Inleiding
Dit document beschrijft een configuratievoorbeeld voor Bi Directional Rate Limit (BDRL) op draadloze controllers uit de Catalyst 9800-reeks met AAA Override.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco Catalyst 9800-CL draadloze controller op versie 16.12.1s
- Identity Service Engine op versie 2.2
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
QoS in het 9800 WLC-platform gebruikt dezelfde concepten en componenten als de Catalyst 9000-platforms.
Deze sectie biedt een globaal overzicht van hoe deze componenten werken en hoe ze kunnen worden geconfigureerd om verschillende resultaten te bereiken.
QoS recursie werkt als volgt:
1. Klasse-Map: identificeert een bepaald type verkeer. Klasse-maps kunnen gebruikmaken van de Application Visibility and Control (AVC)-engine.
De gebruiker kan ook aangepaste klassenkaarten definiëren om verkeer te identificeren dat overeenkomt met een Access Control Lists (ACL) of Differentiated Services Code Point (DSCP)
2. Policy-Map: Beleid dat van toepassing is op Class-maps.
Deze beleidsregels kunnen DSCP markeren, verlagen of het verkeer beperken dat overeenkomt met de klassenkaart
4. Service-Policy: Policy-maps kunnen worden toegepast op het Policy Profile van een SSID of Per-Client op een bepaalde richting met de opdracht service-policy.
3. (Optioneel) Table-Map: Deze worden gebruikt om een type markering om te zetten in een ander type, bijvoorbeeld CoS naar DCSP.
Opmerking: Geef in de tabelkaart de waarden op die moeten worden gewijzigd (4 tot en met 32); in de beleidskaart wordt de technologie opgegeven (COS tot DSCP).

Opmerking: Als per doel twee of meer beleidsregels van toepassing zijn, wordt de beleidsresolutie gekozen op basis van deze prioriteitsrangschikking:
· AAA Override (hoogste)
· Native profiling (lokaal beleid)
· Geconfigureerd beleid
· Standaardbeleid (laagste)
Meer details zijn te vinden in de officiële QoS-configuratiehandleiding voor de 9800.
Aanvullende informatie over de QoS-theorie is te vinden in de configuratiegids voor QoS uit de 9000-reeks.
Voorbeeld: QoS-beleid voor gasten en bedrijven
Dit voorbeeld laat zien hoe de verklaarde QoS-componenten van toepassing zijn in een real-world scenario.
Het is de bedoeling om een QoS-beleid te configureren voor gasten die:
- Opmerkingen DSCP
- YouTube en Netflix video laten vallen
- Snelheidslimieten voor een host die is opgegeven in een ACL tot 50 Kbps
- Snelheidslimieten voor al het andere verkeer tot 100 Kbps

Het QoS-beleid moet bijvoorbeeld per SSID in beide richtingen worden toegepast Ingress en Egress op het beleidsprofiel dat naar het gastnetwerk wordt gekoppeld.
Configureren
AAA-server en methodenlijst
Stap 1. Navigeer naar Configuratie > Beveiliging > AAA > Authenticatie > Servers/Groepen en selecteer +Toevoegen.
Voer de naam, het IP-adres en de sleutel van de AAA-server in, die moet overeenkomen met het gedeelde geheim onder Beheer > Netwerkbronnen > Netwerkapparaten op ISE.

Stap 2. Navigeer naar Configuratie > Beveiliging > AAA > Authenticatie > AAA-methodenlijst en selecteer +Toevoegen. Selecteer de toegewezen servergroepen in de beschikbare servergroepen.

Stap 3. Navigeer naar Configuratie > Beveiliging > AAA > Autorisatie > AAA-methodenlijst en selecteer Toevoegen. Kies de standaardmethode en "netwerk" als het type.

Dit is vereist voor de controller om de autorisatieattributen (bijvoorbeeld het QoS-beleid hier) toe te passen die door de AAA-server worden geretourneerd. Anders wordt het beleid van RADIUS niet toegepast.
WLAN-beleid, sitetag en AP-tag
Stap 1. Navigeer naar Configuratie > Draadloze installatie > Geavanceerd > Nu starten > WLAN-profiel en selecteer +Toevoegen om een nieuw WLAN te maken. Configureer de SSID, profielnaam, WLAN-ID en stel de status in op Ingeschakeld.
Navigeer vervolgens naar Beveiliging > Laag 2 en configureer de Layer 2-verificatieparameters:

De SSID-beveiliging hoeft niet 802.1x te zijn als vereiste voor QoS, maar wordt in deze configuratie gebruikt voor bijvoorbeeld AAA-override.
Stap 2. Navigeer naar Beveiliging > AAA en selecteer de AAA-server in de vervolgkeuzelijst Verificatielijst.

Stap 3. Selecteer Beleidsprofiel en selecteer +Toevoegen. Configureer de naam van het beleidsprofiel.
Stel de status in als Ingeschakeld; schakel ook Central Switching, Authentication, DHCP en koppeling in:

Stap 4. Navigeer naar Toegangsbeleid en configureer het VLAN waaraan de draadloze client is toegewezen wanneer de client verbinding maakt met de SSID:

Stap 5. Selecteer Beleidstag en selecteer +Toevoegen. Configureer de naam van de beleidstag.
Selecteer onder WLAN-beleidskaarten op +Toevoegen het WLAN-profiel en het beleidsprofiel in de vervolgkeuzemenu's en selecteer de optie Controleren of de kaart moet worden geconfigureerd.

Stap 6. Selecteer Site Tag en selecteer +Toevoegen. Schakel het vakje Lokale site inschakelen in als de toegangspunten in de Lokale modus moeten werken (of schakel FlexConnect niet in):

Stap 7. Selecteer Tag AP's, kies de AP's en voeg de tag Beleid, Site en RF toe:

QoS
Stap 1. Navigeer naar Configuratie > Services > QoS en selecteer +Toevoegen om een QoS-beleid te maken.
Noem het (bijvoorbeeld: BWLimitAAClients).

Stap 2. Voeg een klassenkaart toe om YouTube en Netflix te laten vallen. Klik op Klasse-kaarten toevoegen. Selecteer AVC, match any, drop action en kies beide protocollen.

Klik op Save (Opslaan).
Stap 3. Voeg een klassenkaart toe met de opmerkingen DSCP 46 tot 34.
Klik op Klassiekaarten toevoegen.
- Komt overeen met elke door gebruiker gedefinieerde
- Overeenstemmingstype DSCP
- Overeenkomstige waarde 46
- Type markeren DSCP
- Marktwaarde 34
.
Klik op Opslaan.
Stap 4. Als u een klassenkaart wilt definiëren die het verkeer naar een specifieke host regelt, maakt u er een ACL voor.
Klik op Klasse-kaarten toevoegen,
Kies User Defined, match any, match type ACL, kies je ACL naam (hier, specificchostACL), mark type none en kies de snelheidslimiet waarde.
Klik op Save (Opslaan).

Hier is een voorbeeld van ACL dat we gebruiken om een specifiek hostverkeer te identificeren:

Stap 5. Gebruik de standaardklasse onder het kader voor klassiekaarten om de snelheidslimiet voor al het andere verkeer in te stellen.
Dit stelt een tarieflimiet op al het clientverkeer dat niet onder een van de bovengenoemde regels valt.

Stap 6. Klik onderaan op Toepassen op apparaat.
CLI-equivalente configuratie:
policy-map BWLimitAAAclients
class BWLimitAAAclients1_AVC_UI_CLASS
police cir 8000
conform-action drop
exceed-action drop
class BWLimitAAAclients1_ADV_UI_CLASS
set dscp af41
class BWLimitAAAclients2_ADV_UI_CLASS
police cir 50000
conform-action transmit
exceed-action drop
class class-default
police cir 100000
conform-action transmit
exceed-action drop
class-map match-all BWLimitAAAclients1_AVC_UI_CLASS
description BWLimitAAAclients1_AVC_UI_CLASS UI_policy_DO_NOT_CHANGE
match protocol youtube
match protocol netflix
class-map match-any BWLimitAAAclients1_ADV_UI_CLASS
description BWLimitAAAclients1_ADV_UI_CLASS UI_policy_DO_NOT_CHANGE
match dscp ef
class-map match-all BWLimitAAAclients2_ADV_UI_CLASS
description BWLimitAAAclients2_ADV_UI_CLASS UI_policy_DO_NOT_CHANGE
match access-group name specifichostACL
Opmerking: in dit voorbeeld werden geen profielen geselecteerd onder het QoS-beleid omdat dit wordt toegepast door AAA-overschrijving. Als u het QoS-beleid echter handmatig op een beleidsprofiel wilt toepassen, selecteert u de gewenste profielen.
Stap 2. Navigeer in ISE naar Beleid > Beleidselementen > Resultaten > Autorisatieprofielen en selecteer op +Toevoegen om een Autorisatieprofiel te maken.
Als u het QoS-beleid wilt toepassen, voegt u deze toe als Geavanceerde Attributen-instellingen via Cisco AV-paren.
Er wordt aangenomen dat het ISE-verificatie- en -autorisatiebeleid is geconfigureerd om aan de juiste regel te voldoen en dit autorisatieresultaat te verkrijgen.
De attributen zijn ip:sub-qos-policy-in=<policy name> en ip:sub-qos-policy-out=<policyname>

Opmerking: beleidsnamen zijn hoofdlettergevoelig. Zorg ervoor dat de case correct is!
Verifiëren
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
Op de WLC
# show run wlan
# show run aaa
# show aaa servers
# show ap tag summary
# show ap name <AP-name> tag detail
# show wireless tag policy summary
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
# show policy-map <policy-map name>
# sh policy-map interface wireless ssid/client profile-name <WLAN> radio type <2.4/5GHz> ap name <name>input/output
# show wireless client mac detail
# show wireless client mac service-policy input
# show wireless client mac service-policy output
To verify EDCS parameters :
sh controllers dot11Radio 1 | begin EDCA
9800#show wireless client mac e836.171f.a162 det
Client MAC Address : e836.171f.a162
Client IPv4 Address : 192.168.1.11
Client IPv6 Addresses : fe80::c6e:2ca4:56ea:ffbf
2a02:a03f:42c2:8400:187c:4faf:c9f8:ac3c
2a02:a03f:42c2:8400:824:e15:6924:ed18
fd54:9008:227c:0:1853:9a4:77a2:32ae
fd54:9008:227c:0:1507:c911:50cd:2062
Client Username : Nico
AP MAC Address : 502f.a836.a3e0
AP Name: AP780C-F085-49E6
AP slot : 1
Client State : Associated
(...)
Local Policies:
Service Template : wlan_svc_QoS-PP (priority 254)
VLAN : 1
Absolute-Timer : 1800
Server Policies:
Input QOS : BWLimitAAAClients
Output QOS : BWLimitAAAClients
Resultant Policies:
VLAN Name : default
Input QOS : BWLimitAAAClients
Output QOS : BWLimitAAAClients
VLAN : 1
Absolute-Timer : 1800
Op het AP
Er is geen probleemoplossing vereist op het toegangspunt wanneer het toegangspunt zich in de lokale modus bevindt of op de SSID in de centrale switchingmodus van Flexconnect, aangezien de QoS en het servicebeleid door de WLC worden uitgevoerd.
Analyse van IO-grafiek voor pakketopnamen

Problemen oplossen
Dit gedeelte bevat informatie om problemen met uw configuratie op te lossen.
Stap 1. Verwijder alle reeds bestaande foutopsporingsvoorwaarden.
# clear platform condition all
Stap 2. De foutopsporing inschakelen voor de betreffende draadloze client.
# debug wireless mac <client-MAC-address> {monitor-time <seconds>}
Stap 3. Sluit de draadloze client aan op de SSID om het probleem te reproduceren.
Stap 4. Stop de debugs zodra het probleem is gereproduceerd.
# no debug wireless mac <client-MAC-address>
De logs die tijdens de test zijn vastgelegd, worden op de WLC opgeslagen in een lokaal bestand met de naam:
ra_trace_MAC_aabbbbcccc_HMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Als de GUI-workflow wordt gebruikt om deze trace te genereren, is de opgeslagen bestandsnaam debugTrace_aaaa.bbbb.cccc.txt.
Stap 5. Als u het eerder gegenereerde bestand wilt verzamelen, kopieert u het logbestand ra trace .log naar een externe server of geeft u de uitvoer rechtstreeks op het scherm weer.
Controleer de naam van het RA-traces-bestand met deze opdracht:
# dir bootflash: | inc ra_trace
Kopieer het bestand naar een externe server:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
U kunt de inhoud ook weergeven:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Stap 6. Verwijder de foutopsporingsvoorwaarden.
# clear platform condition all
Scenario voor lokale switch (of Fabric/SDA) van FlexConnect
In het geval van lokale flexconnect-switching (of fabric / SDA) is het de AP die het QoS-beleid toepast dat u op de WLC hebt gedefinieerd.
Waarschuwing: vanwege Cisco bug ID CSCwh74415, wordt het laatste QoS-beleid dat door de RADIUS-server wordt geretourneerd, toegepast op alle clients die verbinding maken met hetzelfde toegangspunt en wordt daarom alle andere QoS-beleid overschreven. Per-client tarieflimiet met AAA override werkt niet goed meer vanaf 17.6.2 release. Raadpleeg de beschrijving van de bug om te controleren op de vaste releases.
Op wave2- en 11ax-toegangspunten vindt de snelheidslimiet plaats op een niveau per stroom (5 tuple) en niet per client of per SSID vóór 17.6. Dit is van toepassing op toegangspunten in implementaties van Flexconnect/Fabric, Embedded Wireless Controller on Access Point (EWc-AP).
Vanaf 17,5 kan AAA-overschrijving worden gebruikt om de attributen te pushen om de tarieflimiet per client te bereiken.
Vanaf 17,6 wordt de bidirectionele snelheidslimiet per client ondersteund op 802.11ac Wave 2- en 11ax-toegangspunten in de lokale switchconfiguratie van Flex.
Opmerking: Flex AP's ondersteunen de aanwezigheid van ACL's in het QoS-beleid niet. Ze bieden ook geen ondersteuning voor BRR (bandbreedte blijft behouden) en beleidsprioriteiten die kunnen worden geconfigureerd via de CLI, maar niet beschikbaar zijn in de 9800-webgebruikersinterface en niet worden ondersteund op 9800. Cisco bug ID CSCvx81067 volgt de ondersteuning van ACL's in het QoS-beleid voor flex AP's.
Configuratie
De configuratie is precies hetzelfde als het eerste deel van dit artikel met twee uitzonderingen:
1. Het beleidsprofiel is ingesteld op lokale switching. Voor Flex-implementatie moet Central Association zijn uitgeschakeld totdat Bengaluru 17.4 wordt uitgebracht.
Vanaf 17.5 is dit veld niet meer beschikbaar voor gebruikersconfiguratie omdat het hardcoded is.

2. De sitetag is ingesteld om geen lokale site te zijn.

Problemen met FlexConnect/Fabric oplossen
Omdat het toegangspunt het apparaat is dat het QoS-beleid toepast, kunnen deze opdrachten helpen bij het beperken van wat wordt toegepast.
Dot11 QoS weergeven
Beleidskaart weergeven
Client met rentelimiet weergeven
Rentebegrenzing BSSID weergeven
Toon snelheidslimiet WLAN
FlexConnect-client weergeven
AP780C-F085-49E6#show dot11 qos
Qos Policy Maps (UPSTREAM)
ratelimit targets:
Client: A8:DB:03:6F:7A:46
platinum-up targets:
VAP: 0 SSID:LAB-DNAS
VAP: 1 SSID:VlanAssign
VAP: 2 SSID:LAB-Qos
Qos Stats (UPSTREAM)
total packets: 29279
dropped packets: 0
marked packets: 0
shaped packets: 0
policed packets: 182
copied packets: 0
DSCP TO DOT1P (UPSTREAM)
Default dscp2dot1p Table Value:
[0]->0 [1]->2 [2]->10 [3]->18 [4]->26 [5]->34 [6]->46 [7]->48
Active dscp2dot1p Table Value:
[0]->0 [1]->2 [2]->10 [3]->18 [4]->26 [5]->34 [6]->46 [7]->48
Trust DSCP Upstream : Disabled
Qos Policy Maps (DOWNSTREAM)
ratelimit targets:
Client: A8:DB:03:6F:7A:46
Qos Stats (DOWNSTREAM)
total packets: 25673
dropped packets: 0
marked packets: 0
shaped packets: 0
policed packets: 150
copied packets: 0
DSCP TO DOT1P (DOWNSTREAM)
Default dscp2dot1p Table Value:
[0]->0 [1]->-1 [2]->1 [3]->-1 [4]->1 [5]->-1 [6]->1 [7]->-1
[8]->-1 [9]->-1 [10]->2 [11]->-1 [12]->2 [13]->-1 [14]->2 [15]->-1
[16]->-1 [17]->-1 [18]->3 [19]->-1 [20]->3 [21]->-1 [22]->3 [23]->-1
[24]->-1 [25]->-1 [26]->4 [27]->-1 [28]->-1 [29]->-1 [30]->-1 [31]->-1
[32]->-1 [33]->-1 [34]->5 [35]->-1 [36]->-1 [37]->-1 [38]->-1 [39]->-1
[40]->-1 [41]->-1 [42]->-1 [43]->-1 [44]->-1 [45]->-1 [46]->6 [47]->-1
[48]->7 [49]->-1 [50]->-1 [51]->-1 [52]->-1 [53]->-1 [54]->-1 [55]->-1
[56]->7 [57]->-1 [58]->-1 [59]->-1 [60]->-1 [61]->-1 [62]->-1 [63]->-1
Active dscp2dot1p Table Value:
[0]->0 [1]->0 [2]->1 [3]->0 [4]->1 [5]->0 [6]->1 [7]->0
[8]->1 [9]->1 [10]->2 [11]->1 [12]->2 [13]->1 [14]->2 [15]->1
[16]->2 [17]->2 [18]->3 [19]->2 [20]->3 [21]->2 [22]->3 [23]->2
[24]->3 [25]->3 [26]->4 [27]->3 [28]->3 [29]->3 [30]->3 [31]->3
[32]->4 [33]->4 [34]->5 [35]->4 [36]->4 [37]->4 [38]->4 [39]->4
[40]->5 [41]->5 [42]->5 [43]->5 [44]->5 [45]->5 [46]->6 [47]->5
[48]->7 [49]->6 [50]->6 [51]->6 [52]->6 [53]->6 [54]->6 [55]->6
[56]->7 [57]->7 [58]->7 [59]->7 [60]->7 [61]->7 [62]->7 [63]->7
Profinet packet recieved from
wired port:
0
wireless port:
AP780C-F085-49E6#show policy-map
2 policymaps
Policy Map BWLimitAAAClients type:qos client:default
Class BWLimitAAAClients_AVC_UI_CLASS
drop
Class BWLimitAAAClients_ADV_UI_CLASS
set dscp af41 (34)
Class class-default
police rate 5000000 bps (625000Bytes/s)
conform-action
exceed-action
Policy Map platinum-up type:qos client:default
Class cm-dscp-set1-for-up-4
set dscp af41 (34)
Class cm-dscp-set2-for-up-4
set dscp af41 (34)
Class cm-dscp-for-up-5
set dscp af41 (34)
Class cm-dscp-for-up-6
set dscp ef (46)
Class cm-dscp-for-up-7
set dscp ef (46)
Class class-default
no actions
AP780C-F085-49E6#show rate-limit client
Config:
mac vap rt_rate_out rt_rate_in rt_burst_out rt_burst_in nrt_rate_out nrt_rate_in nrt_burst_out nrt_burst_in
A8:DB:03:6F:7A:46 2 0 0 0 0 0 0 0 0
Statistics:
name up down
Unshaped 0 0
Client RT pass 0 0
Client NRT pass 0 0
Client RT drops 0 0
Client NRT drops 0 38621
9 54922 0
AP780C-F085-49E6#
AP780C-F085-49E6#show flexconnect client
Flexconnect Clients:
mac radio vap aid state encr aaa-vlan aaa-acl aaa-ipv6-acl assoc auth switching key-method roam key-progmed handshake-sent wgb SGT
A8:DB:03:6F:7A:46 1 2 1 FWD AES_CCM128 none none none Local Central Local Other regular No Yes No 0
AP780C-F085-49E6#
Referenties
Catalyst 9000 01 .12 QoS-gids
9800 QoS-configuratiehandleiding
Configuratiemodel Catalyst 9800
Opmerkingen bij de release van Cisco IOS® XE 17.6