了解9800无线控制器的应用可视性与可控性
目录
简介
本文档介绍Cisco Catalyst 9800 WLC上的应用可视性与可控性(AVC)。
前提条件
Cisco 建议您了解以下主题:
- Cisco WLC 9800的基本知识。
- 本地和Flex连接模式AP的基本知识。
- 接入点必须支持AVC。(不适用于本地模式AP)
- 要使AVC(QoS)的控制部分正常工作,必须配置带FNF的应用可视性功能。
有关应用可视性与可控性(AVC)的信息
应用可视性与可控性(AVC)是无线和有线网络中深度包检测(DPI)技术的领先方法。使用AVC,您可以执行实时分析并创建策略,以有效减少网络拥塞、最大限度地减少昂贵的网络链路使用,并避免不必要的基础设施升级。简而言之,AVC使用户能够通过基于网络的应用识别(NBAR)实现全新级别的流量识别和整形。在9800 WLC上运行的NBAR包用于DPI,并且使用Flexible NetFlow(FNF)报告结果。
除了可视性,AVC还能够优先处理、阻止或调节不同类型的流量。例如,管理员可以创建优先处理语音和视频应用的策略,以确保服务质量(QoS)或限制非基本应用在高峰工作时间可用的带宽。它还可以与其他思科技术集成,例如用于基于身份的应用策略的思科身份服务引擎(ISE)以及用于集中管理的Cisco Catalyst Center。
AVC工作原理
AVC利用FNF和NBAR2引擎等先进技术来支持DPI。通过使用NBAR2引擎分析和识别流量流,特定流会标记识别出的协议或应用程序。控制器会收集所有报告并通过show命令、Web UI或其他NetFlow导出消息将其显示给外部NetFlow收集器(例如Prime)。
建立应用可视性后,用户可以通过配置服务质量(QOS),为客户端创建具有策略机制的控制规则。
AVC的工作机制
基于网络的应用程序识别 (NBAR)
NBAR是集成在9800 WLC上的一种机制,用于执行DPI,以识别和分类网络上运行的各种应用。它可以识别和分类大量应用,包括加密和动态端口映射的应用,这些应用对于传统数据包检测技术而言通常是不可见的。
注意:要在Catalyst 9800 WLC上利用NBAR,必须正确启用和配置它,通常与特定AVC配置文件结合使用,这些AVC配置文件根据流量的分类定义要采取的适当操作。
NBAR继续定期更新,并且必须保持WLC软件最新,以确保NBAR功能集保持最新和有效。
有关最新版本支持的协议的完整列表,请访问https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/prot_lib/config_library/nbar-prot-pack-library.html
在策略配置文件上启用NBAR协议
9800WLC#configure terminal
9800WLC(config)#wireless profile policy AVC_testing
9800WLC(config-wireless-policy)#ip nbar protocol-discovery
9800WLC(config-wireless-policy)#end
注意:在执行此操作之前,需要禁用%策略配置文件。
9800WLC#show wireless profile policy detailed AVC_testing | in NBAR
NBAR Protocol Discovery : Enabled
升级9800 WLC上的NBAR
9800 WLC已有约1500个可识别应用。如果发布新应用程序,可以在最新NBAR中更新该应用程序的协议,需要从特定9800型号的软件下载页面下载该程序。
通过GUI
导航到配置>服务>应用可视性。单击Upgrade Protocol Pack。
9800 WLC中的上传协议部分
单击Add,选择要下载的协议包,然后单击Upgrade。
添加NBAR协议
完成升级后,您可以看到添加了协议包。
协议包验证
通过CLI
9800WLC#copy tftp://10.10.10.1/pp-adv-c9800-1712.1-49-70.0.0.pack bootflash:
9800WLC#configure terminal
9800WLC(config)#ip nbar protocol-pack bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
To verify NBAR protocol pack version
9800WLC#show ip nbar protocol-pack active
Active Protocol Pack:
Name: Advanced Protocol Pack
Version: 70.0
Publisher: Cisco Systems Inc.
NBAR Engine Version: 49
Creation time: Tue Jun 4 10:18:09 UTC 2024
File: bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
State: Active
注意:在升级NBAR协议包期间,不会出现服务中断。
Netflow
NetFlow是一种网络协议,用于收集IP流量信息和监控网络流量数据。它主要用于网络流量分析和带宽监控。下面概述了NetFlow在Cisco Catalyst 9800系列控制器上的工作原理:
- 数据收集:9800 WLC收集流经它们的IP流量的数据。此数据包括源和目的IP地址、源和目的端口、使用的协议、服务类别以及流终止原因等信息。
- 流记录:收集的数据被组织到流记录中。流定义为共享一组常见属性(例如相同源/目标IP、源/目标端口和协议类型)的单向数据包序列。
- 导出数据:流记录会定期从支持NetFlow的设备导出到NetFlow收集器。收集器可以是本地WLC,也可以是接收、存储和处理流数据的专用服务器或软件应用程序。
- 分析:您可以使用NetFlow收集器和分析工具来可视化流量模式、识别带宽、检测指示安全漏洞的异常流量、优化网络性能,以及规划网络扩展。
- 无线特定信息:在无线控制器环境中,NetFlow可以包含特定于无线网络的其他信息,例如SSID、AP名称、客户端MAC地址以及与Wi-Fi流量相关的其他详细信息。
灵活的Netflow
Flexible NetFlow(FNF)是传统NetFlow的高级版本,受Cisco Catalyst 9800系列无线局域网控制器(WLC)支持。 它为跟踪、监控和分析网络流量模式提供了更多自定义选项。Catalyst 9800 WLC上的Flexible NetFlow的主要功能包括:
- 定制:FNF允许用户定义要从网络流量收集哪些信息。这包括各种流量属性,例如IP地址、端口号、时间戳、数据包和字节计数、应用类型等。
- 增强的可视性:通过利用FNF,管理员可以详细了解流经网络的流量类型,这对于容量规划、基于使用的网络计费、网络分析和安全监控至关重要。
- 协议独立性:FNF足够灵活,可以支持IP以外的各种协议,因此能够适应不同类型的网络环境。
在Catalyst 9800 WLC上,可以将FNF配置为将流记录导出到外部NetFlow收集器或分析应用程序。这些数据随后可用于故障排除、网络规划和安全分析。FNF配置包括定义流记录(收集的内容)、流导出器(将数据发送到何处),以及将流监控器(将记录和导出器绑定)连接到适当的接口。
注意:FNF可以将17条不同的数据记录(如RFC 3954中所定义)发送到外部第三方Netflow收集器,例如Stealthwatch、Solarwinds等,这些收集器是:应用标记、客户端Mac地址、AP Mac地址、WlanID、源IP、目标IP、源端口、目标端口、协议、流开始时间、流结束时间、方向、数据包输出、字节计数、VLAN ID(本地模式) — Mgmt/客户端和TOS - DSCP值
流量监控器
流量监控器是与Flexible NetFlow(FNF)配合使用的组件,用于捕获和分析网络流量数据。它在监控和了解流量模式以实现网络管理、安全和故障排除方面起着至关重要的作用。流监控器实质上是FNF的一个应用实例,它根据定义的条件收集和跟踪流数据。它与三个主要元素相关联:
- 流记录:这定义了流量监控器必须从网络流量收集的数据。它指定流数据中包含的密钥(如源和目标IP地址、端口、协议类型)和非密钥字段(如数据包和字节计数器、时间戳)。
- 流导出器:这指定必须发送收集的流数据的目标。它包括NetFlow收集器的IP地址、传输协议(通常为UDP)以及收集器侦听的目标端口号等详细信息。
- 流监控器:流监控器本身将流记录和流导出器绑定在一起,并将它们应用到接口或WLAN以实际启动监控过程。它根据流记录中的条件集和流导出器中的目标集,确定必须如何收集和导出流数据。
支持AVC的接入点
AVC仅在以下接入点上受支持:
- Cisco Catalyst 9100系列接入点
- Cisco Aironet 2800系列接入点
- Cisco Aironet 3800 系列接入器
- Cisco Aironet 4800 系列接入器
支持不同的9800部署模式
|
部署模式 |
9800 WLC |
第1波接入点 |
第2波接入点 |
Wifi 6接入点 |
|
本地模式 |
IPV4流量: |
在WLC级别处理 |
在WLC级别处理 |
在WLC级别处理 |
|
灵活模式 |
IPV4流量: |
在WLC级别处理 |
在WLC级别处理 |
在WLC级别处理 |
|
灵活模式 |
在AP级别处理 |
IPV4流量: |
IPV4流量: |
IPV4流量: |
|
本地模式 |
在AP级别处理 |
IPV4流量: |
IPV4流量: |
IPV4流量: |
在9800上实施AVC时的限制
应用可视性与可控性(AVC)和Flexible NetFlow(FNF)是Cisco Catalyst 9800系列无线局域网控制器的强大功能,可增强网络可视性与可控性。但是,在使用这些功能时,需要记住一些限制和注意事项:
- 不支持跨控制器进行第2层漫游。
- 不支持组播流量。
- 只有通过应用可视性识别的应用才能用于应用QoS控制。
- AVC中的NetFlow字段不支持数据链路。
- 您不能将同一WLAN配置文件同时映射到未启用AVC的策略配置文件和启用AVC的策略配置文件。
- 不能将具有不同交换机制的策略配置文件用于同一WLAN以实施AVC。
- 管理端口(Gig 0/0)不支持AVC。
- 基于NBAR的QoS策略配置仅在有线物理端口上允许。虚拟接口(例如VLAN、端口通道和其他逻辑接口)不支持策略配置。
- 启用AVC时,AVC配置文件仅支持最多23条规则,其中包括默认DSCP规则。如果规则超过23,则无法将AVC策略向下推送到AP。
网络拓扑
本地模式下的AP
本地模式AP中的AVC(中央交换)
AP在Flex模式下
Flex模式AP中的AVC
在9800 WLC上配置AVC
在9800 WLC上配置AVC时,您可以将其用作NetFlow收集器,也可以将NefFlow数据导出到外部NetFlow收集器。
本地导出器
在Cisco Catalyst 9800无线LAN控制器(WLC)上,本地NetFlow收集器是指WLC中允许其收集和本地存储NetFlow数据的嵌入式功能。此功能使WLC能够执行基本的NetFlow数据分析,而无需将流记录导出到外部NetFlow收集器。
通过GUI
步骤 1:要在特定SSID上启用AVC请导航到配置>服务>应用程序可视性。选择您要为其激活AVC的特定策略配置文件。
在策略配置文件中启用AVC
步骤 2:选择Local作为Netflow收集器,然后单击Apply。
选择本地NetFlow收集器
请注意,应用AVC配置后,NetFlow导出器和NetFlow设置已根据指定的首选项自动配置。
您可以通过导航到Configuration > Services > Application Visibility > Flow Monitor > Exporter/Monitor来验证相同内容。
9800 WLC上的本地流量收集器配置
使用本地NetFlow收集器的流监控器配置
IPv4和IPv6 AVC流量监控器自动与策略配置文件链接。导航到配置>标记和配置文件>策略。单击Policy Profile > AVC和QOS。
策略配置文件中的流监控器配置
通过CLI
步骤1:将9800 WLC配置为本地导出器。
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter wireless-local-exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit
第2步:配置IPv4和IPv6网络流监控器以使用本地(WLC)作为Netflow导出器。
9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter wireless-local-exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor wireless-avc-basic-ipv6
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit
步骤 3:在策略配置文件中映射入口和出口流量的IPv4和IPv6流监控器。
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
外部NetFlow收集器
外部NetFlow收集器在Cisco Catalyst 9800无线LAN控制器(WLC)上的应用可视性与可控性(AVC)环境中使用时,是用于接收、汇总和分析从WLC导出的NetFlow数据的专用系统或服务。您可以仅配置外部NetFlow收集器以监控应用可视性,也可以将其与本地收集器配合使用。
通过GUI
第1步:要在特定SSID上启用AVC导航到配置>服务>应用可视性。选择要为其激活AVC的特定策略配置文件。选择收集器作为外部,并配置NetFlow收集器的IP地址,如Cisco Prime、SolarWind、StealthWatch,然后单击应用。
外部NetFlow收集器的AVC配置
请注意,应用AVC配置后,已自动将NetFlow导出器和NetFlow设置配置为NetFlow收集器IP地址作为导出器,将导出器地址配置为9800 WLC,默认超时设置和UDP端口9995。您可以通过导航到Configuration > Services > Application Visibility > Flow Monitor > Exporter/Monitor来验证相同内容。
9800 WLC上的外部NetFlow收集器配置
使用外部NetFlow收集器的流监控器配置
您可以通过导航到配置>服务> NetFlow来检查自动生成的NetFlow监控器的端口配置。
注意:如果通过GUI配置AVC,则自动生成的NetFlow导出器设置为使用UDP 9995端口。请确保验证NetFlow收集器正在使用的端口号。
例如:如果您使用Cisco Prime作为NetFlow收集器,将导出器端口设置为9991非常重要,因为这是Cisco Prime侦听NetFlow流量的端口。您可以在NetFlow配置中手动更改导出器端口。
在NetFlow配置中更改导出器端口号
通过CLI
步骤1:使用源接口配置外部NetFlow收集器的IP地址。
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter External_Exporter
9800-Cl-VM(config-flow-exporter)#destination <IP>
9800-Cl-VM(config-flow-exporter)#source $Source_Interface
9800-Cl-VM(config-flow-exporter)#transport udp $Port_Numbet
9800-Cl-VM(config-flow-exporter)#exit
第2步:配置IPv4和IPv6网络流监控器以使用本地(WLC)作为Netflow导出器。
9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit
步骤 3:在策略配置文件中映射入口和出口流量的IPv4和IPv6流监控器。
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
使用Cisco DNA在9800 WLC上配置AVC
在通过Cisco Catalyst Center继续在Cisco Catalyst 9800无线局域网控制器(WLC)上配置应用可视性与可控性(AVC)之前,必须验证WLC与Cisco Catalyst Center之间的遥测通信是否已成功建立。确保WLC在Cisco Catalyst Center接口内显示为托管状态,并且其运行状况正在主动更新。此外,为了有效监控运行状况,必须将WLC和无线接入点(AP)都正确分配到Cisco Catalyst Center中的相应站点。
9800WLC#show telemetry connection all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
----- -------------- ------- ----- ---------------- ---------- --------------------
170 Cisco DNA IP 25103 0 WLC_IP Active UP
WLC和AP处于托管状态
Cisco Catalyst Center上WLC和AP的运行状况
步骤 1:将Cisco Catalyst Center配置为NetFlow收集器并在全局设置中启用无线遥测。导航到设计>网络设置>遥测,然后启用所需的配置(如图所示)。
无线遥测和AVC配置
步骤 2:在所需的9800 WLC上启用应用遥测,以推送9800 WLC上的AVC配置。为此,请导航到调配>网络设备>库存。选择要在其上激活应用程序遥测的9800 WLC,然后导航到操作>遥测>启用应用程序遥测。
在9800 WLC上启用应用遥测
步骤 3:根据需要选择部署模式。
本地:在本地策略配置文件中启用AVC(中央交换)
Flex/Fabric:在灵活策略配置文件(本地交换)或基于交换矩阵的SSID中启用AVC。
Cisco Catalyst Center上的部署模式选择
步骤 4:它会启动激活AVC设置的任务,并且相应的配置会应用于9800 WLC。您可以通过导航到活动>审核日志来查看状态。
在9800 WLC上启用遥测后审核日志
Cisco Catalyst Center部署流导出器和流监控器配置,包括指定的端口和其他设置,并在选定的模式策略配置文件中激活它们,如下所示:
Configure Cisco Catalyst Center as Flow Exporter:
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_exporter
9800-Cl-VM(config-flow-exporter)#destination <IP>
9800-Cl-VM(config-flow-exporter)#source Vlan10
9800-Cl-VM(config-flow-exporter)#transport udp 6007
9800-Cl-VM(config-flow-exporter)#export-protocol ipfix
9800-Cl-VM(config-flow-exporter)#option vrf-table timeout 300
9800-Cl-VM(config-flow-exporter)#option ssid-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-attributes timeout 300
9800-Cl-VM(config-flow-exporter)#exit
Configure 9800 WLC as Local Exporter
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_local_exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit
Configure Network Flow Monitor to use both Local(WLC) and Cisco Catalyst Center as Netflow Exporter:
9800-Cl-VM(config)#flow monitor avc_ipv4_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv6_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv4_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv6_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit
Mapping the IPv4 and IPv6 Flow Minitor in Policy Profile
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance output
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
AVC验证
在9800上
将9800 WLC用作流导出器时,可以观察到以下AVC统计信息:
·通过所有SSID连接的客户端的应用可视性。
·每个客户端的单个应用程序使用情况。
·分别使用每个SSID的特定应用。
注意:您可以选择按方向过滤数据,包括传入(入口)和传出(出口)流量,以及按时间间隔过滤数据,可以选择最长48小时的时间范围。
通过GUI
导航到监控>服务>应用可视性。
连接到AVC_testing SSID的用户对入口和出口流量的应用可视性
要查看每个客户端的应用可视性统计信息,可以点击Clients选项卡,选择特定客户端,然后点击View Application Details。
特定客户端的应用可视性 — 1
特定客户端的应用可视性 — 2
通过CLI
验证AVC状态
9800WLC#show avc status wlan AVC_testing
WLAN profile name: AVC_testing
----------------------------------------------------------
AVC configuration complete: YES
来自NetFlow的统计信息(FNF缓存)
9800WLC#show flow monitor $Flow_Monitor_Name cache format table
要分别检查每个WLAN及其连接的客户端的排名靠前的应用使用情况,请执行以下操作:
9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
where n = <1-30> Enter the number of applications
9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
where n = <1-10> Enter the number of clients
验证传送到控制平面(CP)的FNFv9数据包计数和解码状态
9800WLC#show platform software wlavc status decoder
FNFv9数据包记录
您还可以直接检查nbar统计信息。
9800WLC#show ip nbar protocol-discovery
在Fabric和Flex模式下,您可以通过以下方式从AP获取NBAR统计信息:
AP#show avc nbar statistics
Works on both IOS and ClickOS APs
注意:在外锚点设置中,锚点WLC充当客户端的第3层存在,而外联WLC在第2层运行。由于应用可视性与可控性(AVC)在第3层运行,因此相关数据仅在锚点WLC上可观察。
思科DNA
从9800 WLC捕获的数据包中,我们可以验证它是否连续向Cisco Catalyst Center发送有关应用和网络流量的数据。
9800 WLC上的数据包捕获
要查看连接到Cisco Catalyst Center上特定WLC的客户端的应用数据,请导航到保证>控制面板>运行状况>应用。
Cisco Catalyst Center上的AVC监控
我们可以跟踪客户最常用的应用程序,并确定最高的数据使用者,如此处所示。
排名靠前的应用和排名靠前的带宽用户统计信息
您可以为特定SSID设置过滤器,从而监控与该SSID关联的客户端的整体吞吐量和应用使用情况。
通过此功能,您可以确定网络中排名靠前的应用和消耗带宽最高的用户。
此外,您还可以使用时间过滤器功能检查此数据以前的时间段,从而提供网络使用情况的历史见解。
用于显示AVC统计信息的时间过滤器. 
用于显示AVC统计信息的SSID过滤器
在外部NetFlow收集器上
示例1:Cisco Prime作为Netflow收集器
当Cisco Prime用作NetFlow收集器时,9800 WLC显示为发送NetFlow数据的数据源,NetFlow模板根据9800 WLC传输的数据自动创建。
从9800 WLC上捕获的数据包中,我们可以验证它是否连续向Cisco Prime发送有关应用和网络流量的数据。
在9800 WLC上捕获数据包
Cisco Prime检测9800 WLC作为Netflow数据源
可以使用IP地址根据应用、服务(甚至按客户端)设置过滤器,以进行更有针对性的数据分析。
所有客户端的应用可视性
使用IP地址的特定客户端的应用
示例 2:第三方NetFlow收集器
在本示例中,第三方NetFlow收集器[SolarWinds]用于收集应用统计数据。9800 WLC使用Flexible NetFlow(FNF)传输有关应用和网络流量的综合数据,然后由SolarWinds收集。
SolarWind上的Netflow应用统计
流量控制
流量控制是指用于管理和调节网络流量的一组功能和机制。流量管制或速率限制是无线控制器中用于控制从客户端传输的流量的机制。它会监控网络流量的数据速率,并在超过预定义的速率限制时立即采取行动。当流量超过指定的速率时,速率限制可以丢弃超额数据包或通过更改其服务类别(CoS)或差分服务代码点(DSCP)值来将其降级。这可以通过在9800 WLC中配置QOS来实现,您可以参阅https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/215441-configure-qos-rate-limiting-on-catalyst.html了解这些组件如何工作以及如何配置它们以实现不同的结果。
故障排除
对AVC问题进行故障排除涉及识别和解决可能影响AVC准确识别、分类和管理无线网络上应用流量的能力的问题。常见问题可能包括流量分类、策略实施或报告问题。下面是排除Catalyst 9800 WLC上的AVC问题的一些步骤和注意事项:
- 验证AVC配置:确保AVC在WLC上正确配置并与正确的WLAN和配置文件相关联。
-
当通过GUI设置AVC时,它会自动将端口9995指定为默认端口。但是,如果使用外部收集器,请验证它配置为侦听NetFlow流量的端口。准确配置此端口号以匹配您的netflow收集器设置至关重要。
- 验证AP型号和部署模式支持。
- 在无线网络中实施AVC时,请参阅对9800 WLC的限制。
日志收集
WLC日志
1.启用时间戳,以便为所有命令提供时间参考。
9800WLC#term exec prompt timestamp
2.检查配置
9800WLC#show tech-support wireless
3.您可以验证avc状态和netflow统计信息。
检查AVC配置状态。
9800WLC#show avc status wlan <wlan_name>
检查发送到控制平面(CP)的FNFv9数据包计数和解码状态。
9800WLC#show platform software wlavc status decoder
从NetFlow(FNF缓存)检查统计信息。
9800WLC#show flow monitor <Flow_Monitor_Name>
检查每个wlan的前n个应用使用情况,其中n = <1-30>输入应用数量。
9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
检查每个客户端的前n个应用程序使用情况,其中n = <1-30>输入应用程序数量。
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
使用特定应用检查连接到特定wlan的前n个客户端,其中n=<1-10>输入客户端数量。
9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
检查nbar统计信息。
9800WLC#show ip nbar protocol-discovery
4.将日志记录级别设置为debug/verbose。
9800WLC#set platform software trace all debug/verbose
!! To View the collected logs
9800WLC#show logging profile wireless internal start last clear to-file bootflash:<File_Name
!!Set logging level back to notice post troubleshooting
9800WLC#set platform software trace wireless all debug/verbose
5.启用客户端MAC地址的放射性(RA)跟踪以验证AVC统计信息。
通过CLI
9800WLLC#debug wireless {mac | ip} {aaaa.bbbb.cccc | x.x.x.x } {monitor-time} {N seconds} !! Setting time allows us to enable traces for up to 24 days
9800WLC#no debug wireless mac <Client_MAC>
!!WLC generates a debug trace file with Client_info, command to check for debug trace file generated.
9800WLC#dir bootflash: | i debug
警告:条件调试启用调试级别日志记录,从而增加生成的日志量。保持此运行可减少从查看日志的时间延迟。因此,建议在故障排除会话结束时始终禁用调试。
# clear platform condition all
# undebug all
通过GUI
步骤1.导航到Troubleshooting > Radiative Trace。
步骤2.单击Add并输入要排除故障的客户端Mac地址。您可以添加多个要跟踪的Mac地址。
步骤3.准备好开始放射性示踪后,单击“开始”。启动后,调试日志记录会写入磁盘,记录与跟踪的MAC地址相关的任何控制平面处理。
步骤4.重现要排除故障的问题时,单击Stop。
步骤5.对于已调试的每个mac地址,您可以通过单击Generate生成一个日志文件,整理与该mac地址相关的所有日志。
第6步:选择想要经过整理的日志文件回溯多长时间,然后点击应用到设备。
步骤7.现在可以通过点击文件名旁边的小图标下载文件。此文件存在于控制器的引导闪存驱动器中,也可以通过CLI从盒中复制。
以下是RA跟踪中的AVC调试的简要介绍
2024/07/20 20:15:24.514842337 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 280, #packets 5
2024/07/20 20:15:24.514865665 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:24.514875837 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'unknown'(app-id: 0xd000001), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:40.530177442 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'ping'(app-id: 0xd0001df), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 3600, #packets 606.按客户端MAC地址双向过滤的嵌入式捕获,客户端内部MAC过滤器在17.1之后可用。
在使用外部收集器时,它特别有用,因为它有助于确认WLC是否按照预期将NetFlow数据传输到目标端口。
通过CLI
monitor capture MYCAP clear
monitor capture MYCAP interface <Interface> both
monitor capture MYCAP buffer size 100
monitor capture MYCAP match any
monitor capture MYCAP inner mac CLIENT_MAC@
monitor capture MYCAP start
!! Inititiate different application traffic from user
monitor capture MYCAP stop
monitor capture MYCAP export flash:|tftp:|http:.../filename.pcap
通过GUI
步骤1.导航到故障排除>数据包捕获> +添加。
步骤2.定义数据包捕获的名称。最多允许 8 个字符。
步骤3.定义过滤器(如果有)。
步骤4.如果要查看传送到系统CPU并注入回数据平面的流量,请选中监视控制流量的复选框。
步骤5.定义缓冲区大小。最多允许100 MB。
步骤6.根据需要定义限制(按允许范围1 - 1000000秒的持续时间或按允许范围1 - 100000个数据包的数据包数量)。
步骤7.从左列中的接口列表中选择接口,然后选择箭头将其移动到右列。
步骤8.点击应用到设备。
步骤9.要开始捕获,请选择开始。
步骤10.您可以让捕获运行到定义的限制。要手动停止捕获,请选择停止。
步骤11.停止后,可使用Export按钮点击选项,通过HTTP或TFTP服务器、FTP服务器或本地系统硬盘或闪存将捕获文件(.pcap)下载到本地桌面。
AP日志
在交换矩阵和灵活模式上
1. show tech以显示AP的所有配置详细信息和客户端统计信息。
2. show avc nbar statistics nbar stats from AP
3. AVC调试
AP#term mon
AP#debug capwap client avc <all/detail/error/event>
AP#debug capwap client avc netflow <all/detail/error/event/packet>
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
29-Jul-2024
|
初始版本 |
反馈