力ではサポートされません。

Application Visibility and Control の設定(GUI)


    ステップ 1   次の手順に従って、AVC プロファイルを作成して設定します。
    1. [Wireless] > [Application Visibility and Control] > [AVC Profiles] を選択します。
    2. [New] をクリックします。
    3. AVC プロファイル名を入力します。
    4. [Apply] をクリックします。
    5. [AVC Profile Name] ページで、対応する AVC プロファイル名をクリックします。

      [AVC Profile > Edit] ページが表示されます。

    6. [Add New Rule] をクリックします。
    7. 各ドロップダウン リストから、アプリケーション グループとアプリケーション名を選択します。

      [Wireless] > [Application Visibility and Control] > [AVC Applications] を選択して、使用可能なデフォルト AVC アプリケーションのリストを表示します。

    8. [Action] ドロップダウン リストから、次のいずれかを選択します。
      • [Drop]:選択したアプリケーションに対応するアップストリーム パケットとダウンストリーム パケットをドロップします。

      • [Mark]:[DSCP (0 to 63)] ドロップダウン リストで指定した DiffServ コード ポイント(DSCP)の値を使用して、選択したアプリケーションに対応するアップストリームおよびダウンストリーム パケットをマークします。 DSCP 値を使用して、QoS レベルに基づいて Differentiated Services を提供できます。

        (注)     

        デフォルト アクションでは、すべてのアプリケーションを許可します。

    9. [Action] ドロップダウン リストから [Mark] を選択した場合は、[DSCP (0 to 63)] ドロップダウン リストから DSCP 値を選択します。
      DSCP 値はインターネットで QoS を定義するために使用される、パケット ヘッダー コードです。 DSCP 値は次の QoS レベルにマッピングされます。
      • [Platinum (Voice)]:無線を介して転送される音声のために、高品質のサービスを保証します。

      • [Gold (Video)]:高品質のビデオ アプリケーションをサポートします。

      • [Silver (Best Effort)]:クライアントの通常の帯域幅をサポートします。

      • [Bronze (Background)]:ゲスト サービス用の最小の帯域幅を提供します。

      [Custom] を選択して、DSCP 値を指定することもできます。 有効値は 0 ~ 63 です。

    10. [Apply] をクリックします。
    11. [Save Configuration] をクリックします。
    ステップ 2   次の手順に従って、WLAN に AVC プロファイルを関連付けます。
    1. [WLANs] を選択して、対応する WLAN ID をクリックします。

      [WLANs > Edit] ページが表示されます。

    2. [QoS] タブをクリックします。
    3. [AVC Profile] ドロップダウン リストから AVC プロファイルを選択します。
    4. [Apply] をクリックします。
    5. [Save Configuration] をクリックします。

    Application Visibility and Control の設定(CLI)

    • 次のコマンドを入力して、AVC プロファイルを作成または削除します。

      config avc profile avc-profile-name {create | delete}
    • 次のコマンドを入力して、AVC プロファイルのルールを追加します。

      config avc profile avc-profile-name rule add application application-name {drop | mark dscp-value | ratelimit Average Ratelimit value Burst Ratelimit value}
    • 次のコマンドを入力して、AVC プロファイルのルールを排除します。

      config avc profile avc-profile-name rule remove application application-name
    • 次のコマンドを入力して、WLAN に AVC プロファイルを設定します。

      config wlan avc wlan-id profile avc-profile-name {enable | disable}
    • 次のコマンドを入力して、WLAN に対してアプリケーション可視性を設定します。

      config wlan avc wlan-id visibility {enable | disable}

      (注)  


      アプリケーションの可視性は、AVC プロファイルのサブセットです。 このため、WLAN に AVC プロファイルを設定すると、可視性が自動的に有効になります。


    • 次のコマンドを入力して、コントローラに AVC プロトコル パックをダウンロードします。

      1. transfer download datatype avc-protocol-pack

      2. transfer download start

    • 次のコマンドを入力して、すべての AVC プロファイルまたは特定の AVC プロファイルに関する情報を表示します。

      show avc profile {summary | detailed avc-profile-name}
    • 次のコマンドを入力して、AVC アプリケーションに関する情報を表示します。

      • show avc applications [application-group]:アプリケーション グループに対してサポートされているすべての AVC アプリケーションを表示します。
      • show avc statistics application application_name top-users [downstream wlan | upstream wlan | wlan] [wlan_id ]} :アプリケーションの上位ユーザの AVC 統計を表示します。
      • show avc statistics top-apps [upstream | downstream]:もっとも多くの使用されているアプリケーションの AVC 統計を表示します。
      • show avc statistics wlan wlan_id {application application_name | top-app-groups [upstream | downstream] | top-apps [upstream | downstream]}:アプリケーションまたは上位アプリケーションまたは上位アプリケーション グループ単位で、WLAN の AVC 統計を表示します。
      • show avc statistics client client_MAC {application application_name | top-apps [upstream | downstream]}:アプリケーションまたは上記アプリケーション単位で、クライアント AVC 統計を表示します。

      (注)  


      show avc applications および show avc statistics コマンドを使用して、30 個のアプリケーションのリストを表示できます。
    • 次のコマンドを入力して、コントローラで使用するプロトコル パックを表示します。

      show avc protocol-pack version
    • 次のコマンドを入力して、AVC エンジンのバージョン情報を表示します。

      show avc engine version
    • 次のコマンドを入力して、AVC イベントのトラブルシューティングを設定します。

      debug avc events {enable | disable}
    • 次のコマンドを入力して、AVC エラーのトラブルシューティングを設定します。

      debug avc error {enable | disable}

    NetFlow の設定

    NetFlow 情報

    NetFlow は、ネットワーク ユーザとアプリケーション、ピーク時の使用時間、およびトラフィック ルーティングに関する情報を提供するプロトコルです。 NetFlow プロトコルはネットワーク デバイスから IP トラフィック情報を収集して、トラフィックをモニタします。 NetFlow アーキテクチャは、次のコンポーネントで構成されています。
    • コレクタ:さまざまなネットワーク要素からすべての IP トラフィックの情報を収集するエンティティ。

    • エクスポータ:IP トラフィック情報とともにテンプレートをエクスポートするネットワーク エンティティ。 コントローラは、エクスポータとして機能します。


      (注)  


      Cisco Wireless LAN Controller は、NetFlow 用のエクスポータとして IPv6 アドレスをサポートしません。

    NetFlow の設定(GUI)


      ステップ 1   次の手順に従って、エクスポータを設定します。
      1. [Wireless] > [Netflow] > [Exporter] を選択します。
      2. [New] をクリックします。
      3. エクスポータ名、IP アドレス、およびポート番号を入力します。

        ポート番号の有効範囲は 1~65535 です。

      4. [Apply] をクリックします。
      5. [Save Configuration] をクリックします。
      ステップ 2   次の手順に従って、NetFlow モニタを設定します。
      1. [Wireless] > [Netflow] > [Monitor] を選択します。
      2. [New] をクリックして、モニタ名を入力します。
      3. [Monitor List] ページで、モニタ名をクリックし、[Netflow Monitor > Edit] ページを開きます。
      4. 各ドロップダウン リストからエクスポータ名とレコード名を選択します。
      5. [Apply] をクリックします。
      6. [Save Configuration] をクリックします。
      ステップ 3   次の手順に従って、WLAN に NetFlow モニタを関連付けます。
      1. [WLANs] を選択し、[WLAN ID] をクリックして、[WLANs > Edit] ページを開きます。
      2. [QoS] タブで、[NetFlow Monitor] ドロップダウン リストから NetFlow モニタを選択します。
      3. [Apply] をクリックします。
      4. [Save Configuration] をクリックします。

      NetFlow の設定(CLI)

      • 次のコマンドを入力して、エクスポータを作成します。

        config flow create exporter exporter-name ip-addr port-number
      • 次のコマンドを入力して、NetFlow モニタを作成します。

        config flow create monitor monitor-name
      • 次のコマンドを使用して、NetFlow モニタをエクスポータに関連付けるか、関連付けを解除します。

        config flow {add | delete} monitor monitor-name exporter exporter-name
      • 次のコマンドを使用して、NetFlow モニタをレコードに関連付けるか、関連付けを解除します。

        config flow {add | delete} monitor monitor-name record ipv4_client_app_flow_record
      • 次のコマンドを使用して、NetFlow モニタを WLAN に関連付けるか、関連付けを解除します。

        config wlan flow wlan-id monitor monitor-name {enable | disable}
      • 次のコマンドを入力して、NetFlow モニタの概要を表示します。

        show flow monitor summary
      • 次のコマンドを入力して、エクスポータに関する情報を表示します。

        show flow exporter {summary | statistics}
      • 次のコマンドを入力して、NetFlow のデバッグを設定します。

        debug flow {detail | error | info} {enable | disable}