在Catalyst 9800無線控制器上配置QoS速率限制
簡介
本檔案將說明以下專案的組態範例: 含AAA覆寫的Catalyst 9800系列無線控制器上的雙向速率限制(BDRL)。
必要條件
需求
思科建議您瞭解以下主題:
- Catalyst無線9800組態型號
- 使用思科身份識別服務引擎(ISE)的AAA
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco Catalyst 9800-CL無線控制器(版本) 16.12.1秒
- 2.2版上的身分識別服務引擎
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
9800 WLC平台中的QoS使用的概念和元件與Catalyst 9000平台相同。
本節從全域性角度概述這些元件的工作方式,以及如何配置它們以實現不同的結果。
實質上,QoS遞迴的工作方式如下:
1. Class-Map:標識特定型別的流量。類別對映可以利用應用可視性與可控性(AVC)引擎。
此外,使用者可以定義自定義類對映來標識與訪問控制清單(ACL)或差分服務代碼點(DSCP)匹配的流量
2.策略對映:是應用於類對映的策略。
這些策略可以標籤DSCP、丟棄或速率限制與類對映匹配的流量
4. Service-Policy:使用service-policy命令,策略對映可以應用於SSID的策略配置檔案或特定方向上的每個客戶端。
3.(可選)Table-Map:它們用於將一種型別的標籤轉換為另一種型別的標籤,例如CoS轉換為DCSP。
· AAA覆寫(最高)
·本機分析(本地策略)
·配置的策略
·預設策略(最低)
有關詳細資訊,請參閱9800的正式QoS配置指南。
有關QoS理論的其他資訊,請參閱9000系列QoS配置指南。
範例:訪客和公司QoS策略
此示例演示說明的QoS元件如何應用於實際場景。
目的是為訪客配置QoS策略:
- 備註DSCP
- 刪除Youtube和Netflix影片
- 速率將ACL中指定的主機限製為50Kbps
- 速率將所有其它流量限製為100Kbps
例如,QoS策略必須在每個SSID的Ingress和Egress兩個方向應用於連結到訪客WLAN的策略配置檔案。
設定
AAA伺服器和方法清單
步驟1。導覽至Configuration > Security > AAA > Authentication > Servers/Groups,然後選擇+Add。
在ISE上,輸入AAA伺服器名稱、IP地址和金鑰,其必須與管理>網路資源>網路裝置下的共用金鑰匹配。
步驟2.導覽至Configuration > Security > AAA > Authentication > AAA Method List,然後選擇+Add。從Available Server Groups中選擇Assigned Server Groups。
步驟3.導覽至Configuration > Security > AAA > Authorization > AAA method List,然後選擇Add。選擇預設方法並將「network」作為型別。
這是控制器應用由AAA伺服器返回的授權屬性(例如,此處的QoS策略)所必需的。否則,不會應用從RADIUS接收的策略。
WLAN策略、站點標籤和AP標籤
步驟1。導覽至Configuration > Wireless Setup > Advanced > Start Now > WLAN Profile,然後選擇+Add以建立一個新的WLAN。配置SSID、配置檔名稱、WLAN ID並將狀態設定為啟用。
接下來,導覽至Security > Layer 2,並設定第2層驗證引數:
步驟2.導覽至Security > AAA,然後在Authentication List下拉框中選擇AAA伺服器。
步驟3.選擇Policy Profile 並選擇+Add。配置策略配置檔名稱。
將Status設定為Enabled;同時啟用集中交換、身份驗證、DHCP和關聯:
步驟4.導航到Access Policies,配置當客戶端連線到SSID時無線客戶端分配到的VLAN:
步驟5.選擇Policy Tag,然後選擇+Add。配置策略標籤名稱。
在WLAN-Policy Maps下,+Add從下拉選單中選擇WLAN Profile和Policy Profile,選中要配置的對映的檢查。
步驟6.選擇Site Tag,然後選擇+Add。選中Enable Local Site框,以使AP在本地模式下運行(或使FlexConnect保持未檢查狀態):
步驟7.選擇標籤AP,選擇AP並新增策略、站點和RF標籤:
Qos
步驟1.導航到Configuration > Services > QoS,然後選擇+Add以建立QoS策略。
命名它(在本例中:BWLimitAAClients)。
步驟2.新增類對映以刪除Youtube和Netflix。按一下Add Class-Maps。選擇AVC、match any、drop操作並選擇兩個協定。
按一下「Save」。
步驟3.新增註釋DSCP 46到34的類對映。
按一下Add Class-Maps。
- Match any, User Defined
- 匹配型別DSCP
- 匹配值46
- 標籤型別DSCP
- 標籤值34
.
按Save。
步驟4.要定義一個類對映,以規則流向特定主機的流量,請為其建立ACL。
按一下Add Class-Maps,
依次選擇User Defined、match any、match type ACL、選擇您的ACL名稱(此處,specifichostACL)、標籤型別none並選擇速率限制值。
按一下「Save」。
以下是用於識別特定主機流量的ACL範例:
步驟5.在類對映幀下,使用預設類設定所有其他流量的速率限制。
這會設定上述規則之一未針對的所有客戶端流量的速率限制。
步驟6.點選底部的Apply to Device。
CLI等效配置:
policy-map BWLimitAAAclients class BWLimitAAAclients1_AVC_UI_CLASS police cir 8000 conform-action drop exceed-action drop class BWLimitAAAclients1_ADV_UI_CLASS set dscp af41 class BWLimitAAAclients2_ADV_UI_CLASS police cir 50000 conform-action transmit exceed-action drop class class-default police cir 100000 conform-action transmit exceed-action drop class-map match-all BWLimitAAAclients1_AVC_UI_CLASS description BWLimitAAAclients1_AVC_UI_CLASS UI_policy_DO_NOT_CHANGE match protocol youtube match protocol netflix class-map match-any BWLimitAAAclients1_ADV_UI_CLASS description BWLimitAAAclients1_ADV_UI_CLASS UI_policy_DO_NOT_CHANGE match dscp ef class-map match-all BWLimitAAAclients2_ADV_UI_CLASS description BWLimitAAAclients2_ADV_UI_CLASS UI_policy_DO_NOT_CHANGE match access-group name specifichostACL
步驟2.在ISE上,導航到Policy > Policy Elements > Results > Authorization Profiles,然後選擇+Add以建立授權配置檔案。
要應用QoS策略,請通過Cisco AV對將其新增為高級屬性設定。
假定ISE身份驗證和授權策略配置為匹配正確的規則並獲得此授權結果。
屬性為ip:sub-qos-policy-in=<policy name>和ip:sub-qos-policy-out=<policyname>
驗證
使用本節內容,確認您的組態是否正常運作。
在WLC上
# show run wlan # show run aaa # show aaa servers
# show ap tag summary
# show ap name <AP-name> tag detail
# show wireless tag policy summary
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
# show policy-map <policy-map name>
# sh policy-map interface wireless ssid/client profile-name <WLAN> radio type <2.4/5GHz> ap name <name>input/output
# show wireless client macdetail
# show wireless clientservice-policy input
# show wireless clientservice-policy output
To verify EDCS parameters :
sh controllers dot11Radio 1 | begin EDCA
9800#show wireless client mac e836.171f.a162 det
Client MAC Address : e836.171f.a162
Client IPv4 Address : 192.168.1.11
Client IPv6 Addresses : fe80::c6e:2ca4:56ea:ffbf
2a02:a03f:42c2:8400:187c:4faf:c9f8:ac3c
2a02:a03f:42c2:8400:824:e15:6924:ed18
fd54:9008:227c:0:1853:9a4:77a2:32ae
fd54:9008:227c:0:1507:c911:50cd:2062
Client Username : Nico
AP MAC Address : 502f.a836.a3e0
AP Name: AP780C-F085-49E6
AP slot : 1
Client State : Associated
(...)
Local Policies:
Service Template : wlan_svc_QoS-PP (priority 254)
VLAN : 1
Absolute-Timer : 1800
Server Policies:
Input QOS : BWLimitAAAClients
Output QOS : BWLimitAAAClients
Resultant Policies:
VLAN Name : default
Input QOS : BWLimitAAAClients
Output QOS : BWLimitAAAClients
VLAN : 1
Absolute-Timer : 1800
在AP
當AP處於本地模式或SSID處於Flexconnect中央交換模式時,無需對AP進行故障排除,因為QoS和服務策略由WLC完成。
資料包捕獲IO圖分析
疑難排解
本節提供的資訊用於對組態進行疑難排解。
步驟1.清除所有預先存在的調試條件。
# clear platform condition all
步驟2.為涉及的無線客戶端啟用調試。
# debug wireless mac <client-MAC-address> {monitor-time <seconds>}
步驟3.將無線客戶端連線到SSID以重現問題。
步驟4.重現問題後停止調試。
# no debug wireless mac <client-MAC-address>
測試期間捕獲的日誌儲存在WLC上的本地檔案中,該檔名為:
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
如果使用GUI工作流生成此跟蹤,則儲存的檔名為debugTrace_aaaa.bbb.cccc.txt。
步驟5.要收集以前生成的文件,請將ra trace .log複製到外部伺服器,或直接在螢幕上顯示輸出。
使用以下命令檢查RA跟蹤檔案的名稱:
# dir bootflash: | inc ra_trace
將檔案複製到外部伺服器:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
或者,顯示內容:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
步驟6.刪除調試條件。
# clear platform condition all
Flexconnect本地交換(或交換矩陣/SDA)方案
在flexconnect本地交換(或交換矩陣/SDA)的情況下,AP將應用您在WLC上定義的任何QoS策略。
警告:由於Cisco錯誤ID CSCwh7415,RADIUS伺服器返回的最新QoS策略將應用於連線到相同接入點的所有客戶端,因此會覆蓋所有其他QoS策略。從17.6.2版本開始,使用AAA覆蓋的每客戶端速率限制不再正常工作。請參閱錯誤說明以檢查修正版本。
在wave2和11ax接入點上,速率限制在每流(5元組)級別發生,而不是在17.6之前的每客戶端或每SSID發生。這適用於Flexconnect/交換矩陣中的AP、接入點上的嵌入式無線控制器(EWc-AP)部署。
從17.5開始,可以利用AAA覆蓋來推動屬性達到每客戶端速率限制。
自17.6起,在Flex本地交換配置中的802.11ac Wave 2和11ax AP上支援每客戶端雙向速率限制。
組態
此配置與本文第一部分完全相同,但有兩個例外:
1.策略配置檔案已設定為本地交換。在Bengaluru 17.4發佈之前,Flex部署要求禁用中央關聯。
自17.5起,此欄位已硬編碼,不可用於使用者配置。
2.站點標籤設定為不是本地站點。
Flexconnect/Fabric故障排除
因為AP是應用QoS策略的裝置,所以這些命令可以幫助縮小應用的範圍。
show dot11 qos
show policy-map
show rate-limit client
show rate-limit bssid
show rate-limit wlan
show flexconnect client
AP780C-F085-49E6#show dot11 qos
Qos Policy Maps (UPSTREAM)
ratelimit targets:
Client: A8:DB:03:6F:7A:46
platinum-up targets:
VAP: 0 SSID:LAB-DNAS
VAP: 1 SSID:VlanAssign
VAP: 2 SSID:LAB-Qos
Qos Stats (UPSTREAM)
total packets: 29279
dropped packets: 0
marked packets: 0
shaped packets: 0
policed packets: 182
copied packets: 0
DSCP TO DOT1P (UPSTREAM)
Default dscp2dot1p Table Value:
[0]->0 [1]->2 [2]->10 [3]->18 [4]->26 [5]->34 [6]->46 [7]->48
Active dscp2dot1p Table Value:
[0]->0 [1]->2 [2]->10 [3]->18 [4]->26 [5]->34 [6]->46 [7]->48
Trust DSCP Upstream : Disabled
Qos Policy Maps (DOWNSTREAM)
ratelimit targets:
Client: A8:DB:03:6F:7A:46
Qos Stats (DOWNSTREAM)
total packets: 25673
dropped packets: 0
marked packets: 0
shaped packets: 0
policed packets: 150
copied packets: 0
DSCP TO DOT1P (DOWNSTREAM)
Default dscp2dot1p Table Value:
[0]->0 [1]->-1 [2]->1 [3]->-1 [4]->1 [5]->-1 [6]->1 [7]->-1
[8]->-1 [9]->-1 [10]->2 [11]->-1 [12]->2 [13]->-1 [14]->2 [15]->-1
[16]->-1 [17]->-1 [18]->3 [19]->-1 [20]->3 [21]->-1 [22]->3 [23]->-1
[24]->-1 [25]->-1 [26]->4 [27]->-1 [28]->-1 [29]->-1 [30]->-1 [31]->-1
[32]->-1 [33]->-1 [34]->5 [35]->-1 [36]->-1 [37]->-1 [38]->-1 [39]->-1
[40]->-1 [41]->-1 [42]->-1 [43]->-1 [44]->-1 [45]->-1 [46]->6 [47]->-1
[48]->7 [49]->-1 [50]->-1 [51]->-1 [52]->-1 [53]->-1 [54]->-1 [55]->-1
[56]->7 [57]->-1 [58]->-1 [59]->-1 [60]->-1 [61]->-1 [62]->-1 [63]->-1
Active dscp2dot1p Table Value:
[0]->0 [1]->0 [2]->1 [3]->0 [4]->1 [5]->0 [6]->1 [7]->0
[8]->1 [9]->1 [10]->2 [11]->1 [12]->2 [13]->1 [14]->2 [15]->1
[16]->2 [17]->2 [18]->3 [19]->2 [20]->3 [21]->2 [22]->3 [23]->2
[24]->3 [25]->3 [26]->4 [27]->3 [28]->3 [29]->3 [30]->3 [31]->3
[32]->4 [33]->4 [34]->5 [35]->4 [36]->4 [37]->4 [38]->4 [39]->4
[40]->5 [41]->5 [42]->5 [43]->5 [44]->5 [45]->5 [46]->6 [47]->5
[48]->7 [49]->6 [50]->6 [51]->6 [52]->6 [53]->6 [54]->6 [55]->6
[56]->7 [57]->7 [58]->7 [59]->7 [60]->7 [61]->7 [62]->7 [63]->7
Profinet packet recieved from
wired port:
0
wireless port:
AP780C-F085-49E6#show policy-map
2 policymaps
Policy Map BWLimitAAAClients type:qos client:default
Class BWLimitAAAClients_AVC_UI_CLASS
drop
Class BWLimitAAAClients_ADV_UI_CLASS
set dscp af41 (34)
Class class-default
police rate 5000000 bps (625000Bytes/s)
conform-action
exceed-action
Policy Map platinum-up type:qos client:default
Class cm-dscp-set1-for-up-4
set dscp af41 (34)
Class cm-dscp-set2-for-up-4
set dscp af41 (34)
Class cm-dscp-for-up-5
set dscp af41 (34)
Class cm-dscp-for-up-6
set dscp ef (46)
Class cm-dscp-for-up-7
set dscp ef (46)
Class class-default
no actions
AP780C-F085-49E6#show rate-limit client
Config:
mac vap rt_rate_out rt_rate_in rt_burst_out rt_burst_in nrt_rate_out nrt_rate_in nrt_burst_out nrt_burst_in
A8:DB:03:6F:7A:46 2 0 0 0 0 0 0 0 0
Statistics:
name up down
Unshaped 0 0
Client RT pass 0 0
Client NRT pass 0 0
Client RT drops 0 0
Client NRT drops 0 38621
9 54922 0
AP780C-F085-49E6#
AP780C-F085-49E6#show flexconnect client
Flexconnect Clients:
mac radio vap aid state encr aaa-vlan aaa-acl aaa-ipv6-acl assoc auth switching key-method roam key-progmed handshake-sent wgb SGT
A8:DB:03:6F:7A:46 1 2 1 FWD AES_CCM128 none none none Local Central Local Other regular No Yes No 0
AP780C-F085-49E6#
參考資料
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
6.0 |
18-Nov-2024 |
帶格式的標題,更正了幾個標點錯誤,修復了Alt文本,縮短標題。 |
5.0 |
17-Jan-2024 |
刪除了無效解決方法 |
4.0 |
25-Oct-2023 |
重新認證 |
2.0 |
27-Apr-2021 |
在17.6中新增了關於每客戶端速率限制的註釋 |
1.0 |
23-Apr-2020 |
初始版本 |
意見