O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve o Application Visibility and Control (AVC) em um Cisco Catalyst 9800 WLC.
A Cisco recomenda que você tenha conhecimento destes tópicos:
O Application Visibility and Control (AVC) é a abordagem líder para a tecnologia de DPI (Deep Packet Inspection, inspeção profunda de pacotes) em redes com e sem fio. Com o AVC, você pode executar análises em tempo real e criar políticas para reduzir efetivamente o congestionamento da rede, minimizar o dispendioso uso do link de rede e evitar atualizações desnecessárias da infraestrutura. Resumindo, o AVC capacita os usuários a alcançar um nível totalmente novo de reconhecimento e modelagem de tráfego por meio do Network Based Application Recognition (NBAR). Os pacotes NBAR executados no WLC 9800 são usados para DPI e os resultados são relatados usando o Flexible NetFlow (FNF).
Além da visibilidade, o AVC oferece a capacidade de priorizar, bloquear ou acelerar diferentes tipos de tráfego. Por exemplo, os administradores podem criar políticas que priorizem aplicativos de voz e vídeo para garantir a qualidade de serviço (QoS) ou limitar a largura de banda disponível para aplicativos não essenciais durante o horário comercial de pico. Ele também pode ser integrado a outras tecnologias da Cisco, como o Cisco Identity Services Engine (ISE) para políticas de aplicativos baseadas em identidade e o Cisco Catalyst Center para gerenciamento centralizado.
O AVC utiliza tecnologias avançadas como FNF e mecanismo NBAR2 para DPI. Analisando e identificando fluxos de tráfego usando o mecanismo NBAR2, fluxos específicos são marcados com o protocolo ou aplicativo reconhecido. O controlador coleta todos os relatórios e os apresenta por meio de comandos show, interface do usuário da Web ou mensagens de exportação adicionais do NetFlow para coletores externos do NetFlow, como o Prime.
Uma vez estabelecida a visibilidade do aplicativo, os usuários podem criar regras de controle com mecanismos de vigilância para clientes configurando a qualidade de serviço (QOS).
Mecanismo de funcionamento do AVC
O NBAR é um mecanismo integrado na WLC 9800, que é usado para executar o DPI para identificar e classificar uma grande variedade de aplicativos executados em uma rede. Ele pode reconhecer e classificar um grande número de aplicativos, incluindo aplicativos criptografados e mapeados dinamicamente por portas, que são geralmente invisíveis às tecnologias tradicionais de inspeção de pacotes.
Note: Para aproveitar o NBAR no Catalyst 9800 WLC, é necessário ativá-lo e configurá-lo corretamente, frequentemente em conjunto com perfis AVC específicos que definem as ações apropriadas a serem tomadas com base na classificação do tráfego.
O NBAR continua a ser atualizado periodicamente e é importante manter o software da WLC atualizado para garantir que o conjunto de recursos do NBAR permaneça atualizado e eficaz.
Uma lista completa dos protocolos suportados nas versões mais recentes pode ser encontrada em https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/prot_lib/config_library/nbar-prot-pack-library.html
9800WLC#configure terminal
9800WLC(config)#wireless profile policy AVC_testing
9800WLC(config-wireless-policy)#ip nbar protocol-discovery
9800WLC(config-wireless-policy)#end
Note: O perfil de % Política precisa ser desabilitado antes da execução desta operação.
9800WLC#show wireless profile policy detailed AVC_testing | in NBAR
NBAR Protocol Discovery : Enabled
A WLC 9800 já tem aproximadamente 1.500 aplicativos reconhecíveis. No caso em que um novo aplicativo é lançado, o protocolo para o mesmo pode ser atualizado no NBAR mais recente, que seria necessário fazer o download na página Download de software para o modelo 9800 específico.
Via GUI
Navegue até Configuration > Services > Application Visibility. Clique em Atualizar Pacote de Protocolo .
Carregar seção de protocolo no 9800 WLC
Clique em Adicionar, escolha o pacote de protocolos a ser baixado e clique em Atualizar .
Adicionando protocolo NBAR
Quando a atualização estiver concluída, você poderá ver o pacote de protocolos adicionado.
Verificação do pacote de protocolo
Usando a CLI
9800WLC#copy tftp://10.10.10.1/pp-adv-c9800-1712.1-49-70.0.0.pack bootflash:
9800WLC#configure terminal
9800WLC(config)#ip nbar protocol-pack bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
To verify NBAR protocol pack version
9800WLC#show ip nbar protocol-pack active
Active Protocol Pack:
Name: Advanced Protocol Pack
Version: 70.0
Publisher: Cisco Systems Inc.
NBAR Engine Version: 49
Creation time: Tue Jun 4 10:18:09 UTC 2024
File: bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
State: Active
Note: Não há interrupção de serviço durante a atualização do pacote de protocolo NBAR.
O NetFlow é um protocolo de rede usado para coletar informações de tráfego IP e monitorar dados de fluxo de rede. Ele é usado principalmente para análise de tráfego de rede e monitoramento de largura de banda. Aqui está uma visão geral de como o NetFlow funciona nos controladores da série Cisco Catalyst 9800:
O Flexible NetFlow (FNF) é uma versão avançada do NetFlow tradicional e é suportado pelos Cisco Catalyst 9800 Series Wireless LAN Controllers (WLCs). Ele fornece mais opções de personalização para rastreamento, monitoramento e análise de padrões de tráfego de rede. Os principais recursos do Flexible NetFlow no Catalyst 9800 WLC incluem:
No Catalyst 9800 WLC, o FNF pode ser configurado para exportar registros de fluxo para um coletor NetFlow externo ou um aplicativo de análise. Esses dados podem ser usados para solução de problemas, planejamento de rede e análise de segurança. A configuração FNF envolve a definição de um registro de fluxo (o que coletar), um exportador de fluxo (para onde enviar os dados) e a anexação do monitor de fluxo (que vincula o registro e o exportador) às interfaces apropriadas.
Note: O FNF pode enviar 17 registros de dados diferentes (conforme definido no RFC 3954) para o coletor Netflow de terceiros externo, como Stealthwatch, Solarwinds e outros, que são: Tag de Aplicativo, Endereço Mac do Cliente, Endereço Mac do AP, WlanID, IP de Origem, IP de Destino, Porta de Origem, Porta de Destino, Protocolo, Hora de Início do Fluxo, Hora de Término do Fluxo, Direção, Saída de Pacote, Contagem de Bytes, ID da VLAN (Modo Local) - Gerenciamento/Cliente e TOS - Valor DSCP
Um monitor de fluxo é um componente usado em conjunto com o Flexible NetFlow (FNF) para capturar e analisar dados de tráfego de rede. Ele desempenha um papel crucial no monitoramento e na compreensão dos padrões de tráfego para gerenciamento de rede, segurança e solução de problemas. O monitor de fluxo é essencialmente uma instância aplicada de FNF que coleta e rastreia dados de fluxo com base em critérios definidos. Ele está associado a três elementos principais:
O AVC é suportado apenas nestes pontos de acesso:
Modo de Implantação |
WLC 9800 |
Ponto de acesso Wave 1 |
Ponto de acesso Wave 2 |
Ponto De Acesso Wifi 6 |
Modo local |
Tráfego IPV4: |
Processamento no nível da WLC |
Processamento no nível da WLC |
Processamento no nível da WLC |
Modo Flex |
Tráfego IPV4: |
Processamento no nível da WLC |
Processamento no nível da WLC |
Processamento no nível da WLC |
Modo Flex |
Processamento no nível do AP |
Tráfego IPV4: |
Tráfego IPV4: |
Tráfego IPV4: |
Modo local |
Processamento no nível do AP |
Tráfego IPV4: |
Tráfego IPV4: |
Tráfego IPV4: |
O Application Visibility and Control (AVC) e o Flexible NetFlow (FNF) são recursos poderosos nos Cisco Catalyst 9800 Series Wireless LAN Controllers que melhoram a visibilidade e o controle da rede. No entanto, há algumas limitações e considerações que devem ser lembradas ao usar esses recursos:
AVC em AP de modo local (switching central)
AVC em AP de modo flexível
Ao configurar o AVC no 9800 WLC, você pode usá-lo como NetFlow Collector ou pode exportar os dados do NefFlow para o External NetFlow Collector.
Em um Cisco Catalyst 9800 Wireless LAN Controller (WLC), um coletor NetFlow local se refere ao recurso incorporado no WLC que permite coletar e armazenar localmente dados do NetFlow. Esse recurso permite que a WLC execute a análise básica de dados do NetFlow sem a necessidade de exportar os registros de fluxo para um coletor NetFlow externo.
Via GUI
Passo 1: Para ativar o AVC no SSID específico, navegue para Configuration > Services > Application Visibility. Escolha o perfil de política específico para o qual deseja ativar o AVC.
Ativação do AVC no perfil de política
Passo 2: Selecione Local como Netflow Collector e clique em Apply.
Selecionando o coletor NetFlow local
Observe que as configurações do NetFlow Exporter e do NetFlow foram configuradas automaticamente de acordo com as preferências especificadas depois que você aplica a configuração do AVC.
Você pode validar o mesmo navegando para Configuration > Services > Application Visibility > Flow Monitor > Exporter/Monitor .Configuração do coletor de fluxo local no 9800 WLC
Configuração do Monitor de Fluxo com o NetFlow Collector Local
Os monitores de fluxo AVC IPv4 e IPv6 são automaticamente vinculados ao perfil de política. Navegue até Configuration > Tags & Profile > Policy . Clique em Policy Profile > AVC e QOS .
Configuração do Monitor de Fluxo no Perfil de Política
Usando a CLI
Etapa1: Configure o 9800 WLC como exportador local.
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter wireless-local-exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit
Etapa 2: Configure o Monitor de fluxo de rede IPv4 e IPv6 para usar Local(WLC) como NetFlow Exporter.
9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter wireless-local-exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor wireless-avc-basic-ipv6
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit
Passo 3: Mapeie o Flow Monitor IPv4 e IPv6 no Policy Profile para tráfego de entrada e saída.
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
Um coletor NetFlow externo, quando usado no contexto de Application Visibility and Control (AVC) em um Cisco Catalyst 9800 Wireless LAN Controller (WLC), é um sistema ou serviço dedicado que recebe, agrega e analisa dados NetFlow exportados do WLC. Você pode Configurar somente o coletor NetFlow externo para monitorar a visibilidade do aplicativo ou pode usá-lo junto com o coletor local também.
Via GUI
Etapa 1: Para ativar o AVC no SSID específico, navegue para Configuration > Services > Application Visibility. Escolha o perfil de política específico para o qual deseja ativar o AVC. Selecione Collector como External e configure o endereço IP do NetFlow Collector como Cisco Prime, SolarWind, StealthWatch e clique em Apply.
Configuração AVC para coletor NetFlow externo
Observe que, após aplicar a configuração do AVC, as configurações NetFlow Exporter e NetFlow foram automaticamente configuradas com o endereço IP do coletor NetFlow como exportador e o endereço do exportador como 9800 WLC com as configurações de tempo limite padrão e a porta UDP 9995. Você pode validar o mesmo navegando para Configuration > Services > Application Visibility > Flow Monitor > Exporter/Monitor .
Configuração do coletor NetFlow externo no 9800 WLC
Configuração do Flow Monitor com o NetFlow Collector externo
Você pode verificar a configuração de porta do NetFlow Monitor gerado automaticamente navegando para Configuration > Services > NetFlow .
Note: Se você configurar o AVC via GUI, o NetFlow Exporter gerado automaticamente será configurado para usar a porta UDP 9995. Certifique-se de validar o número de porta que está sendo usado pelo coletor NetFlow.
Por exemplo: Se você estiver usando o Cisco Prime como seu coletor NetFlow, é essencial definir a porta do exportador como 9991, pois essa é a porta na qual o Cisco Prime escuta o tráfego do NetFlow. Você pode alterar manualmente a Porta do exportador na configuração do NetFlow.
Alterando o número da porta do exportador na configuração do NetFlow
Usando a CLI
Etapa1: Configure o endereço IP do coletor NetFlow externo com a interface de origem.
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter External_Exporter
9800-Cl-VM(config-flow-exporter)#destination <IP>
9800-Cl-VM(config-flow-exporter)#source $Source_Interface
9800-Cl-VM(config-flow-exporter)#transport udp $Port_Numbet
9800-Cl-VM(config-flow-exporter)#exit
Etapa 2: Configure o Monitor de fluxo de rede IPv4 e IPv6 para usar Local(WLC) como NetFlow Exporter.
9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit
Passo 3: Mapeie o Flow Monitor IPv4 e IPv6 no Policy Profile para tráfego de entrada e saída.
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
Antes de prosseguir com a configuração do Application Visibility and Control (AVC) em um Cisco Catalyst 9800 Wireless LAN Controller (WLC) através do Cisco Catalyst Center, é importante verificar se a comunicação de telemetria entre o WLC e o Cisco Catalyst Center foi estabelecida com êxito. Certifique-se de que a WLC apareça em um estado gerenciado dentro da interface do Cisco Catalyst Center e que seu status de integridade esteja sendo atualizado ativamente. Além disso, para um monitoramento eficaz do status de integridade, é importante atribuir corretamente a WLC e os pontos de acesso (APs) a seus respectivos locais no Cisco Catalyst Center.
9800WLC#show telemetry connection all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
----- -------------- ------- ----- ---------------- ---------- --------------------
170 Cisco DNA IP 25103 0 WLC_IP Active UP
WLC e AP estão em estado gerenciado
Status de integridade de WLC e AP no Cisco Catalyst Center
Passo 1: Configure o Cisco Catalyst Center como coletor NetFlow e ative a Telemetria sem fio na configuração Global. Navegue até Design > Network Setting > Telemetry e habilite a configuração desejada conforme demonstrado.
Telemetria sem fio e configuração AVC
Passo 2: Ative a telemetria de aplicativos na WLC 9800 desejada para enviar a configuração do AVC na WLC 9800. Para isso, navegue para Provision > Network Device > Inventory. Escolha a WLC 9800 na qual deseja ativar a Telemetria de Aplicativos e navegue para Action > Telemetry > Enable Application Telemetry .
Habilitando a telemetria de aplicativos no 9800 WLC
Passo 3: Escolha o Modo de implantação de acordo com o requisito.
Local: Para ativar o AVC no perfil de política local (Central Switching)
Flex/Fabric: Para ativar o AVC no Flex Policy Profile (switching local) ou SSID baseado em malha.
Seleção do modo de implantação no Cisco Catalyst Center
Passo 4: Ele inicia uma tarefa para ativar as configurações do AVC e a configuração correspondente é aplicada ao WLC 9800. Você pode exibir o status navegando até Atividades > Log de auditoria .
Logs de auditoria após habilitar a telemetria no 9800 WLC
O Cisco Catalyst Center implanta as configurações do Flow Exporter e do Flow Monitor, incluindo a porta especificada e outras configurações, e as ativa dentro do perfil de política do modo escolhido, como mostrado abaixo:
Configure Cisco Catalyst Center as Flow Exporter:
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_exporter
9800-Cl-VM(config-flow-exporter)#destination <IP>
9800-Cl-VM(config-flow-exporter)#source Vlan10
9800-Cl-VM(config-flow-exporter)#transport udp 6007
9800-Cl-VM(config-flow-exporter)#export-protocol ipfix
9800-Cl-VM(config-flow-exporter)#option vrf-table timeout 300
9800-Cl-VM(config-flow-exporter)#option ssid-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-attributes timeout 300
9800-Cl-VM(config-flow-exporter)#exit
Configure 9800 WLC as Local Exporter
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_local_exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit
Configure Network Flow Monitor to use both Local(WLC) and Cisco Catalyst Center as Netflow Exporter:
9800-Cl-VM(config)#flow monitor avc_ipv4_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv6_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv4_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv6_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit
Mapping the IPv4 and IPv6 Flow Minitor in Policy Profile
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance output
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
Quando a WLC 9800 é utilizada como um exportador de fluxo, estas estatísticas AVC podem ser observadas:
· Visibilidade de aplicativos para clientes conectados em todos os SSIDs.
· Uso de aplicativos individuais para cada cliente.
· Uso de aplicativos específicos em cada SSID separadamente.
Note: Você tem a opção de filtrar os dados por direção, abrangendo tráfego de entrada (entrada) e saída (saída), bem como por intervalo de tempo, com a capacidade de selecionar um intervalo de até 48 horas.
Via GUI
Navegue até Monitoring > Services > Application Visibility .
Visibilidade de aplicativos de usuários conectados ao SSID AVC_testing para tráfego de entrada e saída
Para exibir as estatísticas de visibilidade de aplicativos para cada cliente, clique na guia Clientes, escolha um cliente específico e clique em Exibir detalhes do aplicativo.
Visibilidade do aplicativo para o cliente específico - 1
Visibilidade do aplicativo para o cliente específico - 2
Usando a CLI
Verificar o status do AVC
9800WLC#show avc status wlan AVC_testing
WLAN profile name: AVC_testing
----------------------------------------------------------
AVC configuration complete: YES
Estatísticas do NetFlow (Cache FNF)
9800WLC#show flow monitor $Flow_Monitor_Name cache format table
Para examinar individualmente o uso principal do aplicativo para cada WLAN e seus clientes conectados:
9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
where n = <1-30> Enter the number of applications
9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
where n = <1-10> Enter the number of clients
Verificar as contagens de pacotes FNFv9 e o status de decodificação apontado para o Plano de Controle (CP)
9800WLC#show platform software wlavc status decoder
Registro de pacote FNFv9
Você também pode verificar as estatísticas nbar diretamente.
9800WLC#show ip nbar protocol-discovery
Nos modos Fabric e Flex, você pode obter as estatísticas NBAR do AP por meio de:
AP#show avc nbar statistics
Works on both IOS and ClickOS APs
Note: Em uma configuração de âncora externa, a WLC âncora serve como a presença da Camada 3 para o cliente, enquanto a WLC externa opera na Camada 2. Como o Application Visibility and Control (AVC) opera na Camada 3, os dados relevantes são observáveis apenas na WLC âncora.
A partir da captura de pacotes feita na WLC 9800, podemos confirmar se ela está enviando dados relativos aos aplicativos e ao tráfego de rede para o Cisco Catalyst Center continuamente.
Captura de pacotes em WLC 9800
Para visualizar os dados de aplicativos para clientes conectados a uma WLC específica no Cisco Catalyst Center, navegue para Assurance > Dashboards > Health > Application .
Monitoramento AVC no Cisco Catalyst Center
Podemos rastrear os aplicativos usados com mais frequência por clientes e identificar os consumidores de dados mais altos, como demonstrado aqui.
Principais estatísticas de aplicativos e principais estatísticas de usuários de largura de banda
Você pode definir um filtro para um SSID específico, que permite monitorar o throughput geral e o uso do aplicativo dos clientes associados a esse SSID.
Essa funcionalidade permite identificar os principais aplicativos e os usuários que consomem mais largura de banda na rede.
Além disso, você pode utilizar o recurso Time Filter para examinar esses dados em períodos anteriores, oferecendo insights históricos sobre o uso da rede.
Filtro de Tempo para exibir estatísticas AVC.
Filtro SSID para exibir Estatísticas AVC
Quando o Cisco Prime é usado como coletor do NetFlow, a WLC 9800 aparece como uma fonte de dados que envia dados do NetFlow e o modelo do NetFlow é criado automaticamente com base nos dados transmitidos pela WLC 9800.
A partir da captura de pacotes feita na WLC 9800, podemos confirmar se ela está enviando dados relativos aos aplicativos e ao tráfego de rede para o Cisco Prime continuamente.
Captura de pacotes realizada em WLC 9800
Cisco Prime Detecting 9800 WLC como fonte de dados Netflow
Você pode definir filtros com base em Aplicativo, Serviços e até mesmo por Cliente, usando o endereço IP para uma análise de dados mais direcionada.
Visibilidade de aplicativos para todos os clientes
Aplicação de cliente específico usando endereço IP
Neste exemplo, o coletor NetFlow de terceiros [SolarWinds] é utilizado para coletar estatísticas de aplicativos. A WLC 9800 emprega o Flexible NetFlow (FNF) para transmitir dados abrangentes sobre os aplicativos e o tráfego de rede, que são coletados pela SolarWinds.
Estatísticas de aplicativos Netflow no SolarWind
O controle de tráfego se refere a um conjunto de recursos e mecanismos usados para gerenciar e regular o fluxo do tráfego de rede. Políticas de tráfego ou limitação de taxa são mecanismos usados no controlador sem fio para controlar a quantidade de tráfego transmitido do cliente. Ele monitora a taxa de dados do tráfego de rede e toma medidas imediatas quando um limite de taxa predefinido é excedido. Quando o tráfego excede a taxa especificada, a limitação de taxa pode descartar os pacotes em excesso ou marcá-los para baixo alterando seus valores de Classe de Serviço (CoS) ou Ponto de Código de Serviços Diferenciados (DSCP). Isso pode ser obtido com a configuração de QOS no 9800 WLC. Você pode consultar https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/215441-configure-qos-rate-limiting-on-catalyst.html para obter uma visão geral de como esses componentes funcionam e como podem ser configurados para alcançar resultados diferentes.
A solução de problemas do AVC envolve identificar e resolver problemas que possam afetar a capacidade do AVC de identificar, classificar e gerenciar com precisão o tráfego de aplicativos na sua rede sem fio. Os problemas comuns podem incluir problemas com classificação de tráfego, aplicação de políticas ou relatórios. Aqui estão algumas etapas e considerações ao Troubleshoot problemas de AVC em um Catalyst 9800 WLC:
Ao configurar o AVC por meio da GUI, a porta 9995 será automaticamente atribuída como padrão. No entanto, se você estiver usando um coletor externo, verifique em que porta ele está configurado para escutar o tráfego do NetFlow. É essencial configurar com precisão esse número de porta para corresponder às configurações do coletor netflow.
1. Ative o timestamp para ter referência de tempo para todos os comandos.
9800WLC#term exec prompt timestamp
2. Para revisar a configuração
9800WLC#show tech-support wireless
3. Você pode verificar o status do avc e as estatísticas do netflow.
Verifique o status da configuração do AVC.
9800WLC#show avc status wlan <wlan_name>
Verifique a contagem de pacotes FNFv9 e o status de decodificação apontado para o plano de controle (CP).
9800WLC#show platform software wlavc status decoder
Verifique as estatísticas do NetFlow (cache FNF).
9800WLC#show flow monitor <Flow_Monitor_Name>
Marque Top n application usage for each wlan, onde n = <1-30> Insira o número de aplicativos.
9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
Marque n principais usos de aplicativos para cada cliente, onde n = <1-30> Insira o número de aplicativos.
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
Marque os n principais clientes conectados a uma wlan específica usando o aplicativo específico, onde n=<1-10> Insira o número de clientes.
9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
Verifique as estatísticas nbar.
9800WLC#show ip nbar protocol-discovery
4. Defina o nível de log como debug/verbose.
9800WLC#set platform software trace all debug/verbose
!! To View the collected logs
9800WLC#show logging profile wireless internal start last clear to-file bootflash:<File_Name
!!Set logging level back to notice post troubleshooting
9800WLC#set platform software trace wireless all debug/verbose
5. Ative o Rastreamento Radioativo (RA) para o endereço MAC do cliente para validar as estatísticas AVC.
Usando a CLI
9800WLLC#debug wireless {mac | ip} {aaaa.bbbb.cccc | x.x.x.x } {monitor-time} {N seconds} !! Setting time allows us to enable traces for up to 24 days
9800WLC#no debug wireless mac <Client_MAC>
!!WLC generates a debug trace file with Client_info, command to check for debug trace file generated.
9800WLC#dir bootflash: | i debug
Caution: A depuração condicional habilita o registro em nível de depuração que, por sua vez, aumenta o volume dos logs gerados. Deixar esse item em execução reduz a distância no tempo em que você pode exibir logs. Portanto, é recomendável sempre desabilitar a depuração no final da sessão de solução de problemas.
# clear platform condition all
# undebug all
Via GUI
Etapa 1. Navegue até Troubleshooting > Radioative Trace .
Etapa 2. Clique em Add e insira um endereço Mac do cliente para o qual você deseja solucionar problemas. Você pode adicionar vários endereços Mac para rastrear.
Etapa 3. Quando estiver pronto para iniciar o rastreamento radioativo, clique em Start. Uma vez iniciado, o registro de depuração é gravado no disco sobre qualquer processamento de plano de controle relacionado aos endereços MAC rastreados.
Etapa 4. Quando você reproduzir o problema que deseja solucionar, clique em Parar .
Etapa 5. Para cada endereço mac depurado, você pode gerar um arquivo de log que agrupa todos os logs referentes a esse endereço mac clicando em Gerar .
Etapa 6. Escolha quanto tempo você deseja que o arquivo de log agrupado volte e clique em Aplicar ao dispositivo.
Etapa 7. Agora você pode fazer o download do arquivo clicando no ícone pequeno ao lado do nome do arquivo. Esse arquivo está presente na unidade flash de inicialização do controlador e também pode ser copiado fora da caixa através da CLI.
Aqui está uma visão geral das depurações do AVC em rastreamentos do RA
2024/07/20 20:15:24.514842337 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 280, #packets 5
2024/07/20 20:15:24.514865665 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:24.514875837 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'unknown'(app-id: 0xd000001), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:40.530177442 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'ping'(app-id: 0xd0001df), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 3600, #packets 60
6. Capturas Incorporadas filtradas pelo endereço MAC do cliente em ambas as direções, filtro MAC interno do cliente disponível após 17.1.
Ele é particularmente útil ao usar um coletor externo, pois ajuda a confirmar se a WLC está transmitindo dados do NetFlow para a porta desejada, como esperado.
Usando a CLI
monitor capture MYCAP clear
monitor capture MYCAP interface <Interface> both
monitor capture MYCAP buffer size 100
monitor capture MYCAP match any
monitor capture MYCAP inner mac CLIENT_MAC@
monitor capture MYCAP start
!! Inititiate different application traffic from user
monitor capture MYCAP stop
monitor capture MYCAP export flash:|tftp:|http:.../filename.pcap
Via GUI
Etapa 1. Navegue até Troubleshooting > Captura de Pacotes > +Adicionar .
Etapa 2. Definir o nome da captura do pacote. É permitido um máximo de 8 caracteres.
Etapa 3. Definir filtros, se houver.
Etapa 4. Marque a caixa para Monitorar o tráfego de controle se quiser ver o tráfego apontado para a CPU do sistema e injetado de volta no plano de dados.
Etapa 5. Definir o tamanho do buffer. É permitido um máximo de 100 MB.
Etapa 6. Defina o limite, seja pela duração, que permite um intervalo de 1 a 1000000 segundos, ou pelo número de pacotes, que permite um intervalo de 1 a 100000 pacotes, conforme desejado.
Etapa 7. Escolha a interface na lista de interfaces na coluna esquerda e selecione a seta para movê-la para a coluna direita.
Etapa 8. Clique em Apply to Device.
Etapa 9. Para iniciar a captura, selecione Start .
Etapa 10. Você pode permitir que a captura seja executada até o limite definido. Para interromper manualmente a captura, selecione Stop.
Etapa 11. Uma vez interrompido, um botão Export fica disponível para clicar com a opção para fazer o download do arquivo de captura (.pcap) no desktop local através do servidor HTTP ou TFTP ou do servidor FTP ou do disco rígido ou flash do sistema local.
Modos On Fabric e Flex
1. mostre ao técnico para ter todos os detalhes de configuração e estatísticas do cliente para o AP.
2. show avc nbar statistics nbar stats from AP
3. Depurações AVC
AP#term mon
AP#debug capwap client avc <all/detail/error/event>
AP#debug capwap client avc netflow <all/detail/error/event/packet>
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
29-Jul-2024
|
Versão inicial |