Begrijp de zichtbaarheid en controle van toepassingen op de 9800 draadloze controller

Inleiding

Dit document beschrijft Application Visibility and Control (AVC) op een Cisco Catalyst 9800 WLC.

Voorwaarde

Cisco raadt kennis van de volgende onderwerpen aan:

• De meest gebruikte is de Cisco WLC 9800.
• Basiskennis van de lokale en flexibele verbindingsmodus AP.
• De toegangspunten moeten geschikt zijn voor AVC. (Niet van toepassing met Local Mode AP)
• Om het besturingsgedeelte van AVC (QoS) te laten werken, moet de zichtbaarheidsfunctie van de toepassing met FNF worden geconfigureerd.

Informatie over zichtbaarheid en controle van toepassingen (AVC)

Application Visibility and Control (AVC) is een toonaangevende benadering voor deep-packet inspection (DPI)-technologie in zowel draadloze als bekabelde netwerken. Met AVC kunt u realtime analyses uitvoeren en beleidsregels maken om netwerkcongestie effectief te verminderen, kostbaar gebruik van netwerkverbindingen te minimaliseren en onnodige infrastructuurupgrades te voorkomen. Kortom, AVC stelt gebruikers in staat om een geheel nieuw niveau van verkeersherkenning en -vormgeving te bereiken door middel van Network Based Application Recognition (NBAR). NBAR-pakketten die worden uitgevoerd op de 9800 WLC worden gebruikt voor DPI en de resultaten worden gerapporteerd met behulp van Flexible NetFlow (FNF).

Naast zichtbaarheid biedt AVC de mogelijkheid om verschillende soorten verkeer te prioriteren, blokkeren of afremmen. Beheerders kunnen bijvoorbeeld beleid maken dat prioriteit geeft aan spraak- en videotoepassingen om de kwaliteit van de service (QoS) te waarborgen of de beschikbare bandbreedte voor niet-essentiële toepassingen tijdens piekuren te beperken. Het kan ook worden geïntegreerd met andere Cisco-technologieën, zoals Cisco Identity Services Engine (ISE) voor op identiteit gebaseerd toepassingsbeleid en Cisco Catalyst Center voor gecentraliseerd beheer.

Hoe werkt AVC

AVC maakt gebruik van geavanceerde technologieën zoals FNF en NBAR2 motor voor DPI. Door het analyseren en identificeren van verkeersstromen met behulp van de NBAR2-engine, worden specifieke stromen gemarkeerd met het erkende protocol of de toepassing. De controller verzamelt alle rapporten en presenteert deze via show-opdrachten, Web UI of extra NetFlow-exportberichten naar externe NetFlow-verzamelaars zoals Prime.

Zodra de zichtbaarheid van de toepassing is vastgesteld, kunnen gebruikers controleregels maken met politiemechanismen voor clients door Quality of Service (QOS) te configureren.

Werkingsmechanisme van AVC

Network-Based Application Recognition (NBAR)

NBAR is een mechanisme dat is geïntegreerd in de 9800 WLC, die wordt gebruikt om DPI uit te voeren voor het identificeren en classificeren van een breed scala aan toepassingen die over een netwerk lopen. Het kan een groot aantal toepassingen herkennen en classificeren, waaronder gecodeerde en dynamisch aan poorten toegewezen toepassingen, die vaak onzichtbaar zijn voor traditionele pakketinspectietechnologieën.

Opmerking: Om NBAR te gebruiken op de Catalyst 9800 WLC, is het noodzakelijk om deze correct in te schakelen en te configureren, vaak in combinatie met specifieke AVC-profielen die de juiste acties definiëren die moeten worden ondernomen op basis van de classificatie van het verkeer.

NBAR wordt regelmatig bijgewerkt en het is belangrijk om de WLC-software up-to-date te houden om ervoor te zorgen dat de NBAR-functieset actueel en effectief blijft.

Een volledige lijst van de protocollen die worden ondersteund in de nieuwste releases is te vinden op https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/prot_lib/config_library/nbar-prot-pack-library.html

NBAR-protocol inschakelen in beleidsprofiel

9800WLC#configure terminal
9800WLC(config)#wireless profile policy AVC_testing
9800WLC(config-wireless-policy)#ip nbar protocol-discovery 
9800WLC(config-wireless-policy)#end

Opmerking: het beleidsprofiel % moet worden uitgeschakeld voordat u deze bewerking kunt uitvoeren.

9800WLC#show wireless profile policy detailed AVC_testing | in NBAR
NBAR Protocol Discovery : Enabled

Upgrade van NBAR op 9800 WLC

9800 WLC heeft al ~1500 herkenbare toepassingen. In het geval dat een nieuwe toepassing wordt uitgebracht, kan het protocol voor hetzelfde worden bijgewerkt in de nieuwste NBAR die nodig zou zijn om te worden gedownload van de Software Download pagina voor het specifieke 9800 model.

Via GUI

Navigeer naar Configuratie > Services > Zichtbaarheid van toepassingen. Klik op Protocolpakket bijwerken.

Sectie Protocol uploaden in 9800 WLC

Klik op Toevoegen, kies het te downloaden protocolpakket en klik op Upgrade.

NBAR-protocol toevoegen

Zodra de upgrade is voltooid, ziet u het protocolpakket toegevoegd.

Verificatie van protocolpakket

Via CLI

9800WLC#copy tftp://10.10.10.1/pp-adv-c9800-1712.1-49-70.0.0.pack bootflash:
9800WLC#configure terminal
9800WLC(config)#ip nbar protocol-pack bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack

To verify NBAR protocol pack version

9800WLC#show ip nbar protocol-pack active
Active Protocol Pack: 
Name: Advanced Protocol Pack
Version: 70.0
Publisher: Cisco Systems Inc.
NBAR Engine Version: 49
Creation time: Tue Jun 4 10:18:09 UTC 2024
File: bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
State: Active

Opmerking: er is geen serviceonderbreking tijdens de upgrade van het NBAR-protocolpakket.

NetFlow

NetFlow is een netwerkprotocol dat wordt gebruikt voor het verzamelen van IP-verkeersinformatie en het bewaken van netwerkstroomgegevens. Het wordt voornamelijk gebruikt voor netwerkverkeersanalyse en bandbreedtebewaking. Hier is een overzicht van hoe NetFlow werkt op de Cisco Catalyst 9800-serie controllers:

• Gegevensverzameling: 9800 WLC verzamelt gegevens over het IP-verkeer dat erdoor stroomt. Deze gegevens omvatten informatie zoals bron- en bestemmings-IP-adressen, bron- en bestemmingspoorten, gebruikte protocollen, serviceklasse en de oorzaak van stroombeëindiging.
• Stroomrecords: De verzamelde gegevens worden georganiseerd in stroomrecords. Een flow wordt gedefinieerd als een eenrichtingsreeks van pakketten die een reeks gemeenschappelijke attributen delen, zoals dezelfde bron/bestemming IP, bron/bestemmingspoorten en protocoltype.
• Gegevens exporteren: De stroomrecords worden periodiek geëxporteerd van het voor NetFlow geschikte apparaat naar een NetFlow-verzamelaar. De verzamelaar kan een lokale WLC zijn of een speciale server of softwaretoepassing die de stroomgegevens ontvangt, opslaat en verwerkt.
• Analyse: u kunt NetFlow-verzamelaars en analysetools gebruiken om verkeerspatronen te visualiseren, bandbreedte te identificeren, ongebruikelijke verkeersstromen te detecteren die wijzen op beveiligingslekken, netwerkprestaties te optimaliseren en netwerkuitbreiding te plannen.
• Draadloze specifieke informatie: In het kader van draadloze controllers kan NetFlow aanvullende informatie bevatten die specifiek is voor draadloze netwerken, zoals de SSID, toegangspunten, MAC-adressen van clients en andere details die relevant zijn voor Wi-Fi-verkeer.

Flexibele netwerkstroom

Flexible NetFlow (FNF) is een geavanceerde versie van traditionele NetFlow en wordt ondersteund door de Cisco Catalyst 9800 Series Wireless LAN Controllers (WLC's). Het biedt meer aanpassingsopties voor het volgen, bewaken en analyseren van netwerkverkeerspatronen. De belangrijkste kenmerken van Flexible NetFlow op de Catalyst 9800 WLC zijn:

• Aanpassing: FNF stelt gebruikers in staat om te bepalen welke informatie ze willen verzamelen van het netwerkverkeer. Dit omvat een breed scala aan verkeerskenmerken zoals IP-adressen, poortnummers, tijdstempels, pakket- en bytentellingen, toepassingstypen en meer.
• Verbeterde zichtbaarheid: door gebruik te maken van FNF krijgen beheerders gedetailleerd inzicht in de soorten verkeer die door het netwerk stromen, wat essentieel is voor capaciteitsplanning, op gebruik gebaseerde netwerkfacturering, netwerkanalyse en beveiligingsmonitoring.
• Protocolonafhankelijkheid: FNF is flexibel genoeg om verschillende protocollen buiten IP te ondersteunen, waardoor het aanpasbaar is aan verschillende soorten netwerkomgevingen.

Op de Catalyst 9800 WLC kan FNF worden geconfigureerd om stroomrecords te exporteren naar een externe NetFlow-verzamelaar of analysetoepassing. Deze gegevens kunnen vervolgens worden gebruikt voor probleemoplossing, netwerkplanning en beveiligingsanalyse. De FNF-configuratie omvat het definiëren van een stroomrecord (wat te verzamelen), een stroomexporteur (waar de gegevens te verzenden) en het koppelen van de stroommonitor (die de record en exporteur bindt) aan de juiste interfaces.

Opmerking: FNF kan 17 verschillende gegevensrecords (zoals gedefinieerd in RFC 3954) verzenden naar de externe 3rd Party Netflow-verzamelaar, zoals Stealthwatch, Solarwinds en andere die zijn: Application Tag, Client Mac-adres, AP Mac-adres, WlanID, bron-IP, bestemming-IP, bronpoort, bestemmingspoort, protocol, starttijd stroom, eindtijd stroom, richting, pakket uit, aantal bytes, VLAN-ID (lokale modus) - Mgmt/client en TOS - DSCP-waarde

stroommonitor

Een stroommonitor is een component die wordt gebruikt in combinatie met Flexible NetFlow (FNF) om netwerkverkeersgegevens vast te leggen en te analyseren. Het speelt een cruciale rol bij het bewaken en begrijpen van verkeerspatronen voor netwerkbeheer, beveiliging en probleemoplossing. De stroommonitor is in wezen een toegepast exemplaar van FNF dat stroomgegevens verzamelt en bijhoudt op basis van gedefinieerde criteria. Het wordt geassocieerd met drie hoofdelementen:

• Stroomrecord: Dit definieert de gegevens die de stroommonitor moet verzamelen van het netwerkverkeer. Het specificeert de sleutels (zoals bron- en bestemmings-IP-adressen, poorten, protocoltypen) en niet-sleutelvelden (zoals pakket- en bytetellers, tijdstempels) die zijn opgenomen in de stroomgegevens.
• Flow Exporter: Dit geeft de bestemming aan waar de verzamelde stroomgegevens moeten worden verzonden. Het bevat details zoals het IP-adres van de NetFlow-collector, het transportprotocol (meestal UDP) en het poortnummer van de bestemming waar de collector naar luistert.
• Stroommonitor: De stroommonitor zelf bindt de stroomrecord- en stroomexporteur aan elkaar en past deze toe op een interface of WLAN om het monitoringproces daadwerkelijk te starten. Het bepaalt hoe de stroomgegevens moeten worden verzameld en geëxporteerd op basis van de criteria die zijn ingesteld in het stroomrecord en de bestemming die is ingesteld in de stroomexporteur.

Door AVC ondersteunde toegangspunten

AVC wordt alleen ondersteund op deze toegangspunten:

• Cisco Catalyst 9100-reeks toegangspunten
• Cisco Aironet 2800-reeks toegangspunt
• Cisco Aironet 3800 Series access points
• Cisco Aironet 4800 Series access points

Ondersteuning voor verschillende 9800-implementatiemodi

Beperkingen bij de implementatie van AVC op 9800

Zowel Application Visibility and Control (AVC) als Flexible NetFlow (FNF) zijn krachtige functies op draadloze LAN-controllers uit de Cisco Catalyst 9800-reeks die de zichtbaarheid en controle van het netwerk verbeteren. Er zijn echter enkele beperkingen en overwegingen om in gedachten te houden bij het gebruik van deze functies:

• Layer 2-roaming wordt niet ondersteund op alle controllers.
• Multicast-verkeer wordt niet ondersteund.
• Alleen de applicaties die worden herkend met App-zichtbaarheid kunnen worden gebruikt voor het toepassen van QoS-besturing.
• Gegevenskoppeling wordt niet ondersteund voor NetFlow-velden in AVC.
• U kunt hetzelfde WLAN-profiel niet koppelen aan zowel het beleidsprofiel AVC-niet-ingeschakeld als het beleidsprofiel AVC-ingeschakeld.
• U kunt het beleidsprofiel met het andere schakelmechanisme niet gebruiken voor hetzelfde WLAN om AVC te implementeren.
• AVC wordt niet ondersteund op de beheerpoort (Gig 0/0).
• Op NBAR gebaseerde QoS-beleidsconfiguratie is alleen toegestaan op bekabelde fysieke poorten. Beleidsconfiguratie wordt niet ondersteund op virtuele interfaces, bijvoorbeeld VLAN, poortkanaal en andere logische interfaces.
• Als AVC is ingeschakeld, ondersteunt het AVC-profiel slechts maximaal 23 regels, waaronder de standaard DSCP-regel. Het AVC-beleid kan niet naar het toegangspunt worden geduwd als de regels meer dan 23 zijn.
  
  

Netwerktopologie

AP in lokale modus

AVC in lokale modus AP (centrale switching)

AP In flexmodus

AVC in Flex-modus AP

Configuratie van AVC op 9800 WLC

Tijdens het configureren van AVC op 9800 WLC, kunt u het gebruiken als NetFlow Collector of kunt u de NefFlow-gegevens exporteren naar External NetFlow Collector.

plaatselijke exporteur

Op een Cisco Catalyst 9800 Wireless LAN Controller (WLC) verwijst een lokale NetFlow-verzamelaar naar de ingebouwde functie in de WLC waarmee NetFlow-gegevens kunnen worden verzameld en lokaal kunnen worden opgeslagen. Met deze mogelijkheid kan de WLC een eenvoudige NetFlow-gegevensanalyse uitvoeren zonder dat de stroomrecords hoeven te worden geëxporteerd naar een externe NetFlow-verzamelaar.

Via GUI

Stap 1: AVC inschakelen op specifieke SSID Navigeren naar Configuratie > Services > Zichtbaarheid van toepassingen. Kies het specifieke beleidsprofiel waarvoor u AVC wilt activeren.

AVC inschakelen voor beleidsprofiel

Stap 2: Selecteer Lokaal als Netflow Collector en klik op Toepassen.

Lokale NetFlow-collector selecteren

Merk op dat de instellingen NetFlow Exporter en NetFlow automatisch zijn geconfigureerd volgens de opgegeven voorkeuren zodra u de AVC-configuratie toepast.

U kunt hetzelfde valideren door te navigeren naar Configuratie > Services > Toepassingszichtbaarheid > Stroommonitor > Exporteur/Monitor.

Configuratie Local Flow Collector op 9800 WLC

Configuratie stroommonitor met lokale NetFlow-collector

De IPv4- en IPv6 AVC-stroommonitoren worden automatisch gekoppeld aan het beleidsprofiel. Navigeer naar Configuratie > Tags & Profiel > Beleid. Klik op Beleidsprofiel > AVC en QOS.

Configuratie stroommonitor in beleidsprofiel

Via CLI

Stap 1: Configureer 9800 WLC als lokale exporteur.

9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter wireless-local-exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit

Stap 2: IPv4- en IPv6-netwerkstroommonitor configureren om Local (WLC) als Netflow Exporter te gebruiken.

9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter wireless-local-exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor wireless-avc-basic-ipv6
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit

Stap 3: Breng de IPv4- en IPv6-stroommonitor in het beleidsprofiel in kaart voor zowel inkomend als inkomend verkeer.

9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown

Disabling policy profile will result in associated AP/Client rejoin

9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit

externe nettostroomcollector

Een externe NetFlow-collector, indien gebruikt in het kader van Application Visibility and Control (AVC) op een Cisco Catalyst 9800 Wireless LAN Controller (WLC), is een speciaal systeem of service die NetFlow-gegevens ontvangt, aggregeert en analyseert die uit de WLC worden geëxporteerd. U kunt ofwel alleen de externe NeFlow Collector configureren om de zichtbaarheid van de toepassing te bewaken of u kunt deze ook samen met de lokale collector gebruiken. 

Via GUI

Stap 1: AVC inschakelen op specifieke SSID Navigeren naar Configuratie > Services > Zichtbaarheid van toepassingen. Kies het specifieke beleidsprofiel waarvoor u AVC wilt activeren. Selecteer Collector als Extern en configureer het IP-adres van NetFlow Collector zoals Cisco Prime, SolarWind, StealthWatch en klik op Toepassen.

AVC-configuratie voor externe NetFlow-collector

Merk op dat, zodra u de AVC-configuratie toepast, de instellingen NetFlow Exporter en NetFlow automatisch zijn geconfigureerd met het IP-adres van NetFlow Collector als exporteur- en Exportadres als 9800 WLC met standaardinstellingen voor time-out en UDP-poort 9995. U kunt hetzelfde valideren door te navigeren naar Configuratie > Services > Toepassingszichtbaarheid > Stroommonitor > Exporteur/Monitor.

Configuratie van externe NetFlow-collector op 9800 WLC

Configuratie stroommonitor met externe NetFlow-collector

U kunt de poortconfiguratie van automatisch gegenereerde NetFlow Monitor controleren door te navigeren naar Configuratie > Services > NetFlow.

Opmerking: Als u AVC via GUI configureert, wordt de automatisch gegenereerde NetFlow Exporter ingesteld op de UDP 9995-poort. Zorg ervoor dat u het poortnummer valideert dat wordt gebruikt door uw NetFlow-verzamelaar.

Bijvoorbeeld: Als u Cisco Prime gebruikt als uw NetFlow Collector, is het essentieel om de Exporter-poort in te stellen op 9991, omdat dit de poort is waarop Cisco Prime luistert naar NetFlow-verkeer. U kunt de Exportpoort handmatig wijzigen in NetFlow Configuration.

Het poortnummer van de exporteur wijzigen in NetFlow-configuratie

Via CLI

Stap 1: Configureer het IP-adres van de External NetFlow Collector met de broninterface.

9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter External_Exporter
9800-Cl-VM(config-flow-exporter)#destination <IP>
9800-Cl-VM(config-flow-exporter)#source $Source_Interface
9800-Cl-VM(config-flow-exporter)#transport udp $Port_Numbet
9800-Cl-VM(config-flow-exporter)#exit

Stap 2: IPv4- en IPv6-netwerkstroommonitor configureren om Local (WLC) als Netflow Exporter te gebruiken.

9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit

Stap 3: Breng de IPv4- en IPv6-stroommonitor in het beleidsprofiel in kaart voor zowel inkomend als inkomend verkeer.

9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown

Disabling policy profile will result in associated AP/Client rejoin

9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit

Configuratie van AVC op 9800 WLC met behulp van Cisco DNA

Voordat u doorgaat met de configuratie van Application Visibility and Control (AVC) op een Cisco Catalyst 9800 Wireless LAN Controller (WLC) via Cisco Catalyst Center, is het belangrijk om te controleren of de telemetriecommunicatie tussen het WLC en Cisco Catalyst Center met succes is vastgesteld. Zorg ervoor dat de WLC in beheerde toestand wordt weergegeven in de Cisco Catalyst Center-interface en dat de status actief wordt bijgewerkt. Bovendien is het voor een effectieve bewaking van de gezondheidsstatus belangrijk om zowel de WLC als de toegangspunten (AP's) op de juiste manier toe te wijzen aan hun respectieve locaties in het Cisco Catalyst Center.

9800WLC#show telemetry connection all
Telemetry connections
Index    Peer Address    Port     VRF     Source Address     State       State Description
-----   --------------  -------  -----   ----------------  ----------   --------------------
170     Cisco DNA IP    25103     0      WLC_IP              Active         UP

WLC en AP bevinden zich in beheerde toestand

Gezondheidsstatus van WLC en AP op Cisco Catalyst Center

Stap 1: Configureer Cisco Catalyst Center als NetFlow-collector en schakel Wireless Telemetry in in de globale instelling. Navigeer naar Ontwerp > Netwerkinstelling > Telemetrie en schakel de gewenste configuratie in zoals is aangetoond.

Draadloze telemetrie en AVC-configuratie

Stap 2: Schakel Application Telemetry in op de gewenste 9800 WLC om de AVC-configuratie op de 9800 WLC te pushen. Navigeer hiervoor naar Inrichting > Netwerkapparaat > Inventarisatie. Kies de 9800 WLC waarop u Application Telemetry wilt activeren en navigeer vervolgens naar Action > Telemetry > Enable Application Telemetry.

Toepassingstelemetrie inschakelen op 9800 WLC

Stap 3: Kies de implementatiemodus volgens de vereisten.
Lokaal: om AVC in te schakelen in het lokale beleidsprofiel (centrale switching)

Flex/Fabric: om AVC in te schakelen in een Flex-beleidsprofiel (Local Switching) of een op een verbinding gebaseerde SSID.

Selectie van implementatiemodus in Cisco Catalyst Center

Stap 4: Er wordt een taak gestart om de AVC-instellingen te activeren en de bijbehorende configuratie wordt toegepast op de 9800 WLC. U kunt de status bekijken door te navigeren naar Activiteiten > Controlelogboek.

Controlelogboeken na inschakelen van telemetrie op 9800 WLC

Cisco Catalyst Center implementeert de Flow Exporter- en Flow Monitor-configuraties, inclusief de opgegeven poort en andere instellingen, en activeert deze binnen het gekozen modusbeleidsprofiel zoals hieronder weergegeven:

Configure Cisco Catalyst Center as Flow Exporter:

9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_exporter
9800-Cl-VM(config-flow-exporter)#destination <IP>
9800-Cl-VM(config-flow-exporter)#source Vlan10
9800-Cl-VM(config-flow-exporter)#transport udp 6007
9800-Cl-VM(config-flow-exporter)#export-protocol ipfix
9800-Cl-VM(config-flow-exporter)#option vrf-table timeout 300
9800-Cl-VM(config-flow-exporter)#option ssid-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-attributes timeout 300
9800-Cl-VM(config-flow-exporter)#exit

Configure 9800 WLC as Local Exporter

9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_local_exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit

Configure Network Flow Monitor to use both Local(WLC) and Cisco Catalyst Center as Netflow Exporter:

9800-Cl-VM(config)#flow monitor avc_ipv4_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor avc_ipv6_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor avc_ipv4_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor avc_ipv6_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit

Mapping the IPv4 and IPv6 Flow Minitor in Policy Profile

9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown

Disabling policy profile will result in associated AP/Client rejoin

9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance output
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit

Verificatie van AVC

Op 9800

Wanneer de 9800 WLC als Flow-exporteur wordt gebruikt, kunnen deze AVC-statistieken worden waargenomen:

· Zichtbaarheid van toepassingen voor clients die op alle SSID's zijn aangesloten.

· Individueel gebruik van applicaties voor elke klant.

· Specifiek gebruik van toepassingen op elke SSID afzonderlijk.

Opmerking: U hebt de mogelijkheid om de gegevens te filteren op richting, waarbij zowel inkomend (ingress) als uitgaand (egress) verkeer wordt behandeld, evenals op tijdsinterval, met de mogelijkheid om een bereik van maximaal 48 uur te selecteren.

Via GUI

Navigeer naar Monitoring > Services > Zichtbaarheid van toepassingen.

Zichtbaarheid van toepassingen van gebruikers die zijn verbonden met AVC_testing SSID voor zowel Ingress- als Ingress-verkeer

Om de statistieken voor de zichtbaarheid van toepassingen voor elke client weer te geven, kunt u klikken op het tabblad Clients, een specifieke client kiezen en vervolgens op Toepassingsdetails bekijken.

Zichtbaarheid van toepassingen voor specifieke clients - 1

Zichtbaarheid van toepassingen voor specifieke clients - 2

Via CLI

AVC-status controleren

9800WLC#show avc status wlan AVC_testing
WLAN profile name: AVC_testing
----------------------------------------------------------
AVC configuration complete: YES

Statistieken van NetFlow (FNF Cache)

9800WLC#show flow monitor $Flow_Monitor_Name cache format table

Het belangrijkste toepassingsgebruik voor elk WLAN en de aangesloten clients afzonderlijk bekijken:

9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
where n = <1-30> Enter the number of applications

9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
where n =  <1-10> Enter the number of clients

Verifieer het aantal FNFv9-pakketten en decodeer de status gepunteerd op Control Plane (CP)

9800WLC#show platform software wlavc status decoder

FNFv9-pakketrecord

U kunt ook de nbar statistieken direct controleren.

9800WLC#show ip nbar protocol-discovery

In de modi Fabric en Flex kunt u de NBAR-statistieken van AP ophalen via:

AP#show avc nbar statistics 
Works on both IOS and ClickOS APs

Opmerking: in een configuratie met buitenlandse ankers fungeert het WLC-anker als de aanwezigheid van Layer 3 voor de client, terwijl de buitenlandse WLC werkt op Layer 2. Omdat Application Visibility and Control (AVC) op Layer 3 werkt, zijn de relevante gegevens alleen waarneembaar op het WLC-anker.

Over Cisco DNA

Van de pakketopname die op 9800 WLC is gemaakt, kunnen we valideren dat het continu gegevens over de toepassingen en het netwerkverkeer naar het Cisco Catalyst Center verzendt.

Packet Capture op 9800 WLC

Als u de toepassingsgegevens wilt bekijken voor clients die zijn verbonden met een specifieke WLC in het Cisco Catalyst Center, gaat u naar Assurance > Dashboards > Health > Application.

AVC-bewaking op Cisco Catalyst Center

We kunnen de meest gebruikte applicaties van klanten volgen en de hoogste dataconsumenten identificeren, zoals hier wordt aangetoond.

Gebruikersstatistieken toptoepassing en topbandbreedte

U hebt de mogelijkheid om een filter in te stellen voor een bepaalde SSID, waarmee u de algehele doorvoer en het toepassingsgebruik van clients die aan die SSID zijn gekoppeld, kunt controleren.

Met deze functionaliteit kunt u de beste toepassingen en de gebruikers met de hoogste bandbreedte binnen uw netwerk identificeren.

Bovendien kunt u de functie Tijdfilter gebruiken om deze gegevens voor eerdere tijdsperioden te onderzoeken en historische inzichten te bieden in het netwerkgebruik.

Tijdfilter om AVC-statistieken weer te geven.                             SSID-filter om AVC-statistieken weer te geven

Op externe NetFlow-collector

Voorbeeld1: Cisco Prime als Netflow Collector

Wanneer Cisco Prime wordt gebruikt als de NetFlow-verzamelaar, wordt de 9800 WLC weergegeven als een gegevensbron die NetFlow-gegevens verzendt en wordt de NetFlow-sjabloon automatisch gemaakt op basis van de gegevens die door de 9800 WLC worden verzonden.

Van de pakketopname die op 9800 WLC is gemaakt, kunnen we valideren dat het continu gegevens over de toepassingen en het netwerkverkeer naar Cisco Prime verzendt.

Pakketopname gemaakt op 9800 WLC

Cisco Prime detecteert 9800 WLC als netwerkgegevensbron

U kunt filters instellen op basis van toepassingen, services en zelfs door de client, met behulp van het IP-adres voor meer gerichte gegevensanalyse.

Zichtbaarheid van toepassingen voor alle klanten

Toepassing van specifieke client met behulp van IP-adres

Voorbeeld 2: NetFlow Collector van derden

In dit voorbeeld wordt de externe NetFlow-verzamelaar [SolarWinds] gebruikt om toepassingsstatistieken te verzamelen. De 9800 WLC maakt gebruik van Flexible NetFlow (FNF) om uitgebreide gegevens over de toepassingen en het netwerkverkeer te verzenden, die vervolgens door SolarWinds worden verzameld.

Netflow Toepassingsstatistieken op SolarWind

verkeersleiding

Verkeerscontrole verwijst naar een reeks functies en mechanismen die worden gebruikt om de stroom van netwerkverkeer te beheren en te reguleren. Verkeerspolitie of snelheidsbeperkende mechanismen worden gebruikt in draadloze controllers om de hoeveelheid verkeer te regelen die van de client wordt verzonden. Het bewaakt de datasnelheid voor netwerkverkeer en onderneemt onmiddellijk actie wanneer een vooraf gedefinieerde snelheidslimiet wordt overschreden. Wanneer het verkeer het opgegeven tarief overschrijdt, kan de snelheidsbeperking de overtollige pakketten laten vallen of ze aftekenen door de waarden voor de serviceklasse (Class of Service, CoS) of het gedifferentieerde servicecodepunt (Differentiated Services Code Point, DSCP) te wijzigen. Dit kan worden bereikt door QOS in 9800 WLC te configureren, U kunt naar https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/215441-configure-qos-rate-limiting-on-catalyst.html verwijzen om een overzicht te krijgen van hoe deze componenten werken en hoe ze kunnen worden geconfigureerd om verschillende resultaten te bereiken.

Probleemoplossing

Problemen met AVC oplossen omvat het identificeren en oplossen van problemen die mogelijk van invloed zijn op het vermogen van AVC om applicatieverkeer op uw draadloze netwerk nauwkeurig te identificeren, classificeren en beheren. Veelvoorkomende problemen kunnen problemen met verkeersclassificatie, beleidshandhaving of rapportage omvatten. Hier zijn enkele stappen en overwegingen bij het oplossen van AVC-problemen op een Catalyst 9800 WLC:

• AVC-configuratie controleren: Controleer of AVC correct is geconfigureerd op de WLC en is gekoppeld aan de juiste WLAN's en profielen.

• Wanneer u AVC instelt via de GUI, wijst deze automatisch poort 9995 als standaard toe. Als u echter een externe verzamelaar gebruikt, controleert u welke poort is geconfigureerd om naar te luisteren voor NetFlow-verkeer. Het is van cruciaal belang om dit poortnummer nauwkeurig te configureren zodat het overeenkomt met de instellingen van uw netflow collector.

• Controleer het AP-model en de ondersteuning voor de implementatiemodus.
• Raadpleeg de beperkingen van 9800 WLC tijdens de implementatie van AVC in uw draadloze netwerk.

logboekverzameling

WLC-logs

1. Schakel tijdstempel in om een tijdreferentie te hebben voor alle opdrachten.

9800WLC#term exec prompt timestamp

2. De configuratie bekijken

9800WLC#show tech-support wireless

3. U kunt de avc-status en de netflow-statistieken controleren.

Controleer de AVC-configuratiestatus.

9800WLC#show avc status wlan <wlan_name>  

Controleer het aantal FNFv9-pakketten en decodeer de status gepunteerd op Control Plane (CP).

9800WLC#show platform software wlavc status decoder 

Bekijk de statistieken van NetFlow (FNF Cache).

9800WLC#show flow monitor <Flow_Monitor_Name> 

Controleer het gebruik van Top n-toepassingen voor elk WLAN, waarbij n = <1-30> Het aantal toepassingen invoeren.

9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>

Controleer het gebruik van de bovenste n-toepassing voor elke client, waarbij n = <1-30> Het aantal toepassingen invoeren.

9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream> 

Controleer top n clients verbonden met specifieke wlan met behulp van de specifieke toepassing, waarbij n=<1-10> Voer het aantal clients.

9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream> 

Controleer de nbar statistieken.

9800WLC#show ip nbar protocol-discovery

4. Stel het logboekniveau in op debug/verbose.

9800WLC#set platform software trace all debug/verbose

!! To View the collected logs
9800WLC#show logging profile wireless internal start last clear to-file bootflash:<File_Name

!!Set logging level back to notice post troubleshooting
9800WLC#set platform software trace wireless all debug/verbose

5. Schakel Radioactive (RA) Trace for client MAC-adres in om de AVC-status te valideren. 
Via CLI

9800WLLC#debug wireless {mac | ip} {aaaa.bbbb.cccc | x.x.x.x } {monitor-time} {N seconds} !! Setting time allows us to enable traces for up to 24 days
9800WLC#no debug wireless mac <Client_MAC> 
!!WLC generates a debug trace file with Client_info, command to check for debug trace file generated.
9800WLC#dir bootflash: | i debug

Let op: De voorwaardelijke debugging maakt debug-level logging mogelijk, wat op zijn beurt het volume van de gegenereerde logs verhoogt. Als u dit actief laat, neemt de afstand terug in de tijd af waarvandaan u logs kunt bekijken. Het wordt dus aanbevolen om foutopsporing altijd uit te schakelen aan het einde van de sessie voor probleemoplossing.

# clear platform condition all  
# undebug all 

Via GUI
Stap 1. Navigeer naar Problemen oplossen > Radioactief spoor.
Stap 2. Klik op Toevoegen en voer een MAC-adres voor de client in dat u wilt oplossen. U kunt verschillende Mac-adressen toevoegen om bij te houden.

Stap 3. Wanneer u klaar bent om de radioactieve tracering te starten, klikt u op Start. Eenmaal gestart, wordt debug logging geschreven naar schijf over elke control plane verwerking met betrekking tot de bijgehouden MAC-adressen.

Stap 4. Wanneer u het probleem reproduceert dat u wilt oplossen, klikt u op Stoppen.

Stap 5. Voor elk mac-adres dat is gedebugd, kunt u een logbestand genereren waarin alle logs met betrekking tot dat mac-adres zijn verzameld door op Genereren te klikken.

Stap 6. Kies hoe lang terug u wilt dat het samengevoegde logbestand gaat en klik op Toepassen op apparaat.

Stap 7. U kunt het bestand nu downloaden door op het kleine pictogram naast de bestandsnaam te klikken. Dit bestand is aanwezig in de opstartflashdrive van de controller en kan ook uit de doos worden gekopieerd via CLI.

Hier is een glimp van AVC debugs in RA sporen

2024/07/20 20:15:24.514842337 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 280, #packets 5
2024/07/20 20:15:24.514865665 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:24.514875837 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'unknown'(app-id: 0xd000001), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:40.530177442 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'ping'(app-id: 0xd0001df), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 3600, #packets 60

6. Geïntegreerde opnamen gefilterd op MAC-adres van client in beide richtingen, filter voor interne MAC van client beschikbaar na 17.1.

Het is vooral handig bij het gebruik van een externe collector, omdat het helpt te bevestigen of de WLC NetFlow-gegevens naar de beoogde poort verzendt zoals verwacht.

Via CLI

monitor capture MYCAP clear
monitor capture MYCAP interface <Interface> both
monitor capture MYCAP buffer size 100
monitor capture MYCAP match any
monitor capture MYCAP inner mac CLIENT_MAC@
monitor capture MYCAP start
!! Inititiate different application traffic from user
monitor capture MYCAP stop
monitor capture MYCAP export flash:|tftp:|http:.../filename.pcap

Via GUI 
Stap 1. Navigeer naar Problemen oplossen > Pakketvastlegging > +Toevoegen.

Stap 2. Definieer de naam van de pakketopname. Er zijn maximaal 8 tekens toegestaan.

Stap 3. Definieer eventuele filters.

Stap 4. Schakel het selectievakje in om het verkeer te bewaken als u wilt zien dat het verkeer op de CPU van het systeem wordt weergegeven en opnieuw in het gegevensvlak wordt geïnjecteerd.

Stap 5. Definieer de buffergrootte. Maximaal 100 MB is toegestaan.

Stap 6. Definieer de limiet, hetzij door de duur die een bereik van 1 - 1000000 seconden mogelijk maakt, hetzij door het aantal pakketten dat een bereik van 1 - 100000 pakketten mogelijk maakt, zoals gewenst.

Stap 7. Kies de interface uit de lijst met interfaces in de linkerkolom en selecteer de pijl om deze naar de rechterkolom te verplaatsen.

Stap 8. Klik op Toepassen op apparaat.

Stap 9. Selecteer Start om het vastleggen te starten.

Stap 10. U kunt de opname tot de gedefinieerde limiet laten lopen. Selecteer Stoppen als u het vastleggen handmatig wilt stoppen.

Stap 11. Zodra u bent gestopt, wordt een knop Exporteren beschikbaar om te klikken met de optie om het opnamebestand (.pcap) op het lokale bureaublad te downloaden via HTTP- of TFTP-server of FTP-server of lokale systeemharde schijf of flash.

AP-logs 

In de modi Fabric en Flex

1. toon de technologie zodat alle configuratiegegevens en clientstatistieken voor het toegangspunt beschikbaar zijn.

2. Statistieken nbar statistieken nbar tonen vanaf AP

3. AVC-debugs

AP#term mon
AP#debug capwap client avc <all/detail/error/event>
AP#debug capwap client avc netflow <all/detail/error/event/packet>

Gerelateerde informatie

AVC-configuratiehandleiding

Tarievenbeperking op 9800 WLC