De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft Application Visibility and Control (AVC) op een Cisco Catalyst 9800 WLC.
Cisco raadt kennis van de volgende onderwerpen aan:
Application Visibility and Control (AVC) is een toonaangevende benadering voor deep-packet inspection (DPI)-technologie in zowel draadloze als bekabelde netwerken. Met AVC kunt u realtime analyses uitvoeren en beleidsregels maken om netwerkcongestie effectief te verminderen, kostbaar gebruik van netwerkverbindingen te minimaliseren en onnodige infrastructuurupgrades te voorkomen. Kortom, AVC stelt gebruikers in staat om een geheel nieuw niveau van verkeersherkenning en -vormgeving te bereiken door middel van Network Based Application Recognition (NBAR). NBAR-pakketten die worden uitgevoerd op de 9800 WLC worden gebruikt voor DPI en de resultaten worden gerapporteerd met behulp van Flexible NetFlow (FNF).
Naast zichtbaarheid biedt AVC de mogelijkheid om verschillende soorten verkeer te prioriteren, blokkeren of afremmen. Beheerders kunnen bijvoorbeeld beleid maken dat prioriteit geeft aan spraak- en videotoepassingen om de kwaliteit van de service (QoS) te waarborgen of de beschikbare bandbreedte voor niet-essentiële toepassingen tijdens piekuren te beperken. Het kan ook worden geïntegreerd met andere Cisco-technologieën, zoals Cisco Identity Services Engine (ISE) voor op identiteit gebaseerd toepassingsbeleid en Cisco Catalyst Center voor gecentraliseerd beheer.
AVC maakt gebruik van geavanceerde technologieën zoals FNF en NBAR2 motor voor DPI. Door het analyseren en identificeren van verkeersstromen met behulp van de NBAR2-engine, worden specifieke stromen gemarkeerd met het erkende protocol of de toepassing. De controller verzamelt alle rapporten en presenteert deze via show-opdrachten, Web UI of extra NetFlow-exportberichten naar externe NetFlow-verzamelaars zoals Prime.
Zodra de zichtbaarheid van de toepassing is vastgesteld, kunnen gebruikers controleregels maken met politiemechanismen voor clients door Quality of Service (QOS) te configureren.
Werkingsmechanisme van AVC
NBAR is een mechanisme dat is geïntegreerd in de 9800 WLC, die wordt gebruikt om DPI uit te voeren voor het identificeren en classificeren van een breed scala aan toepassingen die over een netwerk lopen. Het kan een groot aantal toepassingen herkennen en classificeren, waaronder gecodeerde en dynamisch aan poorten toegewezen toepassingen, die vaak onzichtbaar zijn voor traditionele pakketinspectietechnologieën.
Opmerking: Om NBAR te gebruiken op de Catalyst 9800 WLC, is het noodzakelijk om deze correct in te schakelen en te configureren, vaak in combinatie met specifieke AVC-profielen die de juiste acties definiëren die moeten worden ondernomen op basis van de classificatie van het verkeer.
NBAR wordt regelmatig bijgewerkt en het is belangrijk om de WLC-software up-to-date te houden om ervoor te zorgen dat de NBAR-functieset actueel en effectief blijft.
Een volledige lijst van de protocollen die worden ondersteund in de nieuwste releases is te vinden op https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/prot_lib/config_library/nbar-prot-pack-library.html
9800WLC#configure terminal
9800WLC(config)#wireless profile policy AVC_testing
9800WLC(config-wireless-policy)#ip nbar protocol-discovery
9800WLC(config-wireless-policy)#end
Opmerking: het beleidsprofiel % moet worden uitgeschakeld voordat u deze bewerking kunt uitvoeren.
9800WLC#show wireless profile policy detailed AVC_testing | in NBAR
NBAR Protocol Discovery : Enabled
9800 WLC heeft al ~1500 herkenbare toepassingen. In het geval dat een nieuwe toepassing wordt uitgebracht, kan het protocol voor hetzelfde worden bijgewerkt in de nieuwste NBAR die nodig zou zijn om te worden gedownload van de Software Download pagina voor het specifieke 9800 model.
Via GUI
Navigeer naar Configuratie > Services > Zichtbaarheid van toepassingen. Klik op Protocolpakket bijwerken.
Sectie Protocol uploaden in 9800 WLC
Klik op Toevoegen, kies het te downloaden protocolpakket en klik op Upgrade.
NBAR-protocol toevoegen
Zodra de upgrade is voltooid, ziet u het protocolpakket toegevoegd.
Verificatie van protocolpakket
Via CLI
9800WLC#copy tftp://10.10.10.1/pp-adv-c9800-1712.1-49-70.0.0.pack bootflash:
9800WLC#configure terminal
9800WLC(config)#ip nbar protocol-pack bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
To verify NBAR protocol pack version
9800WLC#show ip nbar protocol-pack active
Active Protocol Pack:
Name: Advanced Protocol Pack
Version: 70.0
Publisher: Cisco Systems Inc.
NBAR Engine Version: 49
Creation time: Tue Jun 4 10:18:09 UTC 2024
File: bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
State: Active
Opmerking: er is geen serviceonderbreking tijdens de upgrade van het NBAR-protocolpakket.
NetFlow is een netwerkprotocol dat wordt gebruikt voor het verzamelen van IP-verkeersinformatie en het bewaken van netwerkstroomgegevens. Het wordt voornamelijk gebruikt voor netwerkverkeersanalyse en bandbreedtebewaking. Hier is een overzicht van hoe NetFlow werkt op de Cisco Catalyst 9800-serie controllers:
Flexible NetFlow (FNF) is een geavanceerde versie van traditionele NetFlow en wordt ondersteund door de Cisco Catalyst 9800 Series Wireless LAN Controllers (WLC's). Het biedt meer aanpassingsopties voor het volgen, bewaken en analyseren van netwerkverkeerspatronen. De belangrijkste kenmerken van Flexible NetFlow op de Catalyst 9800 WLC zijn:
Op de Catalyst 9800 WLC kan FNF worden geconfigureerd om stroomrecords te exporteren naar een externe NetFlow-verzamelaar of analysetoepassing. Deze gegevens kunnen vervolgens worden gebruikt voor probleemoplossing, netwerkplanning en beveiligingsanalyse. De FNF-configuratie omvat het definiëren van een stroomrecord (wat te verzamelen), een stroomexporteur (waar de gegevens te verzenden) en het koppelen van de stroommonitor (die de record en exporteur bindt) aan de juiste interfaces.
Opmerking: FNF kan 17 verschillende gegevensrecords (zoals gedefinieerd in RFC 3954) verzenden naar de externe 3rd Party Netflow-verzamelaar, zoals Stealthwatch, Solarwinds en andere die zijn: Application Tag, Client Mac-adres, AP Mac-adres, WlanID, bron-IP, bestemming-IP, bronpoort, bestemmingspoort, protocol, starttijd stroom, eindtijd stroom, richting, pakket uit, aantal bytes, VLAN-ID (lokale modus) - Mgmt/client en TOS - DSCP-waarde
Een stroommonitor is een component die wordt gebruikt in combinatie met Flexible NetFlow (FNF) om netwerkverkeersgegevens vast te leggen en te analyseren. Het speelt een cruciale rol bij het bewaken en begrijpen van verkeerspatronen voor netwerkbeheer, beveiliging en probleemoplossing. De stroommonitor is in wezen een toegepast exemplaar van FNF dat stroomgegevens verzamelt en bijhoudt op basis van gedefinieerde criteria. Het wordt geassocieerd met drie hoofdelementen:
AVC wordt alleen ondersteund op deze toegangspunten:
Implementatiemodus |
9800 WLC |
Wave 1-toegangspunt |
Wave 2-toegangspunt |
WiFi 6-toegangspunt |
Lokale modus |
IPV4-verkeer: |
Verwerking op WLC-niveau |
Verwerking op WLC-niveau |
Verwerking op WLC-niveau |
Flex-modus |
IPV4-verkeer: |
Verwerking op WLC-niveau |
Verwerking op WLC-niveau |
Verwerking op WLC-niveau |
Flex-modus |
Verwerking op AP-niveau |
IPV4-verkeer: |
IPV4-verkeer: |
IPV4-verkeer: |
Lokale modus |
Verwerking op AP-niveau |
IPV4-verkeer: |
IPV4-verkeer: |
IPV4-verkeer: |
Zowel Application Visibility and Control (AVC) als Flexible NetFlow (FNF) zijn krachtige functies op draadloze LAN-controllers uit de Cisco Catalyst 9800-reeks die de zichtbaarheid en controle van het netwerk verbeteren. Er zijn echter enkele beperkingen en overwegingen om in gedachten te houden bij het gebruik van deze functies:
AVC in lokale modus AP (centrale switching)
AVC in Flex-modus AP
Tijdens het configureren van AVC op 9800 WLC, kunt u het gebruiken als NetFlow Collector of kunt u de NefFlow-gegevens exporteren naar External NetFlow Collector.
Op een Cisco Catalyst 9800 Wireless LAN Controller (WLC) verwijst een lokale NetFlow-verzamelaar naar de ingebouwde functie in de WLC waarmee NetFlow-gegevens kunnen worden verzameld en lokaal kunnen worden opgeslagen. Met deze mogelijkheid kan de WLC een eenvoudige NetFlow-gegevensanalyse uitvoeren zonder dat de stroomrecords hoeven te worden geëxporteerd naar een externe NetFlow-verzamelaar.
Via GUI
Stap 1: AVC inschakelen op specifieke SSID Navigeren naar Configuratie > Services > Zichtbaarheid van toepassingen. Kies het specifieke beleidsprofiel waarvoor u AVC wilt activeren.
AVC inschakelen voor beleidsprofiel
Stap 2: Selecteer Lokaal als Netflow Collector en klik op Toepassen.
Lokale NetFlow-collector selecteren
Merk op dat de instellingen NetFlow Exporter en NetFlow automatisch zijn geconfigureerd volgens de opgegeven voorkeuren zodra u de AVC-configuratie toepast.
U kunt hetzelfde valideren door te navigeren naar Configuratie > Services > Toepassingszichtbaarheid > Stroommonitor > Exporteur/Monitor.Configuratie Local Flow Collector op 9800 WLC
Configuratie stroommonitor met lokale NetFlow-collector
De IPv4- en IPv6 AVC-stroommonitoren worden automatisch gekoppeld aan het beleidsprofiel. Navigeer naar Configuratie > Tags & Profiel > Beleid. Klik op Beleidsprofiel > AVC en QOS.
Configuratie stroommonitor in beleidsprofiel
Via CLI
Stap 1: Configureer 9800 WLC als lokale exporteur.
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter wireless-local-exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit
Stap 2: IPv4- en IPv6-netwerkstroommonitor configureren om Local (WLC) als Netflow Exporter te gebruiken.
9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter wireless-local-exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor wireless-avc-basic-ipv6
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit
Stap 3: Breng de IPv4- en IPv6-stroommonitor in het beleidsprofiel in kaart voor zowel inkomend als inkomend verkeer.
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
Een externe NetFlow-collector, indien gebruikt in het kader van Application Visibility and Control (AVC) op een Cisco Catalyst 9800 Wireless LAN Controller (WLC), is een speciaal systeem of service die NetFlow-gegevens ontvangt, aggregeert en analyseert die uit de WLC worden geëxporteerd. U kunt ofwel alleen de externe NeFlow Collector configureren om de zichtbaarheid van de toepassing te bewaken of u kunt deze ook samen met de lokale collector gebruiken.
Via GUI
Stap 1: AVC inschakelen op specifieke SSID Navigeren naar Configuratie > Services > Zichtbaarheid van toepassingen. Kies het specifieke beleidsprofiel waarvoor u AVC wilt activeren. Selecteer Collector als Extern en configureer het IP-adres van NetFlow Collector zoals Cisco Prime, SolarWind, StealthWatch en klik op Toepassen.
AVC-configuratie voor externe NetFlow-collector
Merk op dat, zodra u de AVC-configuratie toepast, de instellingen NetFlow Exporter en NetFlow automatisch zijn geconfigureerd met het IP-adres van NetFlow Collector als exporteur- en Exportadres als 9800 WLC met standaardinstellingen voor time-out en UDP-poort 9995. U kunt hetzelfde valideren door te navigeren naar Configuratie > Services > Toepassingszichtbaarheid > Stroommonitor > Exporteur/Monitor.
Configuratie van externe NetFlow-collector op 9800 WLC
Configuratie stroommonitor met externe NetFlow-collector
U kunt de poortconfiguratie van automatisch gegenereerde NetFlow Monitor controleren door te navigeren naar Configuratie > Services > NetFlow.
Opmerking: Als u AVC via GUI configureert, wordt de automatisch gegenereerde NetFlow Exporter ingesteld op de UDP 9995-poort. Zorg ervoor dat u het poortnummer valideert dat wordt gebruikt door uw NetFlow-verzamelaar.
Bijvoorbeeld: Als u Cisco Prime gebruikt als uw NetFlow Collector, is het essentieel om de Exporter-poort in te stellen op 9991, omdat dit de poort is waarop Cisco Prime luistert naar NetFlow-verkeer. U kunt de Exportpoort handmatig wijzigen in NetFlow Configuration.
Het poortnummer van de exporteur wijzigen in NetFlow-configuratie
Via CLI
Stap 1: Configureer het IP-adres van de External NetFlow Collector met de broninterface.
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter External_Exporter
9800-Cl-VM(config-flow-exporter)#destination <IP>
9800-Cl-VM(config-flow-exporter)#source $Source_Interface
9800-Cl-VM(config-flow-exporter)#transport udp $Port_Numbet
9800-Cl-VM(config-flow-exporter)#exit
Stap 2: IPv4- en IPv6-netwerkstroommonitor configureren om Local (WLC) als Netflow Exporter te gebruiken.
9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit
Stap 3: Breng de IPv4- en IPv6-stroommonitor in het beleidsprofiel in kaart voor zowel inkomend als inkomend verkeer.
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
Voordat u doorgaat met de configuratie van Application Visibility and Control (AVC) op een Cisco Catalyst 9800 Wireless LAN Controller (WLC) via Cisco Catalyst Center, is het belangrijk om te controleren of de telemetriecommunicatie tussen het WLC en Cisco Catalyst Center met succes is vastgesteld. Zorg ervoor dat de WLC in beheerde toestand wordt weergegeven in de Cisco Catalyst Center-interface en dat de status actief wordt bijgewerkt. Bovendien is het voor een effectieve bewaking van de gezondheidsstatus belangrijk om zowel de WLC als de toegangspunten (AP's) op de juiste manier toe te wijzen aan hun respectieve locaties in het Cisco Catalyst Center.
9800WLC#show telemetry connection all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
----- -------------- ------- ----- ---------------- ---------- --------------------
170 Cisco DNA IP 25103 0 WLC_IP Active UP
WLC en AP bevinden zich in beheerde toestand
Gezondheidsstatus van WLC en AP op Cisco Catalyst Center
Stap 1: Configureer Cisco Catalyst Center als NetFlow-collector en schakel Wireless Telemetry in in de globale instelling. Navigeer naar Ontwerp > Netwerkinstelling > Telemetrie en schakel de gewenste configuratie in zoals is aangetoond.
Draadloze telemetrie en AVC-configuratie
Stap 2: Schakel Application Telemetry in op de gewenste 9800 WLC om de AVC-configuratie op de 9800 WLC te pushen. Navigeer hiervoor naar Inrichting > Netwerkapparaat > Inventarisatie. Kies de 9800 WLC waarop u Application Telemetry wilt activeren en navigeer vervolgens naar Action > Telemetry > Enable Application Telemetry.
Toepassingstelemetrie inschakelen op 9800 WLC
Stap 3: Kies de implementatiemodus volgens de vereisten.
Lokaal: om AVC in te schakelen in het lokale beleidsprofiel (centrale switching)
Flex/Fabric: om AVC in te schakelen in een Flex-beleidsprofiel (Local Switching) of een op een verbinding gebaseerde SSID.
Selectie van implementatiemodus in Cisco Catalyst Center
Stap 4: Er wordt een taak gestart om de AVC-instellingen te activeren en de bijbehorende configuratie wordt toegepast op de 9800 WLC. U kunt de status bekijken door te navigeren naar Activiteiten > Controlelogboek.
Controlelogboeken na inschakelen van telemetrie op 9800 WLC
Cisco Catalyst Center implementeert de Flow Exporter- en Flow Monitor-configuraties, inclusief de opgegeven poort en andere instellingen, en activeert deze binnen het gekozen modusbeleidsprofiel zoals hieronder weergegeven:
Configure Cisco Catalyst Center as Flow Exporter:
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_exporter
9800-Cl-VM(config-flow-exporter)#destination <IP>
9800-Cl-VM(config-flow-exporter)#source Vlan10
9800-Cl-VM(config-flow-exporter)#transport udp 6007
9800-Cl-VM(config-flow-exporter)#export-protocol ipfix
9800-Cl-VM(config-flow-exporter)#option vrf-table timeout 300
9800-Cl-VM(config-flow-exporter)#option ssid-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-attributes timeout 300
9800-Cl-VM(config-flow-exporter)#exit
Configure 9800 WLC as Local Exporter
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_local_exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit
Configure Network Flow Monitor to use both Local(WLC) and Cisco Catalyst Center as Netflow Exporter:
9800-Cl-VM(config)#flow monitor avc_ipv4_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv6_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv4_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv6_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit
Mapping the IPv4 and IPv6 Flow Minitor in Policy Profile
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance output
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
Wanneer de 9800 WLC als Flow-exporteur wordt gebruikt, kunnen deze AVC-statistieken worden waargenomen:
· Zichtbaarheid van toepassingen voor clients die op alle SSID's zijn aangesloten.
· Individueel gebruik van applicaties voor elke klant.
· Specifiek gebruik van toepassingen op elke SSID afzonderlijk.
Opmerking: U hebt de mogelijkheid om de gegevens te filteren op richting, waarbij zowel inkomend (ingress) als uitgaand (egress) verkeer wordt behandeld, evenals op tijdsinterval, met de mogelijkheid om een bereik van maximaal 48 uur te selecteren.
Via GUI
Navigeer naar Monitoring > Services > Zichtbaarheid van toepassingen.
Zichtbaarheid van toepassingen van gebruikers die zijn verbonden met AVC_testing SSID voor zowel Ingress- als Ingress-verkeer
Om de statistieken voor de zichtbaarheid van toepassingen voor elke client weer te geven, kunt u klikken op het tabblad Clients, een specifieke client kiezen en vervolgens op Toepassingsdetails bekijken.
Zichtbaarheid van toepassingen voor specifieke clients - 1
Zichtbaarheid van toepassingen voor specifieke clients - 2
Via CLI
AVC-status controleren
9800WLC#show avc status wlan AVC_testing
WLAN profile name: AVC_testing
----------------------------------------------------------
AVC configuration complete: YES
Statistieken van NetFlow (FNF Cache)
9800WLC#show flow monitor $Flow_Monitor_Name cache format table
Het belangrijkste toepassingsgebruik voor elk WLAN en de aangesloten clients afzonderlijk bekijken:
9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
where n = <1-30> Enter the number of applications
9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
where n = <1-10> Enter the number of clients
Verifieer het aantal FNFv9-pakketten en decodeer de status gepunteerd op Control Plane (CP)
9800WLC#show platform software wlavc status decoder
FNFv9-pakketrecord
U kunt ook de nbar statistieken direct controleren.
9800WLC#show ip nbar protocol-discovery
In de modi Fabric en Flex kunt u de NBAR-statistieken van AP ophalen via:
AP#show avc nbar statistics
Works on both IOS and ClickOS APs
Opmerking: in een configuratie met buitenlandse ankers fungeert het WLC-anker als de aanwezigheid van Layer 3 voor de client, terwijl de buitenlandse WLC werkt op Layer 2. Omdat Application Visibility and Control (AVC) op Layer 3 werkt, zijn de relevante gegevens alleen waarneembaar op het WLC-anker.
Van de pakketopname die op 9800 WLC is gemaakt, kunnen we valideren dat het continu gegevens over de toepassingen en het netwerkverkeer naar het Cisco Catalyst Center verzendt.
Packet Capture op 9800 WLC
Als u de toepassingsgegevens wilt bekijken voor clients die zijn verbonden met een specifieke WLC in het Cisco Catalyst Center, gaat u naar Assurance > Dashboards > Health > Application.
AVC-bewaking op Cisco Catalyst Center
We kunnen de meest gebruikte applicaties van klanten volgen en de hoogste dataconsumenten identificeren, zoals hier wordt aangetoond.
Gebruikersstatistieken toptoepassing en topbandbreedte
U hebt de mogelijkheid om een filter in te stellen voor een bepaalde SSID, waarmee u de algehele doorvoer en het toepassingsgebruik van clients die aan die SSID zijn gekoppeld, kunt controleren.
Met deze functionaliteit kunt u de beste toepassingen en de gebruikers met de hoogste bandbreedte binnen uw netwerk identificeren.
Bovendien kunt u de functie Tijdfilter gebruiken om deze gegevens voor eerdere tijdsperioden te onderzoeken en historische inzichten te bieden in het netwerkgebruik.
Tijdfilter om AVC-statistieken weer te geven.
SSID-filter om AVC-statistieken weer te geven
Wanneer Cisco Prime wordt gebruikt als de NetFlow-verzamelaar, wordt de 9800 WLC weergegeven als een gegevensbron die NetFlow-gegevens verzendt en wordt de NetFlow-sjabloon automatisch gemaakt op basis van de gegevens die door de 9800 WLC worden verzonden.
Van de pakketopname die op 9800 WLC is gemaakt, kunnen we valideren dat het continu gegevens over de toepassingen en het netwerkverkeer naar Cisco Prime verzendt.
Pakketopname gemaakt op 9800 WLC
Cisco Prime detecteert 9800 WLC als netwerkgegevensbron
U kunt filters instellen op basis van toepassingen, services en zelfs door de client, met behulp van het IP-adres voor meer gerichte gegevensanalyse.
Zichtbaarheid van toepassingen voor alle klanten
Toepassing van specifieke client met behulp van IP-adres
In dit voorbeeld wordt de externe NetFlow-verzamelaar [SolarWinds] gebruikt om toepassingsstatistieken te verzamelen. De 9800 WLC maakt gebruik van Flexible NetFlow (FNF) om uitgebreide gegevens over de toepassingen en het netwerkverkeer te verzenden, die vervolgens door SolarWinds worden verzameld.
Netflow Toepassingsstatistieken op SolarWind
Verkeerscontrole verwijst naar een reeks functies en mechanismen die worden gebruikt om de stroom van netwerkverkeer te beheren en te reguleren. Verkeerspolitie of snelheidsbeperkende mechanismen worden gebruikt in draadloze controllers om de hoeveelheid verkeer te regelen die van de client wordt verzonden. Het bewaakt de datasnelheid voor netwerkverkeer en onderneemt onmiddellijk actie wanneer een vooraf gedefinieerde snelheidslimiet wordt overschreden. Wanneer het verkeer het opgegeven tarief overschrijdt, kan de snelheidsbeperking de overtollige pakketten laten vallen of ze aftekenen door de waarden voor de serviceklasse (Class of Service, CoS) of het gedifferentieerde servicecodepunt (Differentiated Services Code Point, DSCP) te wijzigen. Dit kan worden bereikt door QOS in 9800 WLC te configureren, U kunt naar https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/215441-configure-qos-rate-limiting-on-catalyst.html verwijzen om een overzicht te krijgen van hoe deze componenten werken en hoe ze kunnen worden geconfigureerd om verschillende resultaten te bereiken.
Problemen met AVC oplossen omvat het identificeren en oplossen van problemen die mogelijk van invloed zijn op het vermogen van AVC om applicatieverkeer op uw draadloze netwerk nauwkeurig te identificeren, classificeren en beheren. Veelvoorkomende problemen kunnen problemen met verkeersclassificatie, beleidshandhaving of rapportage omvatten. Hier zijn enkele stappen en overwegingen bij het oplossen van AVC-problemen op een Catalyst 9800 WLC:
Wanneer u AVC instelt via de GUI, wijst deze automatisch poort 9995 als standaard toe. Als u echter een externe verzamelaar gebruikt, controleert u welke poort is geconfigureerd om naar te luisteren voor NetFlow-verkeer. Het is van cruciaal belang om dit poortnummer nauwkeurig te configureren zodat het overeenkomt met de instellingen van uw netflow collector.
1. Schakel tijdstempel in om een tijdreferentie te hebben voor alle opdrachten.
9800WLC#term exec prompt timestamp
2. De configuratie bekijken
9800WLC#show tech-support wireless
3. U kunt de avc-status en de netflow-statistieken controleren.
Controleer de AVC-configuratiestatus.
9800WLC#show avc status wlan <wlan_name>
Controleer het aantal FNFv9-pakketten en decodeer de status gepunteerd op Control Plane (CP).
9800WLC#show platform software wlavc status decoder
Bekijk de statistieken van NetFlow (FNF Cache).
9800WLC#show flow monitor <Flow_Monitor_Name>
Controleer het gebruik van Top n-toepassingen voor elk WLAN, waarbij n = <1-30> Het aantal toepassingen invoeren.
9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
Controleer het gebruik van de bovenste n-toepassing voor elke client, waarbij n = <1-30> Het aantal toepassingen invoeren.
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
Controleer top n clients verbonden met specifieke wlan met behulp van de specifieke toepassing, waarbij n=<1-10> Voer het aantal clients.
9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
Controleer de nbar statistieken.
9800WLC#show ip nbar protocol-discovery
4. Stel het logboekniveau in op debug/verbose.
9800WLC#set platform software trace all debug/verbose
!! To View the collected logs
9800WLC#show logging profile wireless internal start last clear to-file bootflash:<File_Name
!!Set logging level back to notice post troubleshooting
9800WLC#set platform software trace wireless all debug/verbose
5. Schakel Radioactive (RA) Trace for client MAC-adres in om de AVC-status te valideren.
Via CLI
9800WLLC#debug wireless {mac | ip} {aaaa.bbbb.cccc | x.x.x.x } {monitor-time} {N seconds} !! Setting time allows us to enable traces for up to 24 days
9800WLC#no debug wireless mac <Client_MAC>
!!WLC generates a debug trace file with Client_info, command to check for debug trace file generated.
9800WLC#dir bootflash: | i debug
Let op: De voorwaardelijke debugging maakt debug-level logging mogelijk, wat op zijn beurt het volume van de gegenereerde logs verhoogt. Als u dit actief laat, neemt de afstand terug in de tijd af waarvandaan u logs kunt bekijken. Het wordt dus aanbevolen om foutopsporing altijd uit te schakelen aan het einde van de sessie voor probleemoplossing.
# clear platform condition all
# undebug all
Via GUI
Stap 1. Navigeer naar Problemen oplossen > Radioactief spoor.
Stap 2. Klik op Toevoegen en voer een MAC-adres voor de client in dat u wilt oplossen. U kunt verschillende Mac-adressen toevoegen om bij te houden.
Stap 3. Wanneer u klaar bent om de radioactieve tracering te starten, klikt u op Start. Eenmaal gestart, wordt debug logging geschreven naar schijf over elke control plane verwerking met betrekking tot de bijgehouden MAC-adressen.
Stap 4. Wanneer u het probleem reproduceert dat u wilt oplossen, klikt u op Stoppen.
Stap 5. Voor elk mac-adres dat is gedebugd, kunt u een logbestand genereren waarin alle logs met betrekking tot dat mac-adres zijn verzameld door op Genereren te klikken.
Stap 6. Kies hoe lang terug u wilt dat het samengevoegde logbestand gaat en klik op Toepassen op apparaat.
Stap 7. U kunt het bestand nu downloaden door op het kleine pictogram naast de bestandsnaam te klikken. Dit bestand is aanwezig in de opstartflashdrive van de controller en kan ook uit de doos worden gekopieerd via CLI.
Hier is een glimp van AVC debugs in RA sporen
2024/07/20 20:15:24.514842337 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 280, #packets 5
2024/07/20 20:15:24.514865665 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:24.514875837 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'unknown'(app-id: 0xd000001), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:40.530177442 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'ping'(app-id: 0xd0001df), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 3600, #packets 60
6. Geïntegreerde opnamen gefilterd op MAC-adres van client in beide richtingen, filter voor interne MAC van client beschikbaar na 17.1.
Het is vooral handig bij het gebruik van een externe collector, omdat het helpt te bevestigen of de WLC NetFlow-gegevens naar de beoogde poort verzendt zoals verwacht.
Via CLI
monitor capture MYCAP clear
monitor capture MYCAP interface <Interface> both
monitor capture MYCAP buffer size 100
monitor capture MYCAP match any
monitor capture MYCAP inner mac CLIENT_MAC@
monitor capture MYCAP start
!! Inititiate different application traffic from user
monitor capture MYCAP stop
monitor capture MYCAP export flash:|tftp:|http:.../filename.pcap
Via GUI
Stap 1. Navigeer naar Problemen oplossen > Pakketvastlegging > +Toevoegen.
Stap 2. Definieer de naam van de pakketopname. Er zijn maximaal 8 tekens toegestaan.
Stap 3. Definieer eventuele filters.
Stap 4. Schakel het selectievakje in om het verkeer te bewaken als u wilt zien dat het verkeer op de CPU van het systeem wordt weergegeven en opnieuw in het gegevensvlak wordt geïnjecteerd.
Stap 5. Definieer de buffergrootte. Maximaal 100 MB is toegestaan.
Stap 6. Definieer de limiet, hetzij door de duur die een bereik van 1 - 1000000 seconden mogelijk maakt, hetzij door het aantal pakketten dat een bereik van 1 - 100000 pakketten mogelijk maakt, zoals gewenst.
Stap 7. Kies de interface uit de lijst met interfaces in de linkerkolom en selecteer de pijl om deze naar de rechterkolom te verplaatsen.
Stap 8. Klik op Toepassen op apparaat.
Stap 9. Selecteer Start om het vastleggen te starten.
Stap 10. U kunt de opname tot de gedefinieerde limiet laten lopen. Selecteer Stoppen als u het vastleggen handmatig wilt stoppen.
Stap 11. Zodra u bent gestopt, wordt een knop Exporteren beschikbaar om te klikken met de optie om het opnamebestand (.pcap) op het lokale bureaublad te downloaden via HTTP- of TFTP-server of FTP-server of lokale systeemharde schijf of flash.
In de modi Fabric en Flex
1. toon de technologie zodat alle configuratiegegevens en clientstatistieken voor het toegangspunt beschikbaar zijn.
2. Statistieken nbar statistieken nbar tonen vanaf AP
3. AVC-debugs
AP#term mon
AP#debug capwap client avc <all/detail/error/event>
AP#debug capwap client avc netflow <all/detail/error/event/packet>
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
29-Jul-2024
|
Eerste vrijgave |