Catalyst 9800 Wireless LAN Controller의 AVC 이해

소개

이 문서에서는 애플리케이션 트래픽을 정밀하게 관리할 수 있는 Cisco Catalyst 9800 WLC의 AVC(Application Visibility and Control)에 대해 설명합니다.

사전 요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• Cisco WLC 9800에 대한 기본 지식
• 로컬 및 플렉스 연결 모드 AP에 대한 기본 지식
• 액세스 포인트는 AVC를 지원해야 합니다. (로컬 모드 AP에는 해당되지 않음)
• AVC(QoS)의 제어 부분이 작동하려면 FNF를 통한 애플리케이션 가시성 기능을 구성해야 합니다.

AVC(Application Visibility and Control) 정보

AVC(Application Visibility and Control)는 무선 및 유선 네트워크 모두에서 DPI(Deep Packet Inspection) 기술을 지원하는 Cisco의 선도적인 접근 방식입니다. AVC를 사용하면 실시간 분석을 수행하고 정책을 생성하여 네트워크 정체를 효과적으로 줄이고, 비용이 많이 드는 네트워크 링크 사용을 최소화하고, 불필요한 인프라 업그레이드를 방지할 수 있습니다. 간단히 말해, AVC는 사용자가 NBAR(Network Based Application Recognition)를 통해 완전히 새로운 수준의 트래픽 인식 및 셰이핑을 달성할 수 있도록 합니다. 9800 WLC에서 실행되는 NBAR 패키지는 DPI에 사용되며 결과는 FNF(Flexible NetFlow)를 사용하여 보고됩니다.

AVC는 가시성 외에도 다양한 유형의 트래픽에 대해 우선순위 지정, 차단 또는 조절 기능을 제공합니다. 예를 들어, 관리자는 음성 및 비디오 애플리케이션의 우선 순위를 지정하는 정책을 생성하여 QoS(Quality of Service)를 보장하거나 피크 업무 시간 동안 중요하지 않은 애플리케이션에 사용 가능한 대역폭을 제한할 수 있습니다. 또한 ID 기반 애플리케이션 정책을 위한 Cisco ISE(Identity Services Engine), 중앙 집중식 관리를 위한 Cisco Catalyst Center 등 다른 Cisco 기술과 통합될 수도 있습니다.

AVC 작동 방식

AVC는 DPI를 위해 FNF 및 NBAR2 엔진과 같은 고급 기술을 활용합니다. NBAR2 엔진을 사용하여 트래픽 흐름을 분석하고 식별함으로써, 특정 흐름은 인식된 프로토콜 또는 애플리케이션으로 표시됩니다. 컨트롤러는 모든 보고서를 수집하고 show 명령, 웹 UI 또는 Prime과 같은 외부 NetFlow 컬렉터에 추가 NetFlow 내보내기 메시지를 통해 제공합니다.

Application Visibility(애플리케이션 가시성)가 설정되면 사용자는 QOS(Quality of Service)를 구성하여 클라이언트에 대한 폴리싱 메커니즘으로 제어 규칙을 생성할 수 있습니다.

AVC의 작업 메커니즘

NBAR(Network-Based Application Recognition)

NBAR는 9800 WLC에 통합된 메커니즘으로, 네트워크를 통해 실행되는 다양한 애플리케이션을 식별하고 분류하기 위해 DPI를 수행하는 데 사용됩니다. 암호화된 동적 포트 매핑 애플리케이션을 포함하여 방대한 수의 애플리케이션을 인식하고 분류할 수 있는데, 이는 기존의 패킷 검사 기술에는 잘 보이지 않는 경우가 많습니다.

NBAR는 계속 정기적으로 업데이트되며, NBAR 기능 집합이 최신 상태로 유지되고 유효하도록 하려면 WLC 소프트웨어를 최신 상태로 유지하는 것이 중요합니다.

최신 릴리스에서 지원되는 프로토콜의 전체 목록은 https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/prot_lib/config_library/nbar-prot-pack-library.html에서 확인할 수 있습니다

정책 프로필에서 NBAR 프로토콜 활성화

9800WLC#configure terminal
9800WLC(config)#wireless profile policy AVC_testing
9800WLC(config-wireless-policy)#ip nbar protocol-discovery 
9800WLC(config-wireless-policy)#end

9800WLC#show wireless profile policy detailed AVC_testing | in NBAR
NBAR Protocol Discovery : Enabled

9800 WLC에서 NBAR 업그레이드

9800 WLC에는 이미 ~1500개의 인식 가능한 애플리케이션이 있습니다. 새로운 애플리케이션이 출시되는 경우, 동일한 프로토콜이 최신 NBAR에서 업데이트되며, 이는 특정 9800 모델의 소프트웨어 다운로드 페이지에서 다운로드해야 합니다.

GUI 사용

Configuration(컨피그레이션) > Services(서비스) > Application Visibility(애플리케이션 가시성)로 이동합니다. Upgrade Protocol Pack을 클릭합니다.

9800 WLC의 업로드 프로토콜 섹션

Add(추가)를 클릭한 다음 다운로드할 프로토콜 팩을 선택하고 Upgrade(업그레이드)를 클릭합니다.

NBAR 프로토콜 추가

업그레이드가 완료되면 프로토콜 팩이 추가된 것을 확인할 수 있습니다.

프로토콜 팩 확인

CLI를 통해

9800WLC#copy tftp://10.10.10.1/pp-adv-c9800-1712.1-49-70.0.0.pack bootflash:
9800WLC#configure terminal
9800WLC(config)#ip nbar protocol-pack bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack

To verify NBAR protocol pack version

9800WLC#show ip nbar protocol-pack active
Active Protocol Pack: 
Name: Advanced Protocol Pack
Version: 70.0
Publisher: Cisco Systems Inc.
NBAR Engine Version: 49
Creation time: Tue Jun 4 10:18:09 UTC 2024
File: bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
State: Active

Netflow

NetFlow는 IP 트래픽 정보를 수집하고 네트워크 플로우 데이터를 모니터링하는 데 사용되는 네트워크 프로토콜입니다. 주로 네트워크 트래픽 분석 및 대역폭 모니터링에 사용됩니다. 다음은 NetFlow가 Cisco Catalyst 9800 Series 컨트롤러에서 작동하는 방식에 대한 개요입니다.

• 데이터 수집: 9800 WLC는 WLC를 통해 흐르는 IP 트래픽에 대한 데이터를 수집합니다. 이 데이터에는 소스 및 목적지 IP 주소, 소스 및 목적지 포트, 사용된 프로토콜, 서비스 클래스, 흐름 종료 원인 등의 정보가 포함됩니다.
• 플로우 레코드: 수집된 데이터가 플로우 레코드로 구성됩니다. 흐름은 동일한 소스/대상 IP, 소스/대상 포트, 프로토콜 유형 등 공통 특성 집합을 공유하는 패킷의 단방향 시퀀스로 정의됩니다.
• 데이터 내보내기: 플로우 레코드는 NetFlow 지원 디바이스에서 NetFlow 컬렉터로 정기적으로 내보내집니다. 컬렉터는 로컬 WLC 또는 플로우 데이터를 수신, 저장 및 처리하는 전용 서버 또는 소프트웨어 애플리케이션일 수 있습니다.
• 분석: NetFlow 컬렉터 및 분석 툴을 사용하여 트래픽 패턴을 시각화하고, 대역폭을 식별하고, 보안 침해를 나타내는 비정상적인 트래픽 흐름을 탐지하고, 네트워크 성능을 최적화하고, 네트워크 확장을 계획할 수 있습니다.
• 무선별 정보: 무선 컨트롤러 상황에서 NetFlow는 SSID, AP 이름, 클라이언트 MAC 주소 및 Wi-Fi 트래픽과 관련된 기타 세부 정보와 같은 무선 네트워킹에 관련된 추가 정보를 포함할 수 있습니다.

Flexible Netflow

FNF(Flexible NetFlow)는 기존 NetFlow의 고급 버전이며 Cisco Catalyst 9800 Series WLC(Wireless LAN Controller)에서 지원됩니다. 네트워크 트래픽 패턴을 추적, 모니터링 및 분석하기 위한 더 많은 사용자 지정 옵션을 제공합니다. Catalyst 9800 WLC에서 Flexible NetFlow의 주요 기능은 다음과 같습니다.

• 사용자 지정: FNF를 통해 사용자는 네트워크 트래픽에서 어떤 정보를 수집할지 정의할 수 있습니다. 여기에는 IP 주소, 포트 번호, 타임스탬프, 패킷 및 바이트 수, 애플리케이션 유형 등과 같은 광범위한 트래픽 특성이 포함됩니다.
• 향상된 가시성: 관리자는 FNF를 활용하여 네트워크를 통해 이동하는 트래픽 유형에 대한 자세한 가시성을 확보할 수 있습니다. 이는 용량 계획, 사용량 기반 네트워크 청구, 네트워크 분석 및 보안 모니터링에 필수적입니다.
• 프로토콜 독립성: FNF는 IP 이외의 다양한 프로토콜을 지원할 수 있을 만큼 유연하여 다양한 유형의 네트워크 환경에 적응할 수 있습니다.

Catalyst 9800 WLC에서 흐름 레코드를 외부 NetFlow 컬렉터 또는 분석 애플리케이션에 내보내도록 FNF를 구성할 수 있습니다. 그런 다음 이 데이터를 문제 해결, 네트워크 계획 및 보안 분석에 사용할 수 있습니다. FNF 컨피그레이션에는 플로우 레코드(수집할 항목), 플로우 내보내기(데이터를 전송할 위치)를 정의하고, 해당 인터페이스에 플로우 모니터(레코드 및 내보내기를 바인딩함)를 연결하는 작업이 포함됩니다.

플로우 모니터

플로우 모니터는 FNF(Flexible NetFlow)와 함께 네트워크 트래픽 데이터를 캡처 및 분석하는 데 사용되는 구성 요소입니다. 네트워크 관리, 보안, 문제 해결을 위한 트래픽 패턴을 모니터링하고 파악하는 데 중요한 역할을 합니다. 플로우 모니터는 기본적으로 FNF의 적용된 인스턴스로, 정의된 기준에 따라 플로우 데이터를 수집하고 추적합니다. 세 가지 주요 요소와 연결됩니다.

• Flow Record(플로우 레코드): 플로우 모니터가 네트워크 트래픽에서 수집해야 하는 데이터를 정의합니다. 플로우 데이터에 포함될 키(예: 소스 및 대상 IP 주소, 포트, 프로토콜 유형) 및 키 필드가 아닌 필드(예: 패킷 및 바이트 카운터, 타임스탬프)를 지정합니다.
• 플로우 엑스포터: 수집된 플로우 데이터를 전송해야 하는 대상을 지정합니다. 여기에는 NetFlow 컬렉터의 IP 주소, 전송 프로토콜(일반적으로 UDP), 컬렉터가 수신 중인 목적지 포트 번호 등의 세부사항이 포함됩니다.
• Flow Monitor(플로우 모니터): 플로우 모니터 자체가 플로우 레코드 및 플로우 내보내기를 함께 바인딩하고 인터페이스 또는 WLAN에 적용하여 모니터링 프로세스를 실제로 시작합니다. 플로우 레코드에 설정된 기준과 플로우 내보내기에 설정된 대상에 따라 플로우 데이터를 수집하고 내보내는 방법을 결정합니다.

AVC 지원 액세스 포인트

AVC는 다음 액세스 포인트에서만 지원됩니다.

• Cisco Catalyst 9100 Series Access Point
• Cisco Aironet 2800 Series 액세스 포인트
• Cisco Aironet 3800 Series 액세스 포인트
• Cisco Aironet 4800 Series Access Point

다양한 9800 구축 모드 지원

구축 모드	9800 WLC	Wave 1 액세스 포인트	Wave 2 액세스 포인트	Wifi 6 액세스 포인트
로컬 모드 (중앙 스위칭)	IPV4 트래픽: AVC 지원됨 지원되는 FNF IPV6 트래픽: AVC 지원됨 지원되는 FNF	WLC 레벨에서 처리	WLC 레벨에서 처리	WLC 레벨에서 처리
플렉스 모드 (중앙 스위칭)	IPV4 트래픽: AVC 지원됨 지원되는 FNF IPV6 트래픽: AVC 지원됨 지원되는 FNF	WLC 레벨에서 처리	WLC 레벨에서 처리	WLC 레벨에서 처리
플렉스 모드 (로컬 스위칭)	AP 레벨에서 처리	IPV4 트래픽: AVC 지원됨 지원되는 FNF IPV6 트래픽: AVC 지원됨 FNF가 지원되지 않음	IPV4 트래픽: AVC 지원됨 지원되는 FNF IPV6 트래픽: AVC 지원됨 지원되는 FNF	IPV4 트래픽: AVC 지원됨 지원되는 FNF IPV6 트래픽: AVC 지원됨 지원되는 FNF
로컬 모드 (패브릭)	AP 레벨에서 처리	IPV4 트래픽: AVC가 지원되지 않음 FNF가 지원되지 않음 IPV6 트래픽: AVC가 지원되지 않음 FNF가 지원되지 않음	IPV4 트래픽: AVC 지원됨 지원되는 FNF IPV6 트래픽: AVC 지원됨 지원되는 FNF	IPV4 트래픽: AVC 지원됨 지원되는 FNF IPV6 트래픽: AVC 지원됨 지원되는 FNF

9800에서 AVC를 구현하는 동안 제한 사항

AVC(Application Visibility and Control)와 FNF(Flexible NetFlow)는 모두 Cisco Catalyst 9800 Series Wireless LAN Controller의 강력한 기능으로, 네트워크 가시성과 제어를 향상시킵니다. 그러나 이러한 기능을 사용할 때 유의해야 할 몇 가지 제한 사항과 고려 사항이 있습니다.

• 레이어 2 로밍은 컨트롤러 전체에서 지원되지 않습니다.
• 멀티캐스트 트래픽은 지원되지 않습니다.
• 앱 가시성을 통해 인식된 애플리케이션만 QoS 제어를 적용하는 데 사용할 수 있습니다.
• AVC의 NetFlow 필드에는 데이터 링크가 지원되지 않습니다.
• 동일한 WLAN 프로파일을 AVC-not-enabled 정책 프로파일 및 AVC-enabled 정책 프로파일 모두에 매핑할 수 없습니다.
• AVC를 구현하기 위해 동일한 WLAN에 대해 서로 다른 스위칭 메커니즘을 사용하는 정책 프로파일을 사용할 수 없습니다.
• AVC는 관리 포트(Gig 0/0)에서 지원되지 않습니다.
• NBAR 기반 QoS 정책 컨피그레이션은 유선 물리적 포트에서만 허용됩니다. VLAN, 포트 채널 및 기타 논리적 인터페이스와 같은 가상 인터페이스에서는 정책 컨피그레이션이 지원되지 않습니다.
• AVC가 활성화된 경우 AVC 프로필은 기본 DSCP 규칙을 포함하는 최대 23개의 규칙만 지원합니다. 규칙이 23개를 초과하는 경우 AVC 정책은 AP로 푸시되지 않습니다.
  
  

네트워크 토폴로지

로컬 모드의 AP

로컬 모드 AP의 AVC(중앙 스위칭)

플렉스 모드의 AP

Flex Mode AP의 AVC

9800 WLC에서 AVC 컨피그레이션

9800 WLC에서 AVC를 구성하는 동안 NetFlow 컬렉터로 사용하거나 NefFlow 데이터를 외부 NetFlow 컬렉터로 내보낼 수 있습니다.

로컬 엑스포터

Cisco Catalyst 9800 WLC(Wireless LAN Controller)에서 로컬 NetFlow 컬렉터는 NetFlow 데이터를 수집하고 로컬에 저장할 수 있도록 WLC에 내장된 기능을 의미합니다. 이 기능을 사용하면 WLC에서 외부 NetFlow 컬렉터에 플로우 레코드를 내보낼 필요 없이 기본 NetFlow 데이터 분석을 수행할 수 있습니다.

GUI 사용

1단계: 특정 SSID에서 AVC를 활성화하려면 Configuration(컨피그레이션) > Services(서비스) > Application Visibility(애플리케이션 가시성)로 이동합니다. AVC를 활성화할 특정 정책 프로필을 선택합니다.

정책 프로필에서 AVC 활성화

2단계: Local as Netflow Collector(Netflow 컬렉터로 로컬)를 선택하고 Apply(적용)를 클릭합니다.

로컬 NetFlow 컬렉터 선택

AVC 컨피그레이션을 적용한 후에는 지정된 환경 설정에 따라 NetFlow Exporter 및 NetFlow 설정이 자동으로 구성되었는지 확인합니다.

Configuration(컨피그레이션) > Services(서비스) > Application Visibility(애플리케이션 가시성) > Flow Monitor(플로우 모니터) > Exporter/Monitor(내보내기/모니터)로 이동하여 동일한 항목을 검증할 수 있습니다.

9800 WLC의 로컬 플로우 컬렉터 컨피그레이션

로컬 NetFlow 컬렉터를 사용한 플로우 모니터 컨피그레이션

IPv4 및 IPv6 AVC 플로우 모니터는 정책 프로파일과 자동으로 연결됩니다. Configuration(컨피그레이션) > Tags & Profile(태그 및 프로필) > Policy(정책)로 이동합니다. Policy Profile(정책 프로필) > AVC 및 QOS를 클릭합니다.

정책 프로필의 흐름 모니터 컨피그레이션

CLI를 통해

1단계: 9800 WLC를 로컬 엑스포터로 구성합니다.

9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter wireless-local-exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit

2단계: Netflow Exporter로 Local(WLC)을 사용하도록 IPv4 및 IPv6 Network Flow Monitor를 구성합니다.

9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter wireless-local-exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor wireless-avc-basic-ipv6
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit

3단계: 인그레스 트래픽과 이그레스 트래픽 모두에 대해 정책 프로필에 IPv4 및 IPv6 Flow Minitor를 매핑합니다.

9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown

Disabling policy profile will result in associated AP/Client rejoin

9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit

외부 NetFlow 컬렉터

외부 NetFlow 컬렉터는 Cisco Catalyst 9800 WLC(Wireless LAN Controller)의 AVC(Application Visibility and Control) 컨텍스트에서 사용되는 경우 WLC에서 내보낸 NetFlow 데이터를 수신, 집계 및 분석하는 전용 시스템 또는 서비스입니다. Application Visibility(애플리케이션 가시성)를 모니터링하도록 외부 NetFlow 컬렉터만 구성하거나 로컬 컬렉터와 함께 사용할 수 있습니다. 

GUI 사용

1단계: 특정 SSID에서 AVC를 활성화하려면 Configuration(컨피그레이션) > Services(서비스) > Application Visibility(애플리케이션 가시성)로 이동합니다. AVC를 활성화할 특정 정책 프로필을 선택합니다. Collector as External(컬렉터를 외부)을 선택하고 Cisco Prime, SolarWind, StealthWatch와 같은 NetFlow 컬렉터의 IP 주소를 구성하고 Apply(적용)를 클릭합니다.

외부 NetFlow 컬렉터를 위한 AVC 컨피그레이션

AVC 컨피그레이션을 적용하면 NetFlow Exporter 및 NetFlow 설정이 NetFlow Collector IP 주소를 exporter로, Exporter 주소를 9800 WLC로, 기본 시간 초과 설정 및 UDP 포트 9995로 자동으로 구성되었는지 확인합니다. Configuration(컨피그레이션) > Services(서비스) > Application Visibility(애플리케이션 가시성) > Flow Monitor(플로우 모니터) > Exporter/Monitor(내보내기/모니터)로 이동하여 동일한 항목을 검증할 수 있습니다.

9800 WLC의 외부 NetFlow 컬렉터 컨피그레이션

외부 NetFlow 컬렉터를 사용한 플로우 모니터 컨피그레이션

Configuration(컨피그레이션) > Services(서비스) > NetFlow로 이동하여 자동으로 생성된 NetFlow 모니터의 포트 컨피그레이션을 확인할 수 있습니다.

예를 들어 NetFlow 컬렉터로 Cisco Prime을 사용하는 경우 Exporter 포트를 9991로 설정해야 합니다. Cisco Prime이 NetFlow 트래픽을 수신 대기하는 포트이기 때문입니다. NetFlow 컨피그레이션에서 내보내기 포트를 수동으로 변경할 수 있습니다.

NetFlow 컨피그레이션에서 내보내기 포트 번호 변경

CLI를 통해

1단계: 소스 인터페이스를 사용하여 외부 NetFlow 컬렉터의 IP 주소를 구성합니다.

9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter External_Exporter
9800-Cl-VM(config-flow-exporter)#destination 10.106.36.22
9800-Cl-VM(config-flow-exporter)#source $Source_Interface
9800-Cl-VM(config-flow-exporter)#transport udp $Port_Numbet
9800-Cl-VM(config-flow-exporter)#exit

2단계: Netflow Exporter로 Local(WLC)을 사용하도록 IPv4 및 IPv6 Network Flow Monitor를 구성합니다.

9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit

3단계: 인그레스 트래픽과 이그레스 트래픽 모두에 대해 정책 프로필에 IPv4 및 IPv6 Flow Minitor를 매핑합니다.

9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown

Disabling policy profile will result in associated AP/Client rejoin

9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit

Cisco Catalyst Center를 사용하여 9800 WLC에서 AVC 구성

Cisco Catalyst Center를 통해 Cisco Catalyst 9800 WLC(Wireless LAN Controller)에서 AVC(Application Visibility and Control) 컨피그레이션을 진행하기 전에 WLC와 Cisco Catalyst Center 간의 텔레메트리 통신이 성공적으로 설정되었는지 확인하는 것이 중요합니다. WLC가 Cisco Catalyst Center 인터페이스 내에서 관리된 상태로 나타나는지, 그리고 해당 상태가 활발하게 업데이트되고 있는지 확인합니다. 또한 상태를 효과적으로 모니터링하려면 Cisco Catalyst Center 내의 각 사이트에 WLC와 액세스 포인트(AP)를 올바르게 할당해야 합니다.

9800 WLC의 텔레메트리 연결 확인

WLC 및 AP가 관리 상태에 있음

Cisco Catalyst Center의 WLC 및 AP 상태

1단계: Cisco Catalyst Center를 NetFlow 컬렉터로 구성하고 전역 설정에서 무선 텔레메트리를 활성화합니다. Design(설계) > Network Setting(네트워크 설정) > Telemetry(텔레메트리)로 이동하여 표시된 대로 원하는 컨피그레이션을 활성화합니다.

무선 텔레메트리 및 AVC 컨피그레이션

2단계: 9800 WLC에서 AVC 컨피그레이션을 푸시하려면 원하는 9800 WLC에서 애플리케이션 텔레메트리를 활성화합니다. 이를 위해 Provision(프로비저닝) > Network Device(네트워크 디바이스) > Inventory(인벤토리)로 이동합니다. 애플리케이션 텔레메트리를 활성화할 9800 WLC를 선택한 다음 Action(작업) > Telemetry(텔레메트리) > Enable Application Telemetry(애플리케이션 텔레메트리 활성화)로 이동합니다.

9800 WLC에서 애플리케이션 텔레메트리 활성화

3단계: 요구 사항에 따라 구축 모드를 선택합니다.
Local(로컬): 로컬 정책 프로파일에서 AVC를 활성화하려면(중앙 스위칭)

Flex/Fabric: Flex 정책 프로파일(로컬 스위칭) 또는 패브릭 기반 SSID에서 AVC를 활성화합니다.

Cisco Catalyst Center에서 구축 모드 선택

4단계: AVC 설정을 활성화하는 작업을 시작하고 해당 컨피그레이션이 9800 WLC에 적용됩니다. Activities(활동) > Audit Log(감사 로그)로 이동하여 상태를 볼 수 있습니다.

9800 WLC에서 텔레메트리 활성화 후 감사 로그

Cisco Catalyst Center는 지정된 포트 및 기타 설정을 포함하여 Flow Exporter 및 Flow Monitor 컨피그레이션을 구축하고 아래 표시된 대로 선택한 모드 정책 프로필 내에서 활성화합니다.

Configure Cisco Catalyst Center as Flow Exporter:

9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_exporter
9800-Cl-VM(config-flow-exporter)#destination 10.104.222.201
9800-Cl-VM(config-flow-exporter)#source Vlan10
9800-Cl-VM(config-flow-exporter)#transport udp 6007
9800-Cl-VM(config-flow-exporter)#export-protocol ipfix
9800-Cl-VM(config-flow-exporter)#option vrf-table timeout 300
9800-Cl-VM(config-flow-exporter)#option ssid-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-attributes timeout 300
9800-Cl-VM(config-flow-exporter)#exit

Configure 9800 WLC as Local Exporter

9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_local_exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit

Configure Network Flow Monitor to use both Local(WLC) and Cisco Catalyst Center as Netflow Exporter:

9800-Cl-VM(config)#flow monitor avc_ipv4_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor avc_ipv6_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor avc_ipv4_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor avc_ipv6_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit

Mapping the IPv4 and IPv6 Flow Minitor in Policy Profile

9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown

Disabling policy profile will result in associated AP/Client rejoin

9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance output
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit

AVC 확인

9800에서

9800 WLC를 Flow Exporter로 활용할 경우 다음 AVC 통계를 확인할 수 있습니다.

· 모든 SSID에 연결된 클라이언트에 대한 애플리케이션 가시성

· 각 클라이언트에 대한 개별 애플리케이션 사용

· 각 SSID에서 특정 애플리케이션을 별도로 사용합니다.

GUI 사용

Monitoring(모니터링) > Services(서비스) > Application Visibility(애플리케이션 가시성)로 이동합니다.

인그레스 및 이그레스 트래픽 모두에 대해 AVC_testing SSID에 연결된 사용자의 애플리케이션 가시성

각 클라이언트에 대한 애플리케이션 가시성 통계를 보려면 Clients(클라이언트) 탭을 클릭하고 특정 클라이언트를 선택한 다음 View Application Details(애플리케이션 세부사항 보기)를 클릭합니다.

특정 클라이언트에 대한 애플리케이션 가시성 - 1

특정 클라이언트에 대한 애플리케이션 가시성 - 2

CLI를 통해

AVC 상태 확인

9800WLC#show avc status wlan AVC_testing
WLAN profile name: AVC_testing
----------------------------------------------------------
AVC configuration complete: YES

NetFlow의 통계(FNF 캐시)

9800WLC#show flow monitor $Flow_Monitor_Name cache format table

9800 CLI에서 AVC 확인

각 WLAN 및 연결된 클라이언트에 대한 상위 애플리케이션 사용량을 개별적으로 검사하려면

9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
where n = <1-30> Enter the number of applications

9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
where n =  <1-10> Enter the number of clients

FNFv9 패킷 수 확인 및 CP(Control Plane)에 대해 적용된 상태 디코딩

9800WLC#show platform software wlavc status decoder

FNFv9 패킷 레코드

nbar 통계를 직접 확인할 수도 있습니다.

9800WLC#show ip nbar protocol-discovery

패브릭 및 플렉스 모드에서는 다음을 통해 AP에서 NBAR 통계를 확인할 수 있습니다.

AP#show avc nbar statistics 
Works on both IOS and ClickOS APs

DNAC에서

9800 WLC의 패킷 캡처를 통해 애플리케이션 및 네트워크 트래픽에 관한 데이터를 Cisco Catalyst Center에 지속적으로 전송하는지 확인할 수 있습니다.

9800 WLC의 패킷 캡처

Cisco Catalyst Center의 특정 WLC에 연결된 클라이언트에 대한 애플리케이션 데이터를 보려면 Assurance > Dashboards > Health > Application으로 이동합니다.

Cisco Catalyst Center의 AVC 모니터링

여기서 보여주는 것처럼, Cisco는 클라이언트에서 가장 자주 사용하는 애플리케이션을 추적하고 가장 높은 데이터 소비자를 식별할 수 있습니다.

상위 애플리케이션 및 상위 대역폭 사용자 통계

특정 SSID에 대한 필터를 설정할 수 있습니다. 그러면 해당 SSID와 연결된 클라이언트의 전체 처리량 및 애플리케이션 사용량을 모니터링할 수 있습니다.

이 기능을 사용하면 네트워크에서 상위 애플리케이션 및 대역폭 사용량이 가장 높은 사용자를 식별할 수 있습니다.

또한 Time Filter 기능을 활용하여 이전 기간에 대한 이 데이터를 검토하여 네트워크 사용량에 대한 이력 정보를 제공할 수 있습니다.

AVC 통계를 표시할 시간 필터입니다.                             AVC 통계를 표시하는 SSID 필터

외부 NetFlow 컬렉터

예1: Cisco Prime as Netflow Collector

Cisco Prime을 Netflow 컬렉터로 사용하는 경우 수집된 Netflow 데이터를 전송하는 데이터 소스로 9800 WLC를 볼 수 있으며 9800 WLC에서 전송하는 데이터에 따라 NetFlow 템플릿이 자동으로 생성됩니다. 

9800 WLC에서 수집한 패킷 캡처에서 애플리케이션 및 네트워크 트래픽에 대한 데이터를 Cisco Prime으로 지속적으로 전송하는지 확인할 수 있습니다.

9800 WLC에서 수행된 패킷 캡처

Cisco Prime Detecting 9800 WLC as Netflow 데이터 소스

더 표적화된 데이터 분석을 위해 IP 주소를 사용하여 애플리케이션, 서비스 및 클라이언트별로 필터를 설정할 수 있습니다.

모든 클라이언트에 대한 애플리케이션 가시성

IP 주소를 사용하는 특정 클라이언트의 애플리케이션

예 2: 서드파티 NetFlow 컬렉터

이 예에서는 서드파티 NetFlow 컬렉터 [SolarWinds]를 사용하여 애플리케이션 통계를 수집합니다. 9800 WLC는 FNF(Flexible NetFlow)를 사용하여 애플리케이션 및 네트워크 트래픽에 대한 포괄적인 데이터를 전송하고, 이를 SolarWinds에서 수집합니다.

SolarWind의 Netflow 적용 통계

트래픽 제어

트래픽 제어는 네트워크 트래픽의 흐름을 관리하고 제어하는 데 사용되는 기능 및 메커니즘 집합을 가리킵니다. 트래픽 정책 또는 속도 제한은 무선 컨트롤러에서 클라이언트에서 전송되는 트래픽의 양을 제어하는 데 사용되는 메커니즘입니다. 네트워크 트래픽에 대한 데이터 속도를 모니터링하고 미리 정의된 속도 제한이 초과되면 즉각적인 조치를 취합니다. 트래픽이 지정된 속도를 초과할 경우 속도 제한은 초과 패킷을 삭제하거나 해당 CoS(Class of Service) 또는 DSCP(Differentiated Services Code Point) 값을 변경하여 패킷을 아래로 표시할 수 있습니다. 이는 9800 WLC에서 QOS를 구성함으로써 달성할 수 있습니다. https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/215441-configure-qos-rate-limiting-on-catalyst.html을 참조하여 이러한 구성 요소의 작동 원리와 다른 결과를 얻기 위해 구성 가능한 방법을 개괄적으로 살펴볼 수 있습니다.

문제 해결

AVC 문제 해결에는 무선 네트워크에서 애플리케이션 트래픽을 정확하게 식별, 분류 및 관리하는 AVC의 기능에 영향을 줄 수 있는 문제를 식별하고 해결하는 작업이 포함됩니다. 일반적인 문제로는 트래픽 분류, 정책 시행 또는 보고 관련 문제가 포함될 수 있습니다. 다음은 Catalyst 9800 WLC에서 AVC 문제를 해결할 때 몇 가지 단계와 고려 사항입니다.

• AVC 컨피그레이션 확인: AVC가 WLC에 올바르게 구성되어 있고 올바른 WLAN 및 프로필과 연결되어 있는지 확인합니다.

• GUI를 통해 AVC를 설정할 때 자동으로 포트 9995가 기본값으로 할당됩니다. 그러나 외부 컬렉터를 사용하는 경우, NetFlow 트래픽에 대해 수신 대기하도록 구성된 포트를 확인합니다. 컬렉터의 설정과 일치하도록 이 포트 번호를 정확하게 구성해야 합니다.

• AP 모델 및 구축 모드 지원을 확인합니다.
• 무선 네트워크에 AVC를 구현하는 동안 9800 WLC의 제한을 참조하십시오.

로그 수집

WLC 로그

1. 타임스탬프를 활성화하여 모든 명령에 대한 시간 참조를 가질 수 있습니다.

9800WLC#term exec prompt timestamp

2. 구성을 검토합니다.

9800WLC#show tech-support wireless

3. avc 상태 및 netflow 통계를 확인할 수 있습니다.

AVC 컨피그레이션 상태를 확인합니다.

9800WLC#show avc status wlan <wlan_name>  

FNFv9 패킷 수를 확인하고 CP(Control Plane)에 대한 상태를 디코딩합니다.

9800WLC#show platform software wlavc status decoder 

NetFlow(FNF 캐시)에서 통계를 확인합니다.

9800WLC#show flow monitor <Flow_Monitor_Name> 

각 wlan에 대한 Top n application usage(상위 n 애플리케이션 사용량)를 선택합니다. 여기서 n = <1-30> 애플리케이션 수를 입력합니다.

9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>

각 클라이언트의 상위 n 애플리케이션 사용량을 확인합니다. 여기서 n = <1-30> 애플리케이션 수를 입력합니다.

9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream> 

특정 애플리케이션을 사용하여 특정 wlan에 연결된 상위 n 클라이언트를 확인합니다. 여기서 n=<1-10> 클라이언트 수를 입력합니다.

9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream> 

nbar 통계를 확인합니다.

9800WLC#show ip nbar protocol-discovery

4. 로깅 수준을 debug/verbose로 설정합니다.

9800WLC#set platform software trace all debug/verbose

!! To View the collected logs
9800WLC#show logging profile wireless internal start last clear to-file bootflash:<File_Name

!!Set logging level back to notice post troubleshooting
9800WLC#set platform software trace wireless all debug/verbose

5. AVC 통계를 확인하기 위해 클라이언트 MAC 주소에 대한 RA(Radioactive) 추적을 활성화합니다. 
CLI를 통해

9800WLLC#debug wireless {mac | ip} {aaaa.bbbb.cccc | x.x.x.x } {monitor-time} {N seconds} !! Setting time allows us to enable traces for up to 24 days
9800WLC#no debug wireless mac <Client_MAC> 
!!WLC generates a debug trace file with Client_info, command to check for debug trace file generated.
9800WLC#dir bootflash: | i debug

# clear platform condition all  
# undebug all 

GUI 사용
1단계. Troubleshooting(문제 해결) > Radioactive Trace(방사능 추적)로 이동합니다.
2단계. Add(추가)를 클릭하고 문제를 해결할 클라이언트 Mac 주소를 입력합니다. 추적할 여러 Mac 주소를 추가할 수 있습니다.

3단계. 방사능 추적을 시작할 준비가 되면 start(시작)를 클릭합니다. 일단 시작되면, 추적 된 MAC 주소와 관련된 제어 평면 처리에 대한 디버깅 로깅은 디스크에 기록됩니다.

4단계. 문제를 재현하여 문제를 해결하려면 Stop을 클릭합니다.

5단계. 디버깅된 각 mac 주소에 대해 Generate(생성)를 클릭하여 해당 mac 주소와 관련된 모든 로그를 취합하는 로그 파일을 생성할 수 있습니다.

6단계. 취합된 로그 파일을 사용할 기간을 선택하고 Apply to Device(디바이스에 적용)를 클릭합니다.

7단계. 이제 파일 이름 옆에 있는 작은 아이콘을 클릭하여 파일을 다운로드할 수 있습니다. 이 파일은 컨트롤러의 부트 플래시 드라이브에 있으며 CLI를 통해 즉시 복사할 수도 있습니다.

RA 추적에서 AVC 디버그를 엿볼 수 있습니다.

2024/07/20 20:15:24.514842337 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 280, #packets 5
2024/07/20 20:15:24.514865665 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:24.514875837 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'unknown'(app-id: 0xd000001), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:40.530177442 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'ping'(app-id: 0xd0001df), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 3600, #packets 60

6. 양방향으로 클라이언트 MAC 주소로 필터링 된 임베디드 캡처, 17.1 이후에 사용 가능한 클라이언트 내부 MAC 필터.

외부 컬렉터를 사용할 때 특히 유용합니다. WLC가 NetFlow 데이터를 예상대로 원하는 포트에 전송하는지 확인하는 데 도움이 되기 때문입니다.

CLI를 통해

monitor capture MYCAP clear
monitor capture MYCAP interface <Interface> both
monitor capture MYCAP buffer size 100
monitor capture MYCAP match any
monitor capture MYCAP inner mac CLIENT_MAC@
monitor capture MYCAP start
!! Inititiate different application traffic from user
monitor capture MYCAP stop
monitor capture MYCAP export flash:|tftp:|http:.../filename.pcap

GUI 사용 
1단계. Troubleshooting(문제 해결) > Packet Capture(패킷 캡처) > +Add(추가)로 이동합니다.

2단계. 패킷 캡처의 이름을 정의합니다. 최대 8자까지 허용됩니다.

3단계. 필터를 정의합니다(있는 경우).

4단계. 시스템 CPU로 보내지고 데이터 플레인으로 다시 주입되는 트래픽을 보려면 Monitor Control Traffic(제어 트래픽 모니터링) 확인란을 선택합니다.

5단계. 버퍼 크기를 정의합니다. 최대 100MB가 허용됩니다.

6단계. 원하는 대로 1~1000000초 범위를 허용하는 기간 또는 1~100000 패킷 범위를 허용하는 패킷 수로 제한을 정의합니다.

7단계. 왼쪽 열의 인터페이스 목록에서 인터페이스를 선택하고 화살표를 선택하여 오른쪽 열로 이동합니다.

8단계. Apply to Device(디바이스에 적용)를 클릭합니다.

9단계. 캡처를 시작하려면 Start(시작)를 선택합니다.

10단계. 캡처가 정의된 한도까지 실행되도록 할 수 있습니다. 캡처를 수동으로 중지하려면 중지를 선택합니다.

11단계. 중지되면 Export(내보내기) 버튼을 클릭하여 HTTP 또는 TFTP 서버나 FTP 서버 또는 로컬 시스템 하드 디스크나 플래시를 통해 로컬 데스크톱에 캡처 파일(.pcap)을 다운로드할 수 있습니다.

AP 로그 

패브릭 및 플렉스 모드

1. AP에 대한 모든 컨피그레이션 세부사항 및 클라이언트 통계를 표시하려면 tech를 표시합니다.

2. show avc nbar statistics nbar stats from AP

3. AVC 디버깅

AP#term mon
AP#debug capwap client avc <all/detail/error/event>
AP#debug capwap client avc netflow <all/detail/error/event/packet>

관련 정보

AVC 컨피그레이션 가이드

9800 WLC에서 속도 제한