In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument beschreibt Application Visibility and Control (AVC) auf einem Cisco Catalyst 9800 WLC, der eine präzise Verwaltung des Anwendungsdatenverkehrs ermöglicht.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Application Visibility and Control (AVC) ist der führende Ansatz von Cisco für die Deep Packet Inspection (DPI)-Technologie in kabelgebundenen und Wireless-Netzwerken. Mit AVC können Sie Echtzeitanalysen durchführen und Richtlinien erstellen, um Netzwerküberlastungen wirksam zu reduzieren, die kostspielige Nutzung von Netzwerkverbindungen zu minimieren und unnötige Infrastruktur-Upgrades zu vermeiden. Kurz gesagt: Mit AVC können Benutzer mithilfe von Network Based Application Recognition (NBAR) eine völlig neue Ebene der Erkennung und des Shapings von Datenverkehr erreichen. NBAR-Pakete, die auf dem 9800 WLC ausgeführt werden, werden für DPI verwendet, und die Ergebnisse werden mithilfe von Flexible NetFlow (FNF) gemeldet.
AVC bietet nicht nur Transparenz, sondern ermöglicht auch die Priorisierung, Blockierung oder Drosselung verschiedener Arten von Datenverkehr. So können Administratoren beispielsweise Richtlinien zur Priorisierung von Sprach- und Videoanwendungen erstellen, um die Quality of Service (QoS) sicherzustellen oder die verfügbare Bandbreite für nicht wichtige Anwendungen während der Hauptgeschäftszeiten zu begrenzen. Die Lösung kann auch in andere Cisco Technologien integriert werden, z. B. die Cisco Identity Services Engine (ISE) für identitätsbasierte Anwendungsrichtlinien und Cisco Catalyst Center für zentrales Management.
AVC verwendet erweiterte Technologien wie die FNF- und NBAR2-Engine für DPI. Durch die Analyse und Identifizierung von Datenverkehrsflüssen mithilfe der NBAR2-Engine werden bestimmte Flüsse mit dem erkannten Protokoll oder der erkannten Anwendung markiert. Der Controller erfasst alle Berichte und stellt sie mithilfe von Anzeigebefehlen, der Webbenutzeroberfläche oder zusätzlichen NetFlow-Exportmeldungen an externe NetFlow-Collectors wie Prime dar.
Sobald die Anwendungstransparenz eingerichtet ist, können Benutzer Kontrollregeln mit Richtlinienmechanismen für Clients erstellen, indem sie Quality of Service (QoS) konfigurieren.
NBAR ist ein in den 9800 WLC integrierter Mechanismus, mit dem DPI zum Identifizieren und Klassifizieren einer Vielzahl von Anwendungen, die über ein Netzwerk ausgeführt werden, ausgeführt wird. Er kann eine große Anzahl von Anwendungen erkennen und klassifizieren, einschließlich verschlüsselter und dynamisch portseitiger Anwendungen, die für herkömmliche Paketprüfungstechnologien häufig unsichtbar sind.
Hinweis: Um NBAR auf dem Catalyst 9800 WLC zu nutzen, muss es korrekt aktiviert und konfiguriert werden. Dies geschieht häufig in Verbindung mit spezifischen AVC-Profilen, die die geeigneten Aktionen auf Basis der Klassifizierung des Datenverkehrs definieren.
NBAR wird weiterhin regelmäßig aktualisiert. Daher ist es wichtig, die WLC-Software auf dem neuesten Stand zu halten, um sicherzustellen, dass die NBAR-Funktionen aktuell und effektiv bleiben.
Eine vollständige Liste der in den neuesten Versionen unterstützten Protokolle finden Sie unter https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/prot_lib/config_library/nbar-prot-pack-library.html
9800WLC#configure terminal
9800WLC(config)#wireless profile policy AVC_testing
9800WLC(config-wireless-policy)#ip nbar protocol-discovery
9800WLC(config-wireless-policy)#end
Hinweis: Das %-Richtlinienprofil muss deaktiviert werden, bevor dieser Vorgang ausgeführt werden kann.
9800WLC#show wireless profile policy detailed AVC_testing | in NBAR
NBAR Protocol Discovery : Enabled
9800 WLC hat bereits ~1500 erkennbare Anwendungen. Wenn eine neue Anwendung veröffentlicht wird, wird das Protokoll für dieselbe in der neuesten NBAR aktualisiert, die von der Software-Download-Seite für das spezielle 9800-Modell heruntergeladen werden muss.
Über GUI
Navigieren Sie zu Konfiguration > Dienste > Anwendungstransparenz. Klicken Sie auf Upgrade Protocol Pack .
Klicken Sie auf Hinzufügen, wählen Sie das herunterzuladende Protokollpaket aus, und klicken Sie auf Upgrade .
Nach Abschluss des Upgrades wird das Protokollpaket hinzugefügt.
Über CLI
9800WLC#copy tftp://10.10.10.1/pp-adv-c9800-1712.1-49-70.0.0.pack bootflash:
9800WLC#configure terminal
9800WLC(config)#ip nbar protocol-pack bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
To verify NBAR protocol pack version
9800WLC#show ip nbar protocol-pack active
Active Protocol Pack:
Name: Advanced Protocol Pack
Version: 70.0
Publisher: Cisco Systems Inc.
NBAR Engine Version: 49
Creation time: Tue Jun 4 10:18:09 UTC 2024
File: bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
State: Active
Hinweis: Während des Upgrades des NBAR-Protokollpakets kommt es nicht zu einer Unterbrechung des Services.
NetFlow ist ein Netzwerkprotokoll zum Sammeln von IP-Verkehrsinformationen und zum Überwachen von Netzwerkflussdaten. Es wird hauptsächlich für die Analyse des Netzwerkverkehrs und die Bandbreitenüberwachung verwendet. Nachfolgend finden Sie eine Übersicht über die Funktionsweise von NetFlow auf den Cisco Catalyst Controllern der Serie 9800:
Flexible NetFlow (FNF) ist eine erweiterte Version des herkömmlichen NetFlow und wird von den Cisco Catalyst Wireless LAN Controllern (WLCs) der Serie 9800 unterstützt. Es bietet weitere Anpassungsoptionen für die Nachverfolgung, Überwachung und Analyse von Netzwerkverkehrsmustern. Wichtigste Funktionen von Flexible NetFlow auf dem Catalyst 9800 WLC:
Auf dem Catalyst 9800 WLC kann FNF so konfiguriert werden, dass Flow-Datensätze in eine externe NetFlow-Erfassungs- oder -Analyseanwendung exportiert werden. Diese Daten können dann zur Fehlerbehebung, Netzwerkplanung und Sicherheitsanalyse verwendet werden. Die FNF-Konfiguration umfasst die Definition eines Flow-Datensatzes (was erfasst werden soll), eines Flow-Exporteurs (wohin die Daten gesendet werden sollen) und das Anschließen des Flow-Monitors (der den Datensatz und den Exporteur verbindet) an die entsprechenden Schnittstellen.
Hinweis: FNF kann 17 verschiedene Datensätze (gemäß RFC 3954) an den externen NetFlow-Collector eines Drittanbieters senden, z. B. StealthWatch, Solarwinds und andere: Anwendungs-Tag, Client-MAC-Adresse, AP-MAC-Adresse, WlanID, Quell-IP, Ziel-IP, Quell-Port, Ziel-Port, Protokoll, Flow-Startzeit, Richtung, Packet-Out, Byte Anzahl, VLAN-ID (lokaler Modus) - Mgmt/Client und TOS - DSCP-Wert
Ein Flow Monitor ist eine Komponente, die zusammen mit Flexible NetFlow (FNF) zur Erfassung und Analyse von Netzwerkverkehrsdaten verwendet wird. Es spielt eine entscheidende Rolle bei der Überwachung und dem Verständnis von Datenverkehrsmustern für das Netzwerkmanagement, die Sicherheit und die Fehlerbehebung. Bei der Datenflussüberwachung handelt es sich im Wesentlichen um eine angewendete Instanz von FNF, die Datenflussdaten auf der Grundlage definierter Kriterien sammelt und verfolgt. Es umfasst drei Hauptelemente:
AVC wird nur auf diesen Access Points unterstützt:
Bereitstellungsmodus |
9800 WLC |
Access Point der Phase 1 |
Access Point der Phase 2 |
Wi-Fi 6 Access Point |
Lokaler Modus |
IPV4-Datenverkehr: |
Verarbeitung auf WLC-Ebene |
Verarbeitung auf WLC-Ebene |
Verarbeitung auf WLC-Ebene |
Flex-Modus |
IPV4-Datenverkehr: |
Verarbeitung auf WLC-Ebene |
Verarbeitung auf WLC-Ebene |
Verarbeitung auf WLC-Ebene |
Flex-Modus |
Verarbeitung auf AP-Ebene |
IPV4-Datenverkehr: |
IPV4-Datenverkehr: |
IPV4-Datenverkehr: |
Lokaler Modus |
Verarbeitung auf AP-Ebene |
IPV4-Datenverkehr: |
IPV4-Datenverkehr: |
IPV4-Datenverkehr: |
Application Visibility and Control (AVC) und Flexible NetFlow (FNF) sind leistungsstarke Funktionen für Cisco Catalyst Wireless LAN Controller der Serie 9800, die die Netzwerktransparenz und -kontrolle verbessern. Bei der Verwendung dieser Funktionen sollten jedoch einige Einschränkungen und Überlegungen beachtet werden:
Bei der Konfiguration von AVC auf dem 9800 WLC können Sie es entweder als NetFlow Collector verwenden oder die NefFlow-Daten in den externen NetFlow Collector exportieren.
Auf einem Cisco Catalyst 9800 Wireless LAN Controller (WLC) bezieht sich ein lokaler NetFlow Collector auf die integrierte Funktion im WLC, mit der NetFlow-Daten gesammelt und lokal gespeichert werden können. Auf diese Weise kann der WLC grundlegende NetFlow-Datenanalysen durchführen, ohne die Flow-Datensätze in einen externen NetFlow Collector exportieren zu müssen.
Über GUI
Schritt 1: Um AVC für eine bestimmte SSID zu aktivieren, gehen Sie zu Configuration > Services > Application Visibility. Wählen Sie das jeweilige Richtlinienprofil aus, für das Sie AVC aktivieren möchten.
Schritt 2: Wählen Sie als NetFlow Collector Local aus, und klicken Sie auf Apply.
Beachten Sie, dass die NetFlow-Exporter- und NetFlow-Einstellungen automatisch entsprechend der angegebenen Voreinstellungen konfiguriert wurden, nachdem Sie die AVC-Konfiguration angewendet haben.
Sie können dies überprüfen, indem Sie zu Configuration > Services > Application Visibility > Flow Monitor > Exporter/Monitor navigieren.
Die IPv4- und IPv6 AVC-Flussmonitore werden automatisch mit dem Richtlinienprofil verknüpft. Navigieren Sie zu Konfiguration > Tags & Profil > Richtlinie . Klicken Sie auf Richtlinienprofil > AVC und QoS .
Über CLI
Schritt 1: Konfigurieren des 9800 WLC als lokaler Exporter
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter wireless-local-exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit
Schritt 2: Konfigurieren von IPv4 und IPv6 Network Flow Monitor zur Verwendung von Local (WLC) als NetFlow Exporter
9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter wireless-local-exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor wireless-avc-basic-ipv6
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit
Schritt 3: Zuordnen des IPv4- und IPv6 Flow Minitor im Richtlinienprofil für eingehenden und ausgehenden Datenverkehr
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
Ein externer NetFlow Collector ist ein dediziertes System oder ein Service, das bzw. der im Kontext von Application Visibility and Control (AVC) auf einem Cisco Catalyst 9800 Wireless LAN Controller (WLC) verwendet wird und die vom WLC exportierten NetFlow-Daten empfängt, aggregiert und analysiert. Sie können entweder nur den externen NetFlow Collector konfigurieren, um die Anwendungstransparenz zu überwachen, oder Sie können ihn zusammen mit dem lokalen Collector verwenden.
Über GUI
Schritt 1: Um AVC für eine bestimmte SSID zu aktivieren, navigieren Sie zu Configuration > Services > Application Visibility. Wählen Sie das jeweilige Richtlinienprofil aus, für das Sie AVC aktivieren möchten. Wählen Sie Collector als External aus, konfigurieren Sie die IP-Adresse von NetFlow Collector wie Cisco Prime, SolarWind, StealthWatch, und klicken Sie auf Apply.
Beachten Sie, dass nach Anwendung der AVC-Konfiguration die NetFlow Exporter- und NetFlow-Einstellungen automatisch mit der IP-Adresse von NetFlow Collector als Exporter- und Exporter-Adresse als 9800 WLC mit Standard-Timeout-Einstellungen und UDP-Port 9995 konfiguriert wurden. Sie können dies überprüfen, indem Sie zu Configuration > Services > Application Visibility > Flow Monitor > Exporter/Monitor navigieren.
Sie können die Port-Konfiguration des automatisch generierten NetFlow-Monitors überprüfen, indem Sie zu Configuration > Services > NetFlow navigieren.
Hinweis: Wenn Sie AVC über die GUI konfigurieren, wird der automatisch generierte NetFlow Exporter für die Verwendung des UDP 9995-Ports konfiguriert. Überprüfen Sie unbedingt die Portnummer, die von Ihrem NetFlow Collector verwendet wird.
Beispiel: Wenn Sie Cisco Prime als NetFlow Collector verwenden, muss der Exporter-Port auf 9991 festgelegt werden, da dies der Port ist, auf dem Cisco Prime auf NetFlow-Datenverkehr wartet. Sie können den Exporter-Port in der NetFlow-Konfiguration manuell ändern.
Über CLI
Schritt 1: Konfigurieren der IP-Adresse von External NetFlow Collector über die Quellschnittstelle
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter External_Exporter
9800-Cl-VM(config-flow-exporter)#destination 10.106.36.22
9800-Cl-VM(config-flow-exporter)#source $Source_Interface
9800-Cl-VM(config-flow-exporter)#transport udp $Port_Numbet
9800-Cl-VM(config-flow-exporter)#exit
Schritt 2: Konfigurieren von IPv4 und IPv6 Network Flow Monitor zur Verwendung von Local (WLC) als NetFlow Exporter
9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit
Schritt 3: Zuordnen des IPv4- und IPv6 Flow Minitor im Richtlinienprofil für eingehenden und ausgehenden Datenverkehr
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
Bevor Sie mit der Konfiguration von Application Visibility and Control (AVC) auf einem Cisco Catalyst 9800 Wireless LAN Controller (WLC) über Cisco Catalyst Center fortfahren, müssen Sie überprüfen, ob die Telemetriekommunikation zwischen dem WLC und Cisco Catalyst Center erfolgreich eingerichtet wurde. Stellen Sie sicher, dass der WLC in verwaltetem Zustand in der Cisco Catalyst Center-Schnittstelle angezeigt wird und dass sein Zustand aktiv aktualisiert wird. Für eine effektive Überwachung des Diagnosestatus ist es zudem wichtig, den WLC und die Access Points (APs) den entsprechenden Standorten im Cisco Catalyst Center zuzuweisen.
Schritt 1: Konfigurieren Sie Cisco Catalyst Center als NetFlow Collector, und aktivieren Sie die Wireless-Telemetrie in der globalen Einstellung. Navigieren Sie zu Design > Network Setting > Telemetry, und aktivieren Sie die gewünschte Konfiguration wie dargestellt.
Schritt 2: Aktivieren Sie die Anwendungstelemetrie auf dem gewünschten 9800 WLC, um die AVC-Konfiguration auf dem 9800 WLC zu übertragen. Navigieren Sie dazu zu Provisioning > Network Device > Inventory. Wählen Sie den 9800 WLC aus, auf dem Sie die Anwendungstelemetrie aktivieren möchten, und navigieren Sie dann zu Aktion > Telemetrie > Anwendungstelemetrie aktivieren .
Schritt 3: Wählen Sie den Bereitstellungsmodus gemäß der Anforderung aus.
Lokal: So aktivieren Sie AVC im lokalen Richtlinienprofil (Central Switching)
Flex/Fabric: Zum Aktivieren von AVC in Flex Policy Profile (Local Switching) oder Fabric-basierten SSIDs.
Schritt 4: Es wird eine Aufgabe zur Aktivierung der AVC-Einstellungen initiiert. Die entsprechende Konfiguration wird auf den 9800 WLC angewendet. Sie können den Status anzeigen, indem Sie zu Aktivitäten > Audit Log (Überwachungsprotokoll) navigieren.
Cisco Catalyst Center stellt die Flow Exporter- und Flow Monitor-Konfigurationen bereit, einschließlich des angegebenen Ports und anderer Einstellungen, und aktiviert sie im ausgewählten Modus-Richtlinienprofil, wie unten gezeigt:
Configure Cisco Catalyst Center as Flow Exporter:
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_exporter
9800-Cl-VM(config-flow-exporter)#destination 10.104.222.201
9800-Cl-VM(config-flow-exporter)#source Vlan10
9800-Cl-VM(config-flow-exporter)#transport udp 6007
9800-Cl-VM(config-flow-exporter)#export-protocol ipfix
9800-Cl-VM(config-flow-exporter)#option vrf-table timeout 300
9800-Cl-VM(config-flow-exporter)#option ssid-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-attributes timeout 300
9800-Cl-VM(config-flow-exporter)#exit
Configure 9800 WLC as Local Exporter
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_local_exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit
Configure Network Flow Monitor to use both Local(WLC) and Cisco Catalyst Center as Netflow Exporter:
9800-Cl-VM(config)#flow monitor avc_ipv4_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv6_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv4_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv6_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit
Mapping the IPv4 and IPv6 Flow Minitor in Policy Profile
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance output
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
Wenn der 9800 WLC als Flow-Exporter verwendet wird, können die folgenden AVC-Statistiken beobachtet werden:
・ Anwendungstransparenz für Clients, die über alle SSIDs verbunden sind
・ Individuelle Anwendungsnutzung für jeden Client.
・ Spezifische Anwendungsnutzung auf jeder SSID separat.
Hinweis: Sie haben die Möglichkeit, die Daten nach Richtung zu filtern, wobei sowohl ein- als auch ausgehender Datenverkehr (ein- und ausgehender Datenverkehr) sowie nach Zeitintervall gefiltert werden. Dabei können Sie einen Bereich von bis zu 48 Stunden auswählen.
Über GUI
Navigieren Sie zu Monitoring > Services > Application Visibility .
Um Statistiken zur Anwendungstransparenz für jeden Client anzuzeigen, können Sie auf die Registerkarte Clients klicken, einen bestimmten Client auswählen und dann auf Anwendungsdetails anzeigen klicken.
Über CLI
AVC-Status überprüfen
9800WLC#show avc status wlan AVC_testing
WLAN profile name: AVC_testing
----------------------------------------------------------
AVC configuration complete: YES
Statistiken von NetFlow (FNF-Cache)
9800WLC#show flow monitor $Flow_Monitor_Name cache format table
So untersuchen Sie die höchste Anwendungsnutzung für jedes WLAN und die verbundenen Clients einzeln:
9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
where n = <1-30> Enter the number of applications
9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
where n = <1-10> Enter the number of clients
Überprüfung der Anzahl der FNFv9-Pakete und Decodierung des Status auf der Kontrollebene (CP)
9800WLC#show platform software wlavc status decoder
Sie können die nbar-Statistiken auch direkt überprüfen.
9800WLC#show ip nbar protocol-discovery
Im Fabric- und Flex-Modus können Sie die NBAR-Statistiken vom Access Point abrufen über:
AP#show avc nbar statistics
Works on both IOS and ClickOS APs
Hinweis: Bei einer Konfiguration mit einem ausländischen Anker dient der Anker-WLC als Layer-3-Präsenz für den Client, während der ausländische WLC auf Layer 2 betrieben wird. Da Application Visibility and Control (AVC) auf Layer 3 ausgeführt wird, sind die relevanten Daten nur auf dem Anker-WLC sichtbar.
Anhand der Paketerfassung des 9800 WLC können wir überprüfen, ob Daten zu Anwendungen und Netzwerkverkehr kontinuierlich an Cisco Catalyst Center gesendet werden.
Um die Anwendungsdaten für Clients anzuzeigen, die mit einem bestimmten WLC im Cisco Catalyst Center verbunden sind, navigieren Sie zu Assurance > Dashboards > Health > Application .
Wir können die von Kunden am häufigsten verwendeten Anwendungen verfolgen und die Daten identifizieren, die am häufigsten von Kunden genutzt werden, wie hier gezeigt.
Sie können einen Filter für eine bestimmte SSID festlegen, mit dem Sie den Gesamtdurchsatz und die Anwendungsnutzung der mit dieser SSID verbundenen Clients überwachen können.
Mit dieser Funktion können Sie die Anwendungen mit dem höchsten Bandbreitenbedarf und die Benutzer mit dem höchsten Bandbreitenbedarf im Netzwerk identifizieren.
Darüber hinaus können Sie die Funktion "Zeitfilter" nutzen, um diese Daten für frühere Zeiträume zu überprüfen und historische Einblicke in die Netzwerknutzung zu erhalten.
.
Wenn Sie Cisco Prime als NetFlow-Collector verwenden, werden die gesammelten Daten vom 9800 WLC als Datenquelle angezeigt, die NetFlow-Daten senden. Die NetFlow-Vorlage wird entsprechend den vom 9800 WLC gesendeten Daten automatisch erstellt.
Anhand der Paketerfassung des 9800 WLC können wir überprüfen, ob Daten zu Anwendungen und Netzwerkverkehr kontinuierlich an Cisco Prime gesendet werden.
Mithilfe der IP-Adresse können Sie Filter basierend auf Anwendungen, Services und sogar auf dem Client für eine gezieltere Datenanalyse einrichten.
In diesem Beispiel wird der NetFlow Collector [SolarWinds] eines Drittanbieters zum Erfassen von Anwendungsstatistiken verwendet. Der 9800 WLC nutzt Flexible NetFlow (FNF), um umfassende Daten zu Anwendungen und Netzwerkverkehr zu übertragen, die dann von SolarWinds erfasst werden.
Die Datenverkehrskontrolle umfasst eine Reihe von Funktionen und Mechanismen zur Verwaltung und Regulierung des Datenverkehrs im Netzwerk. Traffic Policing oder Durchsatzratenbegrenzung sind Mechanismen, die im Wireless Controller verwendet werden, um die Menge des vom Client übertragenen Datenverkehrs zu steuern. Es überwacht die Datenrate für den Netzwerkverkehr und ergreift sofort Maßnahmen, wenn ein vordefinierter Ratengrenzwert überschritten wird. Wenn der Datenverkehr die angegebene Rate überschreitet, kann die Ratenbeschränkung die überschüssigen Pakete verwerfen oder sie durch Ändern der CoS- (Class of Service) oder DSCP-Werte (Differentiated Services Code Point) nach unten markieren. Dies kann durch die Konfiguration von QoS in 9800 WLC erreicht werden. Eine Übersicht über die Funktionsweise dieser Komponenten und ihre Konfiguration zur Erzielung unterschiedlicher Ergebnisse finden Sie unter https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/215441-configure-qos-rate-limiting-on-catalyst.html.
Zur Fehlerbehebung bei AVC-Problemen müssen Probleme identifiziert und behoben werden, die sich möglicherweise auf die Fähigkeit von AVC auswirken, den Anwendungsdatenverkehr in Ihrem Wireless-Netzwerk genau zu identifizieren, zu klassifizieren und zu verwalten. Häufige Probleme können die Klassifizierung des Datenverkehrs, die Durchsetzung von Richtlinien oder die Berichterstellung betreffen. Im Folgenden sind einige Schritte und Überlegungen zur Fehlerbehebung bei AVC-Problemen mit einem Catalyst 9800 WLC aufgeführt:
Wenn Sie AVC über die GUI einrichten, weist es automatisch Port 9995 als Standard zu. Wenn Sie jedoch einen externen Collector verwenden, überprüfen Sie, welcher Port für die Überwachung des NetFlow-Datenverkehrs konfiguriert ist. Es ist wichtig, diese Portnummer genau so zu konfigurieren, dass sie mit den Einstellungen Ihres Collectors übereinstimmt.
1. Aktivieren Sie den Zeitstempel, um eine Zeitreferenz für alle Befehle zu erhalten.
9800WLC#term exec prompt timestamp
2. Überprüfen der Konfiguration
9800WLC#show tech-support wireless
3. Sie können die AVC-Status- und NetFlow-Statistiken überprüfen.
Prüfen Sie den AVC-Konfigurationsstatus.
9800WLC#show avc status wlan <wlan_name>
Überprüfen Sie die Anzahl der FNFv9-Pakete, und decodieren Sie den Status per Zeitlimit für die Kontrollebene (CP).
9800WLC#show platform software wlavc status decoder
Überprüfen von Statistiken aus NetFlow (FNF-Cache)
9800WLC#show flow monitor <Flow_Monitor_Name>
Aktivieren Sie Top n Anwendungsnutzung für jedes WLAN, wobei n = <1-30> Geben Sie die Anzahl der Anwendungen ein.
9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
Prüfen Sie die Top-n-Anwendungsnutzung für jeden Client, wobei n = <1-30> Geben Sie die Anzahl der Anwendungen ein.
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
Aktivieren Sie die oberen n Clients, die über die jeweilige Anwendung mit einem bestimmten WLAN verbunden sind, wobei n=<1-10> Geben Sie die Anzahl der Clients ein.
9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
Überprüfen Sie die Nbar-Statistik.
9800WLC#show ip nbar protocol-discovery
4. Legen Sie die Protokollierungsebene auf debug/verbose fest.
9800WLC#set platform software trace all debug/verbose
!! To View the collected logs
9800WLC#show logging profile wireless internal start last clear to-file bootflash:<File_Name
!!Set logging level back to notice post troubleshooting
9800WLC#set platform software trace wireless all debug/verbose
5. Aktivieren Sie Radioactive (RA) Trace für die MAC-Adresse des Clients, um die AVC-Statistiken zu validieren.
Über CLI
9800WLLC#debug wireless {mac | ip} {aaaa.bbbb.cccc | x.x.x.x } {monitor-time} {N seconds} !! Setting time allows us to enable traces for up to 24 days
9800WLC#no debug wireless mac <Client_MAC>
!!WLC generates a debug trace file with Client_info, command to check for debug trace file generated.
9800WLC#dir bootflash: | i debug
Achtung: Das bedingte Debuggen ermöglicht die Protokollierung auf Debugebene, wodurch sich wiederum die Anzahl der generierten Protokolle erhöht. Wenn Sie diese Option nicht ausführen, wird der Zeitaufwand für das Anzeigen von Protokollen reduziert. Daher wird empfohlen, das Debuggen immer am Ende der Fehlerbehebungssitzung zu deaktivieren.
# clear platform condition all
# undebug all
Über GUI
Schritt 1: Navigieren Sie zu Fehlerbehebung > Radioaktive Spur .
Schritt 2: Klicken Sie auf Hinzufügen, und geben Sie eine Client-MAC-Adresse ein, mit der Sie das Problem beheben möchten. Sie können mehrere Mac-Adressen zum Verfolgen hinzufügen.
Schritt 3: Wenn Sie bereit sind, die radioaktive Verfolgung zu starten, klicken Sie auf Start. Nach dem Start wird die Debug-Protokollierung für jede Verarbeitung auf der Steuerungsebene in Bezug auf die verfolgten MAC-Adressen auf die Festplatte geschrieben.
Schritt 4: Wenn Sie das Problem reproduzieren, das Sie beheben möchten, klicken Sie auf Beenden .
Schritt 5: Für jede debuggte MAC-Adresse können Sie eine Protokolldatei erstellen, in der alle Protokolle zu dieser MAC-Adresse aufgelistet sind. Klicken Sie dazu auf Generate (Erstellen).
Schritt 6: Wählen Sie aus, wie lange die sortierte Protokolldatei zurückgehen soll, und klicken Sie auf Auf Gerät anwenden.
Schritt 7. Sie können die Datei jetzt herunterladen, indem Sie auf das kleine Symbol neben dem Dateinamen klicken. Diese Datei befindet sich im Boot-Flash-Laufwerk des Controllers und kann auch über die CLI kopiert werden.
Hier ist ein Blick auf AVC-Fehlerbehebungen in RA-Traces
2024/07/20 20:15:24.514842337 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 280, #packets 5
2024/07/20 20:15:24.514865665 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:24.514875837 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'unknown'(app-id: 0xd000001), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:40.530177442 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'ping'(app-id: 0xd0001df), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 3600, #packets 60
6. Embedded Captures gefiltert nach Client-MAC-Adresse in beide Richtungen, Client inneren MAC-Filter verfügbar nach 17.1.
Diese Funktion ist besonders bei der Verwendung eines externen Collectors nützlich, da sie dazu beiträgt, zu überprüfen, ob der WLC NetFlow-Daten erwartungsgemäß an den beabsichtigten Port überträgt.
Über CLI
monitor capture MYCAP clear
monitor capture MYCAP interface <Interface> both
monitor capture MYCAP buffer size 100
monitor capture MYCAP match any
monitor capture MYCAP inner mac CLIENT_MAC@
monitor capture MYCAP start
!! Inititiate different application traffic from user
monitor capture MYCAP stop
monitor capture MYCAP export flash:|tftp:|http:.../filename.pcap
Über GUI
Schritt 1: Navigieren Sie zu Troubleshooting > Packet Capture > +Add .
Schritt 2: Definieren Sie den Namen der Paketerfassung. Es sind maximal 8 Zeichen zulässig.
Schritt 3: Definieren Sie ggf. Filter.
Schritt 4: Aktivieren Sie das Kontrollkästchen Control Traffic überwachen, wenn der Datenverkehr zur System-CPU geleitet und zurück in die Datenebene eingespeist werden soll.
Schritt 5: Puffergröße definieren. Es sind maximal 100 MB zulässig.
Schritt 6: Definieren Sie einen Grenzwert, entweder nach Dauer, die einen Bereich von 1 bis 1000000 Sekunden zulässt, oder nach Anzahl der Pakete, die einen Bereich von 1 bis 100000 Paketen erlaubt, wie gewünscht.
Schritt 7. Wählen Sie die Schnittstelle aus der Liste der Schnittstellen in der linken Spalte aus, und klicken Sie auf den Pfeil, um sie in die rechte Spalte zu verschieben.
Schritt 8: Klicken Sie auf Auf Gerät anwenden.
Schritt 9. Um die Erfassung zu starten, wählen Sie Start aus.
Schritt 10. Sie können die Erfassung bis zum definierten Limit laufen lassen. Um die Erfassung manuell zu stoppen, wählen Sie Stopp.
Schritt 11. Nach dem Beenden wird eine Export-Schaltfläche verfügbar, auf die Sie klicken können, um die Erfassungsdatei (.pcap) über einen HTTP- oder TFTP-Server oder einen FTP-Server oder eine Festplatte oder einen Flash-Speicher des lokalen Systems auf den lokalen Desktop herunterzuladen.
Im Fabric- und Flex-Modus
1. show tech zeigt alle Konfigurationsdetails und Client-Statistiken für den Access Point.
2. avc nbar Statistiken anzeigen nbar Statistiken von AP
3. AVC-Fehlersuche
AP#term mon
AP#debug capwap client avc <all/detail/error/event>
AP#debug capwap client avc netflow <all/detail/error/event/packet>
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
29-Jul-2024 |
Erstveröffentlichung |