瞭解9800無線控制器上的應用可視性與可控性
目錄
簡介
本檔案介紹Cisco Catalyst 9800 WLC上的應用可見性與控制(AVC)。
必備條件
思科建議您瞭解以下主題:
- Cisco WLC 9800基礎知識。
- 本地和靈活連線模式AP的基本知識。
- 接入點必須支援AVC。(不適用於本地模式AP)
- 要使AVC(QoS)的控制部分正常工作,必須配置帶有FNF的應用可視性功能。
有關應用可視性與可控性(AVC)的資訊
應用可視性與可控性(AVC)是無線和有線網路中深度資料包檢測(DPI)技術的領先方法。使用AVC,您可以執行即時分析,並建立策略來有效減少網路擁塞、最小化成本高昂的網路鏈路使用率,並避免不必要的基礎設施升級。簡而言之,AVC使使用者能夠通過基於網路的應用識別(NBAR)實現全新級別的流量識別和整形。在9800 WLC上運行的NBAR軟體包用於DPI,並且使用Flexible NetFlow(FNF)報告結果。
除了可視性之外,AVC還能夠區分不同流量型別的優先順序、阻止或限制。例如,管理員可以建立優先處理語音和影片應用程式的策略,以確保服務品質(QoS)或限制非必要應用程式在高峰工作時間可用的頻寬。它還可以與其他思科技術整合,例如用於基於身份的應用策略的思科身份服務引擎(ISE)以及用於集中管理的Cisco Catalyst Center。
AVC的工作原理
AVC利用FNF和NBAR2引擎等先進技術來進行DPI。通過使用NBAR2引擎分析和識別通訊流,特定流將標籤識別協定或應用程式。控制器收集所有報告並通過show命令、Web UI或其他NetFlow匯出消息將其顯示給外部NetFlow收集器(如Prime)。
一旦建立了應用可視性,使用者就可以通過配置服務品質(QOS)為客戶端建立具有策略機制的控制規則。
AVC的工作機制
網路型應用程式辨識(NBAR)
NBAR是一種整合在9800 WLC上的機制,用於執行DPI以識別和分類網路上運行的各種應用程式。它可以對大量應用進行識別和分類,包括加密和動態埠對映的應用,這些應用對於傳統資料包檢測技術通常是不可見的。
附註:要在Catalyst 9800 WLC上利用NBAR,必須正確啟用和配置它,通常要結合特定的AVC配置檔案(定義根據流量分類採取的適當操作)。
NBAR會繼續定期更新,請務必使WLC軟體保持最新,以確保NBAR功能集保持最新和有效。
有關最新版本中支援的協定的完整清單,請訪問https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/prot_lib/config_library/nbar-prot-pack-library.html
在策略配置檔案上啟用NBAR協定
9800WLC#configure terminal
9800WLC(config)#wireless profile policy AVC_testing
9800WLC(config-wireless-policy)#ip nbar protocol-discovery
9800WLC(config-wireless-policy)#end
附註:在執行此操作之前,需要禁用%策略配置檔案。
9800WLC#show wireless profile policy detailed AVC_testing | in NBAR
NBAR Protocol Discovery : Enabled
升級9800 WLC上的NBAR
9800 WLC已有約1500個可識別的應用。在新應用發佈的情況下,可以在最新NBAR中更新該應用的協定,該最新NBAR需要從特定9800型號的軟體下載頁面下載。
通過GUI
導航到Configuration > Services > Application Visibility。按一下Upgrade Protocol Pack。
9800 WLC中的上傳通訊協定一節
按一下Add,然後選擇要下載的協定包,然後按一下Upgrade。
新增NBAR協定
完成升級後,您可以看到新增了協定包。
驗證通訊協定包
通過CLI
9800WLC#copy tftp://10.10.10.1/pp-adv-c9800-1712.1-49-70.0.0.pack bootflash:
9800WLC#configure terminal
9800WLC(config)#ip nbar protocol-pack bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
To verify NBAR protocol pack version
9800WLC#show ip nbar protocol-pack active
Active Protocol Pack:
Name: Advanced Protocol Pack
Version: 70.0
Publisher: Cisco Systems Inc.
NBAR Engine Version: 49
Creation time: Tue Jun 4 10:18:09 UTC 2024
File: bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
State: Active
附註:在NBAR協定包的升級過程中沒有服務中斷。
Netflow
NetFlow是一種網路協定,用於收集IP流量資訊和監控網路流量資料。它主要用於網路流量分析和頻寬監控。以下是NetFlow在Cisco Catalyst 9800系列控制器上工作方式的概述:
- 資料收集:9800 WLC收集有關流經它們的IP流量的資料。此資料包括諸如源IP地址和目標IP地址、源和目標埠、使用的協定、服務類別以及流終止原因等資訊。
- 流記錄:收集的資料被組織到流記錄中。流被定義為共用一組通用屬性(例如相同源/目標IP、源/目標埠和協定型別)的單向資料包序列。
- 正在匯出資料:流記錄會定期從啟用了NetFlow的裝置匯出到NetFlow收集器。收集器可以是本地WLC,也可以是接收、儲存和處理流資料的專用伺服器或軟體應用程式。
- 分析:您可以使用NetFlow收集器和分析工具來視覺化流量模式、識別頻寬、檢測指示安全違規的異常流量、最佳化網路效能以及規劃網路擴展。
- 無線特定資訊:在無線控制器的環境中,NetFlow可以包括特定於無線網路的其他資訊,例如SSID、AP名稱、客戶端MAC地址以及與Wi-Fi流量相關的其他詳細資訊。
Flexible Netflow
Flexible NetFlow(FNF)是傳統NetFlow的高級版本,由Cisco Catalyst 9800系列無線LAN控制器(WLC)支援。 它為跟蹤、監控和分析網路流量模式提供了更多定製選項。Catalyst 9800 WLC上的Flexible NetFlow的主要功能包括:
- 自定義:FNF允許使用者定義要從網路流量收集哪些資訊。這包括各種流量屬性,例如IP地址、埠號、時間戳、資料包和位元組計數、應用程式型別等。
- 增強的可視性:通過利用FNF,管理員可以詳細瞭解流經網路的流量型別,這對於容量規劃、基於使用的網路計費、網路分析和安全監控至關重要。
- 協定獨立性:FNF非常靈活,可以支援IP以外的各種協定,因此可以適應不同型別的網路環境。
在Catalyst 9800 WLC上,可以將FNF配置為將流記錄匯出到外部NetFlow收集器或分析應用程式。這些資料隨後可用於故障排除、網路規劃和安全分析。FNF配置包括定義流記錄(要收集的內容)、流匯出器(將資料傳送到何處),以及將流監控器(將記錄和匯出器繫結)附加到相應介面。
附註:FNF可以將17條不同的資料記錄(如RFC 3954中所定義)傳送到外部第三方Netflow收集器,例如Stealthwatch、Solarwinds等,這些收集器包括:應用標籤、客戶端Mac地址、AP Mac地址、WlanID、源IP、目標IP、源埠、目標埠、協定、流開始時間、流結束時間、方向、資料包外寄、位元組計數、VLAN ID(本地模式) — Mgmt/客戶端和TOS - DSCP值
流量監視器
流量監控器是與Flexible NetFlow(FNF)結合使用的元件,用於捕獲和分析網路流量資料。它在監控和瞭解流量模式以實現網路管理、安全和故障排除方面起著至關重要的作用。流量監控器實質上是FNF的一個應用例項,它根據定義的標準來收集和跟蹤流量資料。它與三個主要元素相關聯:
- 流量記錄:這定義流量監控器必須從網路流量收集的資料。它指定流資料中包含的金鑰(如源和目標IP地址、埠、協定型別)和非金鑰欄位(如資料包和位元組計數器、時間戳)。
- 流量匯出器:這指定必須傳送收集流資料的目標。它包括NetFlow收集器的IP地址、傳輸協定(通常為UDP)以及收集器偵聽的目標埠號等詳細資訊。
- 流量監視器:流量監控器自身將流量記錄和流量匯出器繫結在一起,並將其應用到介面或WLAN以實際啟動監控過程。它根據流記錄中的標準集和流匯出器中的目標集,確定必須收集和匯出流資料的方式。
AVC支援的存取點
只有以下存取點支援AVC:
- Cisco Catalyst 9100系列存取器
- Cisco Aironet 2800系列存取點
- Cisco Aironet 3800 系列存取點
- Cisco Aironet 4800 系列存取器
支援不同的9800部署模式
|
部署模式 |
9800 WLC |
第1波存取點 |
Wave 2存取點 |
Wifi 6存取點 |
|
本地模式 |
IPV4流量: |
在WLC層級處理 |
在WLC層級處理 |
在WLC層級處理 |
|
Flex模式 |
IPV4流量: |
在WLC層級處理 |
在WLC層級處理 |
在WLC層級處理 |
|
Flex模式 |
在AP級別進行處理 |
IPV4流量: |
IPV4流量: |
IPV4流量: |
|
本地模式 |
在AP級別進行處理 |
IPV4流量: |
IPV4流量: |
IPV4流量: |
對9800實施AVC時的限制
應用可視性與可控性(AVC)和Flexible NetFlow(FNF)是Cisco Catalyst 9800系列無線LAN控制器上的強大功能,可增強網路可視性與可控性。但是,在使用這些功能時,請記住一些限制和注意事項:
- 不支援跨控制器進行第2層漫遊。
- 不支援組播流量。
- 只有通過應用可視性識別的應用才能用於應用QoS控制。
- AVC中的NetFlow欄位不支援資料連結。
- 不能將同一個WLAN配置檔案對映到未啟用AVC的策略配置檔案和啟用AVC的策略配置檔案。
- 不能將具有不同交換機制的策略配置檔案用於同一個WLAN以實現AVC。
- 管理埠(Gig 0/0)不支援AVC。
- 僅有線物理埠上允許基於NBAR的QoS策略配置。虛擬介面(例如VLAN、埠通道和其他邏輯介面)不支援策略配置。
- 啟用AVC時,AVC配置檔案僅支援最多23條規則,其中包括預設DSCP規則。如果規則超過23,則無法將AVC策略下推到AP。
網路拓撲
本地模式下的AP
本地模式下的AVC AP(中央交換)
處於flex模式的AP
Flex模式AP中的AVC
在9800 WLC上設定AVC
在9800 WLC上配置AVC時,您可以將其用作NetFlow收集器,也可以將NefFlow資料匯出到外部NetFlow收集器。
本地匯出器
在Cisco Catalyst 9800無線LAN控制器(WLC)上,本地NetFlow收集器是指WLC中允許其收集和本地儲存NetFlow資料的嵌入式功能。此功能使WLC能夠執行基本NetFlow資料分析,而無需將流記錄匯出到外部NetFlow收集器。
通過GUI
步驟 1:要在特定SSID上啟用AVC,請導航到配置>服務>應用程式可視性。選擇您要為其啟用AVC的特定策略配置檔案。
在策略配置檔案上啟用AVC
步驟 2:選擇Local作為Netflow收集器,然後按一下Apply。
選擇本地NetFlow收集器
請注意,應用AVC配置後,已根據指定的首選項自動配置NetFlow匯出器和NetFlow設定。
您可以通過導航到Configuration > Services > Application Visibility > Flow Monitor > Exporter/Monitor來驗證相同內容。
9800 WLC上的本機流量收集器組態
使用本地NetFlow收集器的流量監控器配置
IPv4和IPv6 AVC流量監控器自動與策略配置檔案連結。導航到Configuration > Tags & Profile > Policy。按一下「Policy Profile > AVC and QOS」。
策略配置檔案中的流監控器配置
通過CLI
第1步:將9800 WLC設定為本地匯出器。
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter wireless-local-exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit
第2步:配置IPv4和IPv6網路流監控器,以使用本地(WLC)作為Netflow匯出器。
9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter wireless-local-exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor wireless-avc-basic-ipv6
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit
步驟 3:在策略配置檔案中對映入口和出口流量的IPv4和IPv6流量監控器。
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
外部NetFlow收集器
外部NetFlow收集器在Cisco Catalyst 9800無線LAN控制器(WLC)上的應用可見性與控制(AVC)環境中使用時,是接收、聚合和分析從WLC匯出的NetFlow資料的專用系統或服務。您可以僅配置外部NetFlow收集器以監控應用可視性,也可以將其與本地收集器一起使用。
通過GUI
第1步:要在特定SSID上啟用AVC導航到Configuration > Services > Application Visibility。選擇要為其啟用AVC的特定策略配置檔案。選擇Collector作為External,並配置NetFlow收集器(如Cisco Prime、SolarWind、StealthWatch)的IP地址,然後按一下Apply。
外部NetFlow收集器的AVC配置
請注意,應用AVC配置後,已自動將NetFlow匯出器和NetFlow設定配置為NetFlow收集器IP地址作為匯出器,將匯出器地址配置為9800 WLC(預設超時設定和UDP埠9995)。您可以通過導航到Configuration > Services > Application Visibility > Flow Monitor > Exporter/Monitor來驗證相同內容。
9800 WLC上的外部NetFlow收集器組態
使用外部NetFlow收集器的流量監控器配置
您可以通過導航到Configuration > Services > NetFlow來檢查自動生成的NetFlow監控器的埠配置。
附註:如果通過GUI配置AVC,則自動生成的NetFlow匯出器將設定為使用UDP 9995埠。請確保驗證NetFlow收集器正在使用的埠號。
舉例來說:如果您使用Cisco Prime作為NetFlow收集器,則必須將匯出器埠設定為9991,因為這是Cisco Prime偵聽NetFlow流量的埠。您可以在NetFlow配置中手動更改匯出器埠。
在NetFlow配置中更改匯出器埠號
通過CLI
第1步:使用源介面配置外部NetFlow收集器的IP地址。
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter External_Exporter
9800-Cl-VM(config-flow-exporter)#destination <IP>
9800-Cl-VM(config-flow-exporter)#source $Source_Interface
9800-Cl-VM(config-flow-exporter)#transport udp $Port_Numbet
9800-Cl-VM(config-flow-exporter)#exit
第2步:配置IPv4和IPv6網路流監控器,以使用本地(WLC)作為Netflow匯出器。
9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit
步驟 3:在策略配置檔案中對映入口和出口流量的IPv4和IPv6流量監控器。
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
使用Cisco DNA在9800 WLC上設定AVC
在通過Cisco Catalyst Center在Cisco Catalyst 9800無線LAN控制器(WLC)上繼續配置應用可視性與控制(AVC)之前,必須驗證WLC和Cisco Catalyst Center之間的遙測通訊是否已成功建立。確保WLC出現在Cisco Catalyst Center介面內的受管狀態,並且其運行狀況正在主動更新。此外,為了有效監控健康狀況,務必將WLC和存取點(AP)正確分配到Cisco Catalyst Center中各自的站點。
9800WLC#show telemetry connection all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
----- -------------- ------- ----- ---------------- ---------- --------------------
170 Cisco DNA IP 25103 0 WLC_IP Active UP
WLC和AP處於託管狀態
Cisco Catalyst Center上WLC和AP的運行狀況
步驟 1:將Cisco Catalyst Center配置為NetFlow收集器,並在全域性設定中啟用無線遙測。導覽至Design > Network Setting > Telemetry,然後啟用所需的配置(如圖所示)。
無線遙測和AVC配置
步驟 2:在所需的9800 WLC上啟用應用遙測,以推送9800 WLC上的AVC配置。為此,請導航到Provision > Network Device > Inventory。選擇要在其上啟用應用程式遙測的9800 WLC,然後導航到Action > Telemetry > Enable Application Telemetry。
在9800 WLC上啟用應用遙測
步驟 3:根據需要選擇部署模式。
本地:在本地策略配置檔案中啟用AVC(集中交換)
Flex/Fabric:在Flex策略配置檔案(本地交換)或基於交換矩陣的SSID中啟用AVC。
Cisco Catalyst Center上的部署模式選擇
步驟 4:它會啟動啟用AVC設定的任務,相應的配置將應用於9800 WLC。您可以通過導航到活動>稽核日誌來檢視狀態。
在9800 WLC上啟用遙測後的稽核日誌
Cisco Catalyst Center部署流量匯出器和流量監控器配置,包括指定的埠和其他設定,並在選定的模式策略配置檔案中啟用它們,如下所示:
Configure Cisco Catalyst Center as Flow Exporter:
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_exporter
9800-Cl-VM(config-flow-exporter)#destination <IP>
9800-Cl-VM(config-flow-exporter)#source Vlan10
9800-Cl-VM(config-flow-exporter)#transport udp 6007
9800-Cl-VM(config-flow-exporter)#export-protocol ipfix
9800-Cl-VM(config-flow-exporter)#option vrf-table timeout 300
9800-Cl-VM(config-flow-exporter)#option ssid-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-attributes timeout 300
9800-Cl-VM(config-flow-exporter)#exit
Configure 9800 WLC as Local Exporter
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_local_exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit
Configure Network Flow Monitor to use both Local(WLC) and Cisco Catalyst Center as Netflow Exporter:
9800-Cl-VM(config)#flow monitor avc_ipv4_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv6_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv4_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv6_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit
Mapping the IPv4 and IPv6 Flow Minitor in Policy Profile
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance output
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
驗證AVC
在9800
將9800 WLC用作流量匯出器時,可以觀察到以下AVC統計資訊:
·通過所有SSID連線的客戶端的應用可視性。
·每個客戶端的單獨應用程式使用情況。
·單獨使用每個SSID上的特定應用程式。
附註:您可以選擇按方向過濾資料,包括傳入(輸入)和傳出(輸出)流量,以及按時間間隔過濾資料,並能夠選擇最長48小時的時間範圍。
通過GUI
導航至監控>服務>應用可視性。
連線到AVC_testing SSID的使用者對入口和出口流量的應用可視性
要檢視每個客戶端的應用程式可見性統計資訊,可以按一下「客戶端」頁籤,選擇特定的客戶端,然後按一下檢視應用程式詳細資訊。
特定客戶端的應用可視性 — 1
特定客戶端的應用可視性 — 2
通過CLI
驗證AVC狀態
9800WLC#show avc status wlan AVC_testing
WLAN profile name: AVC_testing
----------------------------------------------------------
AVC configuration complete: YES
來自NetFlow的統計資訊(FNF Cache)
9800WLC#show flow monitor $Flow_Monitor_Name cache format table
要單獨檢查每個WLAN及其連線的客戶端的頂部應用使用情況,請執行以下操作:
9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
where n = <1-30> Enter the number of applications
9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
where n = <1-10> Enter the number of clients
驗證傳送到控制平面(CP)的FNFv9資料包計數和解碼狀態
9800WLC#show platform software wlavc status decoder
FNFv9封包記錄
您還可以直接檢查nbar統計資訊。
9800WLC#show ip nbar protocol-discovery
在Fabric和Flex模式下,您可以通過以下方式從AP獲取NBAR統計資訊:
AP#show avc nbar statistics
Works on both IOS and ClickOS APs
附註:在外來錨點設定中,錨點WLC用作使用者端的第3層存在,而外來WLC在第2層執行。由於應用可視性與控制(AVC)在第3層執行,因此相關資料只能透過錨點WLC觀察到。
論思科DNA
從9800 WLC上擷取的資料包中,我們可以驗證它是否持續將有關應用和網路流量的資料傳送到Cisco Catalyst Center。
9800 WLC上的封包擷取
要檢視連線到Cisco Catalyst Center上特定WLC的客戶端的應用程式資料,請導航到保證>儀表板>運行狀況>應用程式。
Cisco Catalyst Center上的AVC監控
我們可以跟蹤客戶最常使用的應用程式,並確定最高的資料使用者,如此處所示。
排名靠前的應用和排名靠前的頻寬使用者統計資訊
您可以為特定SSID設定過濾器,從而監控與該SSID關聯的客戶端的總體吞吐量和應用使用情況。
此功能使您能夠確定網路中排名靠前的應用和消耗頻寬最高的使用者。
此外,您還可以利用時間過濾器功能檢查此資料在以前的時間段,從而提供網路使用情況的歷史見解。
用於顯示AVC統計資訊的時間過濾器. 
用於顯示AVC統計資訊的SSID過濾器
在外部NetFlow收集器上
範例1:Cisco Prime as Netflow Collector
將Cisco Prime用作NetFlow收集器時,9800 WLC會作為傳送NetFlow資料的資料來源出現,且系統將根據9800 WLC傳送的資料自動建立NetFlow模板。
從9800 WLC上的封包擷取中,我們可以驗證它是否連續地將有關應用和網路流量的資料傳送到Cisco Prime。
9800 WLC上的封包擷取
Cisco Prime Detection 9800 WLC作為Netflow資料來源
您可以使用IP地址根據應用程式、服務甚至按客戶端設定過濾器,以進行更有針對性的資料分析。
所有客戶端的應用可視性
使用IP地址的特定客戶端的應用
範例 2:第三方NetFlow收集器
在本示例中,第三方NetFlow收集器[SolarWinds]用於收集應用統計資料。9800 WLC使用Flexible NetFlow(FNF)傳輸有關應用和網路流量的全面資料,然後由SolarWinds收集。
SolarWind上的Netflow應用統計
流量控制
流量控制是指用於管理和調節網路流量的一組功能和機制。流量管制或速率限制是無線控制器中用於控制從客戶端傳輸的流量量的機制。監控網路流量的資料速率,並在超過預設速率限制時立即採取行動。當流量超過指定的速率時,速率限制可以捨棄多餘的封包,或透過變更其服務等級(CoS)或區別服務代碼點(DSCP)值來降低這些封包。這可以通過在9800 WLC中設定QOS來實現,您可以參閱https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/215441-configure-qos-rate-limiting-on-catalyst.html來大致瞭解這些元件的工作方式,以及如何設定這些元件以取得不同的結果。
疑難排解
排除AVC問題涉及識別和解決可能影響AVC準確識別、分類和管理無線網路上應用流量的能力的問題。常見問題可能包括流量分類、策略實施或報告問題。以下是在Catalyst 9800 WLC上疑難排解AVC問題的一些步驟和注意事項:
- 驗證AVC配置:確保WLC上正確配置了AVC,並且與正確的WLAN和配置檔案相關聯。
-
當通過GUI設定AVC時,它會自動將埠9995指定為預設埠。但是,如果您使用的是外部收集器,請驗證它配置為偵聽NetFlow流量的埠。準確配置此埠號以匹配您的netflow收集器設定至關重要。
- 驗證AP型號和部署模式支援。
- 請參閱在無線網路中實施AVC時對9800 WLC的限制。
日誌收集
WLC日誌
1.啟用時間戳以對所有命令具有時間引用。
9800WLC#term exec prompt timestamp
2.檢查配置
9800WLC#show tech-support wireless
3.您可以驗證avc狀態和netflow統計資訊。
檢查AVC配置狀態。
9800WLC#show avc status wlan <wlan_name>
檢查傳送到控制平面(CP)的FNFv9資料包計數和解碼狀態。
9800WLC#show platform software wlavc status decoder
從NetFlow(FNF快取)檢查統計資訊。
9800WLC#show flow monitor <Flow_Monitor_Name>
檢查每個wlan的前n個應用使用情況,其中n = <1-30>輸入應用數量。
9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
檢查每個客戶端的前n個應用程式使用情況,其中n = <1-30>輸入應用程式數。
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
使用特定應用檢查連線到特定wlan的前n個客戶端,其中n=<1-10>輸入客戶端數。
9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
檢查nbar統計資訊。
9800WLC#show ip nbar protocol-discovery
4.將日誌記錄級別設定為debug/verbose。
9800WLC#set platform software trace all debug/verbose
!! To View the collected logs
9800WLC#show logging profile wireless internal start last clear to-file bootflash:<File_Name
!!Set logging level back to notice post troubleshooting
9800WLC#set platform software trace wireless all debug/verbose
5.啟用客戶端MAC地址的放射性(RA)跟蹤以驗證AVC狀態。
通過CLI
9800WLLC#debug wireless {mac | ip} {aaaa.bbbb.cccc | x.x.x.x } {monitor-time} {N seconds} !! Setting time allows us to enable traces for up to 24 days
9800WLC#no debug wireless mac <Client_MAC>
!!WLC generates a debug trace file with Client_info, command to check for debug trace file generated.
9800WLC#dir bootflash: | i debug
注意:條件調試啟用調試級別日誌記錄,從而增加生成的日誌量。保持此運行可減少檢視日誌的時間間隔。因此,建議在故障排除會話結束時始終禁用調試。
# clear platform condition all
# undebug all
通過GUI
步驟1.導航至Troubleshooting > Radiative Trace。
步驟2.按一下Add,然後輸入您要疑難排解的使用者端Mac位址。您可以新增多個Mac地址進行跟蹤。
步驟3.準備好開始放射性示蹤後,按一下「開始」。啟動後,調試日誌記錄會寫入磁碟,記錄與跟蹤的MAC地址相關的任何控制平面處理。
步驟4.重現要診斷的問題時,按一下Stop。
步驟5.對於已調試的每個mac地址,您可以通過按一下Generate生成一個日誌檔案,該檔案整理與該mac地址相關的所有日誌。
步驟6.選擇想要整理日誌檔案的回溯時間,然後按一下Apply to Device。
步驟7.現在,您可以通過按一下檔名旁邊的小圖示下載檔案。此檔案存在於控制器的啟動快閃記憶體驅動器中,也可以通過CLI從盒中複製出來。
以下是RA跟蹤中AVC調試的一小部分
2024/07/20 20:15:24.514842337 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 280, #packets 5
2024/07/20 20:15:24.514865665 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:24.514875837 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'unknown'(app-id: 0xd000001), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:40.530177442 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'ping'(app-id: 0xd0001df), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 3600, #packets 606.按客戶端MAC地址雙向過濾的嵌入式捕獲,客戶端內部MAC過濾器在17.1之後可用。
在使用外部收集器時它特別有用,因為它有助於確認WLC是否按照預期將NetFlow資料傳輸到目標埠。
通過CLI
monitor capture MYCAP clear
monitor capture MYCAP interface <Interface> both
monitor capture MYCAP buffer size 100
monitor capture MYCAP match any
monitor capture MYCAP inner mac CLIENT_MAC@
monitor capture MYCAP start
!! Inititiate different application traffic from user
monitor capture MYCAP stop
monitor capture MYCAP export flash:|tftp:|http:.../filename.pcap
通過GUI
步驟1.導覽至Troubleshooting > Packet Capture > +Add。
步驟2.定義資料包捕獲的名稱。最多允許8個字元。
步驟3.定義過濾器(如果有)。
步驟4.如果希望檢視發往系統CPU並注入回資料平面的流量,請選中此框以監控控制流量。
步驟5.定義緩衝區大小。最多允許100 MB。
步驟6.根據需要定義限制(按允許範圍1 - 1000000秒的持續時間或按允許範圍1 - 100000個資料包的資料包數量)。
步驟7.從左列中的介面清單中選擇介面,並選擇箭頭將其移動到右列。
步驟8.按一下「Apply to Device」。
步驟9.要開始捕獲,請選擇開始。
步驟10.您可以讓捕獲運行到定義的限制。要手動停止捕獲,請選擇停止。
步驟11.停止後,可以使用Export按鈕按一下該按鈕,其中包括通過HTTP或TFTP伺服器、FTP伺服器、本地系統硬碟或快閃記憶體將捕獲檔案(.pcap)下載到本地案頭的選項。
AP日誌
在交換矩陣和靈活模式上
1. show tech以顯示AP的所有配置詳細資訊和客戶端統計資訊。
2. show avc nbar statistics nbar stats from AP
3. AVC調試
AP#term mon
AP#debug capwap client avc <all/detail/error/event>
AP#debug capwap client avc netflow <all/detail/error/event/packet>
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
29-Jul-2024
|
初始版本 |
意見