QoS-snelheidslimiet configureren voor Catalyst 9800 draadloze controllers

Inleiding

Dit document beschrijft een configuratievoorbeeld voor Bi Directional Rate Limit (BDRL) op draadloze controllers uit de Catalyst 9800-reeks met AAA Override.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Configuratiemodel Catalyst Wireless 9800
• AAA met Cisco Identity Service Engine (ISE)

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco Catalyst 9800-CL draadloze controller op versie 16.12.1s
• Identity Service Engine op versie 2.2

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

QoS in het 9800 WLC-platform gebruikt dezelfde concepten en componenten als de Catalyst 9000-platforms.

Deze sectie biedt een globaal overzicht van hoe deze componenten werken en hoe ze kunnen worden geconfigureerd om verschillende resultaten te bereiken.

QoS recursie werkt als volgt:

1. Klasse-Map: identificeert een bepaald type verkeer. Klasse-maps kunnen gebruikmaken van de Application Visibility and Control (AVC)-engine.

De gebruiker kan ook aangepaste klassenkaarten definiëren om verkeer te identificeren dat overeenkomt met een Access Control Lists (ACL) of Differentiated Services Code Point (DSCP)

2. Policy-Map: Beleid dat van toepassing is op Class-maps.
Deze beleidsregels kunnen DSCP markeren, verlagen of het verkeer beperken dat overeenkomt met de klassenkaart

4. Service-Policy: Policy-maps kunnen worden toegepast op het Policy Profile van een SSID of Per-Client op een bepaalde richting met de opdracht service-policy.

3. (Optioneel) Table-Map: Deze worden gebruikt om een type markering om te zetten in een ander type, bijvoorbeeld CoS naar DCSP.

Opmerking: Geef in de tabelkaart de waarden op die moeten worden gewijzigd (4 tot en met 32); in de beleidskaart wordt de technologie opgegeven (COS tot DSCP).

Opmerking: Als per doel twee of meer beleidsregels van toepassing zijn, wordt de beleidsresolutie gekozen op basis van deze prioriteitsrangschikking:

· AAA Override (hoogste)
· Native profiling (lokaal beleid)
· Geconfigureerd beleid
· Standaardbeleid (laagste)

Meer details zijn te vinden in de officiële QoS-configuratiehandleiding voor de 9800.

Aanvullende informatie over de QoS-theorie is te vinden in de configuratiegids voor QoS uit de 9000-reeks.

Voorbeeld: QoS-beleid voor gasten en bedrijven

Dit voorbeeld laat zien hoe de verklaarde QoS-componenten van toepassing zijn in een real-world scenario.

Het is de bedoeling om een QoS-beleid te configureren voor gasten die:

• Opmerkingen DSCP
• YouTube en Netflix video laten vallen
• Snelheidslimieten voor een host die is opgegeven in een ACL tot 50 Kbps 
• Snelheidslimieten voor al het andere verkeer tot 100 Kbps

Het QoS-beleid moet bijvoorbeeld per SSID in beide richtingen worden toegepast Ingress en Egress op het beleidsprofiel dat naar het gastnetwerk wordt gekoppeld.

Configureren

AAA-server en methodenlijst

Stap 1. Navigeer naar Configuratie > Beveiliging > AAA > Authenticatie > Servers/Groepen en selecteer +Toevoegen.

Voer de naam, het IP-adres en de sleutel van de AAA-server in, die moet overeenkomen met het gedeelde geheim onder Beheer > Netwerkbronnen > Netwerkapparaten op ISE.

Stap 2. Navigeer naar Configuratie > Beveiliging > AAA > Authenticatie > AAA-methodenlijst en selecteer +Toevoegen. Selecteer de toegewezen servergroepen in de beschikbare servergroepen.

Stap 3. Navigeer naar Configuratie > Beveiliging > AAA > Autorisatie > AAA-methodenlijst en selecteer Toevoegen. Kies de standaardmethode en "netwerk" als het type.

Dit is vereist voor de controller om de autorisatieattributen (bijvoorbeeld het QoS-beleid hier) toe te passen die door de AAA-server worden geretourneerd. Anders wordt het beleid van RADIUS niet toegepast.

WLAN-beleid, sitetag en AP-tag

Stap 1. Navigeer naar Configuratie > Draadloze installatie > Geavanceerd > Nu starten > WLAN-profiel en selecteer +Toevoegen om een nieuw WLAN te maken. Configureer de SSID, profielnaam, WLAN-ID en stel de status in op Ingeschakeld.

Navigeer vervolgens naar Beveiliging > Laag 2 en configureer de Layer 2-verificatieparameters:

De SSID-beveiliging hoeft niet 802.1x te zijn als vereiste voor QoS, maar wordt in deze configuratie gebruikt voor bijvoorbeeld AAA-override.

Stap 2. Navigeer naar Beveiliging > AAA en selecteer de AAA-server in de vervolgkeuzelijst Verificatielijst.

Stap 3. Selecteer Beleidsprofiel en selecteer +Toevoegen. Configureer de naam van het beleidsprofiel.

Stel de status in als Ingeschakeld; schakel ook Central Switching, Authentication, DHCP en koppeling in:

Stap 4. Navigeer naar Toegangsbeleid en configureer het VLAN waaraan de draadloze client is toegewezen wanneer de client verbinding maakt met de SSID:

Stap 5. Selecteer Beleidstag en selecteer +Toevoegen. Configureer de naam van de beleidstag.

Selecteer onder WLAN-beleidskaarten op +Toevoegen het WLAN-profiel en het beleidsprofiel in de vervolgkeuzemenu's en selecteer de optie Controleren of de kaart moet worden geconfigureerd.

Stap 6. Selecteer Site Tag en selecteer +Toevoegen. Schakel het vakje Lokale site inschakelen in als de toegangspunten in de Lokale modus moeten werken (of schakel FlexConnect niet in):

Stap 7. Selecteer Tag AP's, kies de AP's en voeg de tag Beleid, Site en RF toe:

QoS

Stap 1. Navigeer naar Configuratie > Services > QoS en selecteer +Toevoegen om een QoS-beleid te maken.

Noem het (bijvoorbeeld: BWLimitAAClients).

Stap 2. Voeg een klassenkaart toe om YouTube en Netflix te laten vallen. Klik op Klasse-kaarten toevoegen. Selecteer AVC, match any, drop action en kies beide protocollen.

Klik op Save (Opslaan).

Stap 3. Voeg een klassenkaart toe met de opmerkingen DSCP 46 tot 34.

Klik op Klassiekaarten toevoegen.

• Komt overeen met elke door gebruiker gedefinieerde
• Overeenstemmingstype DSCP
• Overeenkomstige waarde 46
• Type markeren DSCP
• Marktwaarde 34

.

Klik op Opslaan.

Stap 4. Als u een klassenkaart wilt definiëren die het verkeer naar een specifieke host regelt, maakt u er een ACL voor.

Klik op Klasse-kaarten toevoegen,

Kies User Defined, match any, match type ACL, kies je ACL naam (hier, specificchostACL), mark type none en kies de snelheidslimiet waarde.

Klik op Save (Opslaan).

Hier is een voorbeeld van ACL dat we gebruiken om een specifiek hostverkeer te identificeren:

Stap 5. Gebruik de standaardklasse onder het kader voor klassiekaarten om de snelheidslimiet voor al het andere verkeer in te stellen.

Dit stelt een tarieflimiet op al het clientverkeer dat niet onder een van de bovengenoemde regels valt.

Stap 6. Klik onderaan op Toepassen op apparaat.

CLI-equivalente configuratie:

policy-map BWLimitAAAclients
 class BWLimitAAAclients1_AVC_UI_CLASS
  police cir 8000
   conform-action drop
   exceed-action drop
 class BWLimitAAAclients1_ADV_UI_CLASS
  set dscp af41
 class BWLimitAAAclients2_ADV_UI_CLASS
  police cir 50000
   conform-action transmit
   exceed-action drop
 class class-default
  police cir 100000
   conform-action transmit
   exceed-action drop


class-map match-all BWLimitAAAclients1_AVC_UI_CLASS
  description BWLimitAAAclients1_AVC_UI_CLASS UI_policy_DO_NOT_CHANGE
 match protocol youtube
 match protocol netflix
class-map match-any BWLimitAAAclients1_ADV_UI_CLASS
  description BWLimitAAAclients1_ADV_UI_CLASS UI_policy_DO_NOT_CHANGE
 match dscp ef
class-map match-all BWLimitAAAclients2_ADV_UI_CLASS
  description BWLimitAAAclients2_ADV_UI_CLASS UI_policy_DO_NOT_CHANGE
 match access-group name specifichostACL

Opmerking: in dit voorbeeld werden geen profielen geselecteerd onder het QoS-beleid omdat dit wordt toegepast door AAA-overschrijving. Als u het QoS-beleid echter handmatig op een beleidsprofiel wilt toepassen, selecteert u de gewenste profielen.

Stap 2. Navigeer in ISE naar Beleid > Beleidselementen > Resultaten > Autorisatieprofielen en selecteer op +Toevoegen om een Autorisatieprofiel te maken.

Als u het QoS-beleid wilt toepassen, voegt u deze toe als Geavanceerde Attributen-instellingen via Cisco AV-paren.

Er wordt aangenomen dat het ISE-verificatie- en -autorisatiebeleid is geconfigureerd om aan de juiste regel te voldoen en dit autorisatieresultaat te verkrijgen.

De attributen zijn ip:sub-qos-policy-in=<policy name> en ip:sub-qos-policy-out=<policyname>

Opmerking: beleidsnamen zijn hoofdlettergevoelig. Zorg ervoor dat de case correct is!

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

Op de WLC

# show run wlan
# show run aaa
# show aaa servers
# show ap tag summary
# show ap name <AP-name> tag detail
# show wireless tag policy summary
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>  
# show policy-map <policy-map name>
# sh policy-map interface wireless ssid/client profile-name <WLAN> radio type <2.4/5GHz> ap name <name>input/output

# show wireless client mac  detail 
# show wireless client mac  service-policy input 
# show wireless client mac  service-policy output 

To verify EDCS parameters :
sh controllers dot11Radio 1 | begin EDCA

9800#show wireless client mac e836.171f.a162 det

Client MAC Address : e836.171f.a162
Client IPv4 Address : 192.168.1.11
Client IPv6 Addresses : fe80::c6e:2ca4:56ea:ffbf
                        2a02:a03f:42c2:8400:187c:4faf:c9f8:ac3c
                        2a02:a03f:42c2:8400:824:e15:6924:ed18
                        fd54:9008:227c:0:1853:9a4:77a2:32ae
                        fd54:9008:227c:0:1507:c911:50cd:2062
Client Username : Nico
AP MAC Address : 502f.a836.a3e0
AP Name: AP780C-F085-49E6
AP slot : 1
Client State : Associated

(...)

  Local Policies:
  	Service Template : wlan_svc_QoS-PP (priority 254)
  		VLAN             : 1
  		Absolute-Timer   : 1800
  Server Policies:
  		Input QOS        : BWLimitAAAClients
  		Output QOS       : BWLimitAAAClients
  Resultant Policies:
  		VLAN Name         : default
  		Input QOS        : BWLimitAAAClients
  		Output QOS       : BWLimitAAAClients
  		VLAN             : 1
  		Absolute-Timer   : 1800

Op het AP

Er is geen probleemoplossing vereist op het toegangspunt wanneer het toegangspunt zich in de lokale modus bevindt of op de SSID in de centrale switchingmodus van Flexconnect, aangezien de QoS en het servicebeleid door de WLC worden uitgevoerd.

Analyse van IO-grafiek voor pakketopnamen

Problemen oplossen

Dit gedeelte bevat informatie om problemen met uw configuratie op te lossen.

Stap 1. Verwijder alle reeds bestaande foutopsporingsvoorwaarden.

# clear platform condition all

Stap 2. De foutopsporing inschakelen voor de betreffende draadloze client.

# debug wireless mac <client-MAC-address> {monitor-time <seconds>}

Stap 3. Sluit de draadloze client aan op de SSID om het probleem te reproduceren.

Stap 4. Stop de debugs zodra het probleem is gereproduceerd.

# no debug wireless mac <client-MAC-address>

De logs die tijdens de test zijn vastgelegd, worden op de WLC opgeslagen in een lokaal bestand met de naam:

ra_trace_MAC_aabbbbcccc_HMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Als de GUI-workflow wordt gebruikt om deze trace te genereren, is de opgeslagen bestandsnaam debugTrace_aaaa.bbbb.cccc.txt.

Stap 5. Als u het eerder gegenereerde bestand wilt verzamelen, kopieert u het logbestand ra trace .log naar een externe server of geeft u de uitvoer rechtstreeks op het scherm weer.

Controleer de naam van het RA-traces-bestand met deze opdracht:

# dir bootflash: | inc ra_trace

Kopieer het bestand naar een externe server:

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

U kunt de inhoud ook weergeven:

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Stap 6. Verwijder de foutopsporingsvoorwaarden.

# clear platform condition all

Scenario voor lokale switch (of Fabric/SDA) van FlexConnect

In het geval van lokale flexconnect-switching (of fabric / SDA) is het de AP die het QoS-beleid toepast dat u op de WLC hebt gedefinieerd.

Waarschuwing: vanwege Cisco bug ID CSCwh74415, wordt het laatste QoS-beleid dat door de RADIUS-server wordt geretourneerd, toegepast op alle clients die verbinding maken met hetzelfde toegangspunt en wordt daarom alle andere QoS-beleid overschreven. Per-client tarieflimiet met AAA override werkt niet goed meer vanaf 17.6.2 release. Raadpleeg de beschrijving van de bug om te controleren op de vaste releases.

Op wave2- en 11ax-toegangspunten vindt de snelheidslimiet plaats op een niveau per stroom (5 tuple) en niet per client of per SSID vóór 17.6. Dit is van toepassing op toegangspunten in implementaties van Flexconnect/Fabric, Embedded Wireless Controller on Access Point (EWc-AP).

Vanaf 17,5 kan AAA-overschrijving worden gebruikt om de attributen te pushen om de tarieflimiet per client te bereiken. 

Vanaf 17,6 wordt de bidirectionele snelheidslimiet per client ondersteund op 802.11ac Wave 2- en 11ax-toegangspunten in de lokale switchconfiguratie van Flex.

Opmerking: Flex AP's ondersteunen de aanwezigheid van ACL's in het QoS-beleid niet. Ze bieden ook geen ondersteuning voor BRR (bandbreedte blijft behouden) en beleidsprioriteiten die kunnen worden geconfigureerd via de CLI, maar niet beschikbaar zijn in de 9800-webgebruikersinterface en niet worden ondersteund op 9800. Cisco bug ID CSCvx81067 volgt de ondersteuning van ACL's in het QoS-beleid voor flex AP's.

Configuratie

De configuratie is precies hetzelfde als het eerste deel van dit artikel met twee uitzonderingen:

1. Het beleidsprofiel is ingesteld op lokale switching. Voor Flex-implementatie moet Central Association zijn uitgeschakeld totdat Bengaluru 17.4 wordt uitgebracht.

Vanaf 17.5 is dit veld niet meer beschikbaar voor gebruikersconfiguratie omdat het hardcoded is.

2. De sitetag is ingesteld om geen lokale site te zijn.

Problemen met FlexConnect/Fabric oplossen

Omdat het toegangspunt het apparaat is dat het QoS-beleid toepast, kunnen deze opdrachten helpen bij het beperken van wat wordt toegepast.

Dot11 QoS weergeven

Beleidskaart weergeven

Client met rentelimiet weergeven

Rentebegrenzing BSSID weergeven

Toon snelheidslimiet WLAN

FlexConnect-client weergeven

AP780C-F085-49E6#show dot11 qos          
Qos Policy Maps (UPSTREAM)

ratelimit targets:
   Client: A8:DB:03:6F:7A:46

platinum-up targets:
   VAP: 0 SSID:LAB-DNAS
   VAP: 1 SSID:VlanAssign
   VAP: 2 SSID:LAB-Qos

Qos Stats (UPSTREAM)

total packets:   29279
dropped packets: 0
marked packets:  0
shaped packets:  0
policed packets: 182
copied packets:  0

DSCP TO DOT1P (UPSTREAM)

Default dscp2dot1p Table Value:
[0]->0 [1]->2 [2]->10 [3]->18 [4]->26 [5]->34 [6]->46 [7]->48 
Active dscp2dot1p Table Value:
[0]->0 [1]->2 [2]->10 [3]->18 [4]->26 [5]->34 [6]->46 [7]->48 

Trust DSCP Upstream : Disabled

Qos Policy Maps (DOWNSTREAM)

ratelimit targets:
   Client: A8:DB:03:6F:7A:46

Qos Stats (DOWNSTREAM)

total packets:   25673
dropped packets: 0
marked packets:  0
shaped packets:  0
policed packets: 150
copied packets:  0

DSCP TO DOT1P (DOWNSTREAM)

Default dscp2dot1p Table Value:
[0]->0 [1]->-1 [2]->1 [3]->-1 [4]->1 [5]->-1 [6]->1 [7]->-1 
[8]->-1 [9]->-1 [10]->2 [11]->-1 [12]->2 [13]->-1 [14]->2 [15]->-1 
[16]->-1 [17]->-1 [18]->3 [19]->-1 [20]->3 [21]->-1 [22]->3 [23]->-1 
[24]->-1 [25]->-1 [26]->4 [27]->-1 [28]->-1 [29]->-1 [30]->-1 [31]->-1 
[32]->-1 [33]->-1 [34]->5 [35]->-1 [36]->-1 [37]->-1 [38]->-1 [39]->-1 
[40]->-1 [41]->-1 [42]->-1 [43]->-1 [44]->-1 [45]->-1 [46]->6 [47]->-1 
[48]->7 [49]->-1 [50]->-1 [51]->-1 [52]->-1 [53]->-1 [54]->-1 [55]->-1 
[56]->7 [57]->-1 [58]->-1 [59]->-1 [60]->-1 [61]->-1 [62]->-1 [63]->-1 
Active dscp2dot1p Table Value:
[0]->0 [1]->0 [2]->1 [3]->0 [4]->1 [5]->0 [6]->1 [7]->0 
[8]->1 [9]->1 [10]->2 [11]->1 [12]->2 [13]->1 [14]->2 [15]->1 
[16]->2 [17]->2 [18]->3 [19]->2 [20]->3 [21]->2 [22]->3 [23]->2 
[24]->3 [25]->3 [26]->4 [27]->3 [28]->3 [29]->3 [30]->3 [31]->3 
[32]->4 [33]->4 [34]->5 [35]->4 [36]->4 [37]->4 [38]->4 [39]->4 
[40]->5 [41]->5 [42]->5 [43]->5 [44]->5 [45]->5 [46]->6 [47]->5 
[48]->7 [49]->6 [50]->6 [51]->6 [52]->6 [53]->6 [54]->6 [55]->6 
[56]->7 [57]->7 [58]->7 [59]->7 [60]->7 [61]->7 [62]->7 [63]->7 

Profinet packet recieved from
wired port:
0
wireless port:



AP780C-F085-49E6#show policy-map 
2 policymaps
Policy Map BWLimitAAAClients            type:qos client:default
    Class BWLimitAAAClients_AVC_UI_CLASS
      drop 

    Class BWLimitAAAClients_ADV_UI_CLASS
      set dscp af41 (34)


    Class class-default
      police rate 5000000 bps (625000Bytes/s)
        conform-action 
        exceed-action 


Policy Map platinum-up          type:qos client:default
    Class cm-dscp-set1-for-up-4
      set dscp af41 (34)


    Class cm-dscp-set2-for-up-4
      set dscp af41 (34)

         
    Class cm-dscp-for-up-5
      set dscp af41 (34)


    Class cm-dscp-for-up-6
      set dscp ef (46)


    Class cm-dscp-for-up-7
      set dscp ef (46)


    Class class-default
      no actions


AP780C-F085-49E6#show rate-limit client 
Config:
              mac vap rt_rate_out rt_rate_in rt_burst_out rt_burst_in nrt_rate_out nrt_rate_in nrt_burst_out nrt_burst_in
A8:DB:03:6F:7A:46   2           0          0            0           0            0           0             0            0
Statistics:
            name    up  down
        Unshaped     0     0
  Client RT pass     0     0
 Client NRT pass     0     0
 Client RT drops     0     0
Client NRT drops     0 38621
               9 54922     0
AP780C-F085-49E6#

AP780C-F085-49E6#show flexconnect client
Flexconnect Clients:

              mac radio vap aid state       encr aaa-vlan aaa-acl aaa-ipv6-acl assoc    auth switching key-method    roam key-progmed handshake-sent wgb SGT
A8:DB:03:6F:7A:46     1   2   1   FWD AES_CCM128     none    none         none Local Central     Local      Other regular          No            Yes  No   0


AP780C-F085-49E6#

Referenties

Catalyst 9000 01 .12 QoS-gids

9800 QoS-configuratiehandleiding

Configuratiemodel Catalyst 9800

Opmerkingen bij de release van Cisco IOS® XE 17.6