9800 Wireless Controllerでのアプリケーションの可視性と制御について
内容
はじめに
このドキュメントでは、Cisco Catalyst 9800 WLC上のApplication Visibility and Control(AVC)について説明します。
前提条件
次の項目に関する知識があることが推奨されます。
- Cisco WLC 9800の基礎知識
- ローカルおよびフレックス接続モードAPに関する基本的な知識。
- アクセスポイントはAVCに対応している必要があります。(ローカルモードAPには適用されません)
- AVC(QoS)の制御部が機能するためには、FNFを使用したアプリケーションの可視化機能を設定する必要があります。
Application Visibility and Control(AVC)の情報
Application Visibility and Control(AVC)は、有線と無線の両方のネットワークでディープパケットインスペクション(DPI)テクノロジーを実現する最先端のアプローチです。AVCを使用すると、リアルタイムの分析を実行し、ポリシーを作成して、ネットワークの輻輳を効果的に軽減し、コストのかかるネットワークリンクの使用を最小限に抑え、不要なインフラストラクチャのアップグレードを回避できます。つまり、AVCはNetwork Based Application Recognition(NBAR)を通じて、まったく新しいレベルのトラフィック認識とシェーピングを実現する機能をユーザに提供します。 9800 WLCで実行されているNBARパッケージはDPIに使用され、結果はFlexible NetFlow(FNF)を使用してレポートされます。
可視性に加えて、AVCは異なるタイプのトラフィックの優先順位付け、ブロック、またはスロットルを行う機能を提供します。たとえば、管理者は、音声およびビデオアプリケーションに優先順位を付けるポリシーを作成して、サービス品質(QoS)を確保したり、業務時間のピーク時に重要でないアプリケーションが使用できる帯域幅を制限したりできます。また、IDベースのアプリケーションポリシーを実現するCisco Identity Services Engine(ISE)、中央集中型管理を実現するCisco Catalyst Centerなど、シスコの他のテクノロジーと統合することもできます。
AVCの仕組み
AVCは、DPI用のFNFおよびNBAR2エンジンなどの高度なテクノロジーを利用します。NBAR2エンジンを使用してトラフィックフローを分析および識別することで、特定のフローが認識されたプロトコルまたはアプリケーションでマーキングされます。 コントローラはすべてのレポートを収集し、showコマンド、Web UI、または追加のNetFlowエクスポートメッセージを使用して、Primeなどの外部NetFlowコレクタにレポートを表示します。
アプリケーションの可視性が確立されると、ユーザはQuality of Service(QOS)を設定することで、クライアントのポリシングメカニズムを使用して制御ルールを作成できます。
AVCの動作メカニズム
Network-Based Application Recognition(NBAR)
NBARは9800 WLCに統合されたメカニズムで、ネットワーク上で実行されているさまざまなアプリケーションを識別および分類するためのDPIを実行するために使用されます。暗号化され、動的にポートマッピングされたアプリケーションを含む、従来のパケットインスペクションテクノロジーでは認識できないことが多い、膨大な数のアプリケーションを認識して分類できます。
注:Catalyst 9800 WLCでNBARを利用するには、NBARを有効にして正しく設定する必要があります。多くの場合、特定のAVCプロファイル(トラフィックの分類に基づいて実行される適切なアクションを定義する)とともに設定します。
NBARは継続的に定期的に更新されます。NBAR機能セットが最新かつ効果的に維持されるように、WLCソフトウェアを最新の状態に保つことが重要です。
最新リリースでサポートされるプロトコルの完全なリストについては、https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/prot_lib/config_library/nbar-prot-pack-library.htmlを参照してください。
ポリシープロファイルでNBARプロトコルを有効にする
9800WLC#configure terminal
9800WLC(config)#wireless profile policy AVC_testing
9800WLC(config-wireless-policy)#ip nbar protocol-discovery
9800WLC(config-wireless-policy)#end
注:この操作を実行する前に、% Policy profileを無効にする必要があります。
9800WLC#show wireless profile policy detailed AVC_testing | in NBAR
NBAR Protocol Discovery : Enabled
9800 WLCでのNBARのアップグレード
9800 WLCにはすでに最大1500の認識可能なアプリケーションがあります。新しいアプリケーションがリリースされた場合、そのプロトコルは最新のNBARでアップデートできます。このアップデートは、特定の9800モデルのソフトウェアダウンロードページからダウンロードする必要があります。
GUI 経由
Configuration > Services > Application Visibilityの順に移動します。Upgrade Protocol Packをクリックします。
9800 WLCのUpload Protocolセクション
Addをクリックし、ダウンロードするProtocol Packを選択して、Upgradeをクリックします。
NBARプロトコルの追加
アップグレードが完了すると、追加されたProtocol Packが表示されます。
Protocol Packの検証
CLI の場合
9800WLC#copy tftp://10.10.10.1/pp-adv-c9800-1712.1-49-70.0.0.pack bootflash:
9800WLC#configure terminal
9800WLC(config)#ip nbar protocol-pack bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
To verify NBAR protocol pack version
9800WLC#show ip nbar protocol-pack active
Active Protocol Pack:
Name: Advanced Protocol Pack
Version: 70.0
Publisher: Cisco Systems Inc.
NBAR Engine Version: 49
Creation time: Tue Jun 4 10:18:09 UTC 2024
File: bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
State: Active
注:NBARプロトコルパックのアップグレード中にサービスの中断は発生しません。
NetFlow
NetFlowは、IPトラフィック情報を収集し、ネットワークフローデータを監視するために使用されるネットワークプロトコルです。主にネットワークトラフィック分析と帯域幅モニタリングに使用される ここでは、Cisco Catalyst 9800シリーズコントローラでNetFlowがどのように動作するかについて概要を説明します。
- データ収集:9800 WLCは、通過するIPトラフィックに関するデータを収集します。このデータには、送信元と宛先のIPアドレス、送信元と宛先のポート、使用されるプロトコル、サービスクラス、フロー終了の原因などの情報が含まれます。
- フローレコード:収集されたデータはフローレコードに編成されます。フローは、同じ送信元/宛先IP、送信元/宛先ポート、プロトコルタイプなどの一連の共通属性を共有する単方向パケットシーケンスとして定義されます。
- データのエクスポート:フローレコードは、NetFlow対応デバイスからNetFlowコレクタに定期的にエクスポートされます。コレクタは、ローカルWLC、またはフローデータを受信、保存、処理する専用サーバやソフトウェアアプリケーションです。
- 分析:NetFlowコレクタと分析ツールを使用して、トラフィックパターンの可視化、帯域幅の特定、セキュリティ違反を示す異常なトラフィックフローの検出、ネットワークパフォーマンスの最適化、ネットワーク拡張の計画を行うことができます。
- ワイヤレス固有の情報:ワイヤレスコントローラに関して、NetFlowにはSSID、AP名、クライアントMACアドレス、およびWi-Fiトラフィックに関連するその他の詳細など、ワイヤレスネットワーキングに固有の追加情報を含めることができます。
Flexible NetFlow
Flexible NetFlow(FNF)は、従来のNetFlowの高度なバージョンで、Cisco Catalyst 9800シリーズワイヤレスLANコントローラ(WLC)でサポートされています。 ネットワークトラフィックパターンの追跡、監視、分析のためのカスタマイズオプションが追加されています。Catalyst 9800 WLCでのFlexible NetFlowの主な機能は次のとおりです。
- カスタマイズ:FNFを使用すると、ネットワークトラフィックから収集する情報を定義できます。これには、IPアドレス、ポート番号、タイムスタンプ、パケット数とバイト数、アプリケーションタイプなど、幅広いトラフィック属性が含まれます。
- 可視性の向上:FNFを活用することで、管理者はネットワークを流れるトラフィックタイプに関する詳細な可視性を得ることができます。これは、キャパシティプランニング、使用量に基づくネットワーク課金、ネットワーク分析、およびセキュリティモニタリングに不可欠です。
- プロトコルの独立性:FNFは、IPを超えたさまざまなプロトコルをサポートできる柔軟性を備えているため、さまざまな種類のネットワーク環境に適応できます。
Catalyst 9800 WLCでは、フローレコードを外部のNetFlowコレクタまたは分析アプリケーションにエクスポートするようにFNFを設定できます。このデータは、トラブルシューティング、ネットワーク計画、およびセキュリティ分析に使用できます。FNFの設定には、フローレコード(何を収集するか)、フローエクスポータ(データの送信先)を定義し、フローモニタ(レコードとエクスポータをバインドする)を適切なインターフェイスに接続することが含まれます。
注:FNFは、Stealthwatch、Solarwindsなどの外部サードパーティNetflowコレクタ(アプリケーションタグ、クライアントMACアドレス、AP MACアドレス、Wlan)に17個の異なるデータレコード(RFC 3954で定義)を送信できます。 ID、送信元IP、宛先IP、送信元ポート、宛先ポート、プロトコル、フロー開始時間、フロー終了時間、方向、パケット発信、バイト数、VLAN ID(ローカルモード):Mgmt/ClientおよびTOS:DSCP値
フローモニタ
フローモニタは、Flexible NetFlow(FNF)と組み合わせて使用し、ネットワークトラフィックデータをキャプチャして分析するコンポーネントです。ネットワーク管理、セキュリティ、およびトラブルシューティングのトラフィックパターンを監視および理解する上で、重要な役割を果たします。フローモニタは、定義された基準に基づいてフローデータを収集および追跡するFNFの適用インスタンスです。これは、次の3つの主要な要素に関連しています。
- フローレコード:フローモニタがネットワークトラフィックから収集する必要があるデータを定義します。フローデータに含まれるキー(送信元と宛先のIPアドレス、ポート、プロトコルタイプなど)と非キーフィールド(パケットカウンタとバイトカウンタ、タイムスタンプなど)を指定します。
- フローエクスポータ:収集したフローデータを送信する宛先を指定します。これには、NetFlowコレクタのIPアドレス、トランスポートプロトコル(通常はUDP)、コレクタがリッスンしている宛先ポート番号などの詳細が含まれます。
- フローモニタ:フローモニタ自体がフローレコードとフローエクスポータをバインドし、それらをインターフェイスまたはWLANに適用して、実際にモニタリングプロセスを開始します。フローレコードで設定された基準とフローエクスポータで設定された宛先に基づいて、フローデータを収集してエクスポートする方法を決定します。
AVCがサポートするアクセスポイント
AVCは、次のアクセスポイントでのみサポートされます。
- Cisco Catalyst 9100 シリーズ アクセスポイント
- Cisco Aironet 2800 シリーズ アクセス ポイント
- Cisco Aironet 3800 シリーズ アクセス ポイント
- Cisco Aironet 4800 シリーズ アクセス ポイント
さまざまな9800導入モードのサポート
|
導入モード |
9800 WLC |
Wave 1アクセスポイント |
Wave 2アクセスポイント |
Wifi 6アクセスポイント |
|
ローカル モード |
IPV4トラフィック: |
WLCレベルでの処理 |
WLCレベルでの処理 |
WLCレベルでの処理 |
|
フレックスモード |
IPV4トラフィック: |
WLCレベルでの処理 |
WLCレベルでの処理 |
WLCレベルでの処理 |
|
フレックスモード |
APレベルでの処理 |
IPV4トラフィック: |
IPV4トラフィック: |
IPV4トラフィック: |
|
ローカル モード |
APレベルでの処理 |
IPV4トラフィック: |
IPV4トラフィック: |
IPV4トラフィック: |
9800にAVCを実装する際の制限事項
Application Visibility and Control(AVC)とFlexible NetFlow(FNF)は、どちらも、ネットワークの可視性と制御を強化するCisco Catalyst 9800シリーズワイヤレスLANコントローラの強力な機能です。ただし、これらの機能を使用する際には、次の制限事項や考慮事項に注意する必要があります。
- レイヤ2ローミングは、複数のコントローラ間ではサポートされません。
- マルチキャストトラフィックはサポートされません。
- QoS制御の適用に使用できるのは、アプリケーションの可視性で認識されたアプリケーションだけです。
- データリンクは、AVCのNetFlowフィールドではサポートされていません。
- 同じWLANプロファイルを、AVC非対応のポリシープロファイルとAVC対応のポリシープロファイルの両方にマッピングすることはできません。
- 同じWLANに対して異なるスイッチングメカニズムを持つポリシープロファイルを使用してAVCを実装することはできません。
- AVCは管理ポート(Gig 0/0)ではサポートされていません。
- NBARベースのQoSポリシー設定は、有線物理ポートでのみ許可されます。ポリシー設定は、VLAN、ポートチャネル、およびその他の論理インターフェイスなどの仮想インターフェイスではサポートされません。
- AVCが有効な場合、AVCプロファイルはデフォルトのDSCPルールを含む最大23のルールのみをサポートします。ルールが23を超える場合、AVCポリシーをAPにプッシュすることはできません。
Network Topology
ローカルモードのAP
ローカルモードAPでのAVC(中央スイッチング)
FlexモードのAP
FlexモードAPのAVC
9800 WLCでのAVCの設定
9800 WLCでAVCを設定する際には、NetFlow Collectorとして使用することも、NetFlowデータを外部NetFlow Collectorにエクスポートすることもできます。
ローカルエクスポータ
Cisco Catalyst 9800 Wireless LAN Controller(WLC)では、ローカルNetFlowコレクタとは、NetFlowデータの収集とローカルでの保存を可能にするWLC内の組み込み機能を指します。この機能により、フローレコードを外部のNetFlowコレクタにエクスポートしなくても、WLCで基本的なNetFlowデータ分析を実行できます。
GUI 経由
ステップ1:特定のSSIDでAVCを有効にするには、Configuration > Services > Application Visibilityの順に選択します。 AVCをアクティブにする特定のポリシープロファイルを選択します。
ポリシープロファイルでのAVCの有効化
ステップ2:Netflowコレクタとしてローカルを選択し、適用をクリックします。
ローカルNetFlowコレクタの選択
AVCの設定を適用すると、NetFlowエクスポータとNetFlowの設定が指定された設定に従って自動的に設定されることを確認します。
Configuration > Services > Application Visibility > Flow Monitor > Exporter/Monitorの順に移動して、同じことを検証できます。
9800 WLC上のローカルフローコレクタの設定
ローカルNetFlowコレクタを使用したフローモニタの設定
IPv4およびIPv6 AVCフローモニタは、ポリシープロファイルに自動的にリンクされます。Configuration > Tags & Profile > Policyの順に移動します。Policy Profile > AVCおよびQOSの順にクリックします。
ポリシープロファイルでのフローモニタの設定
CLI の場合
ステップ1:ローカルエクスポータとして9800 WLCを設定します。
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter wireless-local-exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit
手順2:ローカル(WLC)をNetFlowエクスポータとして使用するようにIPv4およびIPv6ネットワークフローモニタを設定します。
9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter wireless-local-exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor wireless-avc-basic-ipv6
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit
手順3:入力トラフィックと出力トラフィックの両方について、ポリシープロファイルでIPv4およびIPv6フローモニタをマッピングします。
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
外部NetFlowコレクタ
外部NetFlowコレクタは、Cisco Catalyst 9800ワイヤレスLANコントローラ(WLC)上でApplication Visibility and Control(AVC)のコンテキストで使用される場合、WLCからエクスポートされたNetFlowデータを受信、集約、および分析する専用のシステムまたはサービスです。Application Visibilityをモニタするように外部NeFlow Collectorだけを設定することも、Local Collectorと一緒に使用することもできます。
GUI 経由
ステップ1:特定のSSIDでAVCを有効にするには、Configuration > Services > Application Visibilityの順に選択します。 AVCをアクティブにする特定のポリシープロファイルを選択します。 Collector as Externalを選択し、Cisco Prime、SolarWind、StealthWatchなどのNetFlow CollectorのIPアドレスを設定し、Applyをクリックします。
外部NetFlow Collector用のAVC設定
AVC設定を適用すると、NetFlowエクスポータとNetFlowの設定が自動的に行われ、NetFlowコレクタのIPアドレスがエクスポータとして、エクスポータのアドレスが9800 WLCとしてデフォルトのタイムアウト設定とUDPポート9995で設定されていることを確認します。Configuration > Services > Application Visibility > Flow Monitor > Exporter/Monitorの順に移動して、同じことを検証できます。
9800 WLCでの外部NetFlowコレクタの設定
外部NetFlowコレクタを使用したフローモニタの設定
自動生成されたNetFlowモニタのポート設定は、Configuration > Services > NetFlowの順に選択すると、確認できます。
注:GUIを使用してAVCを設定する場合、自動的に生成されるNetFlowエクスポータはUDP 9995ポートを使用するように設定されます。NetFlowコレクタで使用されているポート番号を確認してください。
たとえば、Cisco PrimeをNetFlowコレクタとして使用している場合、エクスポータポートを9991に設定する必要があります。これは、Cisco PrimeがNetFlowトラフィックをリッスンするポートであるためです。NetFlow設定でエクスポータポートを手動で変更できます。
NetFlow設定でのエクスポータポート番号の変更
CLI の場合
ステップ1:送信元インターフェイスを使用して、外部NetFlowコレクタのIPアドレスを設定します。
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter External_Exporter
9800-Cl-VM(config-flow-exporter)#destination <IP>
9800-Cl-VM(config-flow-exporter)#source $Source_Interface
9800-Cl-VM(config-flow-exporter)#transport udp $Port_Numbet
9800-Cl-VM(config-flow-exporter)#exit
手順2:ローカル(WLC)をNetFlowエクスポータとして使用するようにIPv4およびIPv6ネットワークフローモニタを設定します。
9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit
手順3:入力トラフィックと出力トラフィックの両方について、ポリシープロファイルでIPv4およびIPv6フローモニタをマッピングします。
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
Cisco DNAを使用した9800 WLCでのAVCの設定
Cisco Catalyst 9800ワイヤレスLANコントローラ(WLC)上でCisco Catalyst Centerを使用してApplication Visibility and Control(AVC)の設定を進める前に、WLCとCisco Catalyst Center間のテレメトリ通信が正常に確立されていることを確認することが重要です。WLCがCisco Catalyst Centerインターフェイス内で管理対象の状態として表示されていること、およびそのヘルスステータスがアクティブに更新されていることを確認します。また、ヘルスステータスを効果的に監視するには、WLCとアクセスポイント(AP)の両方をCisco Catalyst Center内のそれぞれのサイトに適切に割り当てることが重要です。
9800WLC#show telemetry connection all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
----- -------------- ------- ----- ---------------- ---------- --------------------
170 Cisco DNA IP 25103 0 WLC_IP Active UP
WLCとAPがManaged状態である
Cisco Catalyst CenterでのWLCおよびAPのヘルスステータス
ステップ1:Cisco Catalyst CenterをNetFlowコレクタとして設定し、グローバル設定でワイヤレステレメトリを有効にします。Design > Network Setting > Telemetryの順に選択し、目的の設定を有効にします(デモを参照)。
ワイヤレステレメトリとAVCの設定
ステップ2:目的の9800 WLCでアプリケーションテレメトリを有効にして、9800 WLCのAVC設定をプッシュします。このためには、Provision > Network Device > Inventoryの順に選択します。 アプリケーションテレメトリをアクティブにする9800 WLCを選択し、Action > Telemetry > Enable Application Telemetryの順に選択します。
9800 WLCでのアプリケーションテレメトリの有効化
ステップ3:要件に従って導入モードを選択します。
ローカル:ローカルポリシープロファイルでAVCを有効にします(中央スイッチング)。
Flex/Fabric:Flex Policy Profile(ローカルスイッチング)またはファブリックベースのSSIDでAVCを有効にします。
Cisco Catalyst Centerでの導入モードの選択
ステップ4:AVC設定をアクティブ化するタスクを開始し、対応する設定が9800 WLCに適用されます。ステータスを表示するには、Activities > Audit Logの順に選択します。
9800 WLCでテレメトリを有効にした後の監査ログ
Cisco Catalyst Centerは、指定されたポートおよびその他の設定を含むFlow ExporterおよびFlow Monitorの設定を展開し、次に示すように、選択されたモードポリシープロファイル内でそれらをアクティブにします。
Configure Cisco Catalyst Center as Flow Exporter:
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_exporter
9800-Cl-VM(config-flow-exporter)#destination <IP>
9800-Cl-VM(config-flow-exporter)#source Vlan10
9800-Cl-VM(config-flow-exporter)#transport udp 6007
9800-Cl-VM(config-flow-exporter)#export-protocol ipfix
9800-Cl-VM(config-flow-exporter)#option vrf-table timeout 300
9800-Cl-VM(config-flow-exporter)#option ssid-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-attributes timeout 300
9800-Cl-VM(config-flow-exporter)#exit
Configure 9800 WLC as Local Exporter
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_local_exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit
Configure Network Flow Monitor to use both Local(WLC) and Cisco Catalyst Center as Netflow Exporter:
9800-Cl-VM(config)#flow monitor avc_ipv4_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv6_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv4_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv6_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit
Mapping the IPv4 and IPv6 Flow Minitor in Policy Profile
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance output
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
AVCの検証
9800の場合
9800 WLCがフローエクスポータとして使用されている場合、次のAVC統計情報を確認できます。
・ すべてのSSIDで接続されているクライアントのアプリケーションの可視性
・ 各クライアントの個々のアプリケーションの使用
・ 各SSIDで個別に特定のアプリケーションを使用
注:着信(入力)トラフィックと発信(出力)トラフィックの両方、および時間間隔でデータをフィルタリングするオプションがあり、最大48時間の範囲を選択できます。
GUI 経由
Monitoring > Services > Application Visibilityの順に移動します。
AVC_testing SSIDに接続されたユーザの入力および出力トラフィックに対するアプリケーションの可視性
各クライアントのApplication Visibility統計情報を表示するには、Clientsタブをクリックして特定のクライアントを選択し、View Application Detailsをクリックします。
特定のクライアントのアプリケーションの可視性 – 1
特定のクライアントのアプリケーションの可視性 – 2
CLI の場合
AVCステータスの確認
9800WLC#show avc status wlan AVC_testing
WLAN profile name: AVC_testing
----------------------------------------------------------
AVC configuration complete: YES
NetFlowからの統計情報(FNFキャッシュ)
9800WLC#show flow monitor $Flow_Monitor_Name cache format table
各WLANとその接続クライアントの上位アプリケーション使用率を個別に調べるには、次の手順を実行します。
9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
where n = <1-30> Enter the number of applications
9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
where n = <1-10> Enter the number of clients
FNFv9パケットカウントを確認し、コントロールプレーン(CP)にパントされたステータスをデコードします。
9800WLC#show platform software wlavc status decoder
FNFv9パケットレコード
nbarの統計情報を直接確認することもできます。
9800WLC#show ip nbar protocol-discovery
ファブリックモードおよびFlexモードでは、次の方法でAPからNBAR統計情報を取得できます。
AP#show avc nbar statistics
Works on both IOS and ClickOS APs
注:外部アンカー設定では、アンカーWLCはクライアントのレイヤ3プレゼンスとして機能し、外部WLCはレイヤ2で動作します。Application Visibility and Control(AVC)はレイヤ3で動作するため、関連データはアンカーWLCでのみ確認できます。
Cisco DNA上
9800 WLCで取得されたパケットキャプチャから、アプリケーションとネットワークトラフィックに関するデータがCisco Catalyst Centerに継続的に送信されていることを確認できます。
9800 WLCでのパケットキャプチャ
Cisco Catalyst Centerの特定のWLCに接続されているクライアントのアプリケーションデータを表示するには、Assurance > Dashboards > Health > Applicationの順に選択します。
Cisco Catalyst CenterでのAVCモニタリング
ここで示すように、クライアントが最も頻繁に使用するアプリケーションを追跡し、最も高いデータコンシューマを特定できます。
上位アプリケーションと上位の帯域幅のユーザ統計情報
特定のSSIDにフィルタを設定して、そのSSIDに関連付けられたクライアントの全体的なスループットとアプリケーション使用状況をモニタできます。
この機能により、ネットワーク内で上位のアプリケーションと帯域幅を最も消費するユーザを特定できます。
さらに、時間フィルタ機能を使用して、このデータを過去の期間で調査し、ネットワーク使用状況の履歴を調べることもできます。
AVC統計情報を表示する時間フィルタ. 
AVC統計情報を表示するSSIDフィルタ
外部NetFlowコレクタ
例1:NetflowコレクタとしてのCisco Prime
Cisco PrimeがNetFlowコレクタとして使用されている場合、9800 WLCはNetFlowデータを送信するデータソースとして表示され、NetFlowテンプレートは9800 WLCによって送信されたデータに基づいて自動的に作成されます。
9800 WLCで取得されたパケットキャプチャから、アプリケーションとネットワークトラフィックに関するデータがCisco Primeに継続的に送信されていることを確認できます。
9800 WLCで取得されたパケットキャプチャ
NetflowデータソースとしてのCisco Prime Detecting 9800 WLC
IPアドレスを使用して、よりターゲットを絞ったデータ分析を行い、アプリケーション、サービス、さらにはクライアントに基づいてフィルタを設定できます。
すべてのクライアントのアプリケーションの可視性
IPアドレスを使用した特定のクライアントの適用
例2:サードパーティ製NetFlowコレクタ
この例では、サードパーティのNetFlowコレクタ[SolarWinds]を使用して、アプリケーションの統計情報を収集します。9800 WLCは、Flexible NetFlow(FNF)を使用して、アプリケーションとネットワークトラフィックに関する包括的なデータを送信します。このデータは、SolarWindsによって収集されます。
SolarWindのNetFlowアプリケーション統計情報
トラフィック制御
トラフィック制御は、ネットワークトラフィックのフローを管理および調整するために使用される一連の機能とメカニズムを指します。トラフィックポリシングまたはレート制限は、クライアントから送信されるトラフィックの量を制御するためにワイヤレスコントローラで使用されるメカニズムです。ネットワークトラフィックのデータレートを監視し、事前定義されたレート制限を超えたときに即座にアクションを実行するトラフィックが指定レートを超えると、レート制限により、超過パケットが廃棄されるか、サービスクラス(CoS)またはDifferentiated Services Code Point(DSCP)の値を変更して超過パケットがマークダウンされます。これは、9800 WLCでQOSを設定することで実現できます。これらのコンポーネントがどのように動作するか、およびさまざまな結果を得るためにこれらのコンポーネントをどのように設定できるかについての概要は、https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/215441-configure-qos-rate-limiting-on-catalyst.htmlを参照してください。
トラブルシューティング
AVCの問題のトラブルシューティングには、ワイヤレスネットワーク上のアプリケーショントラフィックを正確に特定、分類、および管理するAVCの機能に影響を与える可能性のある問題を特定して解決することが含まれます。一般的な問題には、トラフィックの分類、ポリシーの適用、またはレポートに関する問題があります。Catalyst 9800 WLCでAVCの問題をトラブルシューティングする際の手順と考慮事項を次に示します。
- AVC設定の確認:AVCがWLC上で正しく設定され、正しいWLANとプロファイルに関連付けられていることを確認します。
-
GUIを使用してAVCを設定する場合、ポート9995が自動的にデフォルトとして割り当てられます。ただし、外部コレクタを使用している場合は、NetFlowトラフィックをリッスンするように設定されているポートを確認してください。このポート番号をnetflowコレクタの設定に合わせて正確に設定することが重要です。
- APモデルと導入モードのサポートを確認します。
- ワイヤレスネットワークにAVCを実装する際は、『9800 WLCの制限』を参照してください。
ログ収集
WLCログ
1. すべてのコマンドに対する時間参照を持つようにtimestampを有効にします。
9800WLC#term exec prompt timestamp
2. 設定を確認するには
9800WLC#show tech-support wireless
3. avcステータスとNetFlow統計情報を確認できます。
AVC設定のステータスを確認します。
9800WLC#show avc status wlan <wlan_name>
FNFv9パケットカウントを確認し、コントロールプレーン(CP)にパントされたステータスをデコードします。
9800WLC#show platform software wlavc status decoder
NetFlow(FNFキャッシュ)からの統計情報を確認します。
9800WLC#show flow monitor <Flow_Monitor_Name>
Top n application usage for each wlanをチェックします。ここで、n = <1 ~ 30>アプリケーションの数を入力します。
9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
各クライアントの上位n個のアプリケーションの使用状況を確認します。n = <1 ~ 30>アプリケーションの数を入力します。
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
特定のアプリケーションを使用して特定のWLANに接続している上位n台のクライアントを確認します。n=<1 ~ 10>クライアントの数を入力します。
9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
nbarの統計情報を確認します。
9800WLC#show ip nbar protocol-discovery
4. ログレベルをdebug/verboseに設定します。
9800WLC#set platform software trace all debug/verbose
!! To View the collected logs
9800WLC#show logging profile wireless internal start last clear to-file bootflash:<File_Name
!!Set logging level back to notice post troubleshooting
9800WLC#set platform software trace wireless all debug/verbose
5. クライアントのMACアドレスの放射性(RA)トレースを有効にして、AVC統計情報を検証します。
CLI の場合
9800WLLC#debug wireless {mac | ip} {aaaa.bbbb.cccc | x.x.x.x } {monitor-time} {N seconds} !! Setting time allows us to enable traces for up to 24 days
9800WLC#no debug wireless mac <Client_MAC>
!!WLC generates a debug trace file with Client_info, command to check for debug trace file generated.
9800WLC#dir bootflash: | i debug
注意:条件付きデバッグを使用すると、デバッグレベルのロギングが有効になり、生成されるログの量が増加します。これを実行したままにすると、ログを表示できる時間を短縮できます。そのため、トラブルシューティングセッションの最後には常にデバッグを無効にすることを推奨します。
# clear platform condition all
# undebug all
GUI 経由
ステップ 1:Troubleshooting > Radioactive Traceに移動します。
ステップ 2:Addをクリックし、トラブルシューティングを行うクライアントのMACアドレスを入力します。追跡する複数のMacアドレスを追加できます。
ステップ 3:放射性トレースを開始する準備ができたら、[開始]をクリックします。開始されると、追跡されるMACアドレスに関連するコントロールプレーン処理に関するデバッグロギングがディスクに書き込まれます。
ステップ 4:トラブルシューティングを行う問題を再現したら、Stopをクリックします。
ステップ 5:デバッグしたMACアドレスごとに、Generate をクリックして、そのMACアドレスに関連するすべてのログを集計するログファイルを生成できます。
手順 6:照合済みログファイルの保存期間を選択し、Apply to Deviceをクリックします。
手順 7:ファイル名の横にある小さいアイコンをクリックすると、ファイルをダウンロードできます。このファイルはコントローラのブートフラッシュドライブにあり、CLIを使用してコピーすることもできます。
RAトレースのAVCデバッグの一部を次に示します
2024/07/20 20:15:24.514842337 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 280, #packets 5
2024/07/20 20:15:24.514865665 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:24.514875837 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'unknown'(app-id: 0xd000001), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:40.530177442 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'ping'(app-id: 0xd0001df), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 3600, #packets 606. クライアントのMACアドレスで双方向にフィルタリングされた組み込みキャプチャ(17.1以降で使用可能なクライアントの内部MACフィルタ)
この機能は、WLCがNetFlowデータを意図したポートに正常に送信しているかどうかを確認するのに役立つため、外部コレクタを使用する場合に特に便利です。
CLI の場合
monitor capture MYCAP clear
monitor capture MYCAP interface <Interface> both
monitor capture MYCAP buffer size 100
monitor capture MYCAP match any
monitor capture MYCAP inner mac CLIENT_MAC@
monitor capture MYCAP start
!! Inititiate different application traffic from user
monitor capture MYCAP stop
monitor capture MYCAP export flash:|tftp:|http:.../filename.pcap
GUI 経由
ステップ 1:Troubleshooting > Packet Capture > +Addの順に選択します。
ステップ 2:パケットキャプチャの名前を定義します。最大8文字まで入力できます。
ステップ 3:必要に応じて、フィルタを定義します。
ステップ 4:トラフィックがシステムCPUにパントされ、データプレーンに再び注入されるのを確認するには、Monitor Control Trafficのチェックボックスをオンにします。
ステップ 5:バッファサイズを定義します。最大100 MBまで使用できます。
手順 6:必要に応じて、1 ~ 1000000秒の範囲を指定できる期間または1 ~ 100000パケットの範囲を指定できるパケット数で制限を定義します。
手順 7:左側の列のインターフェイスのリストからインターフェイスを選択し、矢印を選択して右側の列に移動します。
ステップ 8:Apply to Deviceをクリックします。
ステップ 9:キャプチャを開始するには、Startを選択します。
ステップ 10:キャプチャを定義された制限まで実行できます。キャプチャを手動で停止するには、Stopを選択します。
ステップ 11停止すると、Exportボタンが使用可能になり、HTTPまたはTFTPサーバ、FTPサーバ、あるいはローカルシステムのハードディスクまたはフラッシュを介してローカルデスクトップにキャプチャファイル(.pcap)をダウンロードするオプションをクリックできるようになります。
AP ログ
ファブリックモードおよびFlexモード
1. show tech:APに関するすべての設定の詳細とクライアントの統計情報を表示。
2. APからのshow avc nbar statistics nbar stats
3. AVCデバッグ
AP#term mon
AP#debug capwap client avc <all/detail/error/event>
AP#debug capwap client avc netflow <all/detail/error/event/packet>
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
29-Jul-2024
|
初版 |
フィードバック