瞭解Catalyst 9800無線LAN控制器上的AVC
目錄
簡介
本檔案介紹Cisco Catalyst 9800 WLC上的應用可視性與可控性(AVC),其可實現應用流量的精確管理。
必備條件
思科建議您瞭解以下主題:
- Cisco WLC 9800的基本知識。
- 本地和Flex連線模式AP的基本知識。
- 存取點必須具備AVC功能。(不適用於本地模式AP)
- 要使AVC (QoS)的控制部分正常工作,必須配置帶FNF的應用可視性功能。
有關應用可視性與可控性(AVC)的資訊
應用可視性與可控性(AVC)是思科在無線和有線網路中用於深度資料包檢測(DPI)技術的領先方法。使用AVC,您可以執行即時分析和建立策略來有效減少網路擁塞、最大限度地減少成本高昂的網路鏈路使用,並避免不必要的基礎設施升級。簡而言之,AVC使使用者能夠透過基於網路的應用辨識(NBAR)實現全新級別的流量辨識和整形。在9800 WLC上運行的NBAR軟體套件用於DPI,並且使用Flexible NetFlow (FNF)報告結果。
除了可視性之外,AVC還能夠區分不同型別流量的優先順序、阻止或限制。例如,管理員可以建立優先安排語音和影片應用的策略,以確保服務品質(QoS)或限制非關鍵應用在高峰工作時間可用的頻寬。它還可以與其他思科技術整合,例如用於基於身份的應用策略的思科身份服務引擎(ISE)以及用於集中管理的Cisco Catalyst Center。
AVC的工作原理
AVC利用FNF和NBAR2引擎等先進技術實現DPI。透過使用NBAR2引擎分析和辨識流量流,特定流量會使用可辨識的協定或應用進行標籤。 控制器會收集所有報告,並透過show命令、Web UI或其他NetFlow導出消息將其顯示給外部NetFlow收集器(如Prime)。
一旦建立了應用可視性,使用者就可以透過配置服務品質(QOS),為客戶端建立具有策略機制的控制規則。
AVC的工作機制
網路型應用程式辨識(NBAR)
NBAR是整合在9800 WLC上的一種機制,用於執行DPI,以辨識和分類網路上運行的各種應用程式。它可以辨識和分類大量應用,包括加密和動態埠對映應用,這些應用通常對傳統資料包檢測技術不可見。
注意:要利用Catalyst 9800 WLC上的NBAR,需要經常結合特定AVC配置檔案來啟用和正確配置它,這些AVC配置檔案會根據流量的分類定義要採取的相應操作。
NBAR會持續定期更新,因此,請務必使WLC軟體保持最新,以確保NBAR功能集保持最新和有效。
有關最新版本中支援的協定的完整清單,請訪問https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/prot_lib/config_library/nbar-prot-pack-library.html
在策略配置檔案上啟用NBAR協定
9800WLC#configure terminal
9800WLC(config)#wireless profile policy AVC_testing
9800WLC(config-wireless-policy)#ip nbar protocol-discovery
9800WLC(config-wireless-policy)#end
注意:在執行此操作之前,需要停用%策略配置檔案。
9800WLC#show wireless profile policy detailed AVC_testing | in NBAR
NBAR Protocol Discovery : Enabled
升級9800 WLC上的NBAR
9800 WLC已擁有約1500個可辨識的應用。在新應用發佈的情況下,將在需要從特定9800型號的軟體下載頁面下載的最新NBAR中更新其協定。
透過GUI
導航到配置>服務>應用可視性。按一下Upgrade Protocol Pack。
9800 WLC中的上傳協定部分
按一下Add,然後選擇要下載的協定包,然後按一下Upgrade(如果您使用Telnet會話)。
增加NBAR協定
升級完成後,您會看到協定包已增加。
驗證通訊協定套件
透過CLI
9800WLC#copy tftp://10.10.10.1/pp-adv-c9800-1712.1-49-70.0.0.pack bootflash:
9800WLC#configure terminal
9800WLC(config)#ip nbar protocol-pack bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
To verify NBAR protocol pack version
9800WLC#show ip nbar protocol-pack active
Active Protocol Pack:
Name: Advanced Protocol Pack
Version: 70.0
Publisher: Cisco Systems Inc.
NBAR Engine Version: 49
Creation time: Tue Jun 4 10:18:09 UTC 2024
File: bootflash:pp-adv-c9800-1712.1-49-70.0.0.pack
State: Active
注意:在NBAR協定包的升級過程中不會中斷服務。
Netflow
NetFlow是用於收集IP流量資訊和監控網路流量資料的網路協定。它主要用於網路流量分析和頻寬監控。 以下概述NetFlow如何在Cisco Catalyst 9800系列控制器上運行:
- 資料收集:9800 WLC收集流經它們的IP流量的資料。此資料包括源和目標IP地址、源和目標埠、使用的協定、服務類別以及流終止的原因等資訊。
- 流程記錄:收集的資料會組織成流程記錄。流被定義為共用一組通用屬性(如相同的源/目標IP、源/目標埠和協定型別)的單向資料包序列。
- 導出資料:流記錄會定期從啟用了NetFlow的裝置導出到NetFlow收集器。收集器可以是本地WLC,也可以是接收、儲存和處理流資料的專用伺服器或軟體應用程式。
- 分析:您可以使用NetFlow收集器和分析工具來檢視流量模式、辨識頻寬、檢測指示安全漏洞的不尋常流量流、最佳化網路效能以及規劃網路擴展。
- 無線特定資訊:在無線控制器的環境中,NetFlow可以包含特定於無線網路的其他資訊,如SSID、AP名稱、客戶端MAC地址以及與Wi-Fi流量相關的其他詳細資訊。
Flexible Netflow
Flexible NetFlow (FNF)是傳統NetFlow的進階版本,受Cisco Catalyst 9800系列無線區域網控制器(WLC)支援。它為跟蹤、監控和分析網路流量模式提供了更多自定義選項。Catalyst 9800 WLC上的Flexible NetFlow的主要功能包括:
- 自定義:FNF允許使用者定義要從網路流量收集哪些資訊。這包括各種流量屬性,如IP地址、埠號、時間戳、資料包和位元組計數、應用型別等。
- 增強的可視性:透過利用FNF,管理員可以詳細瞭解流經網路的流量型別,這對於容量規劃、基於使用的網路計費、網路分析和安全監控至關重要。
- 協定獨立性:FNF具有足夠的靈活性,可支援IP以外的各種協定,因此能夠適應不同型別的網路環境。
在Catalyst 9800 WLC上,可以配置FNF以將流記錄導出到外部NetFlow收集器或分析應用程式。這些資料可用於故障排除、網路規劃和安全分析。FNF配置包括定義流記錄(要收集的內容)、流導出器(傳送資料的位置),以及將流監控器(繫結記錄和導出器)附加到適當的介面。
注意:FNF可以向外部第三方Netflow收集器傳送17條不同的資料記錄(如RFC 3954中所定義),例如Stealthwatch、Solarwinds等,包括:應用標籤、客戶端Mac地址、AP Mac地址、WlanIP id、源IP、目標IP、源埠、目標埠、協定、流開始時間、流結束時間、方向、資料包輸出、位元組計數、VLAN ID(本地模式) -管理/客戶端和TOS - DSCP值
流量監控器
流監控器是與Flexible NetFlow (FNF)結合使用的元件,用於捕獲和分析網路流量資料。它在監控和瞭解流量模式以實現網路管理、安全和故障排除方面起著至關重要的作用。流監控器基本上是FNF的一個應用例項,它根據定義的標準收集和跟蹤流資料。它與三個主要元素相關聯:
- 流記錄:定義流監控器必須從網路流量收集的資料。它指定流資料中將包含的金鑰(如源和目標IP地址、埠、協定型別)和非金鑰欄位(如資料包和位元組計數器、時間戳)。
- 流導出器:用於指定必須傳送收集的流資料的目標。它包括NetFlow收集器的IP地址、傳輸協定(通常為UDP)以及收集器偵聽的目標埠號等詳細資訊。
- 流監控器:流監控器自身將流記錄和流導出器繫結在一起,並將它們應用於介面或WLAN,以實際啟動監控進程。它根據流記錄中的條件集和流導出器中的目標集,確定如何收集和導出流資料。
AVC支援的存取點
只有以下存取點支援AVC:
- Cisco Catalyst 9100系列存取器
- Cisco Aironet 2800系列存取點
- Cisco Aironet 3800 系列存取點
- Cisco Aironet 4800 系列存取器
支援不同的9800部署模式
| 部署模式 |
9800 WLC |
第1波存取點 |
Wave 2存取點 |
Wifi 6存取點 |
| 本地模式 |
IPV4流量: |
在WLC級別進行處理 |
在WLC級別進行處理 |
在WLC級別進行處理 |
| Flex模式 |
IPV4流量: |
在WLC級別進行處理 |
在WLC級別進行處理 |
在WLC級別進行處理 |
| Flex模式 |
在AP層級處理 |
IPV4流量: |
IPV4流量: |
IPV4流量: |
| 本地模式 |
在AP層級處理 |
IPV4流量: |
IPV4流量: |
IPV4流量: |
在9800上實施AVC時的限制
應用可視性與可控性(AVC)和Flexible NetFlow (FNF)是Cisco Catalyst 9800系列無線區域網控制器的強大功能,可增強網路可視性和可控性。但是,在使用這些功能時,請記住一些限制和注意事項:
- 不支援跨控制器第2層漫遊。
- 不支援組播流量。
- 只有透過應用可視性辨識的應用才能用於應用QoS控制。
- AVC中的NetFlow欄位不支援資料鏈路。
- 不能將同一個WLAN配置檔案對映到未啟用AVC的策略配置檔案和啟用AVC的策略配置檔案。
- 您不能將具有不同交換機制的策略配置檔案用於同一WLAN以實現AVC。
- 管理埠(Gig 0/0)不支援AVC。
- 僅允許在有線物理埠上配置基於NBAR的QoS策略。虛擬介面(例如VLAN、埠通道和其他邏輯介面)不支援策略配置。
- 啟用AVC時,AVC配置檔案僅支援最多23條規則,其中包括預設DSCP規則。如果規則超過23,AVC策略將不會向下推送到AP。
網路拓撲
本地模式下的AP
本地模式AP中的AVC(集中交換)
處於flex模式的AP
Flex模式下的AVC AP
9800 WLC上的AVC配置
在9800 WLC上配置AVC時,您可以將其用作NetFlow收集器,也可以將NefFlow資料導出到外部NetFlow收集器。
本地導出器
在Cisco Catalyst 9800無線LAN控制器(WLC)上,本機NetFlow收集器是指WLC中的嵌入式功能,允許其收集並本機儲存NetFlow資料。此功能使WLC能夠執行基本NetFlow資料分析,而無需將流記錄導出到外部NetFlow收集器。
透過GUI
第1步:要在特定SSID上啟用AVC,請導航到配置>服務>應用可視性。 選擇要為其啟用AVC的特定策略配置檔案。
在策略配置檔案上啟用AVC
第2步:選擇本地作為Netflow收集器,然後按一下應用。
選擇本地NetFlow收集器
請注意,應用AVC配置後,NetFlow導出器和NetFlow設定已根據指定的首選項自動配置。
您可以導航到Configuration > Services > Application Visibility > Flow Monitor > Exporter/Monitor進行驗證。
9800 WLC上的本機流量收集器組態
使用本地NetFlow收集器的流監控器配置
IPv4和IPv6 AVC流監控器將自動與策略配置檔案關聯。導航到配置>標籤和配置檔案>策略。按一下Policy Profile > AVC和QOS(AVC和QOS)。
策略配置檔案中的流監控器配置
透過CLI
第1步:將9800 WLC配置為本地導出器。
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter wireless-local-exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit
第2步:配置IPv4和IPv6網路流監控器以使用本地(WLC)作為Netflow導出器。
9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter wireless-local-exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor wireless-avc-basic-ipv6
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit
第3步:在策略配置檔案中對映入口和出口流量的IPv4和IPv6流監控器。
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless-avc-basic-ipv6 output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
外部NetFlow收集器
外部NetFlow收集器在Cisco Catalyst 9800無線LAN控制器(WLC)上的應用可視性與控制性(AVC)環境中使用時,是接收、聚合和分析從WLC導出的NetFlow資料的專用系統或服務。您可以僅配置外部NetFlow收集器以監控應用可視性,也可以將其與本地收集器一起使用。
透過GUI
第1步:要在特定SSID上啟用AVC,請導航到配置>服務>應用可視性。 選擇要為其啟用AVC的特定策略配置檔案。 選擇Collector作為External,並配置NetFlow收集器(如Cisco Prime、SolarWind、StealthWatch)的IP地址,然後按一下Apply。
外部NetFlow收集器的AVC配置
請注意,應用AVC配置後,NetFlow導出器和NetFlow設定已自動配置,將NetFlow收集器IP地址用作導出器,將導出器地址配置為9800 WLC,同時使用預設超時設定和UDP埠9995。您可以導航到Configuration > Services > Application Visibility > Flow Monitor > Exporter/Monitor進行驗證。
9800 WLC上的外部NetFlow收集器配置
使用外部NetFlow收集器的流監控器配置
導航到Configuration > Services > NetFlow,您可以檢查自動生成的NetFlow監控器的埠配置。
注意:如果透過GUI配置AVC,則自動生成的NetFlow導出器將配置為使用UDP 9995埠。請確保驗證NetFlow收集器正在使用的埠號。
例如:如果您使用Cisco Prime作為NetFlow收集器,必須將導出器埠設定為9991,因為這是Cisco Prime監聽NetFlow流量的埠。您可以在NetFlow配置中手動更改導出器埠。
在NetFlow配置中更改導出器埠號
透過CLI
第1步:使用源介面配置外部NetFlow收集器的IP地址。
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter External_Exporter
9800-Cl-VM(config-flow-exporter)#destination 10.106.36.22
9800-Cl-VM(config-flow-exporter)#source $Source_Interface
9800-Cl-VM(config-flow-exporter)#transport udp $Port_Numbet
9800-Cl-VM(config-flow-exporter)#exit
第2步:配置IPv4和IPv6網路流監控器以使用本地(WLC)作為Netflow導出器。
9800-Cl-VM(config)#flow monitor wireless-avc-basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 basic
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exporter External_Exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 basic
9800-Cl-VM(config-flow-monitor)#exit
第3步:在策略配置檔案中對映入口和出口流量的IPv4和IPv6流監控器。
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor wireless-avc-basic output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor wireless avc ipv6 basic output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
使用Cisco Catalyst Center在9800 WLC上配置AVC
在透過Cisco Catalyst Center在Cisco Catalyst 9800無線LAN控制器(WLC)上繼續配置應用可視性與控制(AVC)之前,必須驗證WLC和Cisco Catalyst Center之間的遙測通訊是否已成功建立。確保WLC在Cisco Catalyst Center介面內顯示為託管狀態,並且其運行狀況處於主動更新狀態。此外,為了有效監控健康狀態,請務必將WLC和存取點(AP)正確指派給Cisco Catalyst Center中各自的網站。
9800 WLC上的遙測連線驗證
WLC和AP處於託管狀態
Cisco Catalyst Center上WLC和AP的運行狀態
第1步:將Cisco Catalyst Center配置為NetFlow收集器並在全局設定中啟用無線遙測。導航到設計>網路設定>遙測,然後啟用所需的配置(如圖所示)。
無線遙測和AVC配置
第2步:在所需的9800 WLC上啟用應用遙測,以在9800 WLC上推送AVC配置。為此,請導航到調配>網路裝置>資產。 選擇要在其上啟用應用程式遙測的9800 WLC,然後導航到操作>遙測>啟用應用程式遙測。
在9800 WLC上啟用應用遙測
第3步:根據需要選擇部署模式。
本地:在本地策略配置檔案中啟用AVC(集中交換)
Flex/Fabric:在Flex策略配置檔案(本地交換)或基於交換矩陣的SSID中啟用AVC。
Cisco Catalyst Center上的部署模式選擇
第4步:啟動啟用AVC設定的任務,相應的配置將應用於9800 WLC。您可以導航到活動>稽核日誌檢視狀態。
在9800 WLC上啟用遙測後的稽核日誌
Cisco Catalyst Center將部署流導出器和流監控器配置,包括指定的埠和其他設定,並在選擇的模式策略配置檔案內啟用它們,如下所示:
Configure Cisco Catalyst Center as Flow Exporter:
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_exporter
9800-Cl-VM(config-flow-exporter)#destination 10.104.222.201
9800-Cl-VM(config-flow-exporter)#source Vlan10
9800-Cl-VM(config-flow-exporter)#transport udp 6007
9800-Cl-VM(config-flow-exporter)#export-protocol ipfix
9800-Cl-VM(config-flow-exporter)#option vrf-table timeout 300
9800-Cl-VM(config-flow-exporter)#option ssid-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-table timeout 300
9800-Cl-VM(config-flow-exporter)#option application-attributes timeout 300
9800-Cl-VM(config-flow-exporter)#exit
Configure 9800 WLC as Local Exporter
9800-Cl-VM#config t
9800-Cl-VM(config)#flow exporter avc_local_exporter
9800-Cl-VM(config-flow-exporter)#destination local wlc
9800-Cl-VM(config-flow-exporter)#exit
Configure Network Flow Monitor to use both Local(WLC) and Cisco Catalyst Center as Netflow Exporter:
9800-Cl-VM(config)#flow monitor avc_ipv4_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv6_assurance
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#exporter avc_local_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv4_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv4 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit
9800-Cl-VM(config)#flow monitor avc_ipv6_assurance_rtp
9800-Cl-VM(config-flow-monitor)#exporter avc_exporter
9800-Cl-VM(config-flow-monitor)#cache timeout active 60
9800-Cl-VM(config-flow-monitor)#default cache entries
9800-Cl-VM(config-flow-monitor)#record wireless avc ipv6 assurance-rtp
9800-Cl-VM(config-flow-monitor)#exit
Mapping the IPv4 and IPv6 Flow Minitor in Policy Profile
9800-Cl-VM(config)#wireless profile policy AVC_Testing
9800-Cl-VM(config-wireless-policy)#shutdown
Disabling policy profile will result in associated AP/Client rejoin
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance output
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv4 flow monitor avc_ipv4_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance output
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp input
9800-Cl-VM(config-wireless-policy)#ipv6 flow monitor avc_ipv6_assurance_rtp output
9800-Cl-VM(config-wireless-policy)#no shutdown
9800-Cl-VM(config-wireless-policy)#exit
驗證AVC
在9800
將9800 WLC用作流導出器時,可以觀察以下AVC統計資訊:
· 跨所有SSID連線的客戶端的應用可視性。
· 每個客戶端的單獨應用程式使用情況。
· 每個SSID上的特定應用使用情況。
注意:您可以選擇按方向過濾資料,包括傳入(傳入)和傳出(傳出)流量,以及按時間間隔過濾資料,可以選擇最長48小時的時間範圍。
透過GUI
導航到監控>服務>應用可視性。
連線到AVC_testing SSID的使用者對入口和出口流量的應用可視性
要檢視每個客戶端的應用可視性統計資訊,您可以按一下「客戶端」頁籤,選擇特定客戶端,然後按一下檢視應用詳細資訊。
特定客戶端的應用可視性- 1
特定客戶端的應用可視性- 2
透過CLI
驗證AVC狀態
9800WLC#show avc status wlan AVC_testing
WLAN profile name: AVC_testing
----------------------------------------------------------
AVC configuration complete: YES
來自NetFlow (FNF快取)的統計資訊
9800WLC#show flow monitor $Flow_Monitor_Name cache format table
在9800 CLI上驗證AVC
要單獨檢查每個WLAN及其連線的客戶端的排名靠前的應用使用情況,請執行以下操作:
9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
where n = <1-30> Enter the number of applications
9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
where n = <1-10> Enter the number of clients
驗證傳送到控制平面(CP)的FNFv9資料包計數和解碼狀態
9800WLC#show platform software wlavc status decoder
FNFv9資料包記錄
您還可以直接檢查nbar統計資訊。
9800WLC#show ip nbar protocol-discovery
在Fabric和Flex模式下,您可以透過以下方式從AP獲取NBAR統計資訊:
AP#show avc nbar statistics
Works on both IOS and ClickOS APs
注意:在外來錨點設定中,錨點WLC充當客戶端的第3層存在,而外來WLC在第2層運行。由於應用可視性與可控性(AVC)在第3層運行,因此只能在錨點WLC上檢視相關資料。
在DNAC上
從9800 WLC上捕獲的資料包中,我們可以驗證它是否持續向Cisco Catalyst中心傳送有關應用和網路流量的資料。
9800 WLC上的資料包捕獲
要檢視連線到Cisco Catalyst Center上特定WLC的客戶端的應用程式資料,請導航到保證>控制台>運行狀況>應用程式。
Cisco Catalyst Center上的AVC監控
我們可以跟蹤客戶最常使用的應用程式,並確定最高的資料使用者,如圖所示。
排名靠前的應用和排名靠前的頻寬使用者統計資訊
您可以為特定SSID設定過濾器,從而監控與該SSID關聯的客戶端的整體吞吐量和應用使用情況。
此功能可讓您辨識網路中的常用應用程式和最高頻寬消耗的使用者。
此外,您還可以利用時間過濾器功能檢查此資料以前的時間段,提供對網路使用情況的歷史見解。
用於顯示AVC統計資訊的時間過濾器。 
用於顯示AVC統計資訊的SSID過濾器
在外部NetFlow收集器上
示例1:Cisco Prime as Netflow Collector
使用Cisco Prime作為Netflow收集器時,您可以看到9800 WLC作為傳送Netflow資料的資料來源,並且系統將根據9800 WLC傳送的資料自動建立NetFlow模板。
從9800 WLC捕獲的資料包中,我們可以驗證它是否持續向Cisco Prime傳送有關應用和網路流量的資料。
在9800 WLC上進行的資料包捕獲
Cisco Prime Detecting 9800 WLC作為Netflow資料來源
您可以使用IP地址,根據應用、服務(甚至按客戶端)設定過濾器,以進行更有針對性的資料分析。
所有客戶端的應用可視性
使用IP地址的特定客戶端的應用
示例2:第三方NetFlow收集器
在本示例中,使用第三方NetFlow收集器[SolarWinds]來收集應用統計資訊。9800 WLC使用Flexible NetFlow (FNF)傳輸有關應用和網路流量的綜合資料,然後由SolarWinds收集。
Netflow在SolarWind中的應用統計
流量控制
流量控制是指用於管理和調控網路流量流的一組功能和機制。流量管制或速率限制是無線控制器中用於控制從客戶端傳輸的流量量的機制。它會監控網路流量的資料速率,並在超過預先定義的速率限制時立即採取行動。當流量超過指定的速率時,速率限制可能會捨棄多餘的封包,或藉由變更其Class of Service (CoS)或Differentiated Services Code Point (DSCP)值將其降級。這可以透過在9800 WLC中配置QOS來實現,可以參閱https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/215441-configure-qos-rate-limiting-on-catalyst.html以獲取有關這些元件如何工作以及如何配置它們以實現不同結果的概述。
疑難排解
排除AVC故障涉及辨識和解決可能影響AVC準確辨識、分類和管理無線網路上應用流量的能力的問題。常見問題可能包括流量分類、策略實施或報告方面的問題。以下是在Catalyst 9800 WLC上排除AVC故障時的一些步驟和注意事項:
- 驗證AVC配置:確保AVC在WLC上配置正確,並與正確的WLAN和配置檔案關聯。
-
當透過GUI設定AVC時,它將自動將埠9995指定為預設值。但是,如果使用外部收集器,請驗證它配置為偵聽哪個埠的NetFlow流量。正確配置此埠號以符合收集器的設定非常重要。
- 驗證AP型號和部署模式支援。
- 在無線網路中實施AVC時,請參閱對9800 WLC的限制。
日誌收集
WLC日誌
1. 啟用時間戳記,以取得所有命令的時間參照。
9800WLC#term exec prompt timestamp
2. 複查組態
9800WLC#show tech-support wireless
3. 您可以驗證avc狀態和netflow統計資訊。
檢查AVC配置狀態。
9800WLC#show avc status wlan <wlan_name>
檢查傳送到控制平面(CP)的FNFv9資料包計數和解碼狀態。
9800WLC#show platform software wlavc status decoder
檢查來自NetFlow (FNF快取)的統計資訊。
9800WLC#show flow monitor <Flow_Monitor_Name>
檢查每個wlan的前n個應用使用情況,其中n = <1-30>輸入應用數。
9800WLC#show avc wlan <SSID> top <n> applications <aggregate|downstream|upstream>
檢查每個客戶端的前n個應用程式使用情況,其中n = <1-30>輸入應用程式數。
9800WLC#show avc client <mac> top <n> applications <aggregate|downstream|upstream>
使用特定應用檢查連線到特定wlan的前n個客戶端,其中n=<1-10>輸入客戶端數。
9800WLC#show avc wlan <SSID> application <app> top <n> <aggregate|downstream|upstream>
檢查nbar統計資訊。
9800WLC#show ip nbar protocol-discovery
4. 將記錄層次設定為「除錯/詳細」。
9800WLC#set platform software trace all debug/verbose
!! To View the collected logs
9800WLC#show logging profile wireless internal start last clear to-file bootflash:<File_Name
!!Set logging level back to notice post troubleshooting
9800WLC#set platform software trace wireless all debug/verbose
5. 為客戶端MAC地址啟用放射性(RA)跟蹤以驗證AVC統計資訊。
透過CLI
9800WLLC#debug wireless {mac | ip} {aaaa.bbbb.cccc | x.x.x.x } {monitor-time} {N seconds} !! Setting time allows us to enable traces for up to 24 days
9800WLC#no debug wireless mac <Client_MAC>
!!WLC generates a debug trace file with Client_info, command to check for debug trace file generated.
9800WLC#dir bootflash: | i debug
注意:條件調試會啟用調試級別日誌記錄,從而增加生成的日誌量。保持此運行狀態可減少從檢視日誌的時間間隔。因此,建議在故障排除會話結束時始終停用調試。
# clear platform condition all
# undebug all
透過GUI
步驟 1.導航至Troubleshooting(故障排除)> Radiative Trace(放射性跟蹤)。
步驟 2.按一下Add並輸入要排除故障的客戶端Mac地址。您可以增加多個Mac地址進行跟蹤。
步驟 3.當您準備好開始放射性追蹤時,請按一下「開始」。啟動後,調試日誌記錄將寫入磁碟,記錄與跟蹤的MAC地址相關的任何控制層面處理情況。
步驟 4.當您重現要排除故障的問題時,按一下Stop。
步驟 5.對於已調試的每個mac地址,您可以透過按一下Generate來生成一個日誌檔案,整理屬於該mac地址的所有日誌。
步驟 6.選擇您要經過分頁的日誌檔案保留多長時間,然後按一下Apply to Device。
步驟 7.現在您可以按一下檔案名稱旁邊的小圖示來下載檔案。此檔案存在於控制器的開機快閃磁碟機中,也可以透過CLI從包裝箱中複製。
以下是RA跟蹤中的AVC調試簡介
2024/07/20 20:15:24.514842337 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 280, #packets 5
2024/07/20 20:15:24.514865665 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'dns'(app-id: 0x3000035), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:24.514875837 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'unknown'(app-id: 0xd000001), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 56, #packets 1
2024/07/20 20:15:40.530177442 {wstatsd_R0-0}{2}: [avc-stats] [15736]: (debug): Received stats record for app 'ping'(app-id: 0xd0001df), client MAC: xxxx.xxxx.a7da , SSID 'AVC_testing', direction ingress (0), WLAN ID <not provided>, #bytes 3600, #packets 60
6. 按客戶端MAC地址雙向過濾的嵌入式捕獲,客戶端內部MAC過濾器在17.1之後可用。
在使用外部收集器時,它特別有用,因為它有助於確認WLC是否按照預期將NetFlow資料傳輸到預期埠。
透過CLI
monitor capture MYCAP clear
monitor capture MYCAP interface <Interface> both
monitor capture MYCAP buffer size 100
monitor capture MYCAP match any
monitor capture MYCAP inner mac CLIENT_MAC@
monitor capture MYCAP start
!! Inititiate different application traffic from user
monitor capture MYCAP stop
monitor capture MYCAP export flash:|tftp:|http:.../filename.pcap
透過GUI
步驟 1.導航到故障排除>資料包捕獲> +增加。
步驟 2.定義資料包捕獲的名稱。最多允許8個字元。
步驟 3.定義篩選條件(如果有)。
步驟 4.如果希望看到流量被傳送至系統CPU並注入資料平面中,請選中此框以監控控制流量。
步驟 5.定義緩衝區大小。最多允許100 MB。
步驟 6.根據需要定義允許範圍1 - 1000000秒的期限或允許範圍1 - 100000個資料包的資料包數量。
步驟 7.從左側列中的介面清單中選擇介面,並選擇箭頭將其移動到右側列。
步驟 8.按一下Apply to Device。
步驟 9.要啟動捕獲,請選擇開始。
步驟 10.您可以讓擷取執行到定義的限制。要手動停止捕獲,請選擇停止。
步驟 11.一旦停止,就可以使用Export按鈕和選項進行按一下,以透過HTTP或TFTP伺服器、FTP伺服器、本地系統硬碟或快閃記憶體將捕獲檔案(.pcap)下載到本地案頭。
AP日誌
在交換矩陣和Flex模式下
1. show tech顯示AP的所有配置詳細資訊和客戶端統計資訊。
2. 顯示來自無線存取點的avc nbar統計資訊nbar統計資訊
3. AVC調試
AP#term mon
AP#debug capwap client avc <all/detail/error/event>
AP#debug capwap client avc netflow <all/detail/error/event/packet>
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
29-Jul-2024 |
初始版本 |
意見