Application Visibility and Control

Application Visibility and Control について

Application Visibility and Control(AVC)は、トラフィック情報を提供できる Flexible NetFlow(FNF)パッケージ全体のサブセットです。AVC 機能では、アクセスポイント(AP)またはコントローラ で実行される NBAR のメリットをもたらす分散型アプローチが利用されており、ディープ パケット インスペクション(DPI)を実行してその結果を FNF メッセージで報告することを目的としています。

AVC により、リアルタイム分析を実施し、ネットワークの輻輳、コストのかかるネットワーク リンクの使用、およびインフラストラクチャの更新を削減するためのポリシーを作成できます。トラフィック フローが NBAR2 エンジンを使用して分析および認識され、認識されたプロトコルまたはアプリケーションと一緒に、特定のフローがマークされます。このフロー単位の情報を、FNF によるアプリケーションの可視化に使用できます。アプリケーションの可視化が確立されると、ユーザーはクライアントのポリシング メカニズムを使用してコントロール ルールを定義できます。

AVC ルールを使用すると、WLAN 上で参加しているすべてのクライアントに対して、特定アプリケーションの帯域幅を制限できます。これらの帯域幅コントラクトは、アプリケーション単位のレート制限より優先されるクライアント単位のダウンストリーム レート制限と共存します。

FNF はワイヤレスでサポートされる機能であり、コントローラ のすべてのモード(Flex、ローカル、ファブリック)で NetFlow が有効になっている必要があります。

ローカルモードでは、NBAR はコントローラ ハードウェア上で実行され、プロセスのクライアントトラフィックは AP CAPWAP トンネルを使用してコントローラ のデータプレーンを経由して流れます。

FlexConnect またはファブリックモードでは、NBAR は AP 上で動作し、統計情報のみがコントローラ に送信されます。これら 2 つのモードで動作している場合、AP は定期的に FNFv9 レポートをコントローラ に送り返します。コントローラの FNF 機能は、これらの FNFv9 レポートを使用して、AVC が表示するアプリケーション統計情報を提供します。

ファブリックモードの動作では、FNF キャッシュは設定されません。FNFv9 レポートを着信時にリレーします。その結果、フロー モニターの設定の一部(たとえば、キャッシュ タイムアウトなど)は考慮されません。

AVC ソリューションの動作は、ワイヤレスの展開に基づいて変わります。ここでは、すべてのシナリオにおける共通点と相違点について説明します。

ローカル モード

  • NBAR は、コントローラで有効になっています。

  • AVC は、FNF 設定を AP にプッシュしません。

  • ローミング イベントは無視されます。

    ただし、AVC は、トラフィックがアンカーコントローラ (クライアントが参加したときのトラフィックを NBAR が最初に処理した場所)を通過する際に、ローカルモードでの L3 ローミングをサポートします。

  • IOSd が NBAR 接続をトリガーする必要があります。

  • フロー モニター キャッシュをサポートします。

  • NetFlow エクスポータをサポートします。

フレックス モード

  • NBAR は、AP で有効になっています。

  • AVC は、FNF 設定を AP にプッシュします。

  • AVC-FNF で、ローミングのコンテキスト転送をサポートします。

  • フロー モニター キャッシュをサポートします。

  • NetFlow エクスポータをサポートします。

ファブリック モード

  • NBAR は、AP で有効になっています。

  • AVC は、FNF 設定を AP にプッシュします。

  • AVC-FNF で、ローミングのコンテキスト転送をサポートします。

  • フロー モニター キャッシュはサポートされません。

  • NetFlow エクスポータをサポートしています(SDA 用の Catalyst スイッチに組み込まれた C9800 の場合、ボックスに FNF キャッシュはありません)。

Application Visibility and Control の前提条件

  • アクセスポイントは、AVC 対応である必要があります

    ただし、ローカル モードではこの要件は適用されません。

  • AVC(QoS)の制御部分を機能させるには、FNF 付きのアプリケーションの可視化機能を設定する必要があります。

Application Visibility and Control の制限

  • IPv6(ICMPv6 トラフィックを含む)のパケット分類は、FlexConnect モードおよびファブリック モードではサポートされません。ただし、ローカル モードではサポートされます。

  • レイヤ 2 ローミングは、コントローラではサポートされません。

  • マルチキャスト トラフィックはサポートされません。

  • AVC は次のアクセス ポイントでのみサポートされます。

    • Cisco Catalyst 9100 シリーズ アクセスポイント(Access Point)

    • Cisco Aironet 1800 シリーズ アクセスポイント

    • Cisco Aironet 2700 シリーズ アクセスポイント

    • Cisco Aironet 2800 シリーズ アクセスポイント

    • Cisco Aironet 3700 シリーズ アクセスポイント

    • Cisco Aironet 3800 シリーズ アクセスポイント

    • Cisco Aironet 4800 シリーズ アクセスポイント

    • Cisco Industrial Wireless 3702 アクセスポイント

  • AVC は、Cisco Aironet 702W、702I(128 M メモリ)、および 1530 シリーズ アクセスポイントではサポートされません。

  • App の可視性と認識されているアプリケーションのみ、QoS 制御の適用に使用できます。

  • データリンクは、AVC の NetFlow フィールドではサポートされません。

  • AVC 非対応ポリシー プロファイルと AVC 対応ポリシー プロファイルの両方に同じ WLAN プロファイルをマッピングすることはできません。

  • AVC は、管理ポート(Gig 0/0)ではサポートされません。

  • NBAR 対応 QoS ポリシー設定は有線物理ポートでのみ許可されます。ポリシー設定は、たとえば、VLAN、ポートチャネル、および他の論理インターフェイスなどの仮想インターフェイスではサポートされません。

AVC が有効になっている場合、AVC プロファイルは、デフォルトの DSCP ルールを含む最大 23 個のルールのみをサポートします。ルールが 23 個を超えている場合、AVC ポリシーは AP までプッシュされません。

AVC の設定の概要

AVC を設定するには、次の手順に従います。

  1. record wireless avc basic コマンドを使用してフロー モニターを作成します。

  2. ワイヤレス ポリシー プロファイルを作成します。

  3. フロー モニターをワイヤレス ポリシー プロファイルに適用します。

  4. ワイヤレス ポリシー タグを作成します。

  5. WLAN をポリシー プロファイルにマッピングします。

  6. ポリシー タグを AP に接続します。

フロー モニターの作成

NetFlow の設定には、フロー レコード、フロー モニター、およびフロー エクスポータが必要です。この設定は、AVC 全体の設定における最初のステップとして行ってください。


(注)  

Flex モードおよびローカルモードでは、cache timeout active および cache timeout inactive コマンドのデフォルト値は AVC に最適ではありません。フロー モニターでは、両方の値を 60 に設定することを推奨します。

ファブリック モードの場合、キャッシュ タイムアウト設定は適用されません。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

flow monitor monitor-name

例:

Device(config)# flow monitor fm_avc

フロー モニターを作成します。

ステップ 3

record wireless avc { ipv4| ipv6} basic

例:

Device(config-flow-monitor)# record wireless 
avc ipv6 basic

基本の IPv4 または IPv6 ワイヤレス AVC フローテンプレートを指定します。

(注)  

 

デバイスでアプリケーション パフォーマンス モニターリング(APM)と AVC-FNF の両方を同時に使用する場合は、record wireless avc {ipv4 | ipv6} assurance コマンドを使用します。これは、 record wireless avc {ipv4 | ipv6} basic コマンドに含まれているフィールドのスーパーセットです。含んでいる方のフローモニターが destination wlc local コマンドを使用してローカルエクスポータで設定されている場合は、AVC-FNF によって、統計情報が record wireless avc {ipv4 | ipv6} basic の設定のとおりに正確に設定されます。その結果、APM と AVC-FNF の両方で、方向ごと、IP バージョンごとに、ローカル(中央スイッチング)モードで 2 つのフローモニターを同時に設定できます。

(注)  

 

record wireless avc basic コマンドは record wireless avc ipv4 basic コマンドと同じです。ただし、Flex またはファブリックモードでは record wireless avc ipv4 basic コマンドはサポートされていません。このようなシナリオでは record wireless avc basic コマンドを使用します。

ステップ 4

cache timeout active value

例:

Device(config-flow-monitor)# cache timeout 
active 60

アクティブ フロー タイムアウトを秒単位で設定します。

ステップ 5

cache timeout inactive value

例:

Device(config-flow-monitor)# cache timeout
 inactive 60

非アクティブ フロー タイムアウトを秒単位で設定します。

フローモニターの設定(GUI)

始める前に

フローモニターからデータをエクスポートするには、フローエクスポータを作成しておく必要があります。

手順

ステップ 1

[Configuration] > [Services] > [Application Visibility] の順に選択し、[Flow Monitor] タブに移動します。

ステップ 2

[Monitor] エリアで、[Add] をクリックしてフローモニターを追加します。

ステップ 3

[Flow Monitor] ウィンドウで、フローモニターと説明を追加します。

ステップ 4

ドロップダウンリストからフローエクスポータを選択して、フローモニターからコレクタにデータをエクスポートします。

(注)  

 

Wireless NetFlow データをエクスポートするには、以下のテンプレートを使用します。

  • ETA(暗号化トラフィック分析)

  • ワイヤレス AVC の基本

  • ワイヤレス AVC の基本 IPv6

ステップ 5

[Apply to Device] をクリックして、設定を保存します。

フロー レコードの作成

デフォルトのフロー レコードは、編集も削除もできません。新しいフロー レコードが必要な場合、1 つを作成し、CLI からのフロー モニターにマップする必要があります。

手順

  コマンドまたはアクション 目的

ステップ 1

flow record flow_record_name

例:

Device(config)# flow record record1

フロー レコードを作成します。

(注)  

 

カスタムのフロー レコードが Flex およびファブリック モードで設定されている場合、オプション フィールド(record wireless avc basic にないフィールド)は無視されます。

ステップ 2

description string

例:

Device(config-flow-record)# description IPv4flow

(任意)最大 63 文字で、このフロー レコードの説明を指定します。

ステップ 3

match ipv4 protocol

例:

Device(config-flow-record)# match ipv4 protocol

IPv4 プロトコルとの一致を指定します。

ステップ 4

match ipv4 source address

例:

Device(config-flow-record)# match ipv4 source address

IPv4 送信元アドレス ベースのフィールドとの一致を指定します。

ステップ 5

match ipv4 destination address

例:

Device(config-flow-record)# match ipv4 destination address

IPv4 宛先アドレス ベースのフィールドとの一致を指定します。

ステップ 6

match transport source-port

例:

Device(config-flow-record)# match transport source-port

トランスポート層の発信元ポートのフィールドとの一致を指定します。

ステップ 7

match transport destination-port

例:

Device(config-flow-record)# match transport destination-port

トランスポート層の宛先ポートのフィールドとの一致を指定します。

ステップ 8

match flow direction

例:

Device(config-flow-record)# match flow direction

フローがモニターされる方向との一致を指定します。

ステップ 9

match application name

例:

Device(config-flow-record)# match application name

アプリケーション名との一致を指定します。

(注)  

 
この操作は、AVC サポートでは必須です。フローがアプリケーションと一致することが可能になるためです。

ステップ 10

match wireless ssid

例:

Device(config-flow-record)# match wireless ssid

ワイヤレス ネットワークを特定する SSID 名との一致を指定します。

ステップ 11

collect counter bytes long

例:

Device(config-flow-record)# collect counter bytes long

カウンタ フィールドの合計バイト数を収集します。

ステップ 12

collect counter packets long

例:

Device(config-flow-record)# collect counter bytes long

カウンタ フィールドの合計パケット数を収集します。

ステップ 13

collect wireless ap mac address

例:

Device(config-flow-record)# collect wireless ap mac address

ワイヤレス クライアントが関連付けられているアクセス ポイントの MAC アドレスを持つ BSSID を収集します。

ステップ 14

collect wireless client mac address

例:

Device(config-flow-record)# collect wireless client mac address

ワイヤレス ネットワークのクライアントの MAC アドレスを収集します。

フロー エクスポータの作成

フロー エクスポータを作成すると、フローのエクスポート パラメータを定義できます。これは、フローのエクスポート パラメータを設定するためのオプションの手順です。


(注)  

AVC 統計情報がコントローラ に表示されるようにするには、次のコマンドを使用してローカルのフローエクスポータを設定する必要があります。

  • flow exporter my_local

  • destination local wlc

また、フローモニターでは、統計情報をコントローラ に表示するためにこのローカルのエクスポータを使用する必要があります。

手順

  コマンドまたはアクション 目的

ステップ 1

flow exporter flow-export-name

例:

Device(config)# flow exporter export-test

フロー モニターを作成します。

ステップ 2

description string

例:

Device(config-flow-exporter)# description IPv4flow

最大 63 文字で、フロー レコードの説明を示します。

ステップ 3

destination {hostname/ipv4address | hostname/ipv6address |local {wlc}}

例:

Device(config-flow-exporter)# destination local wlc

エクスポータがデータを送信する宛先のシステムまたはローカル WLC のホスト名または IP アドレスを指定します。

ステップ 4

transport udp port-value

例:

Device(config-flow-exporter)# transport udp 1024

(任意)外部コレクタに到達する宛先 UDP ポートを設定します。デフォルト値は 9995 です。

(注)  

 

この手順は、外部コレクタの場合にのみ必要です。ローカル WLC コレクタには不要です。

ステップ 5

option application-table timeout seconds

例:

Device(config-flow-exporter)# option application-table 
timeout 500

(任意)アプリケーション テーブルのタイムアウト オプションを秒単位で指定します。有効な範囲は 1 ~ 86400 です。

ステップ 6

end

例:

Device(config-flow-exporter)# end

特権 EXEC モードに戻ります。

ステップ 7

show flow exporter

例:

Device# show flow exporter

(任意)設定を確認します。

ポリシー タグの設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless tag policy policy-tag-name

例:

Device(config-policy-tag)# wireless tag policy rr-xyz-policy-tag

ポリシー タグを設定し、ポリシー タグ コンフィギュレーション モードを開始します。

ステップ 3

end

例:

Device(config-policy-tag)# end

設定を保存し、コンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

WLAN インターフェイスへのポリシー プロファイルのアタッチ(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [Tags]の順に選択します。

ステップ 2

[Manage Tags] ページで、[Policy] タブをクリックします。

ステップ 3

[Add] をクリックして、[Add Policy Tag] ウィンドウを表示します。

ステップ 4

ポリシー タグの名前と説明を入力します。

ステップ 5

[Add] をクリックして、WLAN とポリシーをマッピングします。

ステップ 6

適切なポリシー プロファイルを使用してマッピングする WLAN プロファイルを選択し、チェック アイコンをクリックします。

ステップ 7

[Save & Apply to Device] をクリックします。

WLAN インターフェイスへのポリシー プロファイルのアタッチ(CLI)

始める前に

  • 異なるポリシー タグ間で同じ WLAN に異なる AVC ポリシー プロファイルを適用しないでください。

    次に、正しくない設定例を示します。

    wireless profile policy avc_pol1
   ipv4 flow monitor fm-avc1 input
   ipv4 flow monitor fm-avc1 output
   no shutdown
  wireless profile policy avc_pol2
   ipv4 flow monitor fm-avc2 input
   ipv4 flow monitor fm-avc2 output
   no shutdown
  wireless tag policy avc-tag1
   wlan wlan1 policy avc_pol1
  wireless tag policy avc-tag2
   wlan wlan1 policy avc_pol2

    この例は前述の制限に反しています。つまり、WLAN wlan1 を 2 つのポリシー プロファイル(avc_pol1avc_pol2)にマッピングしています。したがって、WLAN wlan1 をすべての場所で avc_pol1 または avc_pol2 にマッピングする必要があるため、この設定は正しくありません。

  • 同じ WLAN でのポリシー プロファイルの競合はサポートされていません。たとえば、ポリシー プロファイルを(AVC の有無にかかわらず)異なるポリシー タグ内の同じ WLAN に適用する場合などです。

    次に、正しくない設定例を示します。

    wireless profile policy avc_pol1
   no shutdown
  wireless profile policy avc_pol2
   ipv4 flow monitor fm-avc2 input
   ipv4 flow monitor fm-avc2 output
   no shutdown
  wireless tag policy avc-tag1
   wlan wlan1 policy avc_pol1
  wireless tag policy avc-tag2
   wlan wlan1 policy avc_pol2

    この例では、AVC の有無にかかわらずポリシー プロファイルを異なるタグ内の同じ WLAN に適用しています。

手順

  コマンドまたはアクション 目的

ステップ 1

wireless tag policy avc-tag

例:

Device(config)# wireless tag policy avc-tag

ポリシー タグを作成します。

ステップ 2

wlan wlan-avc policy avc-policy

例:

Device(config-policy-tag)# wlan wlan_avc policy avc_pol

WLAN プロファイルにポリシー プロファイルをアタッチします。

次のタスク

  • 設定が完了したら、WLAN で no shutdown コマンドを実行します。

  • WLAN がすでに no shutdown モードになっている場合は、 shutdown コマンドを実行し、その後に no shutdown コマンドを実行します。

AP へのポリシー プロファイルのアタッチ

手順

  コマンドまたはアクション 目的

ステップ 1

ap ap-ether-mac

例:

Device(config)# ap 34a8.2ec7.4cf0

AP コンフィギュレーション モードを開始します。

ステップ 2

policy-tag policy-tag

例:

Device(config)# policy-tag avc-tag

アクセス ポイントにアタッチするポリシー タグを指定します。

AVC の設定の確認

手順

  コマンドまたはアクション 目的

ステップ 1

show avc wlan wlan-name top num-of-applications applications {aggregate | downstream | upstream}

例:

Device# show avc wlan wlan_avc top 2 applications aggregate

これらのアプリケーションを使用している上位のアプリケーションとユーザーに関する情報を表示します。

(注)  

 

ワイヤレス クライアントが WLAN に関連付けられていて、トラフィックが生成されていることを確認し、その後 90 秒間待ってからコマンドを実行してください(統計情報を確実に参照できるようにするため)。

ステップ 2

show avc client mac top num-of-applications applications {aggregate | downstream | upstream}

例:

Device# show avc client 9.3.4 top 3 applications aggregate

上位の数のアプリケーションに関する情報を表示します。

(注)  

 

ワイヤレス クライアントが WLAN に関連付けられていて、トラフィックが生成されていることを確認し、その後 90 秒間待ってからコマンドを実行してください(統計情報を確実に参照できるようにするため)。

ステップ 3

show avc wlan wlan-name application app-name top num-of-clients aggregate

例:

Device# show avc wlan wlan_avc application app top 4 aggregate

これらのアプリケーションを使用している上位のアプリケーションとユーザーに関する情報を表示します。

ステップ 4

show ap summary

例:

Device# show ap summary

コントローラ に接続しているすべてのアクセスポイントのサマリーを表示します。

ステップ 5

show ap tag summary

例:

Device# show ap tag summary

ポリシー タグを持つすべてのアクセス ポイントのサマリーを表示します。

AVC のデフォルト DSCP

AVC プロファイル用のデフォルト DSCP の設定(GUI)

手順

ステップ 1

[Configuration] > [Services] > [QoS]を選択します。

ステップ 2

[Add] をクリックします。

ステップ 3

[Policy Name] を入力します。

ステップ 4

[Add Class-Maps] をクリックします。

ステップ 5

[AVC/User Defined] ドロップダウンリストで [AVC] を選択します。

ステップ 6

[Any] または [All] 一致タイプのオプションボタンをクリックします。

ステップ 7

[Mark Type] ドロップダウンリストで [DSCP] を選択します。

ステップ 8

  1. 特定の送信元からのトラフィックをドロップするには、[Drop] チェック ボックスをオンにします。

  2. トラフィックをドロップしたくない場合は、[Police(kbps)] を入力し、[Match Type] ドロップダウンリストから一致タイプを選択します。使用可能リストから項目を選択し、クリックして選択済みリストに移動します。

ステップ 9

[Save] をクリックします。

ステップ 10

[Apply to Device] をクリックします。

AVC プロファイル用のデフォルト DSCP の設定

Cisco Catalyst 9800 シリーズ ワイヤレス コントローラでは、ポリシーで指定できるフィルタの数は最大 32 個です。フィルタで指定されていないパケットを分類する手段がありませんでしたが、ポリシーでこれらのパケットにマークを付けられるようになりました。

マーク付けの操作は、クラスマップの作成時やポリシー マップの作成時にトラフィックに適用できます。

クラス マップの作成

手順

  コマンドまたはアクション 目的

ステップ 1

Configure Terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

class class-map-name ]

例:

Device(config-pmap)# class-map avc-class

クラス マップを作成します。

ステップ 3

match protocol { application-name | attribute category category-name | attribute sub-category sub-category-name | attribute application-group application group-name

例:

Device(config)# class-map avc-class
Device(config-cmap)# match protocol avc-media
Device(config)# class-map class-avc-category
Device(config-cmap)# match protocol attribute category avc-media

Device# class-map class-avc-sub-category
Device(config-cmap)# match protocol attribute sub-category avc-media

Device# class-map avcS-webex-application-group
Device(config-cmap)# match protocol attribute application-group webex-media

アプリケーション名、カテゴリ名、サブカテゴリの名前、またはアプリケーション グループに一致するものを指定します。

ステップ 4

end

例:

Device(config)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

ポリシー マップの作成

手順

  コマンドまたはアクション 目的

ステップ 1

Configure Terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

policy-map policy-map-name

例:

Device(config)#policy-map avc-policy

ポリシー マップ名を入力することによってポリシー マップを作成し、ポリシーマップ コンフィギュレーション モードを開始します。

デフォルトでは、ポリシー マップは定義されていません。

ポリシー マップのデフォルトの動作では、パケットが IP パケットの場合は DSCP が 0 に、パケットがタグ付きの場合は CoS が 0 に設定されます。ポリシングは実行されません。

(注)  

 

既存のポリシー マップを削除するには、no policy-map policy-map-name グローバル コンフィギュレーション コマンドを使用します。

ステップ 3

class [ class-map-name | class-default ]

例:

Device(config-pmap)# class-map avc-class

トラフィックの分類を定義し、ポリシーマップ クラス コンフィギュレーション モードを開始します。

デフォルトでは、ポリシー マップおよびクラス マップは定義されていません。

すでに class-map グローバル コンフィギュレーション コマンドを使用してトラフィック クラスが定義されている場合は、このコマンドで class-map-name にその名前を指定します。

class-default トラフィック クラスは定義済みで、どのポリシーにも追加できます。このトラフィック クラスは、常にポリシー マップの最後に配置されます。暗黙の match any が class-default クラスに含まれている場合、他のトラフィック クラスと一致しないパケットはすべて class-default と一致します。

(注)  

 

既存のクラス マップを削除するには、no class class-map-name ポリシー マップ コンフィギュレーション コマンドを使用します。

ステップ 4

set dscp new-dscp

例:

Device(config-pmap-c)# set dscp 45

パケットに新しい値を設定することによって、IP トラフィックを分類します。dscp new-dscp には、分類されたトラフィックに割り当てる新しい DSCP 値を入力します。指定できる範囲は 0 ~ 63 です。

ステップ 5

class class-default

ポリシーを設定または変更できるようデフォルト クラスを指定します。

ステップ 6

set dscp default

デフォルトの DSCP を設定します。

ステップ 7

end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

AVC ベースの選択的リアンカー

AVC ベースの選択的リアンカー機能は、クライアントが一方のコントローラ から他方のコントローラにローミングするときにクライアントをリアンカーすることを目的としています。クライアントをリアンカーすることで、Cisco WLC の新しいクライアントで使用可能な IP アドレスが枯渇するのを防ぎます。クライアントをリアンカーするか保留するかを決めるために、AVC プロファイル ベースの統計情報が使用されます。この機能は、AVC ルールで定義されている音声またはビデオ アプリケーションをクライアントが積極的に実行している場合に便利です。

リアンカーのプロセスでは、アンカーされたクライアントの認証解除も伴います。クライアントは、WLC 間をローミングしている時に、AVC ルールにリストされているアプリケーションのトラフィックを送信していない場合に、認証解除されます。

AVC ベースの選択的リアンカーの制限事項

  • この機能は、ローカル モードでのみサポートされています。FlexConnect モードおよびファブリック モードはサポートされていません。

  • この機能は、ゲスト トンネリングおよびエクスポート アンカーのシナリオではサポートされていません。

  • 古い IP アドレスは、IP アドレスのリース期間が終了するまで、リアンカー後も解放されません。

フロー エクスポータの設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

flow exporter name

例:

Device(config)# flow exporter avc-reanchor

フロー エクスポータを作成し、フロー エクスポータ コンフィギュレーション モードを開始します。

(注)  

 

このコマンドを使用して既存のフロー エクスポータを変更することもできます。

ステップ 3

destination local wlc

例:

Device(config-flow-exporter)# destination local wlc

エクスポータをローカルとして設定します。

フロー モニターの設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

flow monitor monitor-name

例:

Device(config)# flow monitor fm_avc

フロー モニターを作成し、Flexible NetFlow フロー モニター コンフィギュレーション モードを開始します。

(注)  

 

このコマンドを使用して既存のフロー モニターを変更することもできます。

ステップ 3

exporter exporter-name

例:

Device(config-flow-monitor)# exporter avc-reanchor

フロー エクスポータの名前を指定します。

ステップ 4

record wireless avc basic

例:

Device(config-flow-monitor)# record wireless avc basic

キャッシュの定義に使用するフロー レコードを指定します。

ステップ 5

cache timeout active value

例:

Device(config-flow-monitor)# cache timeout active 60

アクティブ フロー タイムアウトを秒単位で設定します。

ステップ 6

cache timeout inactive value

例:

Device(config-flow-monitor)# cache timeout inactive 60

非アクティブ フロー タイムアウトを秒単位で設定します。

AVC リアンカー プロファイルの設定

始める前に

  • AVC-Reanchor-Class クラス マップを使用していることを確認します。それ以外のクラスマップ名はすべて、選択的リアンカーでは無視されます。

  • システムの起動中に、AVC-Reanchor-Class クラス マップが存在するかどうかがチェックされます。見つからなかった場合は、デフォルトのプロトコル(jabber-video、WiFi-calling など)が作成されます。AVC-Reanchor-Class クラス マップが見つかった場合、設定の変更は行われず、スタートアップ コンフィギュレーションに保存されているプロトコルの更新はリブート後も維持されます。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

class-map cmap-name

例:

Device(config)# class-map AVC-Reanchor-Class

クラス マップを設定します。

ステップ 3

match any

例:

Device(config-cmap)# match any

デバイスを通過するいずれかのプロトコルと照合するようにデバイスに指示します。

ステップ 4

match protocol jabber-audio

例:

Device(config-cmap)# match protocol jabber-audio

アプリケーション名との一致を指定します。

必要に応じて、後でクラスマップ設定を編集し、jabber-video や wifi-calling などのプロトコルを追加または削除することができます。

ワイヤレス WLAN プロファイル ポリシーの設定

WLAN プロファイル ポリシーを設定するには、次の手順に従います。


(注)  

Cisco IOS XE Amsterdam 17.1.1 以降では、IPv6 フローモニターは Wave 2 AP でサポートされています。ローカル(中央スイッチング)モードでは、NBAR がコントローラで実行されている場合、方向ごと(入力および出力)および IP バージョンごと(IPv4 および IPv6)に 2 つのフローモニターをポリシープロファイルに接続できます。ただし、Wave 2 AP 上の FlexConnect およびファブリックモードでは、NBAR が対応する AP で実行されている場合、方向ごと(入力および出力)および IP バージョンごと(IPv4 および IPv6)に 1 つのフローモニターのみがサポートされます。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile policy policy-name

例:

Device(config)# wireless profile policy default-policy-profile

WLAN ポリシー プロファイルを設定し、ワイヤレス ポリシー コンフィギュレーション モードを開始します。

ステップ 3

shutdown

例:

Device(config-wireless-policy)# shutdown

ポリシープロファイルを無効にします。

ステップ 4

no central switching

例:

Device(config-wireless-policy)# no central switching

中央スイッチングを無効にします。

ステップ 5

ipv4 flow monitor monitor-nameinput

例:

Device(config-wireless-policy)# ipv4 flow monitor fm_avc input

IPv4 入力フローモニターの名前を指定します。

ステップ 6

ipv4 flow monitor monitor-name output

例:

Device(config-wireless-policy)# ipv4 flow monitor fm_avc output

IPv4 出力フローモニターの名前を指定します。

ステップ 7

ipv6 flow monitor monitor-nameinput

例:

Device(config-wireless-policy)# ipv6 flow monitor fm_v6_avc input

IPv6 入力フローモニターの名前を指定します。

ステップ 8

ipv6 flow monitor monitor-name output

例:

Device(config-wireless-policy)# ipv6 flow monitor fm_v6_avc output

IPv6 出力フローモニターの名前を指定します。

ステップ 9

no shutdown

例:

Device(config-wireless-policy)# no shutdown

ポリシー プロファイルを有効にします。

AVC リアンカーの確認

AVC リアンカーの設定を確認するには、次のコマンドを使用します。

Device# show wireless profile policy detailed avc_reanchor_policy

Policy Profile Name           : avc_reanchor_policy
Description                   : 
Status                        : ENABLED
VLAN                          : 1
Wireless management interface VLAN        : 34
!
.
.
.
AVC VISIBILITY                : Enabled
Flow Monitor IPv4
  Flow Monitor Ingress Name   : fm_avc
  Flow Monitor Egress Name    : fm_avc
Flow Monitor IPv6
  Flow Monitor Ingress Name   : Not Configured
  Flow Monitor Egress Name    : Not Configured
NBAR Protocol Discovery       : Disabled
Reanchoring                   : Enabled
Classmap name for Reanchoring
  Reanchoring Classmap Name   : AVC-Reanchor-Class
!
.
.
.
  -------------------------------------------------------


Device# show platform software trace counter tag wstatsd chassis active R0 avc-stats debug

Counter Name Thread ID Counter Value 
------------------------------------------------------------------------------
Reanch_deassociated_clients 28340 1 
Reanch_tracked_clients 28340 4 
Reanch_deleted_clients 28340 3 

Device# show platform software trace counter tag wncd chassis active R0 avc-afc debug

Counter Name Thread ID Counter Value 
------------------------------------------------------------------------------
Reanch_co_ignored_clients 30063 1 
Reanch_co_anchored_clients 30063 5 
Reanch_co_deauthed_clients 30063 4


Device# show platform software wlavc status wncd

Event history of WNCD DB:

AVC key: [1,wlan_avc,N/A,Reanc,default-policy-tag]
Current state : READY
Wlan-id : 1
Wlan-name : wlan_avc
Feature type : Reanchoring
Flow-mon-name : N/A
Policy-tag : default-policy-tag
Switching Mode : CENTRAL

Timestamp FSM State Event RC Ctx
-------------------------- ------------------- -------------------------- ---- ----
06/12/2018 16:45:30.630342 3 :ZOMBIE 1 :FSM_AFM_BIND 0 2
06/12/2018 16:45:28.822780 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:45:28.822672 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:45:15.172073 3 :ZOMBIE 1 :FSM_AFM_BIND 0 2
06/12/2018 16:45:12.738367 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:45:12.738261 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:45:01.162689 3 :ZOMBIE 1 :FSM_AFM_BIND 0 2
06/12/2018 16:44:55.757643 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:44:55.757542 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:44:04.468749 3 :ZOMBIE 1 :FSM_AFM_BIND 0 2
06/12/2018 16:44:02.18857 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:44:02.18717 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:38:20.164304 2 :READY 3 :FSM_AFM_SWEEP 0 2
06/12/2018 16:35:20.163877 2 :READY 1 :FSM_AFM_BIND 0 2
06/12/2018 16:35:18.593257 1 :INIT 1 :FSM_AFM_BIND 0 2
06/12/2018 16:35:18.593152 1 :INIT 24:CREATE_FSM 0 0

AVC key: [1,wlan_avc,fm_avc,v4-In,default-policy-tag]
Current state : READY
Wlan-id : 1
Wlan-name : wlan_avc
Feature type : Flow monitor IPv4 Ingress
Flow-mon-name : fm_avc
Policy-tag : default-policy-tag
Switching Mode : CENTRAL

Timestamp FSM State Event RC Ctx
-------------------------- ------------------- -------------------------- ---- ----
06/12/2018 16:45:30.664772 3 :ZOMBIE 1 :FSM_AFM_BIND 0 2
06/12/2018 16:45:28.822499 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:45:28.822222 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:45:15.207605 3 :ZOMBIE 1 :FSM_AFM_BIND 0 2
06/12/2018 16:45:12.738105 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:45:12.737997 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:45:01.164225 3 :ZOMBIE 1 :FSM_AFM_BIND 0 2
06/12/2018 16:44:55.757266 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:44:55.757181 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:44:04.472778 3 :ZOMBIE 1 :FSM_AFM_BIND 0 2
06/12/2018 16:44:02.15413 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:44:02.15263 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:38:20.164254 2 :READY 3 :FSM_AFM_SWEEP 0 2
06/12/2018 16:35:20.163209 1 :INIT 1 :FSM_AFM_BIND 0 2
06/12/2018 16:35:20.163189 1 :INIT 24:CREATE_FSM 0 0

AVC key: [1,wlan_avc,fm_avc,v4-Ou,default-policy-tag]
Current state : READY
Wlan-id : 1
Wlan-name : wlan_avc
Feature type : Flow monitor IPv4 Egress
Flow-mon-name : fm_avc
Policy-tag : default-policy-tag
Switching Mode : CENTRAL

Timestamp FSM State Event RC Ctx
-------------------------- ------------------- -------------------------- ---- ----
06/12/2018 16:45:30.630764 3 :ZOMBIE 1 :FSM_AFM_BIND 0 2
06/12/2018 16:45:28.822621 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:45:28.822574 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:45:15.172357 3 :ZOMBIE 1 :FSM_AFM_BIND 0 2
06/12/2018 16:45:12.738212 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:45:12.738167 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:45:01.164048 3 :ZOMBIE 1 :FSM_AFM_BIND 0 2
06/12/2018 16:44:55.757403 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:44:55.757361 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:44:04.472561 3 :ZOMBIE 1 :FSM_AFM_BIND 0 2
06/12/2018 16:44:02.18660 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:44:02.18588 2 :READY 2 :FSM_AFM_UNBIND 0 0
06/12/2018 16:38:20.164293 2 :READY 3 :FSM_AFM_SWEEP 0 2
06/12/2018 16:35:20.163799 1 :INIT 1 :FSM_AFM_BIND 0 2
06/12/2018 16:35:20.163773 1 :INIT 24:CREATE_FSM 0 0


Device# show platform software wlavc status wncmgrd

Event history of WNCMgr DB:

AVC key: [1,wlan_avc,N/A,Reanc,default-policy-tag]
Current state : READY
Wlan-id : 1
Wlan-name : wlan_avc
Feature type : Reanchoring
Flow-mon-name : N/A
Policy-tag : default-policy-tag
Switching Mode : CENTRAL
Policy-profile : AVC_POL_PYATS

Timestamp FSM State Event RC Ctx
-------------------------- ------------------- -------------------------- ---- ----
06/12/2018 16:45:30.629278 3 :WLAN_READY 24:BIND_WNCD 0 0
06/12/2018 16:45:30.629223 3 :WLAN_READY 4 :FSM_BIND_ACK 0 0
06/12/2018 16:45:30.629179 3 :WLAN_READY 4 :FSM_BIND_ACK 0 0
06/12/2018 16:45:30.510867 2 :PLUMB_READY 22:BIND_IOSD 0 0
06/12/2018 16:45:30.510411 2 :PLUMB_READY 2 :FSM_WLAN_UP 0 0
06/12/2018 16:45:30.510371 2 :PLUMB_READY 1 :FSM_WLAN_FM_PLUMB 0 0
06/12/2018 16:45:28.886377 2 :PLUMB_READY 20:UNBIND_ACK_IOSD 0 0
!

AVC key: [1,wlan_avc,fm_avc,v4-In,default-policy-tag]
Current state : READY
Wlan-id : 1
Wlan-name : wlan_avc
Feature type : Flow monitor IPv4 Ingress
Flow-mon-name : fm_avc
Policy-tag : default-policy-tag
Switching Mode : CENTRAL
Policy-profile : AVC_POL_PYATS

Timestamp FSM State Event RC Ctx
-------------------------- ------------------- -------------------------- ---- ----
06/12/2018 16:45:30.664032 3 :WLAN_READY 24:BIND_WNCD 0 0
06/12/2018 16:45:30.663958 3 :WLAN_READY 4 :FSM_BIND_ACK 0 0
06/12/2018 16:45:30.663921 3 :WLAN_READY 4 :FSM_BIND_ACK 0 0
06/12/2018 16:45:30.511151 2 :PLUMB_READY 22:BIND_IOSD 0 0
06/12/2018 16:45:30.510624 2 :PLUMB_READY 2 :FSM_WLAN_UP 0 0
06/12/2018 16:45:30.510608 2 :PLUMB_READY 1 :FSM_WLAN_FM_PLUMB 0 0
06/12/2018 16:45:28.810867 2 :PLUMB_READY 20:UNBIND_ACK_IOSD 0 0
06/12/2018 16:45:28.807239 4 :READY 25:UNBIND_WNCD 0 0
06/12/2018 16:45:28.807205 4 :READY 23:UNBIND_IOSD 0 0
06/12/2018 16:45:28.806734 4 :READY 3 :FSM_WLAN_DOWN 0 0
!

AVC key: [1,wlan_avc,fm_avc,v4-Ou,default-policy-tag]
Current state : READY
Wlan-id : 1
Wlan-name : wlan_avc
Feature type : Flow monitor IPv4 Egress
Flow-mon-name : fm_avc
Policy-tag : default-policy-tag
Switching Mode : CENTRAL
Policy-profile : AVC_POL_PYATS

Timestamp FSM State Event RC Ctx
-------------------------- ------------------- -------------------------- ---- ----
06/12/2018 16:45:30.629414 3 :WLAN_READY 24:BIND_WNCD 0 0
06/12/2018 16:45:30.629392 3 :WLAN_READY 4 :FSM_BIND_ACK 0 0
06/12/2018 16:45:30.629380 3 :WLAN_READY 4 :FSM_BIND_ACK 0 0
06/12/2018 16:45:30.510954 2 :PLUMB_READY 22:BIND_IOSD 0 0
06/12/2018 16:45:30.510572 2 :PLUMB_READY 2 :FSM_WLAN_UP 0 0
06/12/2018 16:45:30.510532 2 :PLUMB_READY 1 :FSM_WLAN_FM_PLUMB 0 0
06/12/2018 16:45:28.886293 2 :PLUMB_READY 20:UNBIND_ACK_IOSD 0 0
06/12/2018 16:45:28.807844 4 :READY 25:UNBIND_WNCD 0 0
06/12/2018 16:45:28.807795 4 :READY 23:UNBIND_IOSD 0 0
06/12/2018 16:45:28.806990 4 :READY 3 :FSM_WLAN_DOWN 0 0
!