AVC auf dem Catalyst 9800 Wireless LAN Controller verstehen

Einleitung

Dieses Dokument beschreibt Application Visibility and Control (AVC) auf einem Cisco Catalyst 9800 WLC, der eine präzise Verwaltung des Anwendungsdatenverkehrs ermöglicht.

Voraussetzung

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Grundkenntnisse des Cisco WLC 9800.
• Grundkenntnisse der APs im lokalen und Flex-Connect-Modus
• Die Access Points müssen AVC-fähig sein. (Nicht zutreffend für AP im lokalen Modus)
• Damit der Kontrollteil von AVC (QoS) funktioniert, muss die Funktion für Anwendungstransparenz mit FNF konfiguriert werden.

Informationen zu Application Visibility and Control (AVC)

Application Visibility and Control (AVC) ist der führende Ansatz von Cisco für die Deep Packet Inspection (DPI)-Technologie in kabelgebundenen und Wireless-Netzwerken. Mit AVC können Sie Echtzeitanalysen durchführen und Richtlinien erstellen, um Netzwerküberlastungen wirksam zu reduzieren, die kostspielige Nutzung von Netzwerkverbindungen zu minimieren und unnötige Infrastruktur-Upgrades zu vermeiden. Kurz gesagt: Mit AVC können Benutzer mithilfe von Network Based Application Recognition (NBAR) eine völlig neue Ebene der Erkennung und des Shapings von Datenverkehr erreichen. NBAR-Pakete, die auf dem 9800 WLC ausgeführt werden, werden für DPI verwendet, und die Ergebnisse werden mithilfe von Flexible NetFlow (FNF) gemeldet.

AVC bietet nicht nur Transparenz, sondern ermöglicht auch die Priorisierung, Blockierung oder Drosselung verschiedener Arten von Datenverkehr. So können Administratoren beispielsweise Richtlinien zur Priorisierung von Sprach- und Videoanwendungen erstellen, um die Quality of Service (QoS) sicherzustellen oder die verfügbare Bandbreite für nicht wichtige Anwendungen während der Hauptgeschäftszeiten zu begrenzen. Die Lösung kann auch in andere Cisco Technologien integriert werden, z. B. die Cisco Identity Services Engine (ISE) für identitätsbasierte Anwendungsrichtlinien und Cisco Catalyst Center für zentrales Management.

Funktionsweise von AVC

AVC verwendet erweiterte Technologien wie die FNF- und NBAR2-Engine für DPI. Durch die Analyse und Identifizierung von Datenverkehrsflüssen mithilfe der NBAR2-Engine werden bestimmte Flüsse mit dem erkannten Protokoll oder der erkannten Anwendung markiert. Der Controller erfasst alle Berichte und stellt sie mithilfe von Anzeigebefehlen, der Webbenutzeroberfläche oder zusätzlichen NetFlow-Exportmeldungen an externe NetFlow-Collectors wie Prime dar.

Sobald die Anwendungstransparenz eingerichtet ist, können Benutzer Kontrollregeln mit Richtlinienmechanismen für Clients erstellen, indem sie Quality of Service (QoS) konfigurieren.

Arbeitsmechanismus von AVC

Network-Based Application Recognition (NBAR)

NBAR ist ein in den 9800 WLC integrierter Mechanismus, mit dem DPI zum Identifizieren und Klassifizieren einer Vielzahl von Anwendungen, die über ein Netzwerk ausgeführt werden, ausgeführt wird. Er kann eine große Anzahl von Anwendungen erkennen und klassifizieren, einschließlich verschlüsselter und dynamisch portseitiger Anwendungen, die für herkömmliche Paketprüfungstechnologien häufig unsichtbar sind.

NBAR wird weiterhin regelmäßig aktualisiert. Daher ist es wichtig, die WLC-Software auf dem neuesten Stand zu halten, um sicherzustellen, dass die NBAR-Funktionen aktuell und effektiv bleiben.

Eine vollständige Liste der in den neuesten Versionen unterstützten Protokolle finden Sie unter https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/prot_lib/config_library/nbar-prot-pack-library.html

NBAR-Protokoll in Richtlinienprofil aktivieren

9800WLC#configure terminal
9800WLC(config)#wireless profile policy AVC_testing
9800WLC(config-wireless-policy)#ip nbar protocol-discovery 
9800WLC(config-wireless-policy)#end

9800WLC#show wireless profile policy detailed AVC_testing | in NBAR
NBAR Protocol Discovery : Enabled

Aktualisieren von NBAR auf dem 9800 WLC

9800 WLC hat bereits ~1500 erkennbare Anwendungen. Wenn eine neue Anwendung veröffentlicht wird, wird das Protokoll für dieselbe in der neuesten NBAR aktualisiert, die von der Software-Download-Seite für das spezielle 9800-Modell heruntergeladen werden muss.

Über GUI

Navigieren Sie zu Konfiguration > Dienste > Anwendungstransparenz. Klicken Sie auf Upgrade Protocol Pack .

Protokollabschnitt in 9800 WLC hochladen

Klicken Sie auf Hinzufügen, wählen Sie das herunterzuladende Protokollpaket aus, und klicken Sie auf Upgrade .

NBAR-Protokoll hinzufügen

Nach Abschluss des Upgrades wird das Protokollpaket hinzugefügt.

Überprüfung des Protokollpakets

Über CLI

9800WLC#copy tftp://10.10.10.1/pp-adv-c9800-1712.1-49-70.0.0.pack bootflash:
9800WLC#configure terminal
9800WLC(config)#ip nbar protocol-pack bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack

To verify NBAR protocol pack version

9800WLC#show ip nbar protocol-pack active
Active Protocol Pack: 
Name: Advanced Protocol Pack
Version: 70.0
Publisher: Cisco Systems Inc.
NBAR Engine Version: 49
Creation time: Tue Jun 4 10:18:09 UTC 2024
File: bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
State: Active

NetFlow

NetFlow ist ein Netzwerkprotokoll zum Sammeln von IP-Verkehrsinformationen und zum Überwachen von Netzwerkflussdaten. Es wird hauptsächlich für die Analyse des Netzwerkverkehrs und die Bandbreitenüberwachung verwendet. Nachfolgend finden Sie eine Übersicht über die Funktionsweise von NetFlow auf den Cisco Catalyst Controllern der Serie 9800:

• Datenerfassung: Der 9800 WLC erfasst Daten über den IP-Datenverkehr, der durch den WLC fließt. Zu diesen Daten gehören Informationen wie Quell- und Ziel-IP-Adressen, Quell- und Ziel-Ports, verwendete Protokolle, Serviceklassen und die Ursache für die Beendigung des Datenflusses.
• Flow Records: Die erfassten Daten werden in Flow Records organisiert. Ein Datenfluss wird als unidirektionale Folge von Paketen definiert, die einen Satz gemeinsamer Attribute gemeinsam nutzen, z. B. dieselbe Quell-/Ziel-IP-Adresse, dieselben Quell-/Ziel-Ports und denselben Protokolltyp.
• Exportieren von Daten: Die Datenflussdatensätze werden regelmäßig vom NetFlow-fähigen Gerät in einen NetFlow Collector exportiert. Der Collector kann ein lokaler WLC oder ein dedizierter Server oder eine Softwareanwendung sein, die die Flow-Daten empfängt, speichert und verarbeitet.
• Analyse: Sie können NetFlow-Collectors und Analysetools verwenden, um Datenverkehrsmuster zu visualisieren, Bandbreite zu identifizieren, ungewöhnliche Datenverkehrsflüsse zu erkennen, die auf Sicherheitsverletzungen hinweisen, die Netzwerkleistung zu optimieren und eine Netzwerkerweiterung zu planen.
• Wireless-spezifische Informationen: NetFlow kann im Kontext von Wireless Controllern zusätzliche Informationen speziell für Wireless-Netzwerke wie SSID, AP-Namen, MAC-Adressen von Clients und andere Details für den Wi-Fi-Datenverkehr enthalten.

Flexibles NetFlow

Flexible NetFlow (FNF) ist eine erweiterte Version des herkömmlichen NetFlow und wird von den Cisco Catalyst Wireless LAN Controllern (WLCs) der Serie 9800 unterstützt. Es bietet weitere Anpassungsoptionen für die Nachverfolgung, Überwachung und Analyse von Netzwerkverkehrsmustern. Wichtigste Funktionen von Flexible NetFlow auf dem Catalyst 9800 WLC:

• Anpassung: Mit FNF können Benutzer definieren, welche Informationen sie aus dem Netzwerkverkehr sammeln möchten. Dazu gehören eine Vielzahl von Datenverkehrsattributen wie IP-Adressen, Portnummern, Zeitstempeln, Paket- und Bytezählern, Anwendungstypen und mehr.
• Verbesserte Transparenz: Durch die Nutzung von FNF erhalten Administratoren einen detaillierten Einblick in die Arten des Datenverkehrs, der durch das Netzwerk fließt. Dies ist für die Kapazitätsplanung, die nutzungsbasierte Netzwerkabrechnung, die Netzwerkanalyse und die Sicherheitsüberwachung unerlässlich.
• Protokollunabhängigkeit: FNF ist flexibel genug, um verschiedene Protokolle über IP hinaus zu unterstützen, sodass es an unterschiedliche Netzwerkumgebungen angepasst werden kann.

Auf dem Catalyst 9800 WLC kann FNF so konfiguriert werden, dass Flow-Datensätze in eine externe NetFlow-Erfassungs- oder -Analyseanwendung exportiert werden. Diese Daten können dann zur Fehlerbehebung, Netzwerkplanung und Sicherheitsanalyse verwendet werden. Die FNF-Konfiguration umfasst die Definition eines Flow-Datensatzes (was erfasst werden soll), eines Flow-Exporteurs (wohin die Daten gesendet werden sollen) und das Anschließen des Flow-Monitors (der den Datensatz und den Exporteur verbindet) an die entsprechenden Schnittstellen.

Datenflussüberwachung

Ein Flow Monitor ist eine Komponente, die zusammen mit Flexible NetFlow (FNF) zur Erfassung und Analyse von Netzwerkverkehrsdaten verwendet wird. Es spielt eine entscheidende Rolle bei der Überwachung und dem Verständnis von Datenverkehrsmustern für das Netzwerkmanagement, die Sicherheit und die Fehlerbehebung. Bei der Datenflussüberwachung handelt es sich im Wesentlichen um eine angewendete Instanz von FNF, die Datenflussdaten auf der Grundlage definierter Kriterien sammelt und verfolgt. Es umfasst drei Hauptelemente:

• Flow Record: Definiert die Daten, die der Flow Monitor aus dem Netzwerkverkehr sammeln muss. Es gibt die Schlüssel (wie Quell- und Ziel-IP-Adressen, Ports, Protokolltypen) und Nicht-Schlüsselfelder (wie Paket- und Byte-Zähler, Zeitstempel) an, die in die Flussdaten eingeschlossen werden.
• Flow Exporter: Gibt das Ziel an, an das die erfassten Flow-Daten gesendet werden müssen. Dazu gehören Details wie die IP-Adresse des NetFlow Collectors, das Transportprotokoll (in der Regel UDP) und die Zielportnummer, auf die der Collector wartet.
• Flow Monitor: Der Flow Monitor selbst verbindet den Flow Record mit dem Flow Exporter und wendet sie auf eine Schnittstelle oder ein WLAN an, um den Überwachungsprozess zu starten. Er legt fest, wie die Flow-Daten gesammelt und exportiert werden müssen, basierend auf den Kriterien, die im Flow-Datensatz und dem Ziel-Set im Flow-Exporter festgelegt sind.

Von AVC unterstützte Access Points

AVC wird nur auf diesen Access Points unterstützt:

• Cisco Catalyst Serie 9100
• Cisco Aironet Access Point der Serie 2800
• Cisco Aironet Access Points der Serie 3800
• Cisco Aironet Access Points der Serie 4800

Unterstützung verschiedener Bereitstellungsmodi des 9800

Bereitstellungsmodus	9800 WLC	Access Point der Phase 1	Access Point der Phase 2	Wi-Fi 6 Access Point
Lokaler Modus (Zentrales Switching)	IPV4-Datenverkehr: AVC unterstützt Unterstützte FNF IPV6-Datenverkehr: AVC unterstützt Unterstützte FNF	Verarbeitung auf WLC-Ebene	Verarbeitung auf WLC-Ebene	Verarbeitung auf WLC-Ebene
Flex-Modus (Zentrales Switching)	IPV4-Datenverkehr: AVC unterstützt Unterstützte FNF IPV6-Datenverkehr: AVC unterstützt Unterstützte FNF	Verarbeitung auf WLC-Ebene	Verarbeitung auf WLC-Ebene	Verarbeitung auf WLC-Ebene
Flex-Modus (Lokales Switching)	Verarbeitung auf AP-Ebene	IPV4-Datenverkehr: AVC unterstützt Unterstützte FNF IPV6-Datenverkehr: AVC unterstützt FNF wird nicht unterstützt	IPV4-Datenverkehr: AVC unterstützt Unterstützte FNF IPV6-Datenverkehr: AVC unterstützt Unterstützte FNF	IPV4-Datenverkehr: AVC unterstützt Unterstützte FNF IPV6-Datenverkehr: AVC unterstützt Unterstützte FNF
Lokaler Modus (Fabric)	Verarbeitung auf AP-Ebene	IPV4-Datenverkehr: AVC nicht unterstützt FNF wird nicht unterstützt IPV6-Datenverkehr: AVC nicht unterstützt FNF wird nicht unterstützt	IPV4-Datenverkehr: AVC unterstützt Unterstützte FNF IPV6-Datenverkehr: AVC unterstützt Unterstützte FNF	IPV4-Datenverkehr: AVC unterstützt Unterstützte FNF IPV6-Datenverkehr: AVC unterstützt Unterstützte FNF

Einschränkungen bei der Implementierung von AVC auf 9800

Application Visibility and Control (AVC) und Flexible NetFlow (FNF) sind leistungsstarke Funktionen für Cisco Catalyst Wireless LAN Controller der Serie 9800, die die Netzwerktransparenz und -kontrolle verbessern. Bei der Verwendung dieser Funktionen sollten jedoch einige Einschränkungen und Überlegungen beachtet werden:

• Controller-übergreifendes Layer-2-Roaming wird nicht unterstützt.
• Multicast-Datenverkehr wird nicht unterstützt.
• Nur Anwendungen, die für Anwendungstransparenz erkannt werden, können für die Anwendung der QoS-Kontrolle verwendet werden.
• Die Datenverbindung wird für NetFlow-Felder in AVC nicht unterstützt.
• Sie können nicht dasselbe WLAN-Profil sowohl dem Richtlinienprofil "AVC nicht aktiviert" als auch dem Richtlinienprofil "AVC aktiviert" zuordnen.
• Sie können das Richtlinienprofil mit unterschiedlichen Switching-Mechanismen für dasselbe WLAN nicht zur Implementierung von AVC verwenden.
• AVC wird auf dem Management-Port (Gig 0/0) nicht unterstützt.
• Eine NBAR-basierte QoS-Richtlinienkonfiguration ist nur für kabelgebundene physische Ports zulässig. Die Richtlinienkonfiguration wird für virtuelle Schnittstellen wie VLAN, Port-Channel und andere logische Schnittstellen nicht unterstützt.
• Wenn AVC aktiviert ist, unterstützt das AVC-Profil nur bis zu 23 Regeln, einschließlich der Standard-DSCP-Regel. Die AVC-Richtlinie wird nicht an den Access Point übertragen, wenn die Regeln mehr als 23 betragen.
  
  

Netzwerktopologie

AP im lokalen Modus

AVC im AP im lokalen Modus (zentrales Switching)

AP im flexiblen Modus

AVC im Flex Mode-AP

Konfiguration von AVC auf dem 9800 WLC

Bei der Konfiguration von AVC auf dem 9800 WLC können Sie es entweder als NetFlow Collector verwenden oder die NefFlow-Daten in den externen NetFlow Collector exportieren.

Lokaler Exporteur

Auf einem Cisco Catalyst 9800 Wireless LAN Controller (WLC) bezieht sich ein lokaler NetFlow Collector auf die integrierte Funktion im WLC, mit der NetFlow-Daten gesammelt und lokal gespeichert werden können. Auf diese Weise kann der WLC grundlegende NetFlow-Datenanalysen durchführen, ohne die Flow-Datensätze in einen externen NetFlow Collector exportieren zu müssen.

Über GUI

Schritt 1: Um AVC für eine bestimmte SSID zu aktivieren, gehen Sie zu Configuration > Services > Application Visibility. Wählen Sie das jeweilige Richtlinienprofil aus, für das Sie AVC aktivieren möchten.

Aktivieren von AVC im Richtlinienprofil

Schritt 2: Wählen Sie als NetFlow Collector Local aus, und klicken Sie auf Apply.

Auswählen des lokalen NetFlow-Collectors

Beachten Sie, dass die NetFlow-Exporter- und NetFlow-Einstellungen automatisch entsprechend der angegebenen Voreinstellungen konfiguriert wurden, nachdem Sie die AVC-Konfiguration angewendet haben.

Sie können dies überprüfen, indem Sie zu Configuration > Services > Application Visibility > Flow Monitor > Exporter/Monitor navigieren.

Lokale Flow Collector-Konfiguration auf 9800 WLC

Konfiguration des Datenflussmonitors mit dem lokalen NetFlow Collector

Die IPv4- und IPv6 AVC-Flussmonitore werden automatisch mit dem Richtlinienprofil verknüpft. Navigieren Sie zu Konfiguration > Tags & Profil > Richtlinie . Klicken Sie auf Richtlinienprofil > AVC und QoS .

Konfiguration der Datenflussüberwachung im Richtlinienprofil

Über CLI

Schritt 1: Konfigurieren des 9800 WLC als lokaler Exporter

9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter wireless-local-exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit

Schritt 2: Konfigurieren von IPv4 und IPv6 Network Flow Monitor zur Verwendung von Local (WLC) als NetFlow Exporter

9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter wireless-local-exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor wireless-avc-basic-ipv6
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit

Schritt 3: Zuordnen des IPv4- und IPv6 Flow Minitor im Richtlinienprofil für eingehenden und ausgehenden Datenverkehr

9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown

Disabling policy profile will result in associated AP/Client rejoin

9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit

Externer NetFlow-Collector

Ein externer NetFlow Collector ist ein dediziertes System oder ein Service, das bzw. der im Kontext von Application Visibility and Control (AVC) auf einem Cisco Catalyst 9800 Wireless LAN Controller (WLC) verwendet wird und die vom WLC exportierten NetFlow-Daten empfängt, aggregiert und analysiert. Sie können entweder nur den externen NetFlow Collector konfigurieren, um die Anwendungstransparenz zu überwachen, oder Sie können ihn zusammen mit dem lokalen Collector verwenden. 

Über GUI

Schritt 1: Um AVC für eine bestimmte SSID zu aktivieren, navigieren Sie zu Configuration > Services > Application Visibility. Wählen Sie das jeweilige Richtlinienprofil aus, für das Sie AVC aktivieren möchten. Wählen Sie Collector als External aus, konfigurieren Sie die IP-Adresse von NetFlow Collector wie Cisco Prime, SolarWind, StealthWatch, und klicken Sie auf Apply.

AVC-Konfiguration für externen NetFlow Collector

Beachten Sie, dass nach Anwendung der AVC-Konfiguration die NetFlow Exporter- und NetFlow-Einstellungen automatisch mit der IP-Adresse von NetFlow Collector als Exporter- und Exporter-Adresse als 9800 WLC mit Standard-Timeout-Einstellungen und UDP-Port 9995 konfiguriert wurden. Sie können dies überprüfen, indem Sie zu Configuration > Services > Application Visibility > Flow Monitor > Exporter/Monitor navigieren.

Externe NetFlow Collector-Konfiguration auf dem 9800 WLC

Konfiguration des Datenflussmonitors mit externem NetFlow Collector

Sie können die Port-Konfiguration des automatisch generierten NetFlow-Monitors überprüfen, indem Sie zu Configuration > Services > NetFlow navigieren.

Beispiel: Wenn Sie Cisco Prime als NetFlow Collector verwenden, muss der Exporter-Port auf 9991 festgelegt werden, da dies der Port ist, auf dem Cisco Prime auf NetFlow-Datenverkehr wartet. Sie können den Exporter-Port in der NetFlow-Konfiguration manuell ändern.

Ändern der Exporter-Portnummer in der NetFlow-Konfiguration

Über CLI

Schritt 1: Konfigurieren der IP-Adresse von External NetFlow Collector über die Quellschnittstelle

9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter External_Exporter
9800-Cl-VM(config-flow-exporter)#destination 10.106.36.22
9800-Cl-VM(config-flow-exporter)#source $Source_Interface
9800-Cl-VM(config-flow-exporter)#transport udp $Port_Numbet
9800-Cl-VM(config-flow-exporter)#exit

Schritt 2: Konfigurieren von IPv4 und IPv6 Network Flow Monitor zur Verwendung von Local (WLC) als NetFlow Exporter

9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit

Schritt 3: Zuordnen des IPv4- und IPv6 Flow Minitor im Richtlinienprofil für eingehenden und ausgehenden Datenverkehr

9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown

Disabling policy profile will result in associated AP/Client rejoin

9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit

Konfiguration von AVC auf dem 9800 WLC mit Cisco Catalyst Center

Bevor Sie mit der Konfiguration von Application Visibility and Control (AVC) auf einem Cisco Catalyst 9800 Wireless LAN Controller (WLC) über Cisco Catalyst Center fortfahren, müssen Sie überprüfen, ob die Telemetriekommunikation zwischen dem WLC und Cisco Catalyst Center erfolgreich eingerichtet wurde. Stellen Sie sicher, dass der WLC in verwaltetem Zustand in der Cisco Catalyst Center-Schnittstelle angezeigt wird und dass sein Zustand aktiv aktualisiert wird. Für eine effektive Überwachung des Diagnosestatus ist es zudem wichtig, den WLC und die Access Points (APs) den entsprechenden Standorten im Cisco Catalyst Center zuzuweisen.

Telemetrie-Verbindungsprüfung am 9800 WLC

WLC und AP befinden sich im verwalteten Zustand

Zustand von WLC und AP im Cisco Catalyst Center

Schritt 1: Konfigurieren Sie Cisco Catalyst Center als NetFlow Collector, und aktivieren Sie die Wireless-Telemetrie in der globalen Einstellung. Navigieren Sie zu Design > Network Setting > Telemetry, und aktivieren Sie die gewünschte Konfiguration wie dargestellt.

Konfiguration von Wireless-Telemetrie und AVC

Schritt 2: Aktivieren Sie die Anwendungstelemetrie auf dem gewünschten 9800 WLC, um die AVC-Konfiguration auf dem 9800 WLC zu übertragen. Navigieren Sie dazu zu Provisioning > Network Device > Inventory. Wählen Sie den 9800 WLC aus, auf dem Sie die Anwendungstelemetrie aktivieren möchten, und navigieren Sie dann zu Aktion > Telemetrie > Anwendungstelemetrie aktivieren .

Aktivieren der Anwendungstelemetrie auf dem 9800 WLC

Schritt 3: Wählen Sie den Bereitstellungsmodus gemäß der Anforderung aus.
Lokal: So aktivieren Sie AVC im lokalen Richtlinienprofil (Central Switching)

Flex/Fabric: Zum Aktivieren von AVC in Flex Policy Profile (Local Switching) oder Fabric-basierten SSIDs.

Auswahl des Bereitstellungsmodus in Cisco Catalyst Center

Schritt 4: Es wird eine Aufgabe zur Aktivierung der AVC-Einstellungen initiiert. Die entsprechende Konfiguration wird auf den 9800 WLC angewendet. Sie können den Status anzeigen, indem Sie zu Aktivitäten > Audit Log (Überwachungsprotokoll) navigieren.

Prüfprotokolle nach Aktivierung der Telemetrie auf dem 9800 WLC

Cisco Catalyst Center stellt die Flow Exporter- und Flow Monitor-Konfigurationen bereit, einschließlich des angegebenen Ports und anderer Einstellungen, und aktiviert sie im ausgewählten Modus-Richtlinienprofil, wie unten gezeigt:

Configure Cisco Catalyst Center as Flow Exporter:

9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_exporter
9800-Cl-VM(config-flow-exporter)#destination 10.104.222.201
9800-Cl-VM(config-flow-exporter)#source Vlan10
9800-Cl-VM(config-flow-exporter)#transport udp 6007
9800-Cl-VM(config-flow-exporter)#export-protocol ipfix
9800-Cl-VM(config-flow-exporter)#option vrf-table timeout 300
9800-Cl-VM(config-flow-exporter)#option ssid-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-attributes timeout 300
9800-Cl-VM(config-flow-exporter)#exit

Configure 9800 WLC as Local Exporter

9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_local_exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit

Configure Network Flow Monitor to use both Local(WLC) and Cisco Catalyst Center as Netflow Exporter:

9800-Cl-VM(config)#flow monitor avc_ipv4_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor avc_ipv6_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor avc_ipv4_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit

9800-Cl-VM(config)#flow monitor avc_ipv6_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit

Mapping the IPv4 and IPv6 Flow Minitor in Policy Profile

9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown

Disabling policy profile will result in associated AP/Client rejoin

9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance output
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit

AVC-Prüfung

Auf 9800

Wenn der 9800 WLC als Flow-Exporter verwendet wird, können die folgenden AVC-Statistiken beobachtet werden:

・ Anwendungstransparenz für Clients, die über alle SSIDs verbunden sind

・ Individuelle Anwendungsnutzung für jeden Client.

・ Spezifische Anwendungsnutzung auf jeder SSID separat.

Über GUI

Navigieren Sie zu Monitoring > Services > Application Visibility .

Anwendungstransparenz der mit AVC_testing verbundenen Benutzer für Eingangs- und Ausgangsverkehr

Um Statistiken zur Anwendungstransparenz für jeden Client anzuzeigen, können Sie auf die Registerkarte Clients klicken, einen bestimmten Client auswählen und dann auf Anwendungsdetails anzeigen klicken.

Anwendungstransparenz für bestimmten Client - 1

Anwendungstransparenz für bestimmten Client - 2

Über CLI

AVC-Status überprüfen

9800WLC#show avc status wlan AVC_testing
WLAN profile name: AVC_testing
----------------------------------------------------------
AVC configuration complete: YES

Statistiken von NetFlow (FNF-Cache)

9800WLC#show flow monitor $Flow_Monitor_Name cache format table

Überprüfen von AVC auf 9800 CLI

So untersuchen Sie die höchste Anwendungsnutzung für jedes WLAN und die verbundenen Clients einzeln:

9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
where n = <1-30> Enter the number of applications

9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
where n =  <1-10> Enter the number of clients

Überprüfung der Anzahl der FNFv9-Pakete und Decodierung des Status auf der Kontrollebene (CP)

9800WLC#show platform software wlavc status decoder

FNFv9-Paketdatensatz

Sie können die nbar-Statistiken auch direkt überprüfen.

9800WLC#show ip nbar protocol-discovery

Im Fabric- und Flex-Modus können Sie die NBAR-Statistiken vom Access Point abrufen über:

AP#show avc nbar statistics 
Works on both IOS and ClickOS APs

Bei DNAC

Anhand der Paketerfassung des 9800 WLC können wir überprüfen, ob Daten zu Anwendungen und Netzwerkverkehr kontinuierlich an Cisco Catalyst Center gesendet werden.

Paketerfassung auf 9800 WLC

Um die Anwendungsdaten für Clients anzuzeigen, die mit einem bestimmten WLC im Cisco Catalyst Center verbunden sind, navigieren Sie zu Assurance > Dashboards > Health > Application .

AVC-Überwachung auf Cisco Catalyst Center

Wir können die von Kunden am häufigsten verwendeten Anwendungen verfolgen und die Daten identifizieren, die am häufigsten von Kunden genutzt werden, wie hier gezeigt.

Benutzerstatistiken für Anwendungen mit höchster und höchster Bandbreite

Sie können einen Filter für eine bestimmte SSID festlegen, mit dem Sie den Gesamtdurchsatz und die Anwendungsnutzung der mit dieser SSID verbundenen Clients überwachen können.

Mit dieser Funktion können Sie die Anwendungen mit dem höchsten Bandbreitenbedarf und die Benutzer mit dem höchsten Bandbreitenbedarf im Netzwerk identifizieren.

Darüber hinaus können Sie die Funktion "Zeitfilter" nutzen, um diese Daten für frühere Zeiträume zu überprüfen und historische Einblicke in die Netzwerknutzung zu erhalten.

Zeitfilter zur Anzeige von AVC-Statistiken.                             SSID-Filter zur Anzeige von AVC-Statistiken

Auf externem NetFlow-Collector

Beispiel 1: Cisco Prime als NetFlow Collector

Wenn Sie Cisco Prime als NetFlow-Collector verwenden, werden die gesammelten Daten vom 9800 WLC als Datenquelle angezeigt, die NetFlow-Daten senden. Die NetFlow-Vorlage wird entsprechend den vom 9800 WLC gesendeten Daten automatisch erstellt. 

Anhand der Paketerfassung des 9800 WLC können wir überprüfen, ob Daten zu Anwendungen und Netzwerkverkehr kontinuierlich an Cisco Prime gesendet werden.

Paketerfassung am 9800 WLC

Cisco Prime Detecting 9800 WLC als NetFlow-Datenquelle

Mithilfe der IP-Adresse können Sie Filter basierend auf Anwendungen, Services und sogar auf dem Client für eine gezieltere Datenanalyse einrichten.

Anwendungstransparenz für alle Clients

Anwendung eines bestimmten Clients mithilfe der IP-Adresse

Beispiel 2: Drittanbieter NetFlow Collector

In diesem Beispiel wird der NetFlow Collector [SolarWinds] eines Drittanbieters zum Erfassen von Anwendungsstatistiken verwendet. Der 9800 WLC nutzt Flexible NetFlow (FNF), um umfassende Daten zu Anwendungen und Netzwerkverkehr zu übertragen, die dann von SolarWinds erfasst werden.

NetFlow-Anwendungsstatistik zu SolarWind

Datenverkehrskontrolle

Die Datenverkehrskontrolle umfasst eine Reihe von Funktionen und Mechanismen zur Verwaltung und Regulierung des Datenverkehrs im Netzwerk. Traffic Policing oder Durchsatzratenbegrenzung sind Mechanismen, die im Wireless Controller verwendet werden, um die Menge des vom Client übertragenen Datenverkehrs zu steuern. Es überwacht die Datenrate für den Netzwerkverkehr und ergreift sofort Maßnahmen, wenn ein vordefinierter Ratengrenzwert überschritten wird. Wenn der Datenverkehr die angegebene Rate überschreitet, kann die Ratenbeschränkung die überschüssigen Pakete verwerfen oder sie durch Ändern der CoS- (Class of Service) oder DSCP-Werte (Differentiated Services Code Point) nach unten markieren. Dies kann durch die Konfiguration von QoS in 9800 WLC erreicht werden. Eine Übersicht über die Funktionsweise dieser Komponenten und ihre Konfiguration zur Erzielung unterschiedlicher Ergebnisse finden Sie unter https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/215441-configure-qos-rate-limiting-on-catalyst.html.

Fehlerbehebung

Zur Fehlerbehebung bei AVC-Problemen müssen Probleme identifiziert und behoben werden, die sich möglicherweise auf die Fähigkeit von AVC auswirken, den Anwendungsdatenverkehr in Ihrem Wireless-Netzwerk genau zu identifizieren, zu klassifizieren und zu verwalten. Häufige Probleme können die Klassifizierung des Datenverkehrs, die Durchsetzung von Richtlinien oder die Berichterstellung betreffen. Im Folgenden sind einige Schritte und Überlegungen zur Fehlerbehebung bei AVC-Problemen mit einem Catalyst 9800 WLC aufgeführt:

• Prüfen der AVC-Konfiguration: Stellen Sie sicher, dass AVC auf dem WLC richtig konfiguriert und den richtigen WLANs und Profilen zugeordnet ist.

• Wenn Sie AVC über die GUI einrichten, weist es automatisch Port 9995 als Standard zu. Wenn Sie jedoch einen externen Collector verwenden, überprüfen Sie, welcher Port für die Überwachung des NetFlow-Datenverkehrs konfiguriert ist. Es ist wichtig, diese Portnummer genau so zu konfigurieren, dass sie mit den Einstellungen Ihres Collectors übereinstimmt.

• Überprüfen der Unterstützung für AP-Modell und Bereitstellungsmodus
• Beachten Sie die Einschränkungen für den 9800 WLC bei der Implementierung von AVC in Ihrem Wireless-Netzwerk.

Protokollsammlung

WLC-Protokolle

1. Aktivieren Sie den Zeitstempel, um eine Zeitreferenz für alle Befehle zu erhalten.

9800WLC#term exec prompt timestamp

2. Überprüfen der Konfiguration

9800WLC#show tech-support wireless

3. Sie können die AVC-Status- und NetFlow-Statistiken überprüfen.

Prüfen Sie den AVC-Konfigurationsstatus.

9800WLC#show avc status wlan <wlan_name>  

Überprüfen Sie die Anzahl der FNFv9-Pakete, und decodieren Sie den Status per Zeitlimit für die Kontrollebene (CP).

9800WLC#show platform software wlavc status decoder 

Überprüfen von Statistiken aus NetFlow (FNF-Cache)

9800WLC#show flow monitor <Flow_Monitor_Name> 

Aktivieren Sie Top n Anwendungsnutzung für jedes WLAN, wobei n = <1-30> Geben Sie die Anzahl der Anwendungen ein.

9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>

Prüfen Sie die Top-n-Anwendungsnutzung für jeden Client, wobei n = <1-30> Geben Sie die Anzahl der Anwendungen ein.

9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream> 

Aktivieren Sie die oberen n Clients, die über die jeweilige Anwendung mit einem bestimmten WLAN verbunden sind, wobei n=<1-10> Geben Sie die Anzahl der Clients ein.

9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream> 

Überprüfen Sie die Nbar-Statistik.

9800WLC#show ip nbar protocol-discovery

4. Legen Sie die Protokollierungsebene auf debug/verbose fest.

9800WLC#set platform software trace all debug/verbose

!! To View the collected logs
9800WLC#show logging profile wireless internal start last clear to-file bootflash:<File_Name

!!Set logging level back to notice post troubleshooting
9800WLC#set platform software trace wireless all debug/verbose

5. Aktivieren Sie Radioactive (RA) Trace für die MAC-Adresse des Clients, um die AVC-Statistiken zu validieren. 
Über CLI

9800WLLC#debug wireless {mac | ip} {aaaa.bbbb.cccc | x.x.x.x } {monitor-time} {N seconds} !! Setting time allows us to enable traces for up to 24 days
9800WLC#no debug wireless mac <Client_MAC> 
!!WLC generates a debug trace file with Client_info, command to check for debug trace file generated.
9800WLC#dir bootflash: | i debug

# clear platform condition all  
# undebug all 

Über GUI
Schritt 1: Navigieren Sie zu Fehlerbehebung > Radioaktive Spur .
Schritt 2: Klicken Sie auf Hinzufügen, und geben Sie eine Client-MAC-Adresse ein, mit der Sie das Problem beheben möchten. Sie können mehrere Mac-Adressen zum Verfolgen hinzufügen.

Schritt 3: Wenn Sie bereit sind, die radioaktive Verfolgung zu starten, klicken Sie auf Start. Nach dem Start wird die Debug-Protokollierung für jede Verarbeitung auf der Steuerungsebene in Bezug auf die verfolgten MAC-Adressen auf die Festplatte geschrieben.

Schritt 4: Wenn Sie das Problem reproduzieren, das Sie beheben möchten, klicken Sie auf Beenden .

Schritt 5: Für jede debuggte MAC-Adresse können Sie eine Protokolldatei erstellen, in der alle Protokolle zu dieser MAC-Adresse aufgelistet sind. Klicken Sie dazu auf Generate (Erstellen).

Schritt 6: Wählen Sie aus, wie lange die sortierte Protokolldatei zurückgehen soll, und klicken Sie auf Auf Gerät anwenden.

Schritt 7. Sie können die Datei jetzt herunterladen, indem Sie auf das kleine Symbol neben dem Dateinamen klicken. Diese Datei befindet sich im Boot-Flash-Laufwerk des Controllers und kann auch über die CLI kopiert werden.

Hier ist ein Blick auf AVC-Fehlerbehebungen in RA-Traces

2024/07/20 20:15:24.514842337 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 280, #packets 5
2024/07/20 20:15:24.514865665 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:24.514875837 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'unknown'(app-id: 0xd000001), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:40.530177442 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'ping'(app-id: 0xd0001df), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 3600, #packets 60

6. Embedded Captures gefiltert nach Client-MAC-Adresse in beide Richtungen, Client inneren MAC-Filter verfügbar nach 17.1.

Diese Funktion ist besonders bei der Verwendung eines externen Collectors nützlich, da sie dazu beiträgt, zu überprüfen, ob der WLC NetFlow-Daten erwartungsgemäß an den beabsichtigten Port überträgt.

Über CLI

monitor capture MYCAP clear
monitor capture MYCAP interface <Interface> both
monitor capture MYCAP buffer size 100
monitor capture MYCAP match any
monitor capture MYCAP inner mac CLIENT_MAC@
monitor capture MYCAP start
!! Inititiate different application traffic from user
monitor capture MYCAP stop
monitor capture MYCAP export flash:|tftp:|http:.../filename.pcap

Über GUI 
Schritt 1: Navigieren Sie zu Troubleshooting > Packet Capture > +Add .

Schritt 2: Definieren Sie den Namen der Paketerfassung. Es sind maximal 8 Zeichen zulässig.

Schritt 3: Definieren Sie ggf. Filter.

Schritt 4: Aktivieren Sie das Kontrollkästchen Control Traffic überwachen, wenn der Datenverkehr zur System-CPU geleitet und zurück in die Datenebene eingespeist werden soll.

Schritt 5: Puffergröße definieren. Es sind maximal 100 MB zulässig.

Schritt 6: Definieren Sie einen Grenzwert, entweder nach Dauer, die einen Bereich von 1 bis 1000000 Sekunden zulässt, oder nach Anzahl der Pakete, die einen Bereich von 1 bis 100000 Paketen erlaubt, wie gewünscht.

Schritt 7. Wählen Sie die Schnittstelle aus der Liste der Schnittstellen in der linken Spalte aus, und klicken Sie auf den Pfeil, um sie in die rechte Spalte zu verschieben.

Schritt 8: Klicken Sie auf Auf Gerät anwenden.

Schritt 9. Um die Erfassung zu starten, wählen Sie Start aus.

Schritt 10. Sie können die Erfassung bis zum definierten Limit laufen lassen. Um die Erfassung manuell zu stoppen, wählen Sie Stopp.

Schritt 11. Nach dem Beenden wird eine Export-Schaltfläche verfügbar, auf die Sie klicken können, um die Erfassungsdatei (.pcap) über einen HTTP- oder TFTP-Server oder einen FTP-Server oder eine Festplatte oder einen Flash-Speicher des lokalen Systems auf den lokalen Desktop herunterzuladen.

AP-Protokolle 

Im Fabric- und Flex-Modus

1. show tech zeigt alle Konfigurationsdetails und Client-Statistiken für den Access Point.

2. avc nbar Statistiken anzeigen nbar Statistiken von AP

3. AVC-Fehlersuche

AP#term mon
AP#debug capwap client avc <all/detail/error/event>
AP#debug capwap client avc netflow <all/detail/error/event/packet>

Zugehörige Informationen

AVC Konfigurationsleitfaden

Durchsatzbegrenzung für 9800 WLC