Catalyst 9800ワイヤレスコントローラでのQoSレート制限の設定
はじめに
このドキュメントでは、次の設定例について説明します AAAオーバーライドを使用したCatalyst 9800シリーズワイヤレスコントローラでの双方向レート制限(BDRL)
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Catalyst Wireless 9800設定モデル
- Cisco Identity Service Engine(ISE)によるAAA
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco Catalyst 9800-CLワイヤレスコントローラ(バージョン情報) 16.12.1s
- バージョン2.2のIdentity Service Engine
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
9800 WLCプラットフォームのQoSは、Catalyst 9000プラットフォームと同じ概念とコンポーネントを使用します。
このセクションでは、これらのコンポーネントがどのように動作するか、およびさまざまな結果を得るためにこれらのコンポーネントをどのように設定できるかについて、全体的な概要を説明します。
基本的に、QoS再帰は次のように動作します。
1. Class-Map:特定のタイプのトラフィックを識別します。クラスマップはApplication Visibility and Control(AVC)エンジンを利用できます。
また、ユーザはカスタムクラスマップを定義して、アクセスコントロールリスト(ACL)またはDifferentiated Services Code Point(DSCP)に一致するトラフィックを識別することもできます
2. ポリシーマップ:クラスマップに適用されるポリシーです。
これらのポリシーは、DSCPをマーキングし、クラスマップに一致するトラフィックをドロップまたはレート制限します
4. サービスポリシー:ポリシーマップは、service-policyコマンドを使用して、SSIDのポリシープロファイルまたは特定の方向のクライアントごとに適用できます。
3. (オプション)テーブルマップ:CoSからDCSPなど、あるタイプのマークを別のタイプに変換するために使用されます。
・ AAA Override(最高)
・ ネイティブ・プロファイリング(ローカル・ポリシー)
・ 構成されたポリシー
・ デフォルト・ポリシー(最低)
詳細については、9800の公式QoS設定ガイドを参照してください。
QoS理論の詳細については、『9000シリーズQoSコンフィギュレーションガイド』を参照してください。
例:ゲストおよび企業のQoSポリシー
この例では、説明されているQoSコンポーネントが実際のシナリオでどのように適用されるかを示します。
この目的は、次の条件を満たすゲスト用のQoSポリシーを設定することです。
- 備考DSCP
- YoutubeとNetflixのビデオをドロップ
- レート:ACLで指定されたホストを50Kbpsに制限します。
- レート:他のすべてのトラフィックを100 Kbpsに制限します。
たとえば、QoSポリシーは、ゲストWLANにリンクするポリシープロファイルに、入力と出力の両方向でSSIDごとに適用する必要があります。
設定
AAAサーバおよび方式リスト
ステップ 1:Configuration > Security > AAA > Authentication > Servers/Groupsの順に移動し、+Addを選択します。
ISEのAdministration > Network Resources > Network Devicesで共有秘密と一致する必要があるAAAサーバ名、IPアドレス、およびキーを入力します。
ステップ 2: Configuration > Security > AAA > Authentication > AAA Method List の順に移動し、+Addを選択します。「使用可能なサーバー・グループ」から「割り当てられたサーバー・グループ」を選択します。
ステップ 3:Configuration > Security > AAA > Authorization > AAA method List の順に移動し、Addを選択します。デフォルトの方式とタイプとして「ネットワーク」を選択します。
これは、コントローラがAAAサーバから返された認可属性(たとえば、ここでのQoSポリシー)を適用するために必要です。そうしないと、RADIUSから受信したポリシーは適用されません。
WLANポリシー、サイトタグ、およびAPタグ
ステップ 1:Configuration > Wireless Setup > Advanced > Start Now > WLAN Profileの順に選択し、+Addを選択して新しいWLANを作成します。SSID、プロファイル名、WLAN IDを設定し、ステータスを有効に設定します。
次に、Security > Layer 2の順に移動し、レイヤ2認証パラメータを設定します。
ステップ 2:Security > AAAに移動し、Authentication ListドロップダウンボックスでAAAサーバを選択します。
ステップ 3:Policy Profileを選択し、+Addを選択します。 ポリシープロファイル名を設定します。
ステータスをEnabledに設定します。また、中央スイッチング、認証、DHCP、およびアソシエーションも有効にします。
ステップ 4:Access Policiesの順に移動し、クライアントがSSIDに接続する際にワイヤレスクライアントが割り当てられるVLANを次のように設定します。
ステップ 5:Policy Tagを選択し、+Addを選択します。Policy Tag名を設定します。
WLAN-Policy Mapsの下で、+Addを使用して、ドロップダウンメニューからWLAN ProfileとPolicy Profileを選択し、設定するマップのチェックを選択します。
手順 6:Site Tagを選択し、+Addを選択します。APをローカルモードで動作させるには、Enable Local Siteボックスにチェックマークを入れます(FlexConnectの場合はチェックマークをはずしたままにします)。
手順 7:Tag APsを選択し、APを選択して、ポリシー、サイト、およびRFタグを追加します。
QoS
ステップ 1:Configuration > Services > QoSの順に移動し、+Addを選択してQoSポリシーを作成します。
名前を付けます(例:BWLimitAAAClients)。
ステップ 2:クラスマップを追加して、YoutubeとNetflixをドロップします。Add Class-Mapsをクリックします。AVC、match any、dropの順に選択して、両方のプロトコルを選択します。
[Save] をクリックします。
ステップ 3:DSCP 46 ~ 34を示すクラスマップを追加します。
Add Class-Mapsをクリックします。
- Match any、ユーザ定義
- 一致タイプDSCP
- 値46に一致
- マークタイプDSCP
- マーク値34
.
[Save] をクリックします。
ステップ 4:特定のホストへのトラフィックをルールするクラスマップを定義するには、そのホストのACLを作成します。
Add Class-Mapsをクリックし、
User Defined、match any、 match type ACLの順に選択し、ACL名を選択し(ここではspecifichostACL)、mark type noneを選択して、レート制限値を選択します。
[Save] をクリックします。
次に、特定のホストトラフィックを識別するために使用するACLの例を示します。
ステップ 5:クラスマップフレームで、デフォルトクラスを使用して、他のすべてのトラフィックのレート制限を設定します。
これにより、前述のルールの1つで対象とされていないすべてのクライアントトラフィックにレート制限が設定されます。
手順 6:下部にあるApply to Deviceをクリックします。
CLIに相当する設定:
policy-map BWLimitAAAclients class BWLimitAAAclients1_AVC_UI_CLASS police cir 8000 conform-action drop exceed-action drop class BWLimitAAAclients1_ADV_UI_CLASS set dscp af41 class BWLimitAAAclients2_ADV_UI_CLASS police cir 50000 conform-action transmit exceed-action drop class class-default police cir 100000 conform-action transmit exceed-action drop class-map match-all BWLimitAAAclients1_AVC_UI_CLASS description BWLimitAAAclients1_AVC_UI_CLASS UI_policy_DO_NOT_CHANGE match protocol youtube match protocol netflix class-map match-any BWLimitAAAclients1_ADV_UI_CLASS description BWLimitAAAclients1_ADV_UI_CLASS UI_policy_DO_NOT_CHANGE match dscp ef class-map match-all BWLimitAAAclients2_ADV_UI_CLASS description BWLimitAAAclients2_ADV_UI_CLASS UI_policy_DO_NOT_CHANGE match access-group name specifichostACL
ステップ 2:ISEで、Policy > Policy Elements > Results > Authorization Profilesの順に移動し、+Addを選択して認可プロファイルを作成します。
QoSポリシーを適用するには、Cisco AVペアを使用してAdvanced Attributes Settingsとしてこれらを追加します。
ISE認証および認可ポリシーが正しいルールに一致し、この認可結果を取得するように設定されていることを前提としています。
属性はip:sub-qos-policy-in=<policy name>およびip:sub-qos-policy-out=<policyname>です
確認
このセクションでは、設定が正常に動作していることを確認します。
WLC上
# show run wlan # show run aaa # show aaa servers
# show ap tag summary
# show ap name <AP-name> tag detail
# show wireless tag policy summary
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
# show policy-map <policy-map name>
# sh policy-map interface wireless ssid/client profile-name <WLAN> radio type <2.4/5GHz> ap name <name>input/output
# show wireless client macdetail
# show wireless clientservice-policy input
# show wireless clientservice-policy output
To verify EDCS parameters :
sh controllers dot11Radio 1 | begin EDCA
9800#show wireless client mac e836.171f.a162 det
Client MAC Address : e836.171f.a162
Client IPv4 Address : 192.168.1.11
Client IPv6 Addresses : fe80::c6e:2ca4:56ea:ffbf
2a02:a03f:42c2:8400:187c:4faf:c9f8:ac3c
2a02:a03f:42c2:8400:824:e15:6924:ed18
fd54:9008:227c:0:1853:9a4:77a2:32ae
fd54:9008:227c:0:1507:c911:50cd:2062
Client Username : Nico
AP MAC Address : 502f.a836.a3e0
AP Name: AP780C-F085-49E6
AP slot : 1
Client State : Associated
(...)
Local Policies:
Service Template : wlan_svc_QoS-PP (priority 254)
VLAN : 1
Absolute-Timer : 1800
Server Policies:
Input QOS : BWLimitAAAClients
Output QOS : BWLimitAAAClients
Resultant Policies:
VLAN Name : default
Input QOS : BWLimitAAAClients
Output QOS : BWLimitAAAClients
VLAN : 1
Absolute-Timer : 1800
AP上
APがローカルモードの場合、またはFlexconnect中央スイッチングモードのSSIDの場合は、WLCによってQoSおよびサービスポリシーが実行されるため、APでのトラブルシューティングは必要ありません。
パケットキャプチャIOグラフ分析
トラブルシュート
このセクションでは、設定のトラブルシューティングを行うための情報について説明します。
ステップ 1:既存のデバッグ条件をすべてクリアします。
# clear platform condition all
ステップ 2:対象のワイヤレスクライアントのデバッグを有効にします。
# debug wireless mac <client-MAC-address> {monitor-time <seconds>}
ステップ 3:問題を再現するには、ワイヤレスクライアントをSSIDに接続します。
ステップ 4:問題が再現されたら、デバッグを停止します。
# no debug wireless mac <client-MAC-address>
テスト中にキャプチャされたログは、WLCのローカルファイルに次の名前で保存されます。
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
GUIワークフローを使用してこのトレースを生成する場合、保存されるファイル名はdebugTrace_aaaa.bbbb.cccc.txtです。
ステップ 5:以前に生成されたファイルを収集するには、ra trace .logを外部サーバにコピーするか、出力を画面に直接表示します。
次のコマンドを使用して、RAトレースファイルの名前を確認します。
# dir bootflash: | inc ra_trace
ファイルを外部サーバーにコピーします。
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
または、コンテンツを表示します。
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
手順 6:デバッグ条件を削除します。
# clear platform condition all
Flexconnectローカルスイッチング(またはファブリック/SDA)のシナリオ
Flexconnectローカルスイッチング(またはファブリック/SDA)の場合、WLCで定義したQoSポリシーを適用するのはAPです。
警告:Cisco Bug ID CSCwh74415が原因で、RADIUSサーバから返された最新のQoSポリシーが同じアクセスポイントに接続しているすべてのクライアントに適用され、他のすべてのQoSポリシーよりも優先されます。 17.6.2リリース以降、AAAオーバーライドによるクライアントごとのレート制限が適切に機能しなくなりました。修正済みリリースを確認するには、バグの説明を参照してください。
Wave2および11axアクセスポイントでは、レート制限はフロー(5タプル)単位のレベルで発生し、17.6より前ではクライアント単位やSSID単位での発生はありません。これは、Flexconnect/Fabric、Embedded Wireless Controller on Access Point(EWc-AP)環境のAPに適用されます。
17.5の時点では、AAA Overrideを利用して属性をプッシュすることで、クライアントごとのレート制限を実現できます。
17.6の時点では、Flexローカルスイッチング設定の802.11ac Wave 2および11ax APでクライアントごとの双方向レート制限がサポートされています。
コンフィギュレーション
設定は、次の2つの例外を除いて、この記事の最初の部分とまったく同じです。
1. ポリシープロファイルがローカルスイッチングに設定されている。Flex導入では、ベンガルール17.4リリースまで中央関連付けを無効にする必要があります。
17.5の時点では、このフィールドはハードコードされているため、ユーザ設定には使用できません。
2. サイトタグがローカルサイトでないように設定されている。
Flexconnect/ファブリックのトラブルシューティング
APはQoSポリシーを適用するデバイスであるため、これらのコマンドは適用対象を絞り込むのに役立ちます。
show dot11 qos(隠し)
show policy-map
show rate-limitクライアント
show rate-limit bssid(デフォルト)
show rate-limit wlan(デフォルト)
show flexconnectクライアント
AP780C-F085-49E6#show dot11 qos
Qos Policy Maps (UPSTREAM)
ratelimit targets:
Client: A8:DB:03:6F:7A:46
platinum-up targets:
VAP: 0 SSID:LAB-DNAS
VAP: 1 SSID:VlanAssign
VAP: 2 SSID:LAB-Qos
Qos Stats (UPSTREAM)
total packets: 29279
dropped packets: 0
marked packets: 0
shaped packets: 0
policed packets: 182
copied packets: 0
DSCP TO DOT1P (UPSTREAM)
Default dscp2dot1p Table Value:
[0]->0 [1]->2 [2]->10 [3]->18 [4]->26 [5]->34 [6]->46 [7]->48
Active dscp2dot1p Table Value:
[0]->0 [1]->2 [2]->10 [3]->18 [4]->26 [5]->34 [6]->46 [7]->48
Trust DSCP Upstream : Disabled
Qos Policy Maps (DOWNSTREAM)
ratelimit targets:
Client: A8:DB:03:6F:7A:46
Qos Stats (DOWNSTREAM)
total packets: 25673
dropped packets: 0
marked packets: 0
shaped packets: 0
policed packets: 150
copied packets: 0
DSCP TO DOT1P (DOWNSTREAM)
Default dscp2dot1p Table Value:
[0]->0 [1]->-1 [2]->1 [3]->-1 [4]->1 [5]->-1 [6]->1 [7]->-1
[8]->-1 [9]->-1 [10]->2 [11]->-1 [12]->2 [13]->-1 [14]->2 [15]->-1
[16]->-1 [17]->-1 [18]->3 [19]->-1 [20]->3 [21]->-1 [22]->3 [23]->-1
[24]->-1 [25]->-1 [26]->4 [27]->-1 [28]->-1 [29]->-1 [30]->-1 [31]->-1
[32]->-1 [33]->-1 [34]->5 [35]->-1 [36]->-1 [37]->-1 [38]->-1 [39]->-1
[40]->-1 [41]->-1 [42]->-1 [43]->-1 [44]->-1 [45]->-1 [46]->6 [47]->-1
[48]->7 [49]->-1 [50]->-1 [51]->-1 [52]->-1 [53]->-1 [54]->-1 [55]->-1
[56]->7 [57]->-1 [58]->-1 [59]->-1 [60]->-1 [61]->-1 [62]->-1 [63]->-1
Active dscp2dot1p Table Value:
[0]->0 [1]->0 [2]->1 [3]->0 [4]->1 [5]->0 [6]->1 [7]->0
[8]->1 [9]->1 [10]->2 [11]->1 [12]->2 [13]->1 [14]->2 [15]->1
[16]->2 [17]->2 [18]->3 [19]->2 [20]->3 [21]->2 [22]->3 [23]->2
[24]->3 [25]->3 [26]->4 [27]->3 [28]->3 [29]->3 [30]->3 [31]->3
[32]->4 [33]->4 [34]->5 [35]->4 [36]->4 [37]->4 [38]->4 [39]->4
[40]->5 [41]->5 [42]->5 [43]->5 [44]->5 [45]->5 [46]->6 [47]->5
[48]->7 [49]->6 [50]->6 [51]->6 [52]->6 [53]->6 [54]->6 [55]->6
[56]->7 [57]->7 [58]->7 [59]->7 [60]->7 [61]->7 [62]->7 [63]->7
Profinet packet recieved from
wired port:
0
wireless port:
AP780C-F085-49E6#show policy-map
2 policymaps
Policy Map BWLimitAAAClients type:qos client:default
Class BWLimitAAAClients_AVC_UI_CLASS
drop
Class BWLimitAAAClients_ADV_UI_CLASS
set dscp af41 (34)
Class class-default
police rate 5000000 bps (625000Bytes/s)
conform-action
exceed-action
Policy Map platinum-up type:qos client:default
Class cm-dscp-set1-for-up-4
set dscp af41 (34)
Class cm-dscp-set2-for-up-4
set dscp af41 (34)
Class cm-dscp-for-up-5
set dscp af41 (34)
Class cm-dscp-for-up-6
set dscp ef (46)
Class cm-dscp-for-up-7
set dscp ef (46)
Class class-default
no actions
AP780C-F085-49E6#show rate-limit client
Config:
mac vap rt_rate_out rt_rate_in rt_burst_out rt_burst_in nrt_rate_out nrt_rate_in nrt_burst_out nrt_burst_in
A8:DB:03:6F:7A:46 2 0 0 0 0 0 0 0 0
Statistics:
name up down
Unshaped 0 0
Client RT pass 0 0
Client NRT pass 0 0
Client RT drops 0 0
Client NRT drops 0 38621
9 54922 0
AP780C-F085-49E6#
AP780C-F085-49E6#show flexconnect client
Flexconnect Clients:
mac radio vap aid state encr aaa-vlan aaa-acl aaa-ipv6-acl assoc auth switching key-method roam key-progmed handshake-sent wgb SGT
A8:DB:03:6F:7A:46 1 2 1 FWD AES_CCM128 none none none Local Central Local Other regular No Yes No 0
AP780C-F085-49E6#
参考資料
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
6.0 |
18-Nov-2024 |
書式付きヘッダー、いくつかの句読点エラーの修正、Altテキストの修正、タイトルの短縮。 |
5.0 |
17-Jan-2024 |
無効な回避策を削除 |
4.0 |
25-Oct-2023 |
再認定 |
2.0 |
27-Apr-2021 |
クライアントごとのレート制限に関するコメントを17.6で追加 |
1.0 |
23-Apr-2020 |
初版 |
フィードバック