Begrijp AVC op de Catalyst 9800 draadloze LAN-controller

Inleiding

Dit document beschrijft Application Visibility and Control (AVC) op een Cisco Catalyst 9800 WLC die nauwkeurig beheer van toepassingsverkeer mogelijk maakt.

Voorwaarde

Cisco raadt kennis van de volgende onderwerpen aan:

• Basiskennis van Cisco WLC 9800.
• Basiskennis van lokale en flex access mode AP.
• De toegangspunten moeten geschikt zijn voor AVC. (Niet van toepassing met Local Mode AP)
• Om het besturingspakket van AVC (QoS) te laten werken, moet de functie voor applicatiezichtbaarheid met FNF worden geconfigureerd.

Informatie over Application Visibility and Control (AVC)

Application Visibility and Control (AVC) is de toonaangevende benadering van Cisco voor DPI-technologie (deep-packet inspection) voor zowel draadloze als bekabelde netwerken. Met AVC kunt u real-time analyses uitvoeren en beleid maken om netwerkcongestie effectief te reduceren, kostbaar netwerklinkgebruik te minimaliseren en onnodige infrastructuurupgrades te vermijden. Kortom, AVC stelt gebruikers in staat om een geheel nieuw niveau van verkeersherkenning en -vormgeving te bereiken via Network Based Application Recognition (NBAR). NBAR-pakketten die worden uitgevoerd op de 9800 WLC worden gebruikt voor DPI en de resultaten worden gerapporteerd met Flexible NetFlow (FNF).

Naast zichtbaarheid biedt AVC de mogelijkheid om verschillende soorten verkeer prioriteren, blokkeren of vertragen. Beheerders kunnen bijvoorbeeld beleid maken waarbij spraak- en videotoepassingen prioriteit krijgen om Quality of Service (QoS) te waarborgen of de bandbreedte die beschikbaar is voor niet-essentiële toepassingen tijdens piekuren te beperken. Het programma kan ook worden geïntegreerd met andere Cisco-technologieën, zoals Cisco Identity Services Engine (ISE) voor op identiteit gebaseerde toepassingen en Cisco Catalyst Center voor gecentraliseerd beheer.

Hoe AVC werkt

AVC maakt gebruik van geavanceerde technologieën zoals FNF en NBAR2 engine voor DPI. Door verkeersstromen te analyseren en te identificeren met behulp van de NBAR2-motor, worden specifieke stromen gemarkeerd met het herkende protocol of de herkende toepassing. De controller verzamelt alle rapporten en presenteert ze via showcommando's, Web UI of extra NetFlow-exportberichten naar externe NetFlow-collectors zoals Prime.

Wanneer Toepassingszichtbaarheid is vastgesteld, kunnen gebruikers besturingsregels maken met controlemechanismen voor clients door Quality of Service (QOS) te configureren.

Werkmechanisme van AVC

Netwerkgebaseerde toepassingsherkenning (NBAR)

NBAR is een mechanisme dat is geïntegreerd in de 9800 WLC, die wordt gebruikt om DPI uit te voeren voor het identificeren en classificeren van een grote verscheidenheid aan toepassingen die over een netwerk lopen. Het kan een groot aantal toepassingen herkennen en classificeren, inclusief versleutelde en dynamisch poorttoegewezen toepassingen, die vaak niet zichtbaar zijn voor traditionele pakketinspectietechnologieën.

NBAR blijft periodiek worden bijgewerkt, en het is belangrijk om de software WLC bijgewerkt te houden om ervoor te zorgen dat de NBAR functieset huidig en effectief blijft.

Een volledige lijst van de protocollen die in de laatste releases worden ondersteund, is te vinden op https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/prot_lib/config_library/nbar-prot-pack-library.html

NBAR-protocol inzake beleidsprofiel inschakelen

9800WLC#configure terminal
9800WLC(config)#wireless profile policy AVC_testing
9800WLC(config-wireless-policy)#ip nbar protocol-discovery 
9800WLC(config-wireless-policy)#end

9800WLC#show wireless profile policy detailed AVC_testing | in NBAR
NBAR Protocol Discovery : Enabled

NBAR upgraden op 9800 WLC

De 9800 WLC heeft al ~1500 herkenbare applicaties. In het geval dat een nieuwe toepassing wordt uitgebracht, wordt het protocol voor dezelfde toepassing bijgewerkt in de laatste NBAR die gedownload zou moeten worden van de Software Download pagina voor het specifieke model 9800.

Via GUI

Ga naar Configuration > Services > Application Visibility. Klik op Upgradeprotocolpakket .

Sectie met uploadprotocol in 9800 WLC

Klik op Add, kies vervolgens het protocolpakket dat moet worden gedownload en klik op Upgrade .

NBAR-protocol toevoegen

Zodra de upgrade is uitgevoerd, wordt het protocolpakket toegevoegd.

Verificatie van protocolpakket

Via CLI

9800WLC#copy tftp://10.10.10.1/pp-adv-c9800-1712.1-49-70.0.0.pack bootflash:
9800WLC#configure terminal
9800WLC(config)#ip nbar protocol-pack bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack

To verify NBAR protocol pack version

9800WLC#show ip nbar protocol-pack active
Active Protocol Pack: 
Name: Advanced Protocol Pack
Version: 70.0
Publisher: Cisco Systems Inc.
NBAR Engine Version: 49
Creation time: Tue Jun 4 10:18:09 UTC 2024
File: bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
State: Active

NetFlow

NetFlow is een netwerkprotocol dat wordt gebruikt voor het verzamelen van IP-verkeersinformatie en het bewaken van netwerkstroomgegevens. Het wordt voornamelijk gebruikt voor netwerkverkeersanalyse en bandbreedtebewaking. Hier is een overzicht van hoe NetFlow werkt op de Cisco Catalyst 9800 Series controllers:

• Gegevensverzameling: 9800 WLC verzamelt gegevens over IP-verkeer dat door hen stroomt. Deze gegevens omvatten informatie zoals bron en bestemming IP adressen, bron en bestemmingshavens, gebruikte protocollen, klasse van de dienst, en de oorzaak van stroombeëindiging.
• Flow Records: De verzamelde gegevens worden georganiseerd in flow records. Een stroom wordt gedefinieerd als een unidirectionele opeenvolging van pakketten die een reeks gemeenschappelijke eigenschappen delen, zoals de zelfde bron/bestemming IP, bron/bestemmingshavens, en protocoltype.
• Gegevens exporteren: De stroomrecords worden periodiek van het NetFlow-enabled apparaat geëxporteerd naar een NetFlow Collector. De collector kan lokale WLC zijn of een speciale server of softwaretoepassing die de stroomgegevens ontvangt, opslaat en verwerkt.
• Analyse: U kunt NetFlow-verzamelaars en analysetools gebruiken om verkeerspatronen te visualiseren, bandbreedte te identificeren, ongebruikelijke verkeersstromen te detecteren die duiden op veiligheidsbreuken, netwerkprestaties te optimaliseren en netwerkuitbreiding te plannen.
• Draadloze specifieke informatie: In de context van draadloze controllers kan NetFlow aanvullende informatie bevatten die specifiek is voor draadloze netwerken, zoals de SSID, AP-namen, client-MAC-adressen en andere details die relevant zijn voor Wi-Fi verkeer.

Flexibele NetFlow

Flexibele NetFlow (FNF) is een geavanceerde versie van traditionele NetFlow, en wordt ondersteund door Cisco Catalyst 9800 Series draadloze LAN-controllers (WLC’s). Het verstrekt meer aanpassingsopties om, netwerkverkeerspatronen te volgen te controleren en te analyseren. De belangrijkste functies van Flexible NetFlow op Catalyst 9800 WLC zijn:

• Aanpassing: FNF stelt gebruikers in staat om te bepalen welke informatie ze willen verzamelen van het netwerkverkeer. Dit omvat een brede reeks verkeerskenmerken zoals IP-adressen, poortnummers, tijdstempels, pakket- en bytellingen, toepassingstypen en meer.
• Verbeterde zichtbaarheid: Door gebruik te maken van FNF, verkrijgen beheerders een gedetailleerd inzicht in de soorten verkeer die door het netwerk stromen, wat essentieel is voor capaciteitsplanning, op gebruik gebaseerde netwerkfacturering, netwerkanalyse en beveiligingsbewaking.
• Protocolonafhankelijkheid: FNF is flexibel genoeg om verschillende protocollen buiten IP te ondersteunen, waardoor het aanpasbaar is aan verschillende soorten netwerkomgevingen.

Op de Catalyst 9800 WLC kan FNF worden geconfigureerd om stroomrecords te exporteren naar een externe NetFlow Collector of analysetoepassing. Deze gegevens kunnen vervolgens worden gebruikt voor probleemoplossing, netwerkplanning en beveiligingsanalyse. De FNF-configuratie omvat het definiëren van een flow record (wat te verzamelen), een flow exporteur (waar de gegevens te verzenden) en het toevoegen van de flow monitor (die de record en de exporteur bindt) aan de juiste interfaces.

Flow Monitor

Een flowmonitor is een component die in combinatie met Flexible NetFlow (FNF) wordt gebruikt om netwerkverkeersgegevens op te nemen en te analyseren. Het speelt een cruciale rol in de bewaking en het begrip van verkeerspatronen voor netwerkbeheer, beveiliging en probleemoplossing. De flowmonitor is in wezen een toegepast exemplaar van FNF dat stroomgegevens verzamelt en bijhoudt op basis van gedefinieerde criteria. Het is verbonden met drie hoofdelementen:

• Flow Record: Dit definieert de gegevens die de Flow Monitor moet verzamelen van het netwerkverkeer. Het specificeert de sleutels (zoals bron en bestemming IP adressen, poorten, protocoltypes) en niet-zeer belangrijke velden (zoals pakket en byte tellers, tijdstempels) die in de stroomgegevens zullen worden omvat.
• Flow Exporteur: Dit specificeert de bestemming waar de verzamelde stroomgegevens moeten worden verzonden. Het bevat details zoals het IP-adres van de NetFlow Collector, het transportprotocol (gewoonlijk UDP) en het bestemmingshaven nummer waar de collector luistert.
• Flow Monitor: De flow monitor zelf bindt de flow record en flow exporteur samen en past ze toe op een interface of WLAN om het monitoringproces daadwerkelijk te starten. Hij bepaalt hoe de stroomgegevens moeten worden verzameld en geëxporteerd op basis van de criteria die zijn vastgesteld in het stroomverslag en de bestemming die in de stroomexporteur is ingesteld.

AVC-ondersteunde access points

AVC wordt alleen ondersteund op deze access points:

• Cisco Catalyst 9100 Series access points
• Cisco Aironet 2800 Series access point
• Cisco Aironet 3800 Series access points
• Cisco Aironet 4800 Series access points

Ondersteuning voor verschillende 9800 implementatiemodi

Implementatiemodus	9800 WLC	Wave 1 access point	Wave 2 access point	WiFi 6 access point
Lokale modus (Central-switching)	IPV4-verkeer: AVC-ondersteunde producten FNF-ondersteunde producten IPV6-verkeer: AVC-ondersteunde producten FNF-ondersteunde producten	Verwerking op WLC-niveau	Verwerking op WLC-niveau	Verwerking op WLC-niveau
Flex-modus (Central-switching)	IPV4-verkeer: AVC-ondersteunde producten FNF-ondersteunde producten IPV6-verkeer: AVC-ondersteunde producten FNF-ondersteunde producten	Verwerking op WLC-niveau	Verwerking op WLC-niveau	Verwerking op WLC-niveau
Flex-modus (Lokale switching)	Verwerking op AP-niveau	IPV4-verkeer: AVC-ondersteunde producten FNF-ondersteunde producten IPV6-verkeer: AVC-ondersteunde producten FNF niet ondersteund	IPV4-verkeer: AVC-ondersteunde producten FNF-ondersteunde producten IPV6-verkeer: AVC-ondersteunde producten FNF-ondersteunde producten	IPV4-verkeer: AVC-ondersteunde producten FNF-ondersteunde producten IPV6-verkeer: AVC-ondersteunde producten FNF-ondersteunde producten
Lokale modus (Materiaal)	Verwerking op AP-niveau	IPV4-verkeer: AVC niet ondersteund FNF niet ondersteund IPV6-verkeer: AVC niet ondersteund FNF niet ondersteund	IPV4-verkeer: AVC-ondersteunde producten FNF-ondersteunde producten IPV6-verkeer: AVC-ondersteunde producten FNF-ondersteunde producten	IPV4-verkeer: AVC-ondersteunde producten FNF-ondersteunde producten IPV6-verkeer: AVC-ondersteunde producten FNF-ondersteunde producten

Beperkingen bij implementatie van AVC op 9800

Zowel Application Visibility and Control (AVC) als Flexible NetFlow (FNF) zijn krachtige functies op Cisco Catalyst 9800 Series draadloze LAN-controllers die de zichtbaarheid en controle van het netwerk verbeteren. Er zijn echter beperkingen en overwegingen die u in gedachten moet houden bij het gebruik van deze functies:

• Layer 2 roaming wordt niet ondersteund op meerdere controllers.
• Multicastverkeer wordt niet ondersteund.
• Alleen de toepassingen die met App-zichtbaarheid worden herkend, kunnen worden gebruikt voor het toepassen van QoS-besturing.
• Data link wordt niet ondersteund voor NetFlow-velden in AVC.
• U kunt hetzelfde WLAN-profiel niet toewijzen aan zowel het AVC-not-enabled-beleidsprofiel als het AVC-enabled-beleidsprofiel.
• U kunt het beleidsprofiel met ander switchingmechanisme niet gebruiken om hetzelfde WLAN te gebruiken om AVC te implementeren.
• AVC wordt niet ondersteund op de beheerpoort (Gig 0/0).
• Op NBAR gebaseerde QoS-beleidsconfiguratie is alleen toegestaan op bekabelde fysieke poorten. Beleidsconfiguratie wordt niet ondersteund op virtuele interfaces, bijvoorbeeld VLAN, poortkanaal en andere logische interfaces.
• Als AVC is ingeschakeld, ondersteunt het AVC-profiel alleen maximaal 23 regels, inclusief de standaard DSCP-regel. Het AVC-beleid wordt niet naar de AP geduwd, als de regels meer dan 23 zijn.
  
  

Netwerktopologie

AP in lokale modus

AVC in lokale modus AP (centrale switching)

AP in flex modus

AVC in Flex Mode AP

Configuratie van AVC op 9800 WLC

Tijdens het configureren van AVC op 9800 WLC, kunt u het gebruiken als NetFlow Collector of de NefFlow-gegevens exporteren naar Externe NetFlow Collector.

Lokale exporteur

Op een Cisco Catalyst 9800 draadloze LAN-controller (WLC) verwijst een lokale NetFlow-collector naar de ingesloten functie binnen de WLC waarmee NetFlow-gegevens kunnen worden verzameld en lokaal opgeslagen. Deze mogelijkheid stelt de WLC in staat om basisNetFlow-gegevensanalyse uit te voeren zonder de noodzaak om de stroomrecords naar een externe NetFlow-collector te exporteren.

Via GUI

Stap 1: Om AVC op specifieke SSID in te schakelen, gaat u naar Configuration > Services > Application Visibility. Kies het specifieke beleidsprofiel waarvoor u AVC wilt activeren.

AVC inschakelen op beleidsprofiel

Stap 2: Selecteer Lokaal als NetFlow Collector en klik op Toepassen.

Lokale NetFlow Collector selecteren

Merk op dat de NetFlow Exporteur en NetFlow instellingen automatisch zijn geconfigureerd volgens de opgegeven voorkeuren zodra u de AVC-configuratie toepast.

U kunt het zelfde bevestigen door aan Configuratie > de Diensten > Toepassingszichtbaarheid > Flow Monitor > Exporter/Monitor te navigeren.

Local Flow Collector Configuration op 9800 WLC

Flow Monitor Configuration met Local NetFlow Collector

De IPv4- en IPv6 AVC Flow Monitors worden automatisch gekoppeld aan het beleidsprofiel. Navigeren naar Configuratie > Tags en profiel > Beleid . Klik op Beleidsprofiel > AVC en QOS.

Configuratie Flow Monitor in beleidsprofiel

Via CLI

Stap 1: Configureer 9800 WLC als lokale exporteur.

9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter wireless-local-exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit

Stap 2: IPv4 en IPv6 Network Flow Monitor configureren om Local (WLC) te gebruiken als NetFlow Exporteur.

9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter wireless-local-exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor wireless-avc-basic-ipv6
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit

Stap 3: Breng de IPv4 en IPv6 Flow Minitor in beleidsprofiel in kaart voor zowel toegang als uitgaand verkeer.

9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown

Disabling policy profile will result in associated AP/Client rejoin

9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit

Externe NetFlow Collector

Een externe NetFlow Collector, wanneer gebruikt in de context van Application Visibility and Control (AVC) op een Cisco Catalyst 9800 draadloze LAN-controller (WLC), is een speciaal systeem of service die NetFlow-gegevens ontvangt, aggregeert en analyseert die uit de WLC zijn geëxporteerd. U kunt ofwel alleen externe NetFlow Collector configureren om de zichtbaarheid van de toepassing te bewaken, ofwel u kunt deze ook gebruiken samen met Local Collector. 

Via GUI

Stap 1: Om AVC op specifieke SSID in te schakelen, gaat u naar Configuration > Services > Application Visibility. Kies het specifieke beleidsprofiel waarvoor u AVC wilt activeren. Selecteer Collector als Extern en configureer het IP-adres van NetFlow Collector zoals Cisco Prime, SolarWind, StealthWatch en klik op Toepassen.

AVC-configuratie voor externe NetFlow Collector

Merk op dat, zodra u de AVC-configuratie toepast, de NetFlow Exporter- en NetFlow-instellingen automatisch zijn geconfigureerd met het NetFlow Collector IP-adres als exporteur- en Exporter-adres als 9800 WLC met standaardinstellingen voor time-out en UDP-poort 9995. U kunt het zelfde bevestigen door aan Configuratie > de Diensten > Toepassingszichtbaarheid > Flow Monitor > Exporter/Monitor te navigeren.

Externe NetFlow Collector-configuratie op 9800 WLC

Flow Monitor Configuration met externe NetFlow Collector

U kunt de poortconfiguratie van automatisch gegenereerde NetFlow Monitor controleren door te navigeren naar Configuration > Services > NetFlow .

Bijvoorbeeld: Als u Cisco Prime gebruikt als uw NetFlow Collector, is het essentieel om de Exporter-poort in te stellen op 9991, omdat dit de poort is waarop Cisco Prime op NetFlow-verkeer luistert. U kunt de Exporterpoort handmatig wijzigen in NetFlow Configuration.

Poortnummer van exporteur in NetFlow-configuratie wijzigen

Via CLI

Stap 1: Configureer het IP-adres van de externe NetFlow Collector met de broninterface.

9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter External_Exporter
9800-Cl-VM(config-flow-exporter)#destination 10.106.36.22
9800-Cl-VM(config-flow-exporter)#source $Source_Interface
9800-Cl-VM(config-flow-exporter)#transport udp $Port_Numbet
9800-Cl-VM(config-flow-exporter)#exit

Stap 2: IPv4 en IPv6 Network Flow Monitor configureren om Local (WLC) te gebruiken als NetFlow Exporteur.

9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit

Stap 3: Breng de IPv4 en IPv6 Flow Minitor in beleidsprofiel in kaart voor zowel toegang als uitgaand verkeer.

9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown

Disabling policy profile will result in associated AP/Client rejoin

9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit

Configuratie van AVC op 9800 WLC met Cisco Catalyst Center

Alvorens te werk te gaan met de configuratie van Application Visibility and Control (AVC) op een Cisco Catalyst 9800 draadloze LAN-controller (WLC) via Cisco Catalyst Center, is het belangrijk om te verifiëren dat de telemetriecommunicatie tussen WLC en Cisco Catalyst Center met succes is tot stand gebracht. Zorg ervoor dat de WLC wordt weergegeven in een beheerde staat binnen de Cisco Catalyst Center-interface en dat de gezondheidsstatus actief wordt bijgewerkt. Bovendien is het voor een effectieve bewaking van de status van de gezondheid belangrijk om zowel de WLC als de Access points (AP’s) op de juiste manier toe te wijzen aan hun respectievelijke locaties binnen Cisco Catalyst Center.

Verificatie van telemetrieverbinding op 9800 WLC

WLC en AP zijn in beheerde staat

Gezondheidsstatus van WLC en AP op Cisco Catalyst Center

Stap 1: Configureer Cisco Catalyst Center als NetFlow Collector en schakel draadloze telemetrie in de wereldwijde instelling in. Navigeer naar Design > Network Setting > Telemetry en schakel de gewenste configuratie in zoals aangegeven op de afbeelding.

Configuratie draadloze telemetrie en AVC

Stap 2: Toepassingstelemetrie inschakelen op de gewenste 9800 WLC om de AVC-configuratie op 9800 WLC te drukken. Hiervoor navigeer je naar Provision > Network Device > Inventory. Kies de 9800 WLC waarop u Application Telemetry wilt activeren en navigeer vervolgens naar Action > Telemetry > Enable Application Telemetry .

Toepassingstelemetrie inschakelen op 9800 WLC

Stap 3: Kies de implementatiemodus volgens de vereisten.
Lokaal: AVC inschakelen in profiel voor lokaal beleid (centrale switching)

Flex/Fabric: AVC inschakelen in Flex Policy Profile (Local Switching) of op Fabric gebaseerde SSID.

Selectie van implementatiemodus op Cisco Catalyst Center

Stap 4: Het initieert een taak om de AVC-instellingen te activeren, en de bijbehorende configuratie wordt toegepast op de 9800 WLC. U kunt de status bekijken door te navigeren naar Activiteiten > Auditlogboek .

Auditlogs na het inschakelen van telemetrie op 9800 WLC

Cisco Catalyst Center implementeert de configuraties van Flow Exporter en Flow Monitor, inclusief de gespecificeerde poort en andere instellingen, en activeert deze binnen het gekozen profiel voor modembeleid zoals hieronder wordt getoond:

Configure Cisco Catalyst Center as Flow Exporter:

9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_exporter
9800-Cl-VM(config-flow-exporter)#destination 10.104.222.201
9800-Cl-VM(config-flow-exporter)#source Vlan10
9800-Cl-VM(config-flow-exporter)#transport udp 6007
9800-Cl-VM(config-flow-exporter)#export-protocol ipfix
9800-Cl-VM(config-flow-exporter)#option vrf-table timeout 300
9800-Cl-VM(config-flow-exporter)#option ssid-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-attributes timeout 300
9800-Cl-VM(config-flow-exporter)#exit

Configure 9800 WLC as Local Exporter

9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_local_exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit

Configure Network Flow Monitor to use both Local(WLC) and Cisco Catalyst Center as Netflow Exporter:

9800-Cl-VM(config)#flow monitor avc_ipv4_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor avc_ipv6_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor avc_ipv4_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor avc_ipv6_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit

Mapping the IPv4 and IPv6 Flow Minitor in Policy Profile

9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown

Disabling policy profile will result in associated AP/Client rejoin

9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance output
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit

Verificatie van AVC

Op 9800

Wanneer de 9800 WLC wordt gebruikt als Flow-exporteur, kunnen deze AVC-statistieken worden waargenomen:

· Toepassingszichtbaarheid voor clients die op alle SID's zijn aangesloten.

· Individueel gebruik van de toepassing voor elke client.

· Specifiek gebruik van toepassingen op elke SSID afzonderlijk.

Via GUI

Navigeer naar Monitoring > Services > Application Visibility .

Toepassingszichtbaarheid van gebruikers die zijn verbonden met AVC_testing SSID voor zowel Ingress- als uitgaand verkeer

Om de statistieken van de Toepassingszichtbaarheid voor elke cliënt te bekijken, kunt u op het tabblad Clients klikken, een specifieke client kiezen en vervolgens op Toepassingsdetails weergeven klikken.

Toepassingszichtbaarheid voor specifieke client - 1

Toepassingszichtbaarheid voor specifieke client - 2

Via CLI

Controleer de AVC-status

9800WLC#show avc status wlan AVC_testing
WLAN profile name: AVC_testing
----------------------------------------------------------
AVC configuration complete: YES

Statistieken van NetFlow (FNF Cache)

9800WLC#show flow monitor $Flow_Monitor_Name cache format table

Verificatie van AVC op 9800 CLI

U kunt als volgt het gebruik van de bovenste toepassing voor elk WLAN en de aangesloten clients afzonderlijk onderzoeken:

9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
where n = <1-30> Enter the number of applications

9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
where n =  <1-10> Enter the number of clients

Controleer FNFv9 pakkettellingen en decodeer de status die aan Control Plane (CP) is gepunteerd

9800WLC#show platform software wlavc status decoder

FNFv9 pakketrecord

U kunt ook direct de nbar statistieken controleren.

9800WLC#show ip nbar protocol-discovery

Op Fabric- en Flex-modi kunt u de NBAR-stats van AP verkrijgen via:

AP#show avc nbar statistics 
Works on both IOS and ClickOS APs

Op DNAC

Van de pakketopname die op 9800 WLC is genomen, kunnen we valideren dat er continu gegevens betreffende de toepassingen en het netwerkverkeer naar Cisco Catalyst Center worden verzonden.

Packet Capture op 9800 WLC

Om de toepassingsgegevens te bekijken voor clients die zijn aangesloten op een specifieke WLC op Cisco Catalyst Center, navigeer je naar Assurance > Dashboards > Health > Application .

AVC-bewaking op Cisco Catalyst Center

We kunnen de meest gebruikte applicaties van klanten volgen en de hoogste data-consumenten identificeren, zoals hier wordt aangetoond.

Belangrijkste toepassing en Top Bandwidth Gebruikersstatistieken

U hebt de mogelijkheid om een filter in te stellen voor een bepaalde SSID, waarmee u de totale doorvoersnelheid en het toepassingsgebruik van clients die aan die SSID zijn gekoppeld kunt bewaken.

Deze functionaliteit stelt u in staat om de belangrijkste toepassingen en de hoogste bandbreedte verbruikende gebruikers binnen uw netwerk te identificeren.

Daarnaast kunt u gebruik maken van de Tijdfilter functie om deze gegevens te onderzoeken voor eerdere tijdsperioden, waardoor historische inzichten in het netwerkgebruik worden aangeboden.

Tijdfilter voor weergave van AVC-statistieken.                             SID-filter voor weergave van AVC-statistieken

Over externe NetFlow Collector

Voorbeeld 1: Cisco Prime als NetFlow Collector

Wanneer u Cisco Prime als NetFlow Collector gebruikt, kunt u 9800 WLC als gegevensbron zien die NetFlow-gegevens verzenden. De NetFlow-sjabloon wordt automatisch gemaakt volgens de gegevens die door 9800 WLC worden verzonden. 

Van het pakket dat op 9800 WLC is genomen, kunnen we valideren dat er continu gegevens betreffende de toepassingen en het netwerkverkeer naar Cisco Prime worden verzonden.

Packet Capture genomen op 9800 WLC

Cisco Prime Detecting-applicatie 9800 WLC als NetFlow-gegevensbron

U kunt filters instellen op basis van Toepassing, Diensten en zelfs door Client, met behulp van het IP-adres voor meer gerichte gegevensanalyse.

Toepassingszichtbaarheid voor alle clients

Toepassing van specifieke client met IP-adres

Voorbeeld 2: NetFlow Collector van derden

In dit voorbeeld, wordt de derde partij NetFlow Collector [SolarWinds] gebruikt om toepassingsstatistieken te verzamelen. De 9800 WLC maakt gebruik van Flexible NetFlow (FNF) om uitgebreide gegevens te verzenden over de toepassingen en het netwerkverkeer, die vervolgens door SolarWinds worden verzameld.

NetFlow Application Statistics op SolarWind

Verkeerscontrole

Traffic control verwijst naar een reeks functies en mechanismen die worden gebruikt om de stroom van netwerkverkeer te beheren en te reguleren. Traffic policing of snelheidsbeperking zijn mechanismen die in draadloze controller worden gebruikt om de hoeveelheid verkeer te controleren die van de client wordt verzonden. Het controleert het gegevenstarief voor netwerkverkeer en neemt onmiddellijk actie wanneer een vooraf bepaalde snelheidsgrens wordt overschreden. Wanneer het verkeer het opgegeven tarief overschrijdt, kan snelheidsbeperking de overtollige pakketten laten vallen of ze markeren door hun CoS-waarden (Class of Service) of DSCP-waarden (Differentiated Services Code Point) te wijzigen. Dit kan worden bereikt door QOS in 9800 WLC te configureren. U kunt naar https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/215441-configure-qos-rate-limiting-on-catalyst.html verwijzen om een overzicht te krijgen van hoe deze componenten werken en hoe ze kunnen worden geconfigureerd om verschillende resultaten te bereiken.

Probleemoplossing

Problemen met AVC oplossen houdt in dat problemen worden geïdentificeerd en opgelost die mogelijk van invloed zijn op het vermogen van AVC om toepassingsverkeer op uw draadloze netwerk nauwkeurig te identificeren, classificeren en beheren. Gemeenschappelijke kwesties kunnen problemen met verkeersclassificatie, beleidshandhaving, of rapportering omvatten. Hier zijn enkele stappen en overwegingen bij het oplossen van problemen met AVC op een Catalyst 9800 WLC:

• Controleer AVC Configuration: zorg ervoor dat AVC correct op de WLC is geconfigureerd en aan de juiste WLAN’s en profielen is gekoppeld.

• Wanneer u AVC instelt via de GUI, wordt automatisch poort 995 als de standaardpoort toegewezen. Als u echter een Externe Collector gebruikt, controleert u welke poort is ingesteld om te luisteren op NetFlow-verkeer. Het is van cruciaal belang om dit poortnummer nauwkeurig te configureren zodat het overeenkomt met de instellingen van uw verzamelaar.

• Controleer het AP-model en de ondersteuning voor de implementatiemodus.
• Raadpleeg beperkingen op de 9800 WLC bij implementatie van AVC in uw draadloze netwerk.

Logbestanden verzamelen

WLC-logs

1. Laat timestamp toe om tijdverwijzing voor alle bevelen te hebben.

9800WLC#term exec prompt timestamp

2. De configuratie bekijken

9800WLC#show tech-support wireless

3. U kunt de avc-status en netflow-statistieken verifiëren.

Controleer de AVC-configuratiestatus.

9800WLC#show avc status wlan <wlan_name>  

Controleer FNFv9 pakkettellingen en decodeer de status gepunteerd aan Control Plane (CP).

9800WLC#show platform software wlavc status decoder 

Controleer de statistieken van NetFlow (FNF Cache).

9800WLC#show flow monitor <Flow_Monitor_Name> 

Controleer het gebruik van de toepassing voor elk WLAN, waarbij n = <1-30> Het aantal toepassingen invoert.

9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>

Controleer het toepassingsgebruik voor elke client, waarbij n = <1-30> Het aantal toepassingen invoert.

9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream> 

Controleer de top-n-clients die met specifieke WLAN zijn verbonden met behulp van de specifieke toepassing, waarbij n=<1-10> het aantal clients invoert.

9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream> 

Controleer de nbar-statistieken.

9800WLC#show ip nbar protocol-discovery

4. Stel het registratieniveau in op debug/verbose.

9800WLC#set platform software trace all debug/verbose

!! To View the collected logs
9800WLC#show logging profile wireless internal start last clear to-file bootflash:<File_Name

!!Set logging level back to notice post troubleshooting
9800WLC#set platform software trace wireless all debug/verbose

5. Schakel Radioactive (RA) Trace voor client-MAC-adres in om de AVC-stats te valideren. 
Via CLI

9800WLLC#debug wireless {mac | ip} {aaaa.bbbb.cccc | x.x.x.x } {monitor-time} {N seconds} !! Setting time allows us to enable traces for up to 24 days
9800WLC#no debug wireless mac <Client_MAC> 
!!WLC generates a debug trace file with Client_info, command to check for debug trace file generated.
9800WLC#dir bootflash: | i debug

# clear platform condition all  
# undebug all 

Via GUI
Stap 1. Ga naar Problemen oplossen > Radioactief spoor.
Stap 2. Klik op Add en voer een client-Mac-adres in dat u wilt oplossen. U kunt meerdere Mac-adressen aan de track toevoegen.

Stap 3. Wanneer u klaar bent om de radioactieve tracering te starten, klikt u op Start. Zodra begonnen, debug het registreren wordt geschreven aan schijf over om het even welke verwerking van het controlevliegtuig met betrekking tot de gevolgde adressen van MAC.

Stap 4. Wanneer u het probleem reproduceert dat u wilt oplossen, klikt u op Stoppen .

Stap 5. Voor elk gedebuggeerd mac-adres kunt u een logbestand genereren door te klikken op Generate om alle logbestanden met betrekking tot dat mac-adres te verzamelen.

Stap 6. Kies hoe lang u wilt dat uw gecollationeerde logbestand gaat en klik op Toepassen op apparaat.

Stap 7. U kunt het bestand nu downloaden door op het kleine pictogram naast de bestandsnaam te klikken. Dit bestand is aanwezig in de boot flash drive van de controller en kan ook uit het vak worden gekopieerd via CLI.

Hier is een glimp van AVC debugs in RA-sporen

2024/07/20 20:15:24.514842337 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 280, #packets 5
2024/07/20 20:15:24.514865665 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:24.514875837 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'unknown'(app-id: 0xd000001), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:40.530177442 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'ping'(app-id: 0xd0001df), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 3600, #packets 60

6. Ingesloten Captures gefilterd op client MAC-adres in beide richtingen, client binnenkant MAC-filter beschikbaar na 17.1.

Het is bijzonder nuttig wanneer het gebruiken van een externe collector, aangezien het helpt bevestigen of WLC NetFlow gegevens aan de voorgenomen haven zoals verwacht overbrengt.

Via CLI

monitor capture MYCAP clear
monitor capture MYCAP interface <Interface> both
monitor capture MYCAP buffer size 100
monitor capture MYCAP match any
monitor capture MYCAP inner mac CLIENT_MAC@
monitor capture MYCAP start
!! Inititiate different application traffic from user
monitor capture MYCAP stop
monitor capture MYCAP export flash:|tftp:|http:.../filename.pcap

Via GUI 
Stap 1. Ga naar Problemen oplossen > Packet Capture > +Add.

Stap 2. Bepaal de naam van de pakketopname. U mag maximaal 8 tekens gebruiken.

Stap 3. Definieer eventuele filters.

Stap 4. Schakel het vakje Monitor Control Traffic in als u wilt zien dat verkeer wordt gestraft naar de systeem CPU en opnieuw wordt ingespoten in het dataplatform.

Stap 5. Definieer de buffergrootte. Een maximum van 100 MB is toegestaan.

Stap 6. Definieer de limiet, hetzij door de duur die een bereik van 1 - 1000000 seconden toestaat, hetzij door het aantal pakketten dat een bereik van 1 - 100000 pakketten toestaat, zoals gewenst.

Stap 7. Kies de interface uit de lijst met interfaces in de linkerkolom en selecteer de pijl om deze naar de rechterkolom te verplaatsen.

Stap 8. Klik op Toepassen op apparaat.

Stap 9. Om de opname te starten, selecteert u Start .

Stap 10. U kunt de opname tot de gedefinieerde limiet laten lopen. Selecteer Stop om de opname handmatig te stoppen.

Stap 11. Zodra gestopt, een Export knop beschikbaar om te klikken met de optie om het opnamebestand (.pcap) op de lokale desktop te downloaden via HTTP of TFTP server of FTP server of lokale systeem harde schijf of flash.

AP-logbestanden 

Op fabric en Flex-modi

1. toon technologie om alle configuratie details en client stats voor de AP te hebben.

2. toon avc nbar statistieken nbar stats van AP

3. AVC-debugs

AP#term mon
AP#debug capwap client avc <all/detail/error/event>
AP#debug capwap client avc netflow <all/detail/error/event/packet>

Gerelateerde informatie

AVC-configuratiehandleiding

Snelheidsbeperking op 9800 WLC