应用程序可见性和控制功能部署指南(7.4-8.8版)
上次更新时间:2018年7月
应用程序可见性和控制版本更新
注意,要获取有关特定AVC功能的信息和配置,请参阅特定的更新阶段。
阶段1-AVC 7.4 |
■ 1039个使用NBAR2发动机的应用分类和控制。 ■支持16个AVC配置文件,每个配置文件有32个规则。 ■每个WLAN支持一个AVC配置文件;在多个WLAN上可以支持相同的配置文件。 ■映射到WLAN的AVC配置文件具有标记或删除操作的规则。 ■所有分类应用的控制器上的图形演示 ■可以在WLC上配置一个NetFlow导出器和监视器。 ■具有PAM许可证的PI上的AVC NetFlow监控。 |
第2阶段-AVC公司7.5 |
■AVC Phase 2支持Protocol Pack 4.1。 ■附加应用程序支持—总计1056个应用程序 ■支持动态加载协议包以更新应用程序。 |
阶段3-AVC 8.0 |
■协议包9.0 ■NBAR发动机3.1版 ■客户端的AAA AVC配置文件覆盖。 ■WLAN上每用户的应用速率限制。 ■将AVC配置文件集成到每个用户和每个设备的本地策略分类中。 ■上游和下游流量的AVC定向QoS DSCP标记。 ■支持1105应用程序 |
阶段4-AVC 8.2 |
■协议包14.0 ■NBAR发动机23 ■支持1273个应用程序 ■支持第三方Netflow Collector ■支持两个流量收集器 ■支持Flow Collector中的17条数据流记录 |
第5阶段-AVC公司8.3 |
■协议包19.1 ■NBAR引擎版本23 ■支持1317应用程序 |
第6阶段-AVC 8.8 |
■协议包37 ■NBAR引擎版本31 ■支持1408个应用程序 ■增强为默认DSCP值。 ■支持Wi-Fi呼叫 Flex-Connect AVC Wave-2接入点 ■协议包37 ■NBAR2发动机31 ■支持1408个应用程序 ■对默认DSCP值的增强 ■支持Wi-Fi通话 |
应用程序可见性和控制-阶段1
基于网络的应用程序识别(NBAR)在无线网络上提供应用程序感知控制,并增强可管理性和生产效率。它还将Cisco的应用程序可见性和控制(AVC)扩展为端到端解决方案,使网络中的应用程序完全可见,并允许管理员对其采取一些操作。
NBAR是一种在基于Cisco IOS的平台上可用的深度包检测技术,支持状态L4-L7分类。NBAR2基于NBAR,并有额外的要求,例如为所有使用NBAR的IOS功能提供通用流表。NBAR2识别应用程序并将此信息传递给其他功能,如QoS、NetFlow和防火墙,这些功能可以根据此分类采取行动。
NBAR的关键用例包括容量规划、网络使用基础衬里以及更好地了解哪些应用程序正在消耗带宽。应用程序使用趋势有助于网络管理员规划网络基础设施升级,通过在网络出现拥塞时保护关键应用程序不受带宽限制的应用程序的影响,提高体验质量,有能力确定优先级或取消优先级,并减少某些应用程序流量。
本地、网格和Flex模式AP上的2500、5500、7500、8500和WiSM2系列控制器支持NBAR(仅适用于配置为中央交换的WLAN)。
NBAR支持的功能
NBAR作为一种功能可以执行以下任务:
1分类–应用程序/协议的标识。
2AVC–提供分类流量的可见性,并提供使用Drop或Mark(DSCP)操作控制相同流量的选项。
三。NetFlow–将NBAR统计更新到NetFlow收集器,如Cisco Prime Assurance Manager(PAM)。
应用程序可视性和控制–第2阶段
在第二阶段,增加了AVC对协议包的支持。协议包是允许更新签名支持而无需更换控制器上的映像的软件包。您可以选择在添加新协议支持时动态加载协议包。有两种协议包——主要协议包和次要协议包:
■主要协议包包括对新协议、更新和错误修复的支持。
■次要协议包通常不包括对新协议的支持。
■协议包分别针对特定的平台类型、软件版本和版本。可以使用软件类型“NBAR2协议包”从CCO下载协议包。
协议包随特定的NBAR引擎版本发布。例如,WLC 7.5有NBAR引擎13,因此它的协议包是为引擎13编写的(pp-unified-wng-152-4.S-13-4.1.1.pack)。如果平台上的引擎版本与协议包所需的版本相同或更高(上例中为13),则可以加载协议包。因此,例如,用于3.7(版本13)的PP4.1可以加载在3.7(版13)和3.8的顶部,但用于3.8的PP4.1不能加载到3.7的顶部。强烈建议使用与引擎完全匹配的协议包。
对于AVC第2阶段,可以直接从CCO–XE 3.7发动机的协议包4.1.1下载协议包。协议包文件“pp-AIR-7.5-13-4.1.1.pack”(格式:pp-AIR-{发布}-{发动机版本}-M.M.r.pack)将与控制器代码版本7.5位于同一位置。这是使用控制器软件版本7.5发布的唯一经过测试和支持的协议包。
注释:如果您从以下链接下载协议包,其中发布了其他Cisco设备的协议包以供下载,则协议包可能有效,但不受支持。请参见https://software.cisco.com/download/home/282600534/type/284509011/release/24.0.0
发布在下面链接中的版本中支持的协议的完整列表
http://www.cisco.com/en/US/docs/ios-xml/ios/qos_nbar/port_lib/config_library/
nbar-prot-pack-library.html
注释:对于AVC第2阶段,本地、Mesh和Flex模式AP上的5500、7500、8500和WiSM2控制器支持可下载的NBAR协议包(仅适用于配置为中央交换的WLAN)。2500系列控制器不支持协议包。
注:对于AVC Phase-6版本8.8,3504、5520和8540系列控制器支持最新的NBAR2和协议包。rel 8.8中的PP仅支持基于Wave-2 COS的AP。NBAR/AVC事实
■WLC的NBAR/AVC第2阶段可以对1317(rel8.3)不同的应用程序进行分类并采取行动。
■在任何机密应用程序上都可以执行两个操作,DROP或MARK。
■在WLC上最多可以创建16个AVC配置文件。
■每个AVC配置文件最多可以配置32条规则。
■同一AVC配置文件可以映射到多个WLAN。但一个WLAN只能有一个AVC配置文件。
■WLC上只能配置1个NetFlow导出器和监视器。
■NBAR/AVC统计数据仅在GUI上显示前10个应用程序。CLI可用于查看所有应用程序。
■仅为中央交换配置的WLAN支持NBAR/AVC。
■如果映射到WLAN的AVC配置文件具有MARK操作规则,则该应用程序将根据AVC规则中配置的QOS配置文件优先于WLAN上配置的QOS配置文件。
■WLC上的NBAR引擎不支持/识别的任何应用程序都会被捕获到非保密流量桶中。
■无法对IPv6流量进行分类。
■不支持AVC配置文件的AAA覆盖。
■AVC配置文件可以按WLAN配置,不能按用户应用。
■vWLC和SRE WLC中不支持NBAR/AVC。
无线局域网上的AVC和QoS交互
控制器上的AVC/NBAR2引擎与特定WLAN上的QoS设置互操作。NBAR2功能基于DSCP设置。如果在同一WLAN上配置AVC和QoS,则上游和下游方向的数据包会发生以下情况:
上游
1数据包带有或不带有来自无线端(无线客户端)的内部DSCP。
2AP将在WLAN上配置的CAPWAP标头中添加DSCP(基于QoS的配置)。
三。WLC将删除CAPWAP标题。
4控制器上的AVC模块将覆盖DSCP到AVC配置文件中配置的标记值,并将其发送出去。
下游
1数据包来自具有或不具有内部DSCP有线侧值的交换机。
2AVC模块将覆盖内部DSCP值。
三。控制器将比较WLAN QoS配置(根据802.1p值,实际上是802.11e)与NBAR覆盖的内部DSCP值。WLC将选择较小的值,并将其放入DSCP的CAPWAP头中。
4WLC将通过外部CAPWAP上的QoS WLAN设置和AVC内部DSCP设置向AP发送数据包。
5AP剥离CAPWAP报头并通过AVC DSCP设置空中发送数据包;如果AVC未应用于应用程序,则该应用程序将采用WLAN的QoS设置。
AVC操作与锚/外部控制器的设置
在锚和外部控制器配置的情况下,必须在需要应用程序控制的地方配置AVC。在大多数情况下,在锚定/外部设置中,应在锚定控制器上启用AVC。AVC配置文件将在锚控制器上的WLAN上执行。如果Anchor控制器为7.4或更高版本,则上述设置将起作用。
加载AVC协议包–第2阶段
仅支持通过命令行界面加载协议包。加载协议包的命令如下例所示:
(Cisco Controller)>传输下载数据类型avc-protocol-pack
(Cisco Controller)>传输下载开始
模式。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。文件传输协议
数据类型。。。。。。。。。。。。。。。。。。。。。。。。。AVC协议包
FTP服务器IP。。。。。。。。。。。。。。。。。。。。。A.B.C.D公司
FTP服务器端口…………..21
FTP路径/
FTP文件名。。。。。。。。。。。。。。。。。。。。。pp-unified-wng-152-4.S-13-4.1.1.包
FTP用户名。。。。。。。。。。。。。。。。。。。。。。思科
FTP密码*********
开始传输AVC协议包
这可能需要一些时间。
你确定要开始吗?(是/否)
Y(Y)
下载过程可能需要一些时间。
使用show命令查看当前加载的协议包
(Cisco控制器)>显示avc协议包版本
AVC协议包名称:高级协议包
AVC协议包版本:1.0
使用show命令查看当前Nbar2引擎版本
(Cisco Controller)>显示avc引擎版本
AVC引擎版本:13
安装协议包之前,默认包将显示如下:
安装协议包后,AVC包将显示为4.10001版:
调试命令
(Cisco Controller)>调试avc事件启用
(Cisco Controller)>调试avc错误启用
配置应用程序可见性
完成以下步骤:
1在有线笔记本电脑上打开web浏览器。输入您的WLC IP地址。
2使用命名约定创建一个OPEN WLAN,例如:“POD1-Client”,并在QOS TAB下启用该WLAN上的应用程序可见性。将该WLAN映射到管理界面。
要启用应用程序可见性,请单击WLAN ID,然后单击QOS选项卡,选中应用程序可见性的启用选项,然后单击应用。
三。在特定WLAN上启用应用程序可见性后,从关联的无线客户端使用应用程序(已安装)启动不同类型的流量,如Cisco Jabber/WebEx Connect、Skype、Yahoo Messenger、HTTP、HTTPS/SSL、Microsoft Messenger,YouTube、Ping、Trace route等。一旦从无线客户端启动流量,可以全局观察所有WLAN、每客户端基础和每WLAN基础的不同流量可见性,这为管理员提供了网络带宽利用率以及每个客户端、每个WLAN和全局网络中流量类型的良好概览。
如上所述,可以监控交通可见性:
■全球所有WLAN
■单个WLAN
■个人客户
4要在WLC上全局检查所有WLAN的可见性,请单击并向下滚动。
注释:监视器屏幕列出了在WLC上运行的所有WLAN的NBAR引擎分类的应用程序。本页将列出在过去90秒内上游(U)和下游(D)方向的前十个应用程序。
5要获得每个WLAN的更精细的可见性,请导航到监视器>应用程序。此页面将列出启用AVC可见性的所有WLAN。
现在单击单个WLAN ID,将显示以下屏幕,其中将列出在该特定WLAN上运行的前十个应用程序的聚合数据。
注释:此页面将为每个WLAN提供更精细的可见性,并将列出最近90秒内排名前十的应用程序,以及排名前十应用程序的累积统计数据。上述屏幕列出了特定WLAN上的总流量,其中包括上游和下游数据。通过单击UPSTREAM and DOWNSTREAM(上游和下游)选项卡,您可以在同一页面中分别查看每个WLAN的UPSTREAM(上游)和DOWNSTREAM(下游)统计信息。
6要进一步详细了解启用AVC可见性的特定WLAN上每个客户端的前十个应用程序,请导航到Monitor>Clients,然后单击该页面上列出的任何单个客户端MAC条目。
单击上面页面中列出的单个客户端MAC条目后,将打开客户端详细信息页面,该页面将有两个选项卡;一个用于一般信息,另一个选项卡的名称为AVC统计。单击AVC统计选项卡,查看该特定客户端前十个应用程序的NBAR统计信息。
注释:此页面将提供与启用了应用程序可见性的WLAN上的每个客户端相关的详细统计信息,并将列出过去90秒内前十个应用程序以及前十个程序的累积统计信息。上面的屏幕列出了每个客户端的总流量,其中包括上游和下游统计信息。通过单击UPSTREAM和DOWNSTREAM选项卡,可以在同一页面中分别查看每个客户端的UPSTREAM和DOWNSTREAM统计信息。
配置AVC配置文件
完成以下步骤:
1WLC上的NBAR功能不仅可以查看网络中运行的应用程序,还可以让管理员通过创建AVC配置文件来控制网络中运行应用程序。AVC配置文件可以配置为对识别的应用程序执行以下操作:
a。操作DROP(将删除该应用程序的流量)
b。操作标记(可以使用WLC上可用的不同QOS配置文件标记特定应用程序,或者管理员可以自定义该应用程序的DSCP值)
2要查看NBAR引擎支持的所有应用程序的统计、可见性和控制操作(DROP/MARK),请导航到“无线”>“应用程序可见性和控制”>“AVC应用程序”。此页面将按应用程序所属的应用程序组的排序顺序列出所有应用程序。
注释:在AVC配置文件下为任何应用程序创建拖放/标记操作时,需要首先选择应用程序组。此页面列出了所有应用程序及其所属的应用程序组,通过使用浏览器“FIND”选项对应用程序进行简单查找,管理员可以找到应用程序及其组,并在AVC配置文件中使用此组配置拖放/标记操作,这将在本指南中进一步讨论。WLC上的NBAR支持1054个不同应用程序的可见性。
三。要配置任何操作(删除/标记),应首先创建AVC配置文件。要配置AVC配置文件,请导航到“无线”>“应用程序可见性和控制”>“AVC配置”,然后单击“新建”创建AVC配置。
4输入AVC配置文件名称并单击应用。
5单击应用后,将创建AVC配置文件,您可以看到上面创建的配置文件,可以进一步单击该配置文件来创建规则以执行拖放/标记操作。在WLC上最多可以创建16个AVC配置文件。
6创建AVC配置文件后,您可以单击任何配置文件名称并为单个配置文件创建规则。每个配置文件中最多可以配置32条规则。可以将规则配置为执行两个操作中的任何一个,即DROP或MARK。如果没有为任何应用程序配置规则,则默认操作将是“Allow”,同时在WLAN上配置QOS策略。要在配置文件下创建规则,请导航到“无线”>“应用程序可见性和控制”>“AVC配置文件”,然后单击上面创建的任何配置文件。
7现在单击添加新规则,将显示以下页面(第二个屏幕截图),管理员可以从第一个下拉列表中选择应用程序组,该下拉列表仅筛选属于该组的应用程序。然后,可以从第二个下拉应用程序中选择。从第二个下拉列表中选择应用程序后,管理员可以从第三个下拉列表选择应该对该应用程序执行的操作。选择操作后,单击应用。
注释:在7.5版本中,WLC能够对1054个应用程序进行分类,并提供采取任何行动的选项。要对任何应用程序执行操作,管理员必须首先选择该应用程序所属的应用程序组,这将仅为该应用程序组筛选应用程序列表。此实现的原因是所有1054个应用程序都无法在单个下拉列表中显示。同样在7.5版中,应用程序名称现在是可选的,通过将鼠标悬停在列表中并单击应用程序名称,可以创建上述配置文件规则。
8单击“应用”后,将创建操作规则,并在下面的屏幕中显示。您可以在同一页面的AVC配置文件下添加更多规则。单个AVC配置文件中最多可以配置32个规则。
9可以在同一AVC配置文件下配置另一个规则,以使用不同的QOS配置文件或自定义DSCP值标记流量。在本例中,在步骤3、4和5之后创建了另一个名为“Mark_Http_Webex”的AVC配置文件。在本例中,此AVC配置文件用于创建一个规则,以将“Http”标记为低优先级,并赋予“Webex”更多优先级。
如前面步骤6、7和8所述,单击AVC配置文件名称以创建配置文件的规则。单击添加新规则。
从第一个下拉列表中选择Application group,从第二个下拉列表选择Application name as Webex。然后,将Action配置为MARK,并选择QOS profile作为Platinum,然后单击Apply。
单击“应用”后,将创建操作规则,并显示如下屏幕所示。单击同一页面上的“添加新规则”,创建另一个规则以标记另一个应用程序“Http”。
只需在同一页面上单击“添加新规则”,即可在同一配置文件中创建另一个规则。从第一个下拉列表中选择Application group,从第二个下拉列表选择Application name as http。然后,将Action配置为Mark,QOS配置文件配置为Bronze。然后单击应用。
单击Apply(应用)后,操作规则将被创建并显示在下面的屏幕中。
注释:对于相同的AVC配置文件,将创建两个规则。管理员可以在同一AVC配置文件中配置多达32个规则。可以为同一配置文件中的操作MARK或DROP配置单独的规则。单个规则只能配置为单个操作,即标记或删除。
管理员在将Action配置为MARK时也很灵活,可以将Differential Services Code Point(DSCP)值选择为Custom,而不是选择“Platinum/Gold/Silver/Bonze”。一旦选择Custom作为DSCP值,将显示一个文本字段,管理员可以在其中输入0-63范围内的自定义DSCP值。
10下一步是在WLAN上应用这些AVC配置文件。只有一个AVC配置文件可以映射到单个WLAN。单个AVC配置文件可以映射到多个WLAN。一旦AVC配置文件映射到WLAN,并且如果它有MARK操作规则,则该应用程序将根据AVC规则中配置的QoS配置文件与WLAN上配置的QoS配置文件交互获得优先权。所有创建的AVC配置文件都将在QOS TAB下的WLAN中的AVC Profile下拉列表中可见。要在WLAN上的下拉列表中查看AVC配置,请导航到WLAN>WLAN ID,然后单击QOS选项卡。所有创建的AVC配置文件均在AVC Proffile下拉列表下可见。管理员可以根据网络要求在WLAN上选择AVC配置文件。
11例如,从下拉列表中选择AVC配置文件Block_Youtube,然后单击应用。
注释:如果WLAN上未启用应用程序可见性,并且用户选择了AVC配置文件并单击了“应用”,则会自动启用应用程序可视性。但要从WLAN中禁用应用程序可见性,应首先通过从下拉列表中选择“无”来删除映射到WLAN的AVC配置文件。
12在WLAN上应用AVC配置文件后,也可以在“监视”>“应用程序”下看到它。将显示启用了应用程序可见性的所有WLAN
13现在尝试从无线客户端打开www.youtube.com。确保客户端不能在YouTube上播放任何视频。还可以尝试打开你的Facebook帐户(如果你有一个),并尝试打开你Facebook帐户中的任何YouTube视频。你会发现YouTube视频无法播放。
由于YouTube在AVC档案中被阻止,并且AVC档案被映射到WLAN,客户端将无法通过浏览器甚至通过YouTube应用程序或任何其他网站访问YouTube视频。
注释:如果您的浏览器已经打开并正在运行Youtube.com,请刷新浏览器以使AVC配置文件生效。
14现在更改WLAN上的AVC配置文件,以测试NBAR功能的MARK操作。从WLAN上QOS选项卡下的下拉列表中选择AVC配置文件Mark_Http_Webex,然后单击应用。
15在WLAN上应用AVC配置文件后,也可以在“监视”>“应用程序”下看到它。将显示启用了应用程序可见性的所有WLAN。
16在WLAN上应用AVC配置文件Mark_Http_Webex后,启动或登录到您的单个Webex帐户(如果您有),还启动一些Http连接,并观察客户端详细信息下这两个应用程序的标记。一旦AVC配置文件映射到WLAN,并且如果它有MARK操作的规则,则该应用程序将根据AVC规则中配置的QoS配置文件优先,覆盖WLAN上配置的QoS配置文件。
尽管本例中的WLAN映射到默认的QOS配置文件SILVER,但AVC配置文件已创建并映射到此WLAN到MARK应用程序WebEx和具有不同QOS配置的HTTP。应用程序WebEx的流量将标记为PLATINUM配置文件,所有HTTP应用程序的流量都将标记为BRONZE配置文件。与AVC配置文件中的任何规则不匹配的其他应用程序;将标记为WLAN上配置的QOS配置文件,即本例中的SILVER。
17要查看客户端流量的标记统计信息,请导航到“监视”>“客户端”,然后单击该页面上列出的任何单个客户端MAC条目。
单击上面页面中列出的单个客户端MAC条目后,将打开客户端详细信息页面,该页面将有两个选项卡;一个用于一般信息,另一个选项卡的名称为AVC统计。单击AVC统计选项卡,然后进一步单击UPSTREAM选项卡,以注意AVC配置文件的标记操作。
注意上面的输出,并确保WebEx应用程序的OUT DSCP值为46,因为WebEx应用程序配置了Platinum QOS配置文件,而HTTP应用程序的OUT DSCP值为10,因为HTTP应用程序配置了Bronze配置文件。
配置NBAR NetFlow监视器
还可以在WLC上配置NetFlow监视器,以收集WLC上生成的所有统计信息,这些统计信息可以导出到NetFlow收集器。在下面的示例中,Cisco Performance Application Manager(PAM)显示为用作NetFlow收集器。PAM是在Cisco Prime Infrastructure上运行的许可应用程序。
1通过配置Exporter(NetFlow收集器),首先在WLC上添加NetFlow Exporter。在本例中,Cisco PAM是出口商。它收集WLC生成的所有NetFlow统计信息。要在WLC中添加导出器,请导航到“无线”>“NetFlow”>“导出器”,然后单击“新建”。
2输入PAM、Exporter IP的详细信息,例如下面的10.10.105.3,端口号为9991,它将收集WLC生成的所有NetFlow统计信息,然后单击Apply。
注释:WLC中只能添加一个导出器。
三。在WLC(即PAM服务器)上添加Exporter详细信息后,需要创建一个监控器,用于存储NetFlow统计信息并将其导出到PAM服务器。要创建监视器,请导航到“无线”>“NetFlow”>“监视器”,然后单击“新建”。
4输入任意名称以在WLC上创建Monitor条目,然后单击Apply。
5应用后,将创建Monitor条目,该条目需要进一步映射到步骤2中创建的Exporter。
注释:WLC中只能添加一个Monitor条目。
6单击Monitor条目并将其映射到Exporter条目,即Cisco PAM。导出器名称下拉列表列出了上面创建的“导出器”条目。记录名称“ipv4_client_app_flow_Record”由WLC自动生成,它记录所有NBAR统计信息并导出到Cisco PAM。在记录名称下拉列表中选择此记录条目,然后单击应用。
7创建Monitor条目并将Exporter条目映射到同一条目后,应将其映射到WLAN。要将导出器条目映射到WLAN,请单击WLAN,然后单击特定的WLAN ID。单击QOS选项卡,从NetFlow Monitor下拉列表中选择上面创建的Monitor条目,然后单击WLAN编辑页面上的应用。
注释:请确保配置的导出器端口为9991。
8现在,在浏览器上打开一个新选项卡,并登录到Cisco Prime Infrastructure Server,将单个WLC添加到PAM。
用户名:XXXXXX
密码:XXXXXXX
9在Cisco PAM中添加WLC。要将WLC添加到Cisco PAM中,请登录Cisco PA M并导航到Operate>Device Work Center,然后单击Lifecycle Theme中的add Device。
10输入单个WLC的详细信息,即WLC管理IP地址(例如WLC-POD4=10.10.40.2)和公共的社区字符串,然后单击添加。
11添加WLC后,从无线客户端启动一些流量。您可以查看每个WLAN的客户端数量和每个客户端的使用情况。要查看客户端的使用情况,请导航到主页>详细仪表板>应用程序。现在将Application Box筛选为All、Site as Unassigned和Network Aware as Wireless>PODX-Client,然后单击Go。
注释:您可以看到WLAN“POD1-Client”上的客户端数量,该客户端在Network Aware下进行筛选。此外,在同一屏幕中,您可以看到两个客户端使用的应用程序。
12要查看特定客户端的应用程序使用情况,请导航到主页>详细仪表板>最终用户体验>Under Filter,然后选择客户端IP。
13要查看每个WLAN的应用程序使用情况,请导航到主页>详细仪表板>最终用户体验>Under Filter,然后选择Network Aware as WLAN,即本例中的POD1-Client。单击GO。
CUWN 8.0版中的AVC-Phase 3
在本版本中,对AVC功能集进行了大量增强,包括以下内容:
■客户端的AAA AVC配置文件覆盖。
■WLAN上每用户的应用速率限制。
■将AVC配置文件集成到每个用户和每个设备的本地策略分类中。
■上游和下游流量的AVC定向QoS DSCP标记。
■支持使用Protocol Pack 9.0和NBAR Engine 3.1版的1105应用程序。
客户端的AAA AVC配置文件覆盖
如7.4、7.5和7.6版中所述,AVC配置文件是在WLAN上配置的,所有连接到该WLAN的客户端都继承相同的AVC配置。允许AAA AVC配置文件覆盖的价值主张是允许不同的客户端(作为不同的用户登录)获得不同的AVC配置,即使它们连接到同一个WLAN。
客户机或用户配置文件的AAA属性可以在AAA服务器上配置,例如Cisco ACS或ISE。AAA属性定义为通用Cisco AV对,可以在AAA中定义为字符串和值对。此属性在L2/L3身份验证期间由WLC处理,并由WLAN上配置的内容覆盖。
配置每个用户角色的应用程序可见性的步骤
完成以下步骤:
1创建/配置带有L2安全设置的WLAN以进行WPA2/8.1x身份验证。假设用户/管理员已经为dot1x身份验证配置了AAA服务器,请从“身份验证服务器”下拉列表中选择AAA服务器并单击“应用”。
单击高级选项卡并启用“AAA覆盖”,如下所示。
2要启用应用程序可见性,请单击WLAN ID,并在QoS选项卡中选中应用程序可见性的启用复选框。单击“应用”。
AVC配置文件的AAA配置
AAA AVC配置文件定义为Cisco AV对。字符串定义为avc-profile-name,必须为WLC上存在的任何avc概要文件配置此字符串。
完成以下步骤:
1要通过AAA服务器演示每个用户应用的AVC配置文件,请导航到“无线”>“应用程序可见性和控制”>“AVC配置”,然后单击“新建”来创建AVC配置。在这个设置/示例中,我们创建了一个teacher-AVC和student-AVC。我们将标记用户/角色教师的特定流量(YouTube等),并为用户/角色学生阻止/删除特定应用程序/流量(YouTube、Facebook等)。您可以根据网络要求创建自己的AVC配置文件。
2输入AVC配置文件名称并单击应用。同样,创建另一个概要文件。
三。AVC配置文件已创建,您可以查看上述创建的配置文件,单击该配置文件可以创建规则,以便从GUI执行删除/标记/速率限制操作。WLC上最多可以创建16个AVC配置文件。
4创建AVC配置文件后,您可以单击任何配置文件名称并为单个配置文件创建规则。每个配置文件中最多可以配置32条规则。规则可以配置为执行三个操作中的任何一个,即DROP、MARK和RATE LIMIT。如果没有为任何应用程序配置规则,默认操作将是“允许”,并在WLAN上配置QOS策略。要为配置文件创建规则,请转到“无线”>“应用程序可见性和控制”>“AVC配置文件”,然后单击任意轮廓。
注释:WLC能够使用协议包11.0对1105个应用程序进行分类,并提供了采取行动的选项。要对任何应用程序执行操作,管理员必须首先选择该应用程序所属的应用程序组,这将仅过滤该应用程序组的应用程序列表。这种实现方式的原因是所有1105个应用程序都不能在单个下拉列表中显示。管理员在将Action配置为MARK时也很灵活,可以将Differentiated Services Code Point(DCPP)值选择为Custom,而不是选择“Platinum/Gold/Silver/Bronze”。一旦选择Custom作为DSCP值,将显示一个文本字段,管理员可以在其中输入0-63范围内的自定义DSCP值。
在8.0版之前,DSCP标记仅适用于双向通信。但在版本8.0中,可以使用额外的配置参数“方向”,其中可以指定与方向相关的标记,即上游或下游,如下所示。
5选择适当的标记后,单击应用。将创建操作规则,并在下面的屏幕中显示。您可以在同一页面的同一AVC配置文件下添加更多规则。单个AVC配置文件中最多可以配置32条规则。
可以在同一AVC配置文件下配置另一个规则,以使用不同的QoS配置文件或具有特定方向的自定义DSCP值标记流量。
在这里,我们将Netflix和YouTube配置为使用DSCP 34(Gold)标记AVC配置文件“teacher-AVC”,方向分别设置为双向和上游。
6类似地,下面的示例显示了另一个不同角色类型的AVC配置文件(student-AVC),即我们设置中的student,配置为删除Facebook、YouTube和BitTorrent流量。
7现在,假设用户/管理员已经为AAA服务器(ISE/ACS/Open Radius)配置了用户(教师和学生)、设备(WLC)和授权配置文件。要配置AAA服务器以匹配WLC上设置的AVC的配置文件,请从ISE主菜单栏转到策略>策略元素>结果>授权>授权配置文件。在这里,您可以看到下面的示例屏幕截图中显示的配置配置文件(学生和教师)。
8单击您为教师角色创建的授权配置文件,然后在高级属性设置下,通过添加cisco-av-pair=AVC-profile-Name=WLC上创建的AVC配置文件名称来配置AVC配置程序名称,如下所示。
如果您正在使用Cisco ACS,请转至策略元素>授权和权限>网络访问>授权配置文件。添加cisco-av-pair以匹配字符串值avc-profile-name=在WLC上创建的avc配置文件名称。
同样,也要为学生配置授权配置文件。配置完成后,您可以使用教师凭据将无线客户端连接到802.1x WLAN。您将能够访问Netflix和YouTube。
当无线客户端(具有角色学生)连接到同一802.1x WLAN时,客户端无法在YouTube上播放任何视频。此外,如果客户端试图访问Facebook页面并试图从Facebook帐户打开任何YouTube视频,则不会播放YouTube的视频。
由于YouTube和Facebook在Student-AVC的AVC配置文件中均被屏蔽,因此具有学生角色的客户将无法通过浏览器甚至通过YouTube应用程序或任何其他网站访问YouTube视频,也无法访问Facebook。
另一方面,当客户端使用教师凭据登录时,只会标记流量,不会删除任何应用程序。
要验证是否应用了策略,请从WLC CLI提示符运行以下命令:
显示客户端详细信息 mac_地址,然后向下滚动以查看应用的配置文件。
通过AVC限制应用速率
在此版本中,我们只能配置3个应用程序进行速率限制,这可以通过以下命令从WLC CLI完成:
(WLC)>配置avc配置文件<prof-name>{add|remove}规则应用程序<app-name>{drop|mark<dscp-value>|ratelimit<avg_rate><burst_rate>}
注释:最小速率限制值可以从最小0 Kbps设置为最大2147483647 Kbps。
使用BitTorrent应用程序时,在配置文件“student-AVC”上执行以下配置示例:
(WLC)>config avc profile student-avc规则添加应用比特率限制150 500
类似地,在WLC GUI中,可以通过选择用户要应用速率限制的应用程序来配置速率限制,并从操作下拉列表中选择速率限制。
这将为用户提供一个选项,用于为用户需要速率限制的所需应用程序配置平均速率和突发速率。用户可以指定0到2147483647之间的任何Kbps值。设置速率限制后,用户可以选择要应用速率限制的“AVC名称”,然后单击应用。
在本例中,我们对BitTorrent应用程序进行速率限制,平均速率设置为150 Kbps,突发速率设置为500 Kbps,并将其应用于AVC配置文件“学生AVC”。
BitTorrent应用程序在“操作”列中显示速率限制,其中包含速率限制平均值和突发速率值。
NBAR事实(AVC第3阶段)
■NBAR Engine 13和PP 11.0可以支持1105种不同的应用。
■在任何分类应用中都可以执行三个操作:DROP、MARK和RATE LIMIT。
■WLC上最多可以创建16个AVC配置文件。
■每个AVC配置文件最多可以配置32个规则。
■同一AVC配置文件可以映射到多个WLAN。但一个WLAN只能有一个AVC配置文件。
■WLC上只能配置一个NetFlow导出器和监视器。
■仅在GUI上显示前30个应用程序的NBAR统计信息。CLI可用于查看所有应用程序。
■仅为中央交换配置的WLAN支持NBAR。
■如果映射到WLAN的AVC配置文件具有MARK操作规则,则该应用程序将根据AVC规则中配置的QOS配置文件优先于WLAN上配置的QOS配置文件。
■定向标记只能在特定应用中双向、上游或下游应用。
■目前,速率限制只能应用于三个应用程序。
■WLC上NBAR引擎不支持/识别的任何应用程序都会被捕获到UNCLASSFIED流量桶中。
■无法对IPv6流量进行分类。
■8.0版支持AAA覆盖AVC配置文件。
■AVC配置文件可以按WLAN配置,并按用户应用。
■vWLC和SRE WLC中不支持NBAR。
本地政策附带的AVC配置文件
在8.0版中,AVC配置文件可以映射到具有特定设备类型的客户端的本地策略。确保可以根据AAA覆盖为每个本地策略配置不同的AVC/mDNS配置文件名称,以限制策略无法使用同一WLAN上配置文件不允许的服务。
WLC上的分析和策略引擎简介
思科目前提供了一套丰富的功能,通过ISE提供设备识别、登录、姿态和策略。WLC上的这项新功能基于HTTP、DHCP等协议对设备进行分析,以识别网络上的终端设备。用户可以配置基于设备的策略,并在网络上强制执行每用户或每设备策略。WLC还将显示基于每个用户或每个设备端点和每个设备适用的策略的统计信息。
使用BYOD(自带设备),此功能会影响对网络上不同设备的理解。通过此功能,可以在WLC内部小规模实现BYOD。
范围和目标
在本节中,用户将在运行AireOS 8.0代码的Cisco WLC上配置和实现Profiling and Policy。
分析和策略实施将配置为两个独立的组件。WLC上的配置基于特定于加入网络的客户端的定义参数。感兴趣的策略属性包括:
a。角色-角色定义用户所属的用户类型或用户组。
例如:学生或员工
b。设备-设备定义设备的类型。
例如:Windows机器、智能手机、iPad、iPhone等苹果设备。
c。一天中的时间允许在网络上允许的一天中结束点的时间定义配置。
d。EAP类型检查客户端连接到的EAP方法。
上述参数可配置为策略匹配属性。一旦WLC具有与每个端点的上述参数对应的匹配,就可以了解策略的执行情况。策略实施将基于会话属性,例如:
■虚拟局域网
■国际计算语言学协会
■会话超时
■服务质量(QoS)
■休眠客户端
■Flexconnect ACL(柔性连接ACL)
■AVC配置文件(在8.0版本中添加)
■mDNS配置文件(在8.0版本中添加)
用户可以配置这些策略,并使用指定的策略强制执行端点。将基于MAC OUI、DHCP和HTTP用户代理(成功HTTP分析需要有效的Internet)分析无线客户端。WLC使用这些属性和预定义的分类配置文件来识别设备。
分析和策略配置
完成以下步骤:
1要在WLAN上配置设备配置文件,请转到要在其上实施本机配置文件和策略的特定WLAN,然后单击“高级”选项卡。如果已启用,请禁用“允许AAA覆盖”。在DHCP区域中,选中DHCP Addr的Required复选框。转让。
2启用DHCP必需选项后,向下滚动并在本地客户端配置文件区域中,启用DHCP配置文件和HTTP配置文件(如果未启用),然后单击应用。
从WLC GUI在WLAN上创建策略
三。配置配置文件后,我们可以继续创建本地策略并将其应用于WLAN。在WLC菜单栏上,转至Security>Local Policies,这将带您进入Policy List。
4在本地策略列表中,单击新建以创建策略名称。在本例中,teacher-LP用作策略名称,但您可以使用任何名称来定义自己的策略。
配置策略名称后,可以创建与角色、EAP类型和设备类型匹配的策略。此外,您还可以定义与匹配条件相关的所需操作。
在这里,在我们的设置中,我们使用用户角色和设备类型来匹配条件,但如果需要,您可以使用任何其他类型。
注释:确保匹配角色字符串与AAA定义的角色名称相同。在本例中,它被配置为教师。
5输入用户角色并单击应用。这里以角色名“teacher”为例。
6要基于用户设备应用策略,请在设备列表区域的设备类型下拉列表中,选择要在其上实施策略的设备类型,然后单击添加。
在这里,我们使用Apple-iPad作为匹配标准的设备类型。您可以从设备类型下拉列表中添加Apple-iPhone和其他Apple设备。
注释:如果不想匹配任何设备类型,则不要配置“设备类型”选项。
7要应用适当的操作,请从“操作”区域下的参数中选择以强制执行策略。选择应在最后一节中定义的AVC配置文件。
8用户可以创建多个本地策略,并将其作为“student-LP”应用于学生。
注释:确保匹配角色字符串与AAA/Radius服务器上定义的角色名称相同。
要基于用户设备应用策略,请在设备列表区域的设备类型下拉列表中,选择要在其上实施策略的设备类型(Apple-iPad),然后单击添加。
要应用适当的操作,请从“操作”区域下的参数中进行选择以强制执行策略。选择应在最后一节中定义的AVC配置文件(学生AVC)。
9为任何其他设备创建默认本地策略。
如果本地策略中没有应用其他ACL,那么除Apple-iPad之外的任何其他设备都可以访问应用程序,因为所有策略的最终过滤功能都是Allow all。
为了阻止除Apple-iPad之外的所有设备上的所有应用程序,请创建一个拒绝所有ACL并将其应用于本地策略,然后作为最后手段在WLAN上应用该策略。请参阅下面的屏幕截图中的配置示例。
创建ACL以拒绝所有IPv4流。
创建本地策略块并对其应用拒绝所有ACL,不要选择任何设备角色或配置文件。
WLAN上的映射策略
1从WLC菜单栏转到WLAN,然后单击要在其上实施策略的WLAN ID。从WLAN编辑菜单中,单击策略映射选项卡。
将优先级索引设置为1-16之间的任意值。从“本地策略”下拉列表中,选择已创建的策略。要在WLAN上应用策略,请单击“添加”。策略将映射到WLAN,并可以在策略名称下查看。
2将适当的策略添加到WLAN下的Policy-Mapping。
三。在“高级”选项卡中,禁用“允许AAA覆盖”(如果已启用)。
4检查AAA角色配置是否正确,即AAA服务器上的角色名称应与本地策略中定义的角色字符串匹配。以下示例来自Cisco ISE服务器和Cisco ACS。
ISE公司:
ACS公司:
一旦客户端通过Apple iPad将SSID与教师证书关联,它应该能够根据其AVC配置访问互联网和不同的应用程序。如果用户试图从苹果iPad以外的任何设备进行连接,则无法访问互联网。
要验证是否从WLC GUI应用了该策略,请转到监视器>客户端,然后单击客户端MAC地址。
要验证是否从WLC CLI提示符应用了策略,请运行以下命令:
显示客户端详细信息macaddress,然后向下滚动到末尾以查看应用的配置文件。
要验证是否从WLC应用AVC策略:
AVC配置文件名称:。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。教师-AVC
尝试将SSID与学生凭据连接,您应该会看到应用了另一个策略(student-AVC),如果客户端设备不是Apple-iPad,则用户将无法访问网络。
本机分析限制
■WGB背后的有线客户将不会被分析,也不会采取政策行动。
■每个WLAN只能配置16个策略,全局允许64个策略。
■策略操作将在二级身份验证完成后、三级身份验证后或设备发送http流量并获取设备配置文件时执行。由于这些原因,每个客户端将多次执行特定场景分析和策略操作。
■此版本将仅支持要分析的IPv4客户端。
■不支持WGB有线客户端进行评测,因为WGB有线客户机不支持http评测。
总结
■默认情况下,在所有WLAN上禁用评测
■每个WLAN都可以配置映射的分析策略。
■每个策略都可以配置匹配的角色类型、设备类型、EAP类型,并映射关联的策略索引。
■策略索引表示需要首先匹配的策略。
■相应的策略名称将从策略索引中推导出来。
■策略匹配将在第一次策略匹配时退出,并将为每个客户端设置相应的策略操作属性。
■每个客户端应用策略的顺序将基于安全类型。
CUWN 8.2版中的AVC-Phase 4
协议包和NBAR引擎更新
在8.2版之前,NBAR Engine(16)集成在WLC中,用于集中支持AVC,支持协议包(PP)到12版。在8.2版中,引入了新的和改进的NBAR引擎23和协议包14。新版本允许客户对1273个应用程序(如Netflix、Jabber、Bittorrent和YouTube等)进行更可靠的分类,精确度更高,对控制器性能的影响更小。还需要注意的是,Protocol Pack 14需要NBAR引擎23,并且不能与之前WLC版本中发布的NBAR版本一起使用。当PP版本15发布并发布在CCO上时,它将与NBAR引擎23一起运行。
8.2版中的Netflow支持
IP通信流是通过网络设备的数据包序列,具有源和目标IP地址、传输端口、方向等常见属性。无线流的其他常见属性包括SSID、AP MAC。这些具有通用属性的数据包被聚合成流并导出到Netflow Collectors。在发布8.2之前,控制器导出的Netflow数据仅由PI(Prime Infrastructure)进行分析,与任何第三方Netflow收集器都不兼容。
在8.2版中引入了增强的Netflow记录导出器。新的Netflow v9正在向外部第三方Netflow收集器(如Stealtwatch和其他收集器)发送17个不同的数据记录(如RFC 3954中所定义的)。WLC 5520、8510和8540上增加了对增强流量记录数据导出的支持。
在8.2版之前,控制器上可用的Netflow功能仅发送客户端的IP地址、SSID和应用程序统计信息。虽然这有助于兼容的Netflow收集器(如Cisco Prime)显示应用程序统计信息,但它不能提供完整的5元组流信息,也不能与许多期望5元组的第三方Netflow采集器兼容。
WLC导出的8.2版之前的当前netflow记录仅支持以下字段
■应用程序标签
■ipDiffServ代码点
■八位增量计数
■数据包增量计数
■postIpDiffServ代码点
■staIPv4地址
■staMac地址
■wtp Mac地址
8.2版中新引入的流量记录导出器支持以下流量数据记录
■应用程序标记
■客户端Mac地址
■AP Mac地址
■WlanID公司
■源IP
■目标IP
■源端口
■目标端口
■协议
■流开始时间
■流结束时间
■方向
■数据包计数
■字节计数
■VLAN Id–管理/动态
■TOS-DSCP值
■Dot1x用户名
Netflow部署注意事项
■WLC只支持一个监视器和导出器。
■WLC将为每个控制器全局支持一种类型的Netflow记录。
■流量记录直接导出,不会显示在控制器上。
■今天提供的应用程序可见性统计信息将继续在控制器上显示。
■更改监视器参数需要禁用和启用WLAN。
■新记录仅在8510、5520和8540控制器上受支持。
■2500、5508、7500和WiSM2控制器将不受支持。
■Netflow统计信息以30秒的间隔发送(用户无法配置。当前值为90秒)。
■即使对于有新流量记录的未分类应用程序,也会发送Netflow记录。
■在该WLAN上启用AVC时,将发送Netflow。
■Netflow 8.2版不支持IPv6流量。
■Netflow发送初始模板将从控制平面发送。
■不支持服务端口上的Netflow导出。
WLC上的Netflow配置
在8.2版之前,WLC上的Netflow配置是通过将固定记录ipv4_client_app_flow_record与Netflow监视器关联来完成的。现在,除此之外,我们还将支持名为ipv4_client_src_dst_flow_record的新固定记录,在下面显示的位置,cli和GUI中将允许相同的记录。
注:由于每个控制器只有一个网络流导出器,因此它必须介于旧记录格式和新记录格式之间。
从CLI进行配置
配置更改
(Cisco Controller)>配置流添加监视器<My_Netflow_monitor记录>
CLI中的配置步骤
配置流创建监视器<My_Netflow_monitor>
配置流创建导出器My_Netflow_exporter A.B.C.D端口2055
配置流添加监视器My_Netflow_monitor导出程序My_Netflow_exporter
配置流添加监视器My_Netflow_monitor记录ipv4_client_src_dst_flow_record配置wlan流1监视器My_Netflow_monitor启用
调试命令
调试快速路径cfgtool--flowdb.dump调试快速路径转储wlandb
使用WebUI配置
下面的屏幕截图显示了IP地址为10.10.105.22的USC设备上的Stealthwatch Netflow Collector VM的示例,它正在UDP端口2055上侦听。
1在WLC主菜单中,通过转到无线>Netflow>导出器。单击新建.
2配置出口商名称,出口商IP和端口号,然后单击应用.
三。现在,我们将为上面创建的Netflow Exporter创建一个流监视器。低于净流量,去监视器。点击新增。.
4创建一个名为“隐形”的监视器,然后单击应用如下所示。
5单击创建的监视器名称。
6选择'Netflow收集器'从导出器名称下拉菜单中选择'ipv4客户端src_dst_flow记录'。点击应用.
用户应在下面看到以下内容无线>网络流量>监视器
7浏览到无线局域网我们需要启用AVC和Netflow Monitor。从WLAN编辑参数,转到服务质量(QoS)标签和检查应用程序可见性框。然后选择Netflow监视器然后单击应用.
Netflow报告
隐形网络流量报告设置包括一个流量收集器和一个中央管理控制台。
Stealthwatch FlowCollector从各种来源(在本例中为无线局域网控制器)收集数据,对其进行分析,为正常活动创建配置文件,并为超出正常配置文件范围的任何活动生成警报(发送给SMC)。
SMC通过web浏览器管理、协调和配置系统的不同组件。它为多达25个流量采集器提供了集中管理和报告,并提供了可视化流量的图形图表。
下面的示例说明了驻留在10.10.105.22的FlowCollector(在上面的WLC上配置)和驻留在0.10.105.21的SMC。
1使用用户名和密码登录SMC。
2从仪表板单击“启动SMC”。它将提示您下载应用程序“发射_512“。将其保存在本地,然后如上所示启动。
三。当弹出窗口出现时,按照如下所示的步骤进行操作。
4继续加载隐形手表监视器。
5最后,根据您的设置,使用凭据登录到Stealthwatch Collector Monitor。
6在仪表板中,右键单击导出程序-><控制器IP>->流->流表以查看客户端流。
7您将在此处看到多个客户端流。通过在列名上单击鼠标右键并选择参数,可以筛选各种属性上的流,如下所示。在下面的示例中,使用Application(NBAR)属性选择IP地址为10.10.10.2的WLC。
注:为了查看流,请确保客户端已连接到启用AVC和Netflow的SSID。
如果用户与dot1x凭据连接,则它们也将显示在Stealthwatch流表仪表板上
注:如果您计划升级控制器上的协议包文件,可以在以下链接中找到最新的协议包
https://software.cisco.com/download/home/282600534/type/284509011/release/24.0.0
.
CUWN 8.3版中的AVC-Phase 5
8.3版中的协议包和NBAR引擎更新
8.3版之前的NBAR引擎23集成在WLC中,用于集中支持AVC,支持协议包(PP)版本-16。在8.3版中,引入了新的和改进的NBAR引擎23和协议包19.1。新版本允许客户对1317个应用程序进行分类,如Skype、Jabber和其他a,具有更高的可靠性和精度,并且对控制器性能的影响较小。还需要注意的是,Protocol Pack 19.1需要NBAR引擎23,并且不能与之前WLC版本中发布的NBAR版本一起使用。当PP 19.1版发布并发布在CCO上时,它将与NBAR引擎23或更高版本一起运行。
CUWN 8.8版中的AVC-Phase 6
在8.8版之前,WLC支持NBAR引擎版本23(3.16.3)和默认协议包版本19.1。客户强烈要求支持WLC上的其他应用程序,尤其是新的Wi-Fi呼叫、Zoom等。这些新应用程序在协议包版本37中受支持。但NBAR引擎23(3.16.3)不支持协议包35,因此,要支持新的PP 37应用程序分类NBAR引擎,需要将协议包升级到最新版本。在8.8版中,Wave-2 AP支持NBAR引擎31和PP 37。
基于COS的Wave-2 AP也将升级,以支持FC模式下的NBAR 31和PP37。
IOS AP不会升级到最新的NBAR引擎和协议包。因此,对于FC部署的Wave-1 AP,新应用程序将显示为“未知”。
在8.8版中,只有3504、5520、8540和vWLC支持最新的PP37和NBAR2 31,以及Wave-2 AP 1800、2800、3800和4800系列。
AVC增强的配置步骤
加载最新的NBAR引擎或协议包实际上不需要配置步骤。
缩放呼叫现在显示在PP 37中。
Wi-Fi呼叫也是PP37的一部分。
通过CLI管理8.8 AVC功能
CLI输出:
(Cisco Controller)>显示avc引擎版本
AVC配置文件功能概述的默认DSCP值
在启用AVC的rel 8.8之前,我们不能仅覆盖AVC配置文件上配置的应用程序流的所有应用程序DSCP值。此外,AVC配置文件最多可以包含32个应用程序规则。
对于AVC配置文件中未配置规则的流,将执行NO操作,DSCP保持不变。实际上,AVC不能用作PEP(策略执行点)。
对于托管服务,无法控制和重写AVC配置文件中未显示的所有流的DSCP值(例如DSCP 0)。
新的AVC增强功能允许“默认类”规则覆盖未配置AVC规则的所有应用程序流的DSCP值。这更像是最后一条带有Any/Any条件的规则。目标是保护网络免受所有具有不需要/受控DSCP值的流的影响。
AVC目前支持对其识别的任何应用程序进行标记、速率限制或丢弃。AVC支持32个规则。对于未配置为这些规则一部分的任何应用程序,将不采取任何操作。
对于本地模式,这些规则向下延伸到数据平面。在数据平面,将对这些应用程序采取行动,包括DSCP标记。
作为rel 8.8中新特性的一部分,可以将“默认规则”配置为支持的32个规则的一部分。
对于任何与现有规则不匹配的应用程序,将应用此“默认规则”。
对于Flex Connect AVC,我们发送TLV类型TLV_Flex_AVC_CLASS_MAP_App_Name_PAYLOAD中的应用程序名称,以及TLV类型TLV_Flex-AVC_CLASS_MAP_App_ID_PAYLOAD中的App ID。
在rel 8.8中,将进行增强,以在发送到AP时支持“default-class”应用程序名称和APP ID。AP还必须处理这些值并相应地更新类映射。
8.8版AVC默认DSCP值限制
■不支持仅支持标记、速率限制或下降。
■只有启用AVC时,默认DSCP才起作用。
■支持每个配置文件32条规则,包括“Default-class”规则。如果配置了默认规则,则用户只能配置31个规则。
■配置的“default-class”应用程序名称不会显示在统计页面/CLI输出中。
■它不支持组播和广播流。
■目前AVC不支持IPv6
■AVC不允许规则级联,这意味着对于同一个流,我们不能有速率限制和标记。因此,如果对流量进行了速率限制,则不会对该流量进行“默认”标记。
注:当配置文件应用于WLAN时,“默认类”设置将覆盖所有未配置应用程序的所有DSCP值。
默认DSCP设置的配置步骤
按照本部署指南前几节所述步骤创建、配置AVC配置文件并将其应用于WLAN,然后在创建AVC配置后,请遵循以下步骤。
1创建AVC配置文件后,您应该具有以下示例中的内容:
2要添加默认类应用程序,请从应用程序组“other”和应用程序名称“class-default”创建新规则,同时选择所需的DSCP操作或配置自定义DSCP值,如下例所示。
注:这同样适用于为Flex Connect模式创建的AVC配置文件。
三。将新创建的规则应用于概要文件,您将看到它现在出现在概要文件中。
现有的应用程序列表将附加“class-default”应用程序。
GUI将自动显示它。
4将新创建的配置文件应用于WLAN,如下例所示,创建的配置程序应用于WLANavctest
默认DSCP CLI配置命令:
创建应用程序名为“class-default”的AVC配置文件
#config avc配置文件<profile_name>规则添加应用程序<application name>标记<dscp>
显示命令更改:
应用程序名称应用程序组名称操作DSCP DIR AVG-RATELIMIT BURST-RATELIMIT
================ ======================= ====== ==== ===== ============= =============
配置命令示例:
(Cisco Controller)>config avc配置文件临时规则添加应用程序类默认标记16
(Cisco Controller)>显示avc配置文件详细温度
应用程序名称应用程序组名称操作DSCP DIR AVG-RATELIMIT-RATELIMIT=
telnet net-admin Mark 7双向
FlexConnect版本8.1-8.8的应用程序可见性和控制
AVC在无线网络上提供应用程序感知控制,提高了可管理性和生产效率。ASR、ISR G2和WLC平台已经支持AVC。FlexConnect AP中嵌入的AVC支持扩展了,因为这是一个端到端的解决方案。这提供了网络中应用程序的完整可见性,并允许管理员对应用程序执行一些操作。
AVC具有以下组件:
■被称为基于网络的应用程序识别(NBAR2)的下一代深度数据包检测(DPI)技术允许对应用程序进行识别和分类。NBAR是一种在基于Cisco IOS的平台上可用的深度包检测技术,支持状态L4–L7分类。NBAR2基于NBAR,并有额外的要求,例如为使用NBAR的所有IOS功能提供一个通用的流表。NBAR2识别应用程序并将此信息传递给其他功能,如服务质量(QoS)和访问控制列表(ACL),这些功能可以根据此分类采取操作。
■能够使用QoS、Drop和Rate-limit应用程序应用Mark。
NBAR AVC的关键用例是容量规划、网络使用基线以及对消耗带宽的应用程序的更好理解。应用程序使用趋势有助于网络管理员规划网络基础设施升级,通过在网络出现拥塞时保护关键应用程序不受带宽密集型应用程序的影响,提高体验质量,能够区分优先级或取消优先级,并减少某些应用程序流量。
自7.4版以来,5520、8540、2500、5508、7500、8500和WiSM2控制器在本地和FlexConnect模式下(仅适用于配置为中央交换的WLAN)支持AVC。8.1版引入了对5508、7500、75100、WiSM2和vWLC上FlexConnect AP上本地交换WLAN的应用程序可见性和控制的支持。
■在8.3版中,协议包和NBAR引擎升级为Flex Connect应用程序,现在支持协议包14和NBAR发动机23,总共支持1327个应用程序。
■在8.8版中,协议包和NBAR引擎升级为Flex Connect应用程序,现在支持协议包37和NBAR发动机31,总共支持1408个应用程序。
从8.6版开始,3504、5520和8540系列控制器支持AVC,vWLC也仅支持FC模式的AVC。
注:对于AVC Phase-6版本8.8,3504、5520和8540系列控制器支持最新的NBAR2和协议包,vWLC仅支持Flex Connect AP的AVC。rel 8.8中的PP仅支持基于Wave-2 COS的AP。
AVC事实和限制
FlexConnect AP上的AVC可以对1000多个不同的应用程序进行分类和操作。
■FlexConnect AP上运行的协议包与WLC上运行的不同。
■默认情况下,GUI上显示前10个应用程序的AVC统计信息。这可以更改为前20或30个应用程序。
■FlexConnect集团内部漫游支持。
■无法对IPv6流量进行分类。
■不支持AVC配置文件的AAA覆盖。
■AVC应用程序不支持多播流量。
■不支持FlexConnect AVC的Netflow导出
配置应用程序可见性
要配置应用程序可见性,请执行以下步骤:
1在有线笔记本电脑上打开web浏览器,然后输入您的WLC IP地址。
2使用命名约定创建OPEN WLAN,例如“FlexDemo”。
三。在WLAN上启用FlexConnect本地切换,然后单击应用。
4确保连接到此WLAN的AP位于此功能支持的访问点列表中。
5在AP模式下拉菜单中选择FlexConnect,然后单击应用。模式更改为FlexConnect,无需重新启动。
6创建FlexConnect组,并将AP添加到FlexConnection组。在下面的示例中,“FlexGroup”是FlexConnect组,接入点AP3600被添加到其中。
7下面列出了可以识别、分类和控制的应用程序无线>应用程序可见性和控制>FlexConnect AVC应用程序。接入点支持协议包版本8.0和NBAR引擎版本16。
8在下创建AVC配置文件无线>应用程序可见性和控制>FlexConnect AVC配置文件>新建名为“Drop_youtube”。然后单击应用.
AVC配置文件以新名称“Drop_youtube”创建。
9单击配置文件名称,然后单击添加新规则。选择应用程序组,应用程序名称、和行动,然后单击应用.
10验证是否添加了如下图所示的规则。
此时FlexConnect AVC配置文件的状态为被改进的。
11选择配置文件并单击应用要应用和生效的配置文件。
12选择配置文件并单击应用要应用和生效的配置文件。
FlexConnect AVC配置文件的状态更改为应用.
13在下的FlexConnect组上启用应用程序可见性无线>FlexConnect组>FlexConnection组名称>WLAN AVC映射通过选择WLAN ID并从下拉菜单中选择“启用”。
14通过从Flex AVC profile下拉菜单中选择在前一组中创建的配置文件,应用FlexConnect AVC配置文件。点击添加然后单击应用.
15在FlexConnect组上启用AVC后,从关联的无线客户端使用应用程序(已安装)启动不同类型的流量,如Cisco Jabber/WebEx Connect、Skype、Yahoo Messenger、HTTP、HTTPS/SSL、Microsoft Messenger,Ping、Trace route等。
一旦从无线客户端启动流量,就可以在每个FlexConnect组和每个客户端的基础上观察不同流量的可见性。这为管理员提供了每个客户端和每个分支站点的网络带宽利用率和网络流量类型的良好概览
16要检查FlexConnect组上所有WLAN的全局可见性,请单击监视器>应用程序>FlexConnect>FlexConnection组然后选择前面创建的FlexConnect组。
以下屏幕可见,其中列出了该特定FlexConnect组上运行的前10个应用程序的聚合数据。
此页面提供了每个FlexConnect组的更精细的可见性,并列出了过去90秒内前10个应用程序,以及前十个应用程序的累积统计信息。通过单击上游和下游选项卡,您可以在同一页面中分别查看每个FlexConnect组的上游和下游统计信息。
注:通过修改此页面上的最大记录数字段,可以将此页面上显示的应用程序数增加到20或30。默认值为10。
17要在启用AVC可见性的特定本地交换WLAN上更详细地查看每个客户端的前10个应用程序,请单击监视器>应用程序>FlexConnect组>FlexConnection组名称>客户端。然后,单击该页面上列出的任何单个客户端MAC条目。
单击单个客户端MAC条目后,将显示客户端详细信息页面。
此页面提供了与本地交换WLAN相关联的每个客户端的进一步细粒度统计信息,其中在WLAN本身或FlexConnect组上启用了AVC可见性,如本例所示。该页面列出了过去90秒内排名前10的应用程序以及前10个应用程序的累计统计数据。
18通过单击上游和下游选项卡
.注:通过修改此页面上的最大记录数字段,可以将此页面上显示的应用程序数增加到20或30。默认值为10。
19您可以通过单击clear AVC stats(清除AVC统计)按钮清除特定客户端的AVC统计。
现在,如果你从无线客户端打开YouTube,你会发现客户端无法播放任何YouTube视频。此外,如果适用,请打开您的Facebook帐户,并尝试打开任何YouTube视频。你会发现YouTube视频无法播放。因为YouTube在FlexConnect AVC配置文件中被阻止,并且AVC配置文被映射到FlexConnection组上的WLAN。您无法通过浏览器、甚至YouTube应用程序或任何其他网站访问YouTube视频。
.注:如果您的浏览器已经在YouTube上打开,请刷新浏览器以使AVC配置文件生效。
