NBAR のサポートされる機能

NBAR はその機能として、次のタスクを実行できます。

1. 分類：アプリケーション/プロトコルの識別。

2. AVC：分類されたトラフィックを可視化し、ドロップまたはマーク（DSCP）アクションによってトラフィックを制御するオプションも提供します。

3. NetFlow：Cisco Prime Assurance Manager（PAM）などの NetFlow コレクタに最新の NBAR 統計情報を提供します。

WLAN 上の AVC および QoS のインタラクション

コントローラの AVC/NBAR2 エンジンは、特定の WLAN の QoS 設定と相互運用します。NBAR2 機能は DSCP 設定に基づいています。同じ WLAN に AVC と QoS が設定されている場合、アップストリーム方向とダウンストリーム方向でパケットは次のように処理されます。

アップストリーム

1. 内部 DSCP の有無にかかわらずパケットがワイヤレス側（ワイヤレスクライアント）から送信されます。

2. AP が、WLAN に設定されている（QoS ベースの設定）CAPWAP ヘッダーに DSCP を追加します。

3. WLC が CAPWAP ヘッダーを削除します。

4. コントローラ上の AVC モジュールが、AVC プロファイルに設定された marked 値で DSCP を上書きして送信します。

ダウンストリーム

1. 有線側の内部 DSCP 値の有無にかかわらずパケットがスイッチから送信されます。

2. AVC モジュールが内部 DSCP 値を上書きします。

3. コントローラが、WLAN QoS 設定（802.1p 値の 802.11e による）と、NBAR が上書きした内部 DSCP 値を比較します。WLC は、小さいほうの値を選択し、それを DSCP の CAPWAP ヘッダーに格納します。

4. WLC が、外部 CAPWAP および AVC 内部 DSCP 設定で、QoS WLAN が設定された AP にパケットを送信します。

5. AP は CAPWAP ヘッダーを削除し、AVC DSCP 設定を含むパケットを送信します。AVC がアプリケーションに適用されていない場合、そのアプリケーションには WLAN の QoS 設定が適用されます。

アンカー/外部コントローラのセットアップによる AVC の動作

アンカーおよび外部コントローラの設定では、基本的にアプリケーション制御が必要な場所で AVC を設定する必要があります。アンカー/外部セットアップではほとんどの場合、アンカーコントローラで AVC を有効にします。AVC プロファイルの適用は、アンカーコントローラの WLAN で行われます。アンカーコントローラのリリースが 7.4 以上である場合は、上記のセットアップが機能します。

クライアントの AAA AVC プロファイルオーバーライド

リリース 7.4、7.5、および 7.6 で前述したように、WLAN に AVC プロファイルを設定すると、その WLAN に接続されているすべてのクライアントが同じ AVC プロファイルを継承します。AAA AVC プロファイルオーバーライドを許可する価値提案は、さまざまなクライアント（異なるユーザとしてログイン）が、同じ WLAN に接続されていても異なる AVC プロファイルを取得できることです。

クライアントまたはユーザプロファイルの AAA 属性は、AAA サーバ（Cisco ACS や ISE など）で設定できます。AAA 属性は一般的な Cisco AV ペアとして定義され、AAA で文字列と値のペアとして定義できます。この属性は、L2/L3 認証中に WLC によって処理され、WLAN 上の設定によってオーバーライドされます。

ユーザロールごとにアプリケーションの可視性を設定する手順

次の手順を実行します。

1. WPA2/802.1x 認証用の L2 セキュリティ設定で WLAN を作成して設定します。ユーザまたは管理者によって dot1x 認証用の AAA サーバがすでに設定されていると仮定し、[Authentication Servers] ドロップダウンリストから AAA サーバを選択して [Apply] をクリックします。

以下に示すように、[Advanced] タブをクリックして「AAA オーバーライド」を有効にします。

2. アプリケーションの可視性を有効にするには、[WLAN ID] をクリックし、[QoS] タブで [Application Visibility] の [Enabled] チェックボックスをオンにします。[Apply] をクリックします。

AVC プロファイルの AAA 設定

AAA AVC プロファイルは、Cisco AV ペアとして定義されます。文字列は avc-profile-name として定義されており、この値を WLC 上にある AVC プロファイルに設定する必要があります。

次の手順を実行します。

1. AAA サーバ経由でユーザごとに AVC プロファイルを適用するには、[Wireless] > [Application Visibility And Control] > [AVC Profiles] に移動して [New] をクリックし、AVC プロファイルを作成します。この設定例では、teacher-AVC と student-AVC を作成します。ユーザ（ロール）teacher の特定のトラフィック（YouTube など）をマーキングして、ユーザ（ロール）student の特定のアプリケーション/トラフィック（YouTube、Facebook など）をブロック/ドロップします。ネットワーク要件に応じて独自の AVC プロファイルを作成できます。

2. AVC プロファイル名を入力して [Apply] をクリックします。同様に、別のプロファイルを作成します。

3. AVC プロファイルを作成すると、上記の作成済みプロファイルが表示されます。これをクリックして、GUI でドロップ/マーク/レート制限のアクションを実行するルールを作成できます。WLC では、最大 16 個の AVC プロファイルを作成できます。

4. AVC プロファイルを作成した後は、プロファイル名をクリックして個々のプロファイルのルールを作成できます。各プロファイルで最大 32 のルールを設定できます。ルールは、ドロップ、マーク、レート制限という 3 つのアクションのいずれかを実行するように設定できます。アプリケーションのルールが設定されていない場合、デフォルトアクションは、WLAN で設定されている QOS ポリシーによる「許可」です。プロファイルのルールを作成するには、[Wireless] > [Application Visibility And Control] > [AVC Profiles] に移動して、いずれかの プロファイル をクリックします。

注：WLC はプロトコルパック 11.0 で 1105 のアプリケーションを分類し、アクションを実行するためのオプションを提供します。アプリケーションに対してアクションを実行するには、最初に管理者はそのアプリケーションが属するアプリケーション グループを選択して、アプリケーションリストをそのアプリケーショングループのみに絞り込む必要があります。この手順が必要な理由は、1 つのドロップダウンで 1105 のアプリケーションをすべて表示することができないためです。管理者は、[Action] を [MARK] に設定した場合、DSCP 値として「Platinum/Gold/Silver/Bronze」を選択する代わりに、[Custom] を選択することもできます。DSCP 値として [Custom] を選択するとテキストフィールドが表示され、管理者は 0 ～ 63 の範囲でカスタム DSCP 値を入力できます。

8.0 より前のリリースでは、DSCP マーキングはトラフィックの双方向にのみ適用されます。ただし、リリース 8.0 では、「Direction」という追加の設定パラメータが使用可能となり、方向（つまり、次に示すように [Upstream] または [Downstream]）に対するマーキングを指定できます。

5. 適切なマーキングを選択したら、[Apply] をクリックします。アクション ルールが作成され、下の画面にキャプチャされているように表示されます。同じページで、同じ AVC プロファイルに他のルールを追加できます。1 つの AVC プロファイルで最大 32 のルールを設定できます。

同じ AVC プロファイルで別のルールを設定し、別の QoS プロファイルまたはカスタム DSCP 値で特定の方向のトラフィックをマーキングできます。

ここでは、Netflix と YouTube を AVC プロファイル「teacher-AVC」の DSCP 34（Gold）、およびそれぞれ [Bidirectional] と [Upstream] に設定された方向でマーキングするように設定しました。

6. 同様に次の例では、ロールタイプが異なる（この設定では student）もう 1 つの AVC プロファイル（student-AVC）が表示されます。これは、Facebook、YouTube、および BitTorrent のトラフィックをドロップするように設定されています。

7. ここでは、ユーザまたは管理者によって、AAA サーバ（ISE/ACS/Open Radius）にユーザ（teacher と student）、デバイス（WLC）、および認証プロファイルがすでに設定されていることを前提とします。WLC で設定された AVC のプロファイルに一致するように AAA サーバを設定するには、ISE メインメニュー バーから、[Policy] > [Policy Elements] > [Results] > [Authorization] > [Authorization Profiles] に移動します。次の例のスクリーンショットのように、設定済みのプロファイル（Student と Teacher）が表示されます。

8. 以下に示すように、ロール Teacher 用に作成した認証プロファイルをクリックし、[Advanced Attributes Settings] で cisco-av-pair=avc-profile-name=WLC で作成した AVC プロファイル名を追加して AVC プロファイル名を設定します。

Cisco ACS を使用している場合は、[Policy Elements] > [Authorization and Permissions] > [Network Access] > [Authorization Profiles] に移動します。文字列値 avc-profile-name=WLC で作成した AVC プロファイル名に一致する cisco-av-pair を追加します。

同様に、student の認証プロファイルも設定します。設定が完了したら、teacher のクレデンシャルでワイヤレスクライアントを 802.1x WLAN に接続できます。Netflix と YouTube にアクセスできるようになります。

student ロールでワイヤレスクライアントを同じ 802.1x WLAN に接続しても、クライアントで YouTube のビデオを再生することはできません。また、クライアントで Facebook ページにアクセスして Facebook アカウントから YouTube ビデオを開こうとしても、YouTube ビデオは再生されません。

YouTube と Facebook の両方が AVC プロファイル「Student-AVC」でブロックされているため、student ロールのクライアントではブラウザ経由でも、YouTube アプリケーションを使用しても、他の Web サイトからも YouTube ビデオにアクセスできず、Facebook にアクセスすることもできません。

一方、クライアントが Teacher クレデンシャルを使ってログインした場合は、トラフィックがマーキングされるだけで、アプリケーションはドロップされません。

ポリシーが適用されているかどうかを確認するには、WLC の CLI プロンプトで次のコマンドを実行します。

show client detail mac_address を実行し、下にスクロールして適用されているプロファイルを確認します。

AVC を通じたアプリケーションのレート制限

このリリースでは、WLC の CLI で次のコマンドを実行して、レート制限するアプリケーションを 3 個だけ設定できます。

(WLC) >config avc profile <prof-name> {add|remove} rule application <app-name> {drop|mark <dscp-value>|ratelimit <avg_rate> <burst_rate>}

注：最小レート制限値は、0 Kbps ～ 2147483647 Kbps の範囲で設定できます。

次の設定例は、BitTorrent アプリケーションを使用する場合のプロファイル「student-AVC」で実行されます。

(WLC) >config avc profile student-AVC rule add application bittorrent ratelimit 150 500

同様に WLC の GUI でも、レート制限を適用するアプリケーションを選択し、[Action] ドロップダウンリストから [Rate-Limit] を選択してレート制限を設定できます。

これにより、ユーザはレート制限する必要がある目的のアプリケーションに対して、平均レートとバーストレートを設定できるようになります。0 ～ 2147483647 の任意の値を Kbps 単位で割り当てることができます。レート制限が設定されたら、ユーザは [AVC Name] でレート制限の適用先を選択し、[Apply] をクリックします。

この例では、BitTorrent アプリケーションが、150 Kbps に設定された平均レート、および 500 Kbps に設定されたバースト レートでレート制限され、これが AVC プロファイルの student-AVC に適用されます。

BitTorrent アプリケーションの [Action] 列に [ratelimit] と表示され、レート制限の平均レート値とバーストレート値が示されます。

NBAR の仕様（AVC フェーズ 3）

■NBAR エンジン 13 および PP 11.0 は、1105 のさまざまなアプリケーションをサポートできます。

■ドロップ、マーク、レート制限の 3 つのアクションは、分類されたどのアプリケーションにも使用可能です。

■WLC では、最大 16 個の AVC プロファイルを作成できます。

■各 AVC プロファイルには最大 32 のルールを設定できます。

■同じ AVC プロファイルを複数の WLAN にマッピングできます。ただし、1 つの WLANが保持できるのは、1 つの AVC プロファイルのみです。

■WLC には、NetFlow エクスポータおよびモニタを 1 つずつのみ設定できます。

■NBAR 統計情報は GUI の上位 30 のアプリケーションについてのみ表示されます。CLI を使用すると、すべてのアプリケーションの統計情報を表示できます。

■NBAR は、中央のスイッチング用に設定されている WLAN でのみサポートされます。

■WLAN にマッピングされた AVC プロファイルにマークアクションのルールがある場合、そのアプリケーションは、WLAN に設定された QoS プロファイルをオーバーライドする AVC ルールに設定された QoS プロファイルに準じます。

■方向マーキングは、特定のアプリケーションの双方向、アップストリームまたはダウンストリームのいずれかにのみ適用できます。

■現在、レート制限は、3 つのアプリケーションにのみ適用できます。

■WLC 上の NBAR エンジンによってサポートまたは認識されていないアプリケーションは、UNCLASSFIED トラフィックのバケット配下でキャプチャされます。

■IPv6 トラフィックを分類することはできません。

■AVC プロファイルの AAA オーバーライドは 8.0 リリースでサポートされています。

■AVC プロファイルを WLAN ごとに設定し、ユーザ単位で適用できます。

■NBAR は vWLC および SRE WLC ではサポートされていません。

ローカルポリシーにアタッチされる AVC プロファイル

リリース 8.0 では、AVC プロファイルを特定のデバイスタイプのクライアントのローカルポリシーにマッピングできます。各ローカルポリシーを、AAA オーバーライドに基づく異なる AVC/mDNS プロファイル名を使用して設定し、同じ WLAN 上のプロファイルで許可されていないサービスをポリシーが使用することを制限できます。

WLC のプロファイリングとポリシーエンジンの概要

シスコには、現在、ISE を通じてデバイス ID、オンボーディング、ポスチャ、およびポリシーを提供する豊富な機能セットが用意されています。WLC のこの新しい機能では、HTTP、DHCP などのプロトコルに基づいてデバイスのプロファイリングを実行し、ネットワーク上のエンドデバイスを識別します。デバイスベースのポリシーを設定し、ネットワーク上のユーザ単位またはデバイスポリシー単位でそれらを適用できます。WLC では、ユーザ、デバイスエンドポイント、およびデバイスごとに適用可能なポリシーに基づく統計情報も表示されます。

BYOD（Bring Your Own Device）では、この機能がネットワーク上のさまざまなデバイスの理解に影響します。この機能を使うことで、WLC 自身で小規模に BYOD を実装できます。

範囲と目的

ここでは、AireOS 8.0 コードを実行している Cisco WLC でプロファイリングとポリシーを設定して実装します。

プロファイリングとポリシーの適用は、2 つの異なるコンポーネントとして設定します。WLC での設定は、ネットワークに参加するクライアントに固有の定義済みパラメータに基づいています。対象のポリシー属性は次のとおりです。

a. Role：ユーザが属するユーザタイプまたはユーザグループを定義します。

たとえば、学生、従業員など

b. Device：デバイスのタイプを定義します。

たとえば、Windows マシン、スマートフォン、iPad や iPhone などの Apple デバイス

c. Time of day：エンドポイントがネットワーク上で許可される時間を設定で定義できます。

d. EAP Type：クライアントが接続されている EAP 方式を確認します。

上記のパラメータはポリシー一致属性として設定できます。WLC でエンドポイントごとに上記のパラメータとの一致が検出されると、ポリシーが適用されます。ポリシーの適用は次のようなセッション属性に基づいています。

■VLAN

■ACL

■セッションタイムアウト

■QoS

■スリープ状態のクライアント

■FlexConnect ACL

■AVC プロファイル（8.0 リリースで追加）

■mDNS プロファイル（8.0 リリースで追加）

ユーザはこれらのポリシーを設定して、指定したポリシーをエンドポイントに適用できます。ワイヤレスクライアントは、MAC OUI、DHCP、および HTTP ユーザエージェントに基づいてプロファイリングされます（HTTP プロファイリングを成功させるためには有効なインターネットが必要）。WLC は、これらの属性と事前定義の分類プロファイルを使用してデバイスを識別します。

プロファイリングおよびポリシーの設定

次の手順を実行します。

1. WLAN でデバイスプロファイリングを設定するには、ネイティブプロファイリングとポリシーを実装する対象となる特定の WLAN に移動して、[Advanced] タブをクリックします。[Allow AAA Override] が有効になっている場合は、無効にします。[DHCP] 領域で、[DHCP Addr. Assignment] の [Required] チェックボックスをオンにします。

2. DHCP の [Required] オプションを有効にした後は、下にスクロールし、[Local Client Profiling] 領域で、[DHCP Profiling] と [HTTP Profiling] を有効にして（無効になっている場合）[Apply] をクリックします。

WLC GUI から WLAN でポリシーを作成

3. プロファイルを設定したら、ローカルポリシーの作成と WLAN での適用に進みます。WLC メニューバーで、[Security] > [Local Policies] に移動すると、ポリシーリストが表示されます。

4. [Local Policy List] で、[New] をクリックして、ポリシー名を作成します。この例では、teacher-LP をポリシー名として使用していますが、任意の名前を使用して独自のポリシーを定義することもできます。

ポリシー名を設定したら、[Role]、[EAP Type]、[Device Type] を照合するポリシーを作成できます。また、一致条件に関連する必要なアクションを定義できます。

ここでは、[User Role] と [Device Type] を [Match Criteria] に使用していますが、必要に応じて任意のタイプを使用できます。

注：[Match Role string] が AAA で定義されたロール名と同じであることを確認してください。この例では、「teacher」と定義されています。

5. [User Role] を入力し、[Apply] をクリックします。ここではロール名「teacher」が例として使用されています。

6. ユーザデバイスに基づいてポリシーを適用するには、[Device List] 領域で、ポリシーを適用するデバイスタイプを [Device Type] ドロップダウンリストから選択し、[Add] をクリックします。

ここで、[Match Criteria] に対し、デバイスタイプとして [Apple-iPad] を使用しています。Apple-iPhone やその他の Apple デバイスも同様に [Device Type] ドロップダウンリストから追加できます。

注：デバイスタイプを照合しない場合は、[Device Type] オプションを設定しないでください。

7. 適切なアクションを適用するには、[Action] のパラメータから選択して、ポリシーを適用します。最後のセクションで定義されている AVC プロファイルを選択します。

8. ユーザは、1 つ以上のローカルポリシーを作成し、「student-LP」の学生に適用できます。

注：[Match Role string] が AAA/Radius サーバで定義されたロール名と同じであることを確認してください。

ユーザデバイスに基づいてポリシーを適用するには、[Device List] 領域の [Device Type] ドロップダウンリストから、ポリシーを適用するデバイスタイプ（Apple-iPad）を選択し、[Add] をクリックします。

適切なアクションを適用するには、[Action] 領域のパラメータから選択して、ポリシーを適用します。最後のセクションで定義されている AVC プロファイル（student-AVC）を選択します。

9. その他のデバイスのデフォルトのローカルポリシーを作成します。

ローカルポリシーに他の ACL が適用されていない場合、すべてのポリシーの最終フィルタ機能が [Allow all] なので、Apple-iPad 以外のすべてのデバイスはアプリケーションにアクセスできます。

Apple-iPad を除くすべてのデバイスのすべてのアプリケーションをブロックするには、最後の手段として、[deny all] ACL を作成してローカルポリシーに適用し、WLAN にそのポリシーを適用します。次のスクリーンショットの設定例を参照してください。

すべての IPv4 フローをブロックする ACL を作成します。

ローカルポリシー Block-all を作成して [deny all] ACL をこれに適用します。デバイスロールやプロファイルは選択しないでください。

WLAN でのポリシーのマッピング

1. WLC メニューバーから [WLANs] に移動し、ポリシーを設定したい [WLAN ID] をクリックします。WLAN の [Edit] メニューから [Policy-Mapping] タブをクリックします。

[Priority Index] で、1 ～ 16 から任意の値を設定します。[Local Policy] ドロップダウンリストから、すでに作成したポリシーを選択します。WLAN にポリシーを適用するには、[Add] をクリックします。ポリシーが WLAN にマッピングされ、[Policy Name] の下に表示されます。

2. 適切なポリシーを WLAN の [Policy-Mapping] に追加します。

3. [Advanced] タブで、[Allow AAA Override] が有効になっている場合は無効にします。

4. AAA ロールが正しく設定されていることを確認します。つまり、AAA サーバでのロール名はローカルポリシーで定義されている [Role String] と一致する必要があります。下記は、Cisco ISE サーバと Cisco ACS の例です。

ISE：

ACS：

Apple iPad を介して teacher のクレデンシャルで SSID に関連付けたクライアントは、インターネット、および AVC プロファイル設定ごとに異なるアプリケーションにアクセスできます。ユーザが Apple iPad 以外のデバイスから接続しようとしても、インターネットにアクセスすることはできません。

WLC の GUI でポリシーの適用を確認するには、[Monitor] > [Clients] に移動し、[Client MAC address] をクリックします。

WLC の CLI プロンプトでポリシーの適用を確認するには、次のコマンドを実行します。

show client detail mac_address を実行し、一番下までスクロールして適用されているプロファイルを確認します。

WLC で AVC ポリシーの適用を確認する方法は次のとおりです。

AVC Profile Name:............................................. teacher-AVC

student のクレデンシャルで SSID への接続を試行すると、適用されている別のポリシー（student-AVC）が表示されます。クライアントデバイスが Apple iPad でない場合は、ネットワークにアクセスできません。

ネイティブプロファイリングに関する制限事項

■WGB 背後の有線クライアントはプロファイリングされず、ポリシーアクションは実行されません。

■WLAN ごとに設定できるポリシーは 16 のみで、グローバルに 64 のポリシーを割り当てることができます。

■ポリシーアクションは、L2 または L3 認証が完了するか、デバイスから HTTP トラフィックが送信されてデバイスがプロファイリングされた場合に実行されます。特定のシナリオでは、プロファイリングおよびポリシーアクションが 1 つのクライアントで複数回発生します。

■このリリースでは、IPv4 クライアントのプロファイリングのみがサポートされます。

■WGB 有線クライアントでは HTTP プロファイリングがサポートされていないため、WGB 有線クライアントのプロファイリングはサポートされません。

まとめ

■デフォルトでは、すべての WLAN でプロファイリングが無効になっています。

■各 WLAN に、マッピング済みのプロファイリングポリシーを設定できます。

■各ポリシーに、照合する Role Type、Device Type、EAP type を設定して、関連付けられているポリシーインデックスをマッピングできます。

■ポリシーインデックスは、最初に照合する必要があるポリシーを示します。

■対応するポリシー名は、ポリシーインデックスから推定されます。

■ポリシーマッチングは最初にポリシーが一致した時点で終了し、対応するポリシーアクション属性がクライアントごとに設定されます。

■クライアントごとにポリシーを適用する順番は、セキュリティタイプに基づきます。

プロトコルパックと NBAR エンジンの更新

リリース 8.2 までは、集中型 AVC をサポートするために NBAR エンジン（16）が WLC に統合され、プロトコルパック（PP）バージョン 12 までがサポートされています。リリース 8.2 では、改善された新しい NBAR エンジン 23 とプロトコルパック 14 が導入されました。新しいバージョンを使用すると、顧客はコントローラのパフォーマンスにほとんど影響を与えずに、Netflix、Jabber、Bittorrent、YouTube など、1273 のアプリケーションをより高い精度で確実に分類できます。プロトコルパック 14 には NBAR エンジン 23 が必要であり、前の WLC リリースで以前にリリースされたバージョンの NBAR では機能しないことにも注意してください。PP バージョン 15 がリリースされて CCO に掲載された場合は、NBAR エンジン 23 で動作します。

リリース 8.2 の NetFlow サポート

IP トラフィックフローでは、一連のパケットが、送信元/宛先 IP アドレス、トランスポートポート、方向などの共通の属性を伴い、ネットワークデバイスを通過します。ワイヤレスフローのその他の共通属性としては、SSID や AP MAC があります。共通の属性を持つこれらのパケットがフローに集約され、Netflow コレクタにエクスポートされます。8.2 より前のリリースでは、コントローラがエクスポートした Netflow データは PI（Prime Infrastructure）によってのみ分析され、サードパーティ製の Netflow コレクタとの互換性はありませんでした。

リリース 8.2 では、強化された Netflow レコードエクスポータが導入されています。新しい Netflow v9 では、17 の異なるデータレコード（RFC 3954 で定義されている）が、StealthWatch などの外部のサードパーティ製 Netflow コレクタに送信されます。強化されたフローレコード データ エクスポート機能は、WLC 5520、8510、8540 に追加されています。

8.2 より前のリリースでは、コントローラの Netflow 機能によって、クライアントの IP アドレス、SSID、アプリケーションの統計情報だけが送信されていました。その場合、Cisco Prime などの互換性のある Netflow コレクタではアプリケーションの統計情報を表示できましたが、5 タプルの完全なフロー情報は得られず、5 タプルを必要とする多くのサードパーティ製 Netflow コレクタとの互換性も確保されていませんでした。

8.2 より前のリリースによって WLC がエクスポートする現行の Netflow レコードでは、次のフィールドのみサポートされています。

■applicationTag

■ipDiffServCodePoint

■octetDeltaCount

■packetDeltaCount

■postIpDiffServCodePoint

■staIPv4Address

■staMacAddress

■wtpMacAddress

リリース 8.2 で新たに導入されたフローレコードエクスポータは、次のフローデータレコードをサポートしています。

■Application Tag

■クライアントの MAC アドレス

■AP MAC アドレス

■WlanID

■送信元 IP

■宛先 IP

■送信元ポート

■宛先ポート

■プロトコル

■フロー開始時刻

■フロー終了時刻

■方向

■パケット数

■バイト数

■VLAN ID：管理/ダイナミック

■TOS：DSCP 値

■Dot1x ユーザ名

Netflow の配置に関する考慮事項

■WLC では、1 つのモニタとエクスポータのみサポートされています。

■WLC では、コントローラごとに 1 つのタイプの Netflow レコードのみ、グローバルにサポートされます。

■フローレコードは直接エクスポートされ、コントローラには表示されません。

■現在のアプリケーションの可視性の統計情報は、引き続きコントローラに表示されます。

■モニタのパラメータの変更により、WLAN の無効化と有効化が必要になります。

■新しいレコードは、8510、5520、および 8540 コントローラでのみサポートされます。

■2500、5508、7500、および WiSM2 コントローラはサポートされません。

■Netflow 統計情報は 30 秒間隔で送信されます（ユーザ設定不可。現在の値は 90 秒）。

■Netflow レコードは、新しいフローレコードを持つ未分類のアプリケーションにも送信されます。

■Netflow は、その WLAN で AVC を有効にする際に送信されます。

■IPv6 トラフィックは、リリース 8.2 の Netflow ではサポートされていません。

■初期テンプレートを送信する Netflow は、コントロールプレーンから送信されます。

■サービスポートでの Netflow のエクスポートはサポートされていません。

評価を目的とした StealthWatch ソフトウェアの入手

ソフトウェアは次に示す URL から Web ダウンロードできます：
https://www.Stealthwatch.com/stealthwatch-evaluation-application

1. Stealth Watch Evaluation にサインアップして、ソフトウェアをダウンロードします。

WLC での Netflow 設定

8.2 より前のリリースでは、WLC での Netflow 設定は、固定レコード ipv4_client_app_flow_record を Netflow モニタに関連付けることで行っていました。現在ではこの方法に加えて、ipv4_client_src_dst_flow_record という新しい固定レコードがサポートされています。これは以下に示す CLI と GUI でも使用できます。

注： コントローラで使用できる Netflow エクスポータは 1 つだけであるため、新旧のレコード形式のいずれかを使用することになります。

CLI からの設定

設定の変更内容

CLI からの設定手順

debug コマンド

WebUI を使用した設定

次のスクリーンショットは、IP アドレス 10.10.105.22 を持ち、UDP ポート 2055 でリッスンしている、USC ボックス上の StealthWatch Netflow コレクタ VM の例を示しています。

1. WLC のメインメニューから [Wireless] > [NetFlow] > [Exporter] に移動して、Netflow エクスポータを設定します。[New] をクリックします。

2. [Exporter Name]、[Exporter IP]、および [Port Number] を設定して [Apply] をクリックします。

3. 次に、上記で作成した Netflow エクスポータのフローモニタを作成します。[Netflow] の下にある [Monitor] に移動します。[New] をクリックします。

4. 以下に示すように、「Stealthwatch」という名前でモニタを作成して [Apply] をクリックします。

5. 作成したモニタ名をクリックします。

6. [Exporter Name] ドロップダウンメニューから [Netflow Collector] を選択し、[Record Name] リストから [ipv4_client_src_dst_flow_record] を選択します。[Apply] をクリックします。

[Wireless] > [NetFlow] > [Monitor] に次のように表示されます。

7. AVC と Netflow モニタを有効にする必要がある WLAN を参照します。WLAN の編集パラメータから [QoS] タブに移動して、[Application Visibility] のチェックボックスをオンにします。次に、[Netflow Monitor] を選択して [Apply] をクリックします。

NetFlow レポート

StealthWatch Netflow レポート設定は、フローコレクタと集中管理コンソールで構成されます。

StealthWatch FlowCollector は、さまざまなソース（この場合はワイヤレス LAN コントローラ）からデータを収集し、それらを分析して通常のアクティビティのプロファイルを作成したうえで、通常のプロファイルの範囲外にあるアクティビティ用のアラーム（SMC 宛て）を生成します。

SMC は、Web ブラウザを介してシステムのさまざまなコンポーネントを管理、調整、および設定します。一元管理、およびトラフィックを視覚化したグラフによる最大 25 のフローコレクタのレポートが可能です。

次の例は、10.10.105.22 に存在する FlowCollector（上記の WLC で設定されている）と 10.10.105.21 にある SMC を示しています。

1. ユーザ名とパスワードを使用して SMC にログインします。

2. ダッシュボードで [Launch SMC] をクリックします。アプリケーション「 launch_512 」のダウンロードを求めるプロンプトが表示されます。ローカルに保存し、前述のように起動します。

3. ポップアップウィンドウが表示されたら、次に示す手順を実行します。

4. 引き続き Stealth Watch Monitor をロードします。

5. 設定したクレデンシャルで StealthWatch Collector Monitor にログインします。

6. ダッシュボードで [Exporters] を右クリックして [<Controller IP>] > [Flows] > [Flow Table] を選択し、クライアントフローを表示します。

7. ここには複数のクライアントフローが表示されます。以下に示すように、列名を右クリックしてパラメータを選択すると、さまざまな属性のフローをフィルタリングできます。次に示す例では、IP アドレス 10.10.10.2 の WLC が [Application (NBAR)] 属性で選択されています。

注： フローを表示するには、クライアントが AVC および Netflow 対応 SSID に接続されていることを確認してください。

ユーザが dot1x credentials を使用して接続している場合は、StealthWatch のフロー テーブル ダッシュボードにも表示されます。

注： コントローラでプロトコルパックファイルをアップグレードする予定がある場合は、次のリンクで最新のプロトコル パックを確認できます。

https://software.cisco.com/download/home/282600534/type/284509011/release/24.0.0

FlexConnect モードバージョン 8.3 の AVC

リリース 8.3 では、プロトコルパックと NBAR エンジンが Flex Connect アプリケーション向けにアップグレードされ、プロトコルパック 14 および NBAR エンジン 23 がサポートされて、サポートされるアプリケーションの合計数が 1327 になりました。

詳細については、http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-1/Flex-7500/Flex_7500_DG.html#pgfId-131717 を参照してください。

リリース 8.3 でのプロトコルパックと NBAR エンジンの更新

リリース 8.3 までは、集中型 AVC をサポートするために NBAR エンジン 23 が WLC に統合され、プロトコルパック（PP）バージョン 16 がサポートされています。リリース 8.3 では、改善された新しい NBAR エンジン 23 とプロトコルパック 19.1 が導入されました。新しいバージョンを使用すると、顧客はコントローラのパフォーマンスにほとんど影響を与えずに、Skype や Jabber など、最大 1317 のアプリケーションをより高い精度で確実に分類できます。プロトコルパック 19.1 には NBAR エンジン 23 が必要であり、前の WLC リリースで以前にリリースされたバージョンの NBAR では機能しないことにも注意してください。PP バージョン 19.1 がリリースされて CCO に掲載された場合は、NBAR エンジン 23 以上で動作します。

AVC 拡張機能の設定手順

最新の NBAR エンジンまたはプロトコルパックのロードに必要な設定手順はありません。

ズーム通話は PP 37 に表示されています。

Wi-Fi 通話も PP37 に含まれています。

CLI を使用した 8.8 AVC 機能の管理

CLI 出力 ：

AVC プロファイル機能のデフォルト DSCP 値の概要

AVC が有効になっている 8.8 より前のリリースでは、AVC プロファイルで設定されているアプリケーションフローのすべてのアプリケーションの DSCP 値のみを上書きすることはできません。さらに、AVC プロファイルには最大 32 のアプリケーション ルールを含めることができます。

AVC プロファイルにルールが設定されていないフローの場合は、アクションが実行されず、DSCP はそのまま残ります。このままで AVC を PEP（ポリシー適用ポイント）として使用することはできません。

マネージドサービスの場合、AVC プロファイルに存在しないすべてのフローの DSCP 値（例：DSCP 0）を制御して書き直すことは不可能です。

新しい AVC 拡張機能では、AVC ルールが設定されていないすべてのアプリケーションフローの DSCP 値を上書きする「デフォルトクラス」ルールを使用できます。これは、Any/Any 条件を含む最後のルールのようなものです。その目的は、不要または制御済みの DSCP 値を持つすべてのフローからネットワークを保護することです。

現時点で AVC は、認識しているすべてのアプリケーションのマーキング、レート制限、またはドロップをサポートします。AVC では 32 のルールがサポートされます。これらのルールに設定されていないアプリケーションに対してアクションが実行されることはありません。

ローカルモードの場合、これらのルールはデータプレーンに組み込まれます。データプレーンで、これらのアプリケーションに対して、DSCP マーキングを含むアクションが実行されます。

リリース 8.8 の新機能の一環として、サポートされる 32 のルールに含まれる「デフォルトクラス」を設定できます。

既存のルールに一致しないアプリケーションには、この「デフォルトルール」が適用されます。

Flex Connect AVC の場合は、TLV タイプ TLV_FLEX_AVC_CLASS_MAP_APP_NAME_PAYLOAD のアプリケーション名と、TLV タイプ TLV_FLEX_AVC_CLASS_MAP_APP_ID_PAYLOAD のアプリケーション ID が送信されます。

リリース 8.8 では、AP に送信する「デフォルトクラス」のアプリケーション名とアプリケーション ID のサポートが強化されます。また、AP はこれらの値を処理して、それに応じてクラスマップを更新する必要があります。

リリース 8.8 での AVC のデフォルト DSCP 値に関する制限事項

■マーキングのみがサポートされ、レート制限とドロップはサポートされません。

■デフォルト DSCP は AVC が有効な場合にのみ機能します。

■プロファイルあたり 32 のルール（「デフォルトクラス」ルールを含む）がサポートされます。デフォルトルールが設定されている場合、ユーザが設定できるルールは 31 個のみです。

■設定されている「デフォルトクラス」のアプリケーション名は、統計情報ページおよび CLI 出力には表示されません。

■マルチキャストフローおよびブロードキャストフローはサポートされません。

■現時点で AVC は IPv6 をサポートしていません。

■AVC ではルールをカスケーディングできないので、同じフローに対してレート制限とマーキングを実行することはできません。そのため、レート制限が実行されているフローに「デフォルト」のマーキングが行われることはありません。

注： プロファイルを WLAN に適用すると、「デフォルトクラス」の設定によって、未設定のすべてのアプリケーションの DSCP 値がすべて上書きされます。

デフォルトの DSCP 設定の設定手順

この導入ガイドの前項の説明に従って、AVC プロファイルを作成、設定して WLAN に適用する手順を実行し、AVC プロファイルの作成後は次の手順を行ってください。

1. AVC プロファイルを作成すると、次の例のように表示されます。

2. デフォルトクラス アプリケーションを追加するには、アプリケーショングループ「other」およびアプリケーション名「class-default」で新しいルールを作成すると同時に、必要な DSCP アクションを選択するか、次の例で示すようにカスタム DSCP 値を設定します。

注： Flex Connect モード用に作成した AVC プロファイルにも同じ手順が適用されます。

3. 新しく作成したルールをプロファイルに適用すると、プロファイルに表示されるようになります。

既存のアプリケーションリストに「class-default」アプリケーションが追加されます。

GUI に自動的に表示されます。

4. 新しく作成したプロファイルを WLAN に適用します（次の例では、作成したプロファイルが WLAN「avctest」に適用されます）。

デフォルト DSCP の CLI コンフィギュレーション コマンド：

アプリケーション名「class-default」で AVC プロファイルを作成します。

show コマンドの変更 ：

Config コマンドの例 ：

AVC の仕様および制限

FlexConnect AP の AVC では、1000 種類以上のアプリケーションを分類し、アクションを実行できます。

■FlexConnect AP で稼働するプロトコルパックは、WLC 上で稼働するプロトコルパックとは異なります。

■AVC による GUI の統計情報は、デフォルトでは上位 10 のアプリケーションに対して表示されます。これを、上位 20 または 30 のアプリケーションに変更することもできます。

■FlexConnect グループ内のローミングがサポートされます。

■IPv6 トラフィックを分類することはできません。

■AVC プロファイルの AAA オーバーライドはサポートされません。

■マルチキャストトラフィックは、AVC アプリケーションではサポートされません。

■FlexConnect AVC の Netflow エクスポートはサポートされていません。

アプリケーション可視性の設定

アプリケーションの可視性を設定するには、次の手順を実行します。

1. 有線ラップトップで Web ブラウザを開き、WLC の IP アドレスを入力します。

2. 命名規則を使用して、「FlexDemo」などの OPEN WLAN を作成します。

3. WLAN で [FlexConnect Local Switching] を有効にして、[Apply] をクリックします。

4. この WLAN に接続された AP がこの機能に対してサポートされているアクセスポイントのリスト内に存在することを確認します。

5. [AP Mode] ドロップダウンメニューで [FlexConnect] を選択して AP を FlexConnect モードに切り替え、[Apply] をクリックします。リブートしなくてもモードが FlexConnect に変わります。

6. FlexConnect グループを作成して、AP をその FlexConnect グループに追加します。次の例では、「FlexGroup」という FlexConnect グループにアクセスポイント AP3600 を追加します。

7. 識別、分類、および制御が可能なアプリケーションが、[Wireless] > [Application Visibility and Control] > [FlexConnect AVC Applications] > に一覧表示されます。アクセスポイントは、プロトコルパックバージョン 8.0 と NBAR エンジン バージョン 16 をサポートします。

8. [Wireless] > [Application Visibility And Control] > [FlexConnect AVC Profiles] > [New] で、「Drop_youtube」という名前の AVC プロファイルを作成します。次に、[Apply] をクリックします。

新しい名前「Drop_youtube」で AVC プロファイルが作成されます。

9. プロファイル名をクリックして、[Add New Rule] をクリックします。[Application Group]、[Application Name]、および [Action] を選択して、[Apply] をクリックします。

10. 次の図に示すように、ルールが追加されたことを確認します。

この時点の FlexConnect AVC プロファイルのステータスは、[Modified] です。

11. プロファイルを適用して有効化するには、プロファイルを選択して [Apply] をクリックします。

12. プロファイルを適用して有効化するには、プロファイルを選択して [Apply] をクリックします。

FlexConnect AVC プロファイルのステータスが、[Applied] に変わります。

13. [Wireless] > [FlexConnect Group] > [FlexConnect Group name] > [WLAN AVC Mapping] で、[WLAN ID] を選択してドロップダウンメニューから [Enable] を選択し、FlexConnect グループでアプリケーションの可視性を有効にします。

14. [AVC Profile] ドロップダウンメニューから、前の設定で作成したプロファイルを選択して、FlexConnect AVC プロファイルを適用します。[Add] をクリックし、[Apply] をクリックします。

15. FlexConnect グループで AVC を有効にすると、関連付けられているワイヤレスクライアントから、Cisco Jabber/Web Ex Connect、Skype、Yahoo Messenger、HTTP、HTTPS/SSL、Microsoft Messenger、Ping、トレースルートなどの（すでにインストールされている）アプリケーションを使用するさまざまなタイプのトラフィックが開始されます。

ワイヤレスクライアントからトラフィックが開始されると、FlexConnect グループ単位およびクライアント単位でさまざまなトラフィックの可視性を確認できます。これにより、管理者はネットワーク帯域幅の使用状況やネットワーク内のトラフィックのタイプについて、クライアント単位およびブランチサイト単位で確認できます。

16. FlexConnect グループ上のすべての WLAN の可視性をグローバルにチェックするには、[Monitor] > [Applications] > [FlexConnect] > [FlexConnect Groups] をクリックし、先に作成した FlexConnect グループを選択します。

次の画面には、その特定の FlexConnect グループで実行されている上位 10 のアプリケーションに関する集約データが一覧表示されます。

このページでは、FlexConnect グループごとのよりきめ細かな可視性が提供され、過去 90 秒の上位 10 のアプリケーションと、上位 10 のアプリケーションの累積統計情報が表示されます。同じページに FlexConnect グループごとのアップストリーム統計情報とダウンストリーム統計情報を個別に表示するには、[Upstream] タブと [Downstream] タブをクリックします。

注： このページの [Max Number of Records] フィールドを変更すると、このページに表示されるアプリケーションの数を 20 または 30 に増やすことができます。デフォルト値は 10 です。

17. AVC の可視性が有効になっている特定のローカルスイッチング WLAN で、クライアントごとの上位 10 のアプリケーションについてより詳細に表示するには、[Monitor] > [Applications] > [FlexConnect Group] > [FlexConnect Group name] > [Clients] をクリックします。次に、そのページに表示された個別のクライアント MAC エントリをクリックします。

個別のクライアント MAC エントリをクリックすると、クライアントの詳細ページが表示されます。

このページでは、WLAN 自体で、またはこの例のように FlexConnect グループで AVC の可視性が有効になっているローカル スイッチング WLAN に関連付けられたクライアントごとの詳細な統計情報が提供されます。過去 90 秒の上位 10 のアプリケーションと、上位 10 のアプリケーションの累積統計情報がページに表示されます。

18. 同じページでクライアントごとのアップストリーム統計情報とダウンストリーム統計情報を個別に表示するには、[Upstream] タブと [Downstream] タブをクリックします。

注： このページの [Max Number of Records] フィールドを変更すると、このページに表示されるアプリケーションの数を 20 または 30 に増やすことができます。デフォルト値は 10 です。

19. 特定のクライアントの AVC 統計情報をクリアするには、[Clear AVC Stats] ボタンをクリックします。

これで、ワイヤレスクライアントから YouTube を開いた場合に、そのクライアントで YouTube ビデオを再生できなくなります。また、該当する場合は、Facebook アカウントを開いて YouTube ビデオを開いてみてください。YouTube ビデオを再生できないことが確認できます。YouTube をブロックする FlexConnect AVC プロファイルが FlexConnect グループの WLAN にマッピングされているため、ブラウザ経由でも、YouTube アプリケーションを使用しても、他の Web サイトからも YouTube ビデオにアクセスすることはできません。

注： ブラウザですでに Youtube が開いている場合、AVC プロファイルを有効にするには、ブラウザを更新してください。

付録

VOD リファレンス

Cisco AVC - ユーザ単位のアプリケーション制御： http://www.youtube.com/watch?v=ESg53o3ufDQ&feature=youtu.be

Web リンクと用語

Cisco WLAN コントローラの情報：

http://www.cisco.com/en/US/products/hw/wireless/products.html

http://www.cisco.com/cisco/web/support/index.html

Cisco Prime 管理ソフトウェアの情報：

http://www.cisco.com/en/US/products/ps11686/index.html

Cisco MSE の情報：

http://www.cisco.com/en/US/products/ps9742/index.html

Cisco LAP のマニュアル：

http://www.cisco.com/en/US/products/ps10981/index.html