Catalyst 9800ワイヤレスLANコントローラでのAVCについて
内容
はじめに
このドキュメントでは、アプリケーショントラフィックの正確な管理を可能にするCisco Catalyst 9800 WLC上のApplication Visibility and Control(AVC)について説明します。
前提条件
次の項目に関する知識があることが推奨されます。
- Cisco WLC 9800に関する基礎知識。
- ローカルおよびフレックス接続モードAPに関する基本的な知識。
- アクセスポイントはAVCに対応している必要があります。(ローカルモードAPには適用されません)
- AVC(QoS)の制御部が機能するには、FNFを使用したアプリケーションの可視化機能を設定する必要があります。
Application Visibility and Control(AVC)に関する情報
Application Visibility and Control(AVC)は、ワイヤレスネットワークと有線ネットワークの両方でディープパケットインスペクション(DPI)テクノロジーを実現するシスコの最先端アプローチです。AVCを使用すると、リアルタイムの分析を実行し、ポリシーを作成して、ネットワークの輻輳を効果的に軽減し、コストのかかるネットワークリンクの使用を最小限に抑え、インフラストラクチャの不要なアップグレードを回避できます。つまり、AVCはNetwork Based Application Recognition(NBAR)を通じて、ユーザがトラフィック認識とシェーピングのレベルをまったく新しく達成できるようにします。9800 WLCで実行されているNBARパッケージはDPIに使用され、その結果はFlexible NetFlow(FNF)を使用して報告されます。
可視性に加えて、AVCは異なるタイプのトラフィックの優先順位付け、ブロック、またはスロットルを行う機能を提供します。たとえば、管理者は、音声およびビデオアプリケーションに優先順位を付けるポリシーを作成して、サービス品質(QoS)を確保したり、業務時間帯のピーク時に重要性の低いアプリケーションが使用できる帯域幅を制限したりできます。また、IDベースのアプリケーションポリシーを実現するCisco Identity Services Engine(ISE)、中央集中型管理を実現するCisco Catalyst Centerなど、シスコの他のテクノロジーと統合することもできます。
AVCの仕組み
AVCは、FNFやNBAR2エンジンなどの高度なテクノロジーをDPIに利用します。NBAR2エンジンを使用してトラフィックフローを分析および特定することで、特定のフローに対して認識されたプロトコルまたはアプリケーションによるマーキングが行われます。 コントローラはすべてのレポートを収集し、showコマンド、Web UI、または追加のNetFlowエクスポートメッセージを通じて、Primeなどの外部NetFlowコレクタにレポートを表示します。
アプリケーションの可視性が確立されると、ユーザはQuality of Service(QOS)を設定することで、クライアントのポリシングメカニズムを使用して制御ルールを作成できます。
AVCの動作メカニズム
Network-Based Application Recognition(NBAR)
NBARは、9800 WLCに統合されたメカニズムで、ネットワーク上で実行されているさまざまなアプリケーションを識別および分類するためのDPIを実行するために使用されます。暗号化された動的にポートマッピングされたアプリケーションなど、従来のパケットインスペクションテクノロジーでは通常認識されない、膨大な数のアプリケーションを認識して分類できます。
注:Catalyst 9800 WLCでNBARを活用するには、NBARを有効にして正しく設定する必要があります。多くの場合、特定のAVCプロファイル(トラフィックの分類に基づいて実行される適切なアクションを定義する)とともに設定します。
NBARは継続的に定期的に更新されます。NBAR機能セットが最新かつ効果的に維持されるように、WLCソフトウェアを最新の状態に保つことが重要です。
最新リリースでサポートされるプロトコルの完全なリストは、https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/prot_lib/config_library/nbar-prot-pack-library.htmlにあります。
ポリシープロファイルでのNBARプロトコルの有効化
9800WLC#configure terminal
9800WLC(config)#wireless profile policy AVC_testing
9800WLC(config-wireless-policy)#ip nbar protocol-discovery
9800WLC(config-wireless-policy)#end
注:この操作を実行する前に、% Policy profileを無効にする必要があります。
9800WLC#show wireless profile policy detailed AVC_testing | in NBAR
NBAR Protocol Discovery : Enabled
9800 WLCでのNBARのアップグレード
9800 WLCにはすでに最大1500の認識可能なアプリケーションがあります。新しいアプリケーションがリリースされた場合、そのプロトコルは最新のNBARで更新されます。このNBARは、特定の9800モデルのソフトウェアダウンロードページからダウンロードする必要があります。
GUI 経由
Configuration > Services > Application Visibilityの順に移動します。Upgrade Protocol Packをクリックします。
Upload Protocolセクション(9800 WLC)
Addをクリックし、ダウンロードするProtocol Packを選択して、Upgradeをクリックします。
NBARプロトコルの追加
アップグレードが完了すると、追加されたProtocol Packが表示されます。
Protocol Packの検証
CLI の場合
9800WLC#copy tftp://10.10.10.1/pp-adv-c9800-1712.1-49-70.0.0.pack bootflash:
9800WLC#configure terminal
9800WLC(config)#ip nbar protocol-pack bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
To verify NBAR protocol pack version
9800WLC#show ip nbar protocol-pack active
Active Protocol Pack:
Name: Advanced Protocol Pack
Version: 70.0
Publisher: Cisco Systems Inc.
NBAR Engine Version: 49
Creation time: Tue Jun 4 10:18:09 UTC 2024
File: bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
State: Active
注:NBARプロトコルパックのアップグレード中は、サービスは中断されません。
NetFlow
NetFlowは、IPトラフィック情報を収集し、ネットワークフローデータを監視するために使用されるネットワークプロトコルです。主にネットワークトラフィック分析と帯域幅モニタリングに使用される Cisco Catalyst 9800シリーズコントローラでNetFlowがどのように動作するかについて、概要を次に示します。
- データ収集:9800 WLCは、それらを通過するIPトラフィックに関するデータを収集します。このデータには、送信元と宛先のIPアドレス、送信元と宛先のポート、使用プロトコル、サービスクラス、フロー終了の原因などの情報が含まれます。
- フローレコード:収集されたデータはフローレコードに編成されます。フローは、同じ送信元/宛先IP、送信元/宛先ポート、プロトコルタイプなど、一連の共通属性を共有する単方向のパケットシーケンスとして定義されます。
- データのエクスポート:フローレコードは、NetFlow対応デバイスからNetFlowコレクタに定期的にエクスポートされます。コレクタは、ローカルWLC、またはフローデータを受信、保存、処理する専用サーバやソフトウェアアプリケーションです。
- 分析:NetFlowコレクタと分析ツールを使用して、トラフィックパターンの可視化、帯域幅の特定、セキュリティ違反を示す異常なトラフィックフローの検出、ネットワークパフォーマンスの最適化、ネットワーク拡張の計画を行うことができます。
- ワイヤレス固有の情報:ワイヤレスコントローラに関して、NetFlowにはSSID、AP名、クライアントMACアドレス、およびWi-Fiトラフィックに関連するその他の詳細など、ワイヤレスネットワーキングに固有の追加情報を含めることができます。
Flexible NetFlow
Flexible NetFlow(FNF)は、従来のNetFlowの高度なバージョンであり、Cisco Catalyst 9800シリーズワイヤレスLANコントローラ(WLC)でサポートされます。ネットワークトラフィックパターンの追跡、監視、および分析のためのカスタマイズオプションが追加されています。Catalyst 9800 WLCでのFlexible NetFlowの主な機能は次のとおりです。
- カスタマイズ:FNFを使用すると、ネットワークトラフィックから収集する情報を定義できます。これには、IPアドレス、ポート番号、タイムスタンプ、パケット数とバイト数、アプリケーションの種類など、幅広いトラフィック属性が含まれます。
- 可視性の向上:FNFを活用することで、管理者はネットワークを流れるトラフィックタイプを詳細に把握できます。これは、キャパシティプランニング、使用量ベースのネットワーク課金、ネットワーク分析、およびセキュリティモニタリングに不可欠です。
- プロトコルの独立性:FNFは、IPを超えたさまざまなプロトコルをサポートできる柔軟性を備えているため、さまざまなタイプのネットワーク環境に適応できます。
Catalyst 9800 WLCでは、フローレコードを外部のNetFlowコレクタまたは分析アプリケーションにエクスポートするようにFNFを設定できます。このデータは、トラブルシューティング、ネットワーク計画、およびセキュリティ分析に使用できます。FNFの設定には、フローレコード(何を収集するか)、フローエクスポータ(データの送信先)、およびフローモニタ(レコードとエクスポータをバインド)を適切なインターフェイスに接続することが含まれます。
注:FNFは、Stealthwatch、Solarwindsなどの外部サードパーティNetflowコレクタ(アプリケーションタグ、クライアントMACアドレス、AP MACアドレス、Wlan)に17個の異なるデータレコード(RFC 3954で定義)を送信できます。 ID、送信元IP、宛先IP、送信元ポート、宛先ポート、プロトコル、フロー開始時間、フロー終了時間、方向、パケット発信、バイトカウント、VLAN ID(ローカルモード):Mgmt/ClientおよびTOS:DSCP値
フローモニタ
フローモニタは、Flexible NetFlow(FNF)と組み合わせて使用されるコンポーネントで、ネットワークトラフィックデータをキャプチャして分析します。ネットワーク管理、セキュリティ、およびトラブルシューティングのトラフィックパターンを監視および理解する上で重要な役割を果たします。フローモニタは、定義された基準に基づいてフローデータを収集および追跡するFNFの適用インスタンスです。これは、次の3つの主要な要素に関連しています。
- フローレコード:フローモニタがネットワークトラフィックから収集する必要があるデータを定義します。フローデータに含まれるキー(送信元と宛先のIPアドレス、ポート、プロトコルタイプなど)と非キーフィールド(パケットカウンタとバイトカウンタ、タイムスタンプなど)を指定します。
- フローエクスポータ:収集したフローデータを送信する宛先を指定します。これには、NetFlowコレクタのIPアドレス、トランスポートプロトコル(通常はUDP)、コレクタがリッスンしている宛先ポート番号などの詳細が含まれます。
- フローモニタ:フローモニタ自体が、フローレコードとフローエクスポータをバインドし、それらをインターフェイスまたはWLANに適用して、実際にモニタリングプロセスを開始します。フローレコードで設定された基準とフローエクスポータで設定された宛先に基づいて、フローデータを収集してエクスポートする方法を決定します。
AVCがサポートするアクセスポイント
AVCは、次のアクセスポイントでのみサポートされます。
- Cisco Catalyst 9100 シリーズ アクセスポイント
- Cisco Aironet 2800 シリーズ アクセス ポイント
- Cisco Aironet 3800 シリーズ アクセス ポイント
- Cisco Aironet 4800 シリーズ アクセス ポイント
さまざまな9800導入モードのサポート
| 導入モード |
9800 WLC |
Wave 1アクセスポイント |
Wave 2アクセスポイント |
Wifi 6アクセスポイント |
| ローカル モード |
IPV4トラフィック: |
WLCレベルでの処理 |
WLCレベルでの処理 |
WLCレベルでの処理 |
| フレックスモード |
IPV4トラフィック: |
WLCレベルでの処理 |
WLCレベルでの処理 |
WLCレベルでの処理 |
| フレックスモード |
APレベルでの処理 |
IPV4トラフィック: |
IPV4トラフィック: |
IPV4トラフィック: |
| ローカル モード |
APレベルでの処理 |
IPV4トラフィック: |
IPV4トラフィック: |
IPV4トラフィック: |
9800にAVCを実装する場合の制約事項
Application Visibility and Control(AVC)とFlexible NetFlow(FNF)は、いずれもCisco Catalyst 9800シリーズWireless LAN Controllerの強力な機能で、ネットワークの可視性と制御を強化します。ただし、これらの機能を使用する際には、次の制限事項や考慮事項に注意する必要があります。
- レイヤ2ローミングは、複数のコントローラ間ではサポートされていません。
- マルチキャストトラフィックはサポートされません。
- QoS制御の適用に使用できるのは、アプリケーションの可視性が認識されているアプリケーションだけです。
- データリンクは、AVCのNetFlowフィールドではサポートされていません。
- AVC非対応のポリシープロファイルとAVC対応のポリシープロファイルの両方に同じWLANプロファイルをマッピングすることはできません。
- 同じWLANに対して異なるスイッチングメカニズムを持つポリシープロファイルを使用してAVCを実装することはできません。
- AVCは管理ポート(Gig 0/0)ではサポートされていません。
- NBARベースのQoSポリシー設定は、有線物理ポートでのみ許可されます。ポリシー設定は、VLAN、ポートチャネル、その他の論理インターフェイスなどの仮想インターフェイスではサポートされません。
- AVCが有効な場合、AVCプロファイルはデフォルトのDSCPルールを含む最大23のルールのみをサポートします。ルールが23を超える場合、AVCポリシーはAPにプッシュされません。
Network Topology
ローカルモードのAP
ローカルモードAPでのAVC(中央スイッチング)
FlexモードのAP
FlexモードAPのAVC
9800 WLCでのAVCの設定
9800 WLCでAVCを設定する際には、NetFlowコレクタとして使用することも、NefFlowデータを外部NetFlowコレクタにエクスポートすることもできます。
ローカルエクスポータ
Cisco Catalyst 9800ワイヤレスLANコントローラ(WLC)では、ローカルNetFlowコレクタは、NetFlowデータの収集とローカルでの保存を可能にするWLC内の組み込み機能を参照します。この機能により、フローレコードを外部のNetFlowコレクタにエクスポートしなくても、WLCで基本的なNetFlowデータ分析を実行できます。
GUI 経由
ステップ1:特定のSSIDでAVCを有効にするには、Configuration > Services > Application Visibilityの順に選択します。 AVCをアクティブにする特定のポリシープロファイルを選択します。
ポリシープロファイルでのAVCの有効化
ステップ2:Netflowコレクタとしてローカルを選択し、適用をクリックします。
ローカルNetFlowコレクタの選択
AVC設定を適用した後、NetFlowエクスポータとNetFlowの設定が、指定した設定に従って自動的に設定されていることを確認します。
同じことを検証するには、Configuration > Services > Application Visibility > Flow Monitor > Exporter/Monitorの順に移動します。
9800 WLC上のローカルフローコレクタの設定
ローカルNetFlowコレクタを使用したフローモニタの設定
IPv4およびIPv6 AVCフローモニタは、ポリシープロファイルに自動的に関連付けられます。Configuration > Tags & Profile > Policyの順に移動します。Policy Profile > AVCおよびQOSの順にクリックします。
ポリシープロファイルでのフローモニタの設定
CLI の場合
手順1:ローカルエクスポータとして9800 WLCを設定します。
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter wireless-local-exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit
手順2:ローカル(WLC)をNetFlowエクスポータとして使用するようにIPv4およびIPv6ネットワークフローモニタを設定します。
9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter wireless-local-exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor wireless-avc-basic-ipv6
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit
手順3:入力トラフィックと出力トラフィックの両方について、ポリシープロファイルでIPv4およびIPv6フローモニタをマッピングします。
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
外部NetFlowコレクタ
外部NetFlowコレクタは、Cisco Catalyst 9800ワイヤレスLANコントローラ(WLC)上でApplication Visibility and Control(AVC)のコンテキストで使用される場合、WLCからエクスポートされたNetFlowデータを受信、集約、および分析する専用のシステムまたはサービスです。アプリケーションの可視性を監視するように外部NeFlow Collectorのみを設定するか、ローカルコレクタと一緒に使用することができます。
GUI 経由
ステップ1:特定のSSIDでAVCを有効にするには、Configuration > Services > Application Visibilityの順に選択します。 AVCをアクティブにする特定のポリシープロファイルを選択します。 Collector as Externalを選択し、Cisco Prime、SolarWind、StealthWatchなどのNetFlow CollectorのIPアドレスを設定し、Applyをクリックします。
外部NetFlowコレクタ用のAVC設定
AVC設定を適用すると、NetFlowエクスポータとNetFlowの設定は、NetFlowコレクタのIPアドレスをエクスポータとして、エクスポータのアドレスを9800 WLCとして、デフォルトのタイムアウト設定とUDPポート9995を使用して自動的に設定されます。同じことを検証するには、Configuration > Services > Application Visibility > Flow Monitor > Exporter/Monitorの順に移動します。
9800 WLCでの外部NetFlowコレクタの設定
外部NetFlowコレクタを使用したフローモニタの設定
Configuration > Services > NetFlowの順に選択すると、自動的に生成されたNetFlowモニタのポート設定を確認できます。
注:GUIを使用してAVCを設定する場合、自動生成されたNetFlowエクスポータはUDP 9995ポートを使用するように設定されます。NetFlowコレクタが使用しているポート番号を確認してください。
Cisco PrimeをNetFlowコレクタとして使用している場合、Cisco PrimeがNetFlowトラフィックをリッスンするポートであるため、エクスポータポートを9991に設定する必要があります。NetFlow設定でエクスポータポートを手動で変更できます。
NetFlow設定でのエクスポータポート番号の変更
CLI の場合
ステップ1:送信元インターフェイスを使用して外部NetFlowコレクタのIPアドレスを設定します。
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter External_Exporter
9800-Cl-VM(config-flow-exporter)#destination 10.106.36.22
9800-Cl-VM(config-flow-exporter)#source $Source_Interface
9800-Cl-VM(config-flow-exporter)#transport udp $Port_Numbet
9800-Cl-VM(config-flow-exporter)#exit
手順2:ローカル(WLC)をNetFlowエクスポータとして使用するようにIPv4およびIPv6ネットワークフローモニタを設定します。
9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit
手順3:入力トラフィックと出力トラフィックの両方について、ポリシープロファイルでIPv4およびIPv6フローモニタをマッピングします。
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
Cisco Catalyst Centerを使用した9800 WLCでのAVCの設定
Cisco Catalyst Centerを使用してCisco Catalyst 9800ワイヤレスLANコントローラ(WLC)でのApplication Visibility and Control(AVC)の設定を進める前に、WLCとCisco Catalyst Center間のテレメトリ通信が正常に確立されていることを確認することが重要です。WLCがCisco Catalyst Centerインターフェイス内で管理状態になっており、そのヘルスステータスがアクティブに更新されていることを確認します。また、ヘルスステータスを効果的に監視するには、WLCとアクセスポイント(AP)の両方をCisco Catalyst Center内のそれぞれのサイトに適切に割り当てることが重要です。
9800 WLCでのテレメトリ接続の確認
WLCとAPが管理状態である
Cisco Catalyst CenterでのWLCおよびAPのヘルスステータス
ステップ1:Cisco Catalyst CenterをNetFlowコレクタとして設定し、グローバル設定でワイヤレステレメトリを有効にします。Design > Network Setting > Telemetryの順に移動し、図に示すように目的の設定を有効にします。
ワイヤレステレメトリとAVCの設定
ステップ2:目的の9800 WLCでアプリケーションテレメトリを有効にして、9800 WLCでAVC設定をプッシュします。このためには、Provision > Network Device > Inventoryの順に移動します。 アプリケーションテレメトリをアクティブにする9800 WLCを選択し、Action > Telemetry > Enable Application Telemetryの順に移動します。
9800 WLCのアプリケーションテレメトリの有効化
ステップ3:要件に応じて導入モードを選択します。
ローカル:ローカルポリシープロファイルでAVCを有効にします(中央スイッチング)。
Flex/Fabric:Flexポリシープロファイル(ローカルスイッチング)またはファブリックベースのSSIDでAVCを有効にします。
Cisco Catalyst Centerでの導入モードの選択
ステップ4:AVC設定をアクティブ化するタスクが開始され、対応する設定が9800 WLCに適用されます。ステータスを表示するには、Activities > Audit Logの順に選択します。
9800 WLCでテレメトリを有効にした後の監査ログ
Cisco Catalyst Centerは、指定されたポートとその他の設定を含めて、フローエクスポータとフローモニタの設定を展開し、次に示すように、選択されたモードポリシープロファイル内でそれらをアクティブ化します。
Configure Cisco Catalyst Center as Flow Exporter:
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_exporter
9800-Cl-VM(config-flow-exporter)#destination 10.104.222.201
9800-Cl-VM(config-flow-exporter)#source Vlan10
9800-Cl-VM(config-flow-exporter)#transport udp 6007
9800-Cl-VM(config-flow-exporter)#export-protocol ipfix
9800-Cl-VM(config-flow-exporter)#option vrf-table timeout 300
9800-Cl-VM(config-flow-exporter)#option ssid-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-attributes timeout 300
9800-Cl-VM(config-flow-exporter)#exit
Configure 9800 WLC as Local Exporter
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_local_exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit
Configure Network Flow Monitor to use both Local(WLC) and Cisco Catalyst Center as Netflow Exporter:
9800-Cl-VM(config)#flow monitor avc_ipv4_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv6_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv4_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv6_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit
Mapping the IPv4 and IPv6 Flow Minitor in Policy Profile
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance output
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
AVCの検証
9800の場合
9800 WLCをフローエクスポータとして使用すると、次のAVC統計情報を確認できます。
・ すべてのSSIDで接続されているクライアントのアプリケーションの可視性
・ 各クライアントの個別アプリケーションの使用。
・ 各SSIDで個別にアプリケーションを使用
注:データを方向でフィルタするオプションがあり、着信(入力)トラフィックと発信(出力)トラフィックの両方をカバーし、時間間隔でフィルタできます。最大48時間の範囲を選択できます。
GUI 経由
Monitoring > Services > Application Visibilityの順に移動します。
AVC_testing SSIDに接続されたユーザの入力トラフィックと出力トラフィックの両方に対するアプリケーション可視性
各クライアントのApplication Visibility統計情報を表示するには、Clientsタブをクリックして特定のクライアントを選択し、View Application Detailsをクリックします。
特定のクライアントのアプリケーションの可視性 – 1
特定のクライアントのアプリケーションの可視性 – 2
CLI の場合
AVCステータスの確認
9800WLC#show avc status wlan AVC_testing
WLAN profile name: AVC_testing
----------------------------------------------------------
AVC configuration complete: YES
NetFlowからの統計情報(FNFキャッシュ)
9800WLC#show flow monitor $Flow_Monitor_Name cache format table
9800 CLIでのAVCの検証
各WLANとその接続クライアントの上位アプリケーション使用率を個別に調べるには、次の手順を実行します。
9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
where n = <1-30> Enter the number of applications
9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
where n = <1-10> Enter the number of clients
FNFv9パケットカウントを確認し、コントロールプレーン(CP)にパントされたデコードステータス
9800WLC#show platform software wlavc status decoder
FNFv9パケットレコード
nbar統計情報を直接確認することもできます。
9800WLC#show ip nbar protocol-discovery
ファブリックモードおよびフレックスモードでは、次の方法でAPからNBARの統計情報を取得できます。
AP#show avc nbar statistics
Works on both IOS and ClickOS APs
注:外部アンカー設定では、アンカーWLCはクライアントのレイヤ3プレゼンスとして機能し、外部WLCはレイヤ2で動作します。Application Visibility and Control(AVC)はレイヤ3で動作するため、関連データはアンカーWLCでのみ確認できます。
DNAC上
9800 WLCで取得されたパケットキャプチャから、アプリケーションとネットワークトラフィックに関するデータがCisco Catalyst Centerに継続的に送信されていることを確認できます。
9800 WLCでのパケットキャプチャ
Cisco Catalyst Centerの特定のWLCに接続しているクライアントのアプリケーションデータを表示するには、Assurance > Dashboards > Health > Applicationの順に移動します。
Cisco Catalyst CenterでのAVCモニタリング
ここで示すように、クライアントが最も頻繁に使用するアプリケーションを追跡し、最も高いデータコンシューマを特定できます。
上位アプリケーションと上位の帯域幅のユーザ統計情報
特定のSSIDにフィルタを設定して、そのSSIDに関連付けられたクライアントの全体的なスループットとアプリケーション使用状況をモニタできます。
この機能により、ネットワーク内で上位のアプリケーションと帯域幅を最も消費するユーザを特定できます。
さらに、時間フィルタ機能を使用して、このデータを過去の期間で調査し、ネットワークの使用状況に関する履歴の洞察を提供できます。
AVC統計情報を表示する時間フィルタ。 
AVC統計情報を表示するSSIDフィルタ
外部NetFlowコレクタ
例1:NetflowコレクタとしてのCisco Prime
Cisco PrimeをNetflowコレクタとして使用すると、収集された「You can see 9800 WLC as Data source sending Netflow data」と表示され、9800 WLCから送信されるデータに従ってNetFlowテンプレートが自動的に作成されます。
9800 WLCで取得されたパケットキャプチャから、アプリケーションとネットワークトラフィックに関するデータがCisco Primeに継続的に送信されていることを確認できます。
9800 WLCで取得されたパケットキャプチャ
NetflowデータソースとしてのCisco Prime Detecting 9800 WLC
IPアドレスを使用して、アプリケーション、サービス、さらにはクライアントに基づいてフィルタを設定し、より対象を絞ったデータ分析を行うことができます。
すべてのクライアントのアプリケーションの可視性
IPアドレスを使用した特定のクライアントの適用
例2:サードパーティのNetFlowコレクタ
この例では、サードパーティのNetFlowコレクタ[SolarWinds]を使用して、アプリケーションの統計情報を収集します。9800 WLCは、Flexible NetFlow(FNF)を使用して、アプリケーションとネットワークトラフィックに関する包括的なデータを送信します。このデータは、SolarWindsによって収集されます。
SolarWindのNetFlowアプリケーション統計情報
トラフィック制御
トラフィック制御は、ネットワークトラフィックのフローを管理および調整するために使用される一連の機能とメカニズムを指します。トラフィックポリシングまたはレート制限は、クライアントから送信されるトラフィックの量を制御するためにワイヤレスコントローラで使用されるメカニズムです。ネットワークトラフィックのデータレートを監視し、事前定義されたレート制限を超えたときにすぐにアクションを実行するトラフィックが指定されたレートを超えると、レート制限によって超過パケットを廃棄したり、サービスクラス(CoS)またはDifferentiated Services Code Point(DSCP)の値を変更して超過パケットをマークダウンしたりできます。これは、9800 WLCでQOSを設定することで実現できます。https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/215441-configure-qos-rate-limiting-on-catalyst.htmlを参照して、これらのコンポーネントがどのように動作し、さまざまな結果を実現するためにどのように設定できるかについての概要を確認できます。
トラブルシューティング
AVCの問題のトラブルシューティングには、ワイヤレスネットワーク上のアプリケーショントラフィックを正確に特定、分類、および管理するAVCの機能に影響を与える可能性のある問題の特定と解決が含まれます。一般的な問題には、トラフィックの分類、ポリシーの適用、またはレポートに関する問題が含まれます。Catalyst 9800 WLCでAVCの問題をトラブルシューティングする際の手順と考慮事項を次に示します。
- AVC設定の確認:AVCがWLCで正しく設定され、正しいWLANとプロファイルに関連付けられていることを確認します。
-
GUIを使用してAVCを設定する場合、ポート9995がデフォルトとして自動的に割り当てられます。ただし、外部コレクタを使用している場合は、NetFlowトラフィックをリッスンするように設定されているポートを確認します。コレクタの設定に合わせて、このポート番号を正確に設定することが重要です。
- APモデルと導入モードのサポートを確認します。
- ワイヤレスネットワークにAVCを実装する際は、『9800 WLCの制限』を参照してください。
ログ収集
WLCログ
1. すべてのコマンドに対する時間参照を持つようにtimestampを有効にします。
9800WLC#term exec prompt timestamp
2. 設定を確認する
9800WLC#show tech-support wireless
3. avcステータスとNetFlow統計情報を確認できます。
AVC設定のステータスを確認します。
9800WLC#show avc status wlan <wlan_name>
FNFv9パケットカウントを確認し、コントロールプレーン(CP)にパントされたステータスをデコードします。
9800WLC#show platform software wlavc status decoder
NetFlow(FNFキャッシュ)の統計情報を確認します。
9800WLC#show flow monitor <Flow_Monitor_Name>
各WLANのTop n application usageを確認します。n = <1 ~ 30>アプリケーションの数を入力します。
9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
各クライアントの上位n個のアプリケーションの使用状況を確認します。n = <1 ~ 30>アプリケーションの数を入力します。
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
特定のアプリケーションを使用して特定のwlanに接続している上位n個のクライアントを確認します。ここで、n=<1 ~ 10>クライアントの数を入力します。
9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
nbarの統計情報をチェックします。
9800WLC#show ip nbar protocol-discovery
4. ログレベルをdebug/verboseに設定します。
9800WLC#set platform software trace all debug/verbose
!! To View the collected logs
9800WLC#show logging profile wireless internal start last clear to-file bootflash:<File_Name
!!Set logging level back to notice post troubleshooting
9800WLC#set platform software trace wireless all debug/verbose
5. クライアントのMACアドレスの放射性(RA)トレースを有効にして、AVC統計情報を検証します。
CLI の場合
9800WLLC#debug wireless {mac | ip} {aaaa.bbbb.cccc | x.x.x.x } {monitor-time} {N seconds} !! Setting time allows us to enable traces for up to 24 days
9800WLC#no debug wireless mac <Client_MAC>
!!WLC generates a debug trace file with Client_info, command to check for debug trace file generated.
9800WLC#dir bootflash: | i debug
注意:条件付きデバッグを使用すると、デバッグレベルのロギングが有効になり、生成されるログの量が増加します。これを実行したままにすると、ログを表示できる時間を短縮できます。そのため、トラブルシューティングセッションの最後には常にデバッグを無効にすることを推奨します。
# clear platform condition all
# undebug all
GUI 経由
ステップ 1:Troubleshooting > Radioactive Traceに移動します。
ステップ 2:Addをクリックして、トラブルシューティングを行うクライアントのMACアドレスを入力します。追跡するMacアドレスを複数追加できます。
ステップ 3:放射性トレースを開始する準備ができたら、[開始]をクリックします。いったん開始すると、追跡されるMACアドレスに関連するコントロールプレーンの処理に関するデバッグロギングがディスクに書き込まれます。
ステップ 4:トラブルシューティングする問題を再現したら、Stopをクリックします。
ステップ 5:デバッグしたMACアドレスごとに、Generate をクリックして、そのMACアドレスに関連するすべてのログを集計するログファイルを生成できます。
手順 6:照合済みログファイルの取得時間を選択し、Apply to Deviceをクリックします。
手順 7:ファイル名の横にある小さいアイコンをクリックすると、ファイルをダウンロードできます。このファイルはコントローラのブートフラッシュドライブにあり、CLIを使用してコピーすることもできます。
RAトレースでのAVCデバッグの概要を次に示します
2024/07/20 20:15:24.514842337 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 280, #packets 5
2024/07/20 20:15:24.514865665 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:24.514875837 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'unknown'(app-id: 0xd000001), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:40.530177442 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'ping'(app-id: 0xd0001df), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 3600, #packets 60
6. クライアントのMACアドレスによって双方向にフィルタリングされた組み込みキャプチャ、クライアントの内部MACフィルタは17.1以降で使用可能
外部コレクタを使用する場合は、WLCが意図したポートにNetFlowデータを正常に送信しているかどうかを確認できるので、特に便利です。
CLI の場合
monitor capture MYCAP clear
monitor capture MYCAP interface <Interface> both
monitor capture MYCAP buffer size 100
monitor capture MYCAP match any
monitor capture MYCAP inner mac CLIENT_MAC@
monitor capture MYCAP start
!! Inititiate different application traffic from user
monitor capture MYCAP stop
monitor capture MYCAP export flash:|tftp:|http:.../filename.pcap
GUI 経由
ステップ 1:Troubleshooting > Packet Capture > +Addの順に移動します。
ステップ 2:パケットキャプチャの名前を定義します。最大8文字まで入力できます。
ステップ 3:フィルタを定義します(存在する場合)。
ステップ 4:トラフィックがシステムCPUにパントされ、データプレーンに再び注入されるのを確認する場合は、Monitor Control Trafficのボックスにチェックマークを付けます。
ステップ 5:バッファサイズを定義します。最大100 MBまで使用できます。
手順 6:必要に応じて、1 ~ 1000000秒の範囲を許容する期間ごと、または1 ~ 100000パケットの範囲を許容するパケット数ごとに制限を定義します。
手順 7:左側の列のインターフェイスのリストからインターフェイスを選択し、矢印を選択して右側の列に移動します。
ステップ 8:Apply to Deviceをクリックします。
ステップ 9:キャプチャを開始するには、Startを選択します。
ステップ 10:キャプチャを定義された制限まで実行できます。キャプチャを手動で停止するには、Stopを選択します。
ステップ 11停止すると、Exportボタンがクリック可能になり、HTTPまたはTFTPサーバ、FTPサーバ、あるいはローカルシステムのハードディスクまたはフラッシュを介してローカルデスクトップにキャプチャファイル(.pcap)をダウンロードするオプションが表示されます。
AP ログ
ファブリックモードとフレックスモード
1. show tech:APに関するすべての設定の詳細とクライアントの統計情報を表示。
2. APからのshow avc nbar statistics nbar stats
3. AVCデバッグ
AP#term mon
AP#debug capwap client avc <all/detail/error/event>
AP#debug capwap client avc netflow <all/detail/error/event/packet>
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
29-Jul-2024 |
初版 |
フィードバック