Application Visibility and Control(アプリケーションの可視化と制御)

Application Visibility and Control(AVC)は、ワイヤレスおよび有線製品でディープ パケット インスペクション(DPI)テクノロジーを使用するためのシスコの最先端アプローチです。AVC は、Network Based Application Recognition(NBAR)エンジンと Quality of Service(QoS)のメカニズムによって、まったく新しいレベルのトラフィック認識およびシェーピングを可能にします。AVC 機能は分散型アプローチを使用してワイヤレス製品に対応します。このアプローチでは、DPI を実行して Flexible Netflow(FNF)メッセージで結果を報告するためにアクセス ポイント(AP)またはコントローラ上で実行されている NBAR が活用されます。コントローラはすべてのレポートを集約し、show コマンド、Web UI、または Prime などの外部 Netflow コレクタへの追加的な Netflow エクスポート メッセージに利用します。アプリケーションの可視化が確立されると、ユーザはクライアント レベルでポリシング メカニズムを使用してコントロール ルールを定義できます。

AVC は、ディープ パケット インスペクションが無効になっている場合でもトラフィック情報を提供できる FNF パッケージ全体のサブセットです。FNF はワイヤレスでサポートされる機能であり、コントローラのすべてのモード(集中型およびフレックス)で Netflow が有効になっている必要があります。

Network Based Application Recognition(NBAR)は、ワイヤレス ネットワークでのアプリケーション制御を可能にし、管理性と生産性を向上させます。また、エンドツーエンドのソリューションとして Cisco の Application Visibility and Control(AVC)を拡張します。これにより、ネットワーク内のアプリケーションの完全な可視化が提供され、管理者は同時にアプリケーションの制御もできます。

NBAR は Cisco IOS ベースのプラットフォームで利用できるディープパケット インスペクション テクノロジーで、ステートフル L4 - L7 分類をサポートしています。NBAR2 は NBAR に基づくもので、NBAR を使用するすべての IOS 機能で共通のフロー テーブルが必要になるなどの要件があります。NBAR2 がアプリケーションを認識し、その情報を QoS、NetFlow、ファイアウォールなどの他の機能に渡すことで、この分類に基づくアクションが実行されます。

NBAR の主な使用例として、キャパシティ プランニング、ネットワーク使用量のベースライン化、および帯域幅を消費するアプリケーションのより的確な把握があります。アプリケーション使用状況の傾向分析により、ネットワーク管理者はネットワーク インフラストラクチャのアップグレードを計画し、ネットワーク輻輳時に帯域幅を大量に消費するアプリケーションから重要なアプリケーションを保護してユーザ エクスペリエンスを向上させ、優先順位付けと解除を行い、特定のアプリケーション トラフィックをドロップすることができます。

NBAR のサポートされる機能

NBAR はその機能として、次のタスクを実行できます。

  1. 分類:アプリケーション/プロトコルの識別。

  2. AVC:分類されたトラフィックを可視化し、ドロップまたはマーク(DSCP)アクションによってトラフィックを制御するオプションも提供します。

  3. Flexible NetFlow:Cisco Prime Assurance Manager(PAM)などの NetFlow コレクタに最新の NBAR 統計情報を提供します。

リリースでサポートされているプロトコルの完全な一覧は、次のリンクに掲載されています。 https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/prot_lib/config_library/nbar-prot-pack-library.html

IOS XE 16.10 の AVC-FNF 機能の概要

  • コントローラの NBAR:NBAR エンジン v35、プロトコル パック v39.0

  • Wave-1 IOS AP の NBAR:NBAR エンジン v23、プロトコル パック v14.0

  • Wave-2 COS AP の NBAR:NBAR エンジン v35、プロトコル パック v33

  • L2 および L3 ローミングがサポートされる(L2 には AP の NBAR コンテキスト転送が含まれる)

  • WLAN およびクライアントごとのアプリケーション ベース統計情報レポート

  • 外部の FNFv9 コレクタ(PI、DNAC、サード パーティ製品)

  • AVC タイムライン

  • IOS(Wave 1)および ClickOS (Wave 2) AP のサポート

  • Web UI、CLI、Netconf/Yang および SNMP のサポート

  • IPv4 と IPv6 のトラフィック分類(AP の IPv6 トラフィック フローについては FNF サポートなし)

  • すべての Cisco C9800 導入モードのサポート

  • IOS AP は AVC-FNF をサポートしない

C9800

W1 AP

W2 AP

ローカル モード(中央スイッチング)

Ipv4 トラフィック:

AVC サポートあり

FNF サポートあり

Ipv6 トラフィック:

AVC サポートあり

FNF サポートあり

N/A

N/A

フレックス モード(中央スイッチング)

Ipv4 トラフィック:

AVC サポートあり

FNF サポートあり

Ipv6 トラフィック:

AVC サポートあり

FNF サポートあり

N/A

N/A

フレックス モード(ローカル スイッチング)

該当なし

Ipv4 トラフィック:

AVC サポートあり

FNF サポートあり

Ipv6 トラフィック:

AVC サポートあり

FNF サポートあり

Ipv4 トラフィック:

AVC サポートあり

FNF サポートあり

Ipv6 トラフィック:

AVC サポートあり

FNF サポートなし

ローカル モード(ファブリック モード)

Ipv4 トラフィック:

AVC サポートあり

FNF サポートあり

Ipv6 トラフィック:

AVC サポートあり

FNF サポートあり

Ipv4 トラフィック:

AVC サポートあり

FNF サポートあり

Ipv6 トラフィック:

AVC サポートあり

FNF サポートなし

C9800 AVC-FNF の導入モード

C9800 IOS-XE 16.10 は次の 4 つの導入モードをサポートしています。

  • フレックス(つまり「FlexConnect モードの AP のローカル スイッチング」)

  • フレックス セントラル(つまり「FlexConnect モードの AP の中央スイッチング」)

  • ローカル(つまり「ローカル モードの AP の中央スイッチング」)

  • ファブリック(別名 eCA)

Flexible NetFlow のサポート

IP トラフィック フローでは、一連のパケットが、送信元/宛先 IP アドレス、トランスポート ポート、方向などの共通の属性を伴い、ネットワーク デバイスを通過します。ワイヤレス フローのその他の共通属性としては、SSID や AP MAC があります。共通の属性を持つこれらのパケットがフローに集約され、Netflow コレクタにエクスポートされます。

Flexible Netflow v9 レコード エクスポータが導入されました。新しい Netflow v9 では、15 の異なるデータ レコード(RFC 3954 で定義)が、Stealthwatch などの外部のサードパーティ製 Netflow コレクタに送信されます。強化されたフロー レコード データ エクスポートのサポートが、C9800 で追加されています。

  • アプリケーション タグ

  • クライアントの MAC アドレス

  • AP MAC アドレス

  • WlanID

  • 送信元 IP

  • 宛先 IP

  • 送信元ポート

  • 宛先ポート

  • プロトコル

  • フロー開始時刻

  • フロー終了時刻

  • 方向

  • パケット数

  • バイト数

  • TOS-DSCP 値

C9800 AVC-FNF 対応プラットフォーム

  • C9800

  • フレックスおよびローカル モード:C9800

  • AP

  • フレックス モードでは IOS(Wave-1)AP がサポートされる

  • フレックスおよびファブリック モードでは COS(Wave-2)AP がサポートされる

  • AP_1810W、AP_1810T、AP_1815W、AP_1815T、AP_1815I、AP_1815M、AP_1815TSN、AP_1815STAR、AP_1832I、AP_1852E、AP_1852I、AP_2802E、AP_2802I、AP_2802H、AP_3802E、AP_3802P、AP_3802H、AP_4800

  • ローカルおよびフレックス セントラル モードではすべての C9800 対応 AP がサポートされる

AireOS 設定モデルと C9800 設定モデル

C9800-CL の基本的な AAA の Day1 設定

CL の基本的な AAA の Day 1 設定を行うには、次の手順を実行します。

手順

ステップ 1

C9800 にログインし、コントローラのメイン メニューから [Configuration] > [AAA Wizard] に移動して次のように設定します。

[Server]:[Name] に ISE と入力し、[Server Address]、[Shared Secret] を指定して、[Next] をクリックします。

[Server Group Association]:[Name] に ISE-Server-Group と入力して、[Available Servers] から [ISE] を選択し、[>] をクリックして割り当てたら、[Next] をクリックします。

ステップ 2

AAA をマッピングするには、[Authentication] を選択して、[Method List Name] を ISE-ML、[Type] を dot1x に設定し、[Available Server Groups] で [ISE-Server-Group] を選択して [Save & Apply] ボタンをクリックします。

次のスクリーン ショットで AAA 設定例を参照してください。
ステップ 3

[Configuration] > [AAA] > [Servers/Groups] を選択して、設定された AAA サーバのリストを表示します。

次に例を示します。

C9800-CL の基本的な WLAN の Day1 設定

C9800-CL の基本的な WLAN の Day1 設定を行うには、次の手順を実行します。
ステップ 4

C9800 にログインして、コントローラのメイン メニューから [Configuration] > [Wireless Basic Setup] に移動します。

次の例に示すように、[Location Name] [Location type] を設定します。

次に、[ADD-WLAN] をクリックし、新しい SSID を設定して有効化します。

選択した WLAN のセキュリティ パラメータを設定します。
ステップ 5

ステップ 1 でセットアップした AAA サーバを設定します。
ステップ 6

最後に、設定した WLAN を特定の場所にある選択済みの AP にバインドします。

上記で設定した WLAN プロファイルを、[Policy Profiles] タブで確認できるようになります。

また、[Configuration] > [Tags] タブで必ずローカル サイトを有効にします。
ステップ 7

選択した WLAN のセキュリティ パラメータを設定します。

C9800-CL の AVC WLAN の Day1 設定

C9800-CL の AVC WLAN の Day 1 設定を行うには、次の手順を実行します。

手順

ステップ 1

C9800 にログインして、コントローラのメイン メニューから [Configuration] > [Services] > [Application Visibility] に移動します。

ステップ 2

設定済みの WLAN を選択して、以下に示すように AV を適用し、ローカルまたは外部の Netflow コレクタも選択します。
ステップ 3

AVC が有効になっているいずれかの WLAN にクライアントを接続し、別のサイトにアクセスしてトラフィックを渡します。数秒間待ってから、C9800 のメイン メニューで [Monitor] > [Application Visibility] に移動します。

ネットワーク上で実行されていて、NBAR の監視対象となっているすべてのアプリのグラフィカル ビューがページに表示されます。

可視性は、SSID、方向、および時間(最大 48 時間)でフィルタリングできます。ユーザはクライアントがアクセスしようとするアプリを確認できます。

同様に、クライアントごとの AV ステータスを表示するには、[Clients] タブをクリックしてクライアントを選択し、[View Application Details] をクリックします。

クライアントがアクセスしようとしたすべてのアプリの使用状況が % グラフ形式と表形式で表示されます。
ステップ 4

アプリケーションまたはトラフィックを制御(マーク、ドロップ、またはレート制限)するには、アプリケーション(YouTube アプリケーション)をマーク/ドロップまたはレート制限する QoS ポリシーを AVC に設定します。

[Configuration] > [Services] > [QoS] に移動して [Add] ボタンをクリックすると、QoS ポリシー ページに移動します。

[Auto QoS] ページの [+Add Class_Maps] ボタンを選択し、次のページで目的の AVC オプション(DSCP 値のマーキングや特定のプロトコルのドロップなど)を設定します。次の例では、YouTube と Twitter が AVC ポリシーによってドロップされるように設定されています。

次に、この QoSポリシーを適用する WLAN プロファイルを選択します。次の例では、前のステップで設定した 2 つの WLAN プロファイルを選択して [Ingress] を適用します。
ステップ 5

前に選択した QoSポリシーでクラス デフォルトを設定します。クラス デフォルトとは、設定した AV アプリケーションの外部で他のすべてのアプリケーションを管理できるオプションです。クラス デフォルト オプションを設定しない場合、ワイヤレス帯域幅がいっぱいになる可能性があります。DSCP およびポリシング レート制限の値を設定すると、他のすべてのアプリケーションに適用されます。

ステップ 6

(検証)上記で設定した WLAN プロファイルのいずれかにクライアントを接続して、cisco.com などの別のサイトへのアクセスを試行し、YouTube および Twitter へのアクセスも試行します。クライアントは、設定済みの QoS ポリシーでドロップするようにマーキングされた YouTube と Twitter を除くすべてのサイトを参照できる必要があります。

NBAR2 プロトコル パックのアップグレード

  • プロトコル パック(NBAR エンジンによって認識されるプロトコルのリスト)はコントローラでのみ更新できる(IOS-XE リリース 16.10 の時点では、AP はアップグレードされません)

  • アップグレードはシームレスに実行される(サービスを中断する必要はありません)

  • アップグレード後に再起動しなくても、AVC CLI および Web UI に新しいプロトコルやアプリケーションが表示される

  • 新しいカスタム プロトコルおよびアプリケーションはユーザが定義できる

プロトコル パックのブートフラッシュへのアップロード(例)

適用します( 新しいフローの分類が可能になるまでに約 10 秒かかりますが、サービスの中断が発生することはありません)。

C9800#conf t 
C9800(config)#ip nbar protocol-pack bootflash:<uploadppack>

バージョンを確認します。

veWLC-37b#show ip nbar protocol-pack active
Active Protocol Pack:
Name:                            Advanced Protocol Pack
Version:                         39.0
Publisher:                       Cisco Systems Inc.
NBAR Engine Version:    35
State:                             Active

Web UI でも同様の操作を実行できます。

NBAR カスタム アプリ設定

  • 定義後にアプリを NBAR エンジンで利用できるようになるまでに最大で 10 秒かかる

  • 新しいフローのみが新たに定義されたアプリによって分類される

#imp nbar custom <app name> <rules>

URL の照合例:

C9800(config)#ip nbar custom myappname http url http://internalwiki.cisco.com

C9800-CL AVC の CLI コマンド

統計情報の show コマンド:

show avc wlan <ssid> top <n> applications (upstream | downstream | aggregate)
show avc client <mac_addr> top <n> applications (upstream | downstream | aggregate)
show avc wlan <ssid> application <app_name> top <n>(upstream | downstream | aggregate)
show avc status wlan <ssid>
show controllers dot 0 wlan
Show ip nbar version
show avc nbar statistics
Show ip nbar protocol-pack active
show ip nbar protocol-discovery wlan <wlan profile name> [filtering options]

clear ip nbar protocol-discovery wlan <wlan profile name> 	
clear avc (wlan <ssid>| client <mac_addr>) stats

最小限の AVC CLI 設定

flow exporter fm-exp
  destination local 
or Destination <hostname or A.B.C.D>
flow monitor fm-avc
  record wireless avc basic
  exporter fm-exp
  cache timeout active 60
wireless profile policy avc-policy-prof
  ipv4 flow monitor fm-avc input
  ipv4 flow monitor fm-avc output
  no shutdown
wireless tag policy avc-policy-tag
  wlan avc-wlan policy avc-policy-prof
wlan avc-wlan 1 avc-wlan-ssid
  no shutdown
ap <AP's ethernet mac>
  policy-tag avc-policy-tag

NBAR Protocol Discovery の最小設定

default-policy-profile で NBAR Protocol Discovery を有効にします。

wireless profile policy default-policy-profile
  central association
  central switching
  ip nbar protocol-discovery
  vlan 70
  no shutdown