شبكات فرعية متداخلة على نقاط وصول L3Out في Cisco ACI
المحتويات
المقدمة
تعمل البنية الأساسية المرتكزة على التطبيقات (ACI) من Cisco على تسهيل الاتصال بين المستأجرين الداخليين والشبكات الموجهة الخارجية، من خلال L3out (خرج الطبقة 3). كما يمكن تكوين نقاط الوصول من السلسلة L3out هذه بحيث تحتوي على مجموعة نقاط نهاية واحدة أو أكثر (EPG). لكي تعرف قائمة التحكم في الوصول (ACI) كيفية تصنيف حركة مرور البيانات الواردة، كشبكة EPG ل L3out، يلزم تعريف شبكات فرعية صريحة باستخدام علامات معينة ممكنة. تهدف هذه المقالة إلى تسليط بعض الضوء على تطبيق أجهزة L3out EPG في سياق تطبيق السياسة القائمة على العقد. سوف نستكشف على وجه التحديد العلامة "الشبكات الفرعية الخارجية الخاصة بوحدات EPG الخارجية" والعواقب غير المتوقعة لإعلان البادئات المتداخلة على أنها "خارجية" على وحدات EPG المنفصلة.
مفهوم
القاعدة الناجمة عن التجربة هي: عند نشر نقاط الوصول من السلسلة L3Out، يجب ألا تحتوي نقاط الوصول (EPG) المنفصلة في مثيل التوجيه الظاهري وإعادة التوجيه (VRF) نفسه على شبكات فرعية متداخلة معلمة على أنها 'شبكة فرعية خارجية لنقاط الوصول من الخارج'. وهذا يعني أيضا أنه يجب ألا تأتي حركة المرور المستمدة من شبكة فرعية معينة من خلال وحدات EPG مختلفة. قد يتسبب ذلك في تصنيف غير متوقع لحركة المرور استنادا إلى أطول تطابق للبادئة مقابل الشبكات الفرعية التي تم الإعلان عنها مقابل بروتوكولات EPG غير المتصلة. لننظر إلى بعض السيناريوهات لنستوعب ذلك بالتفصيل
المتطلبات الأساسية
الفهم الأساسي لمعيار ACI: L3 Out، العقود وإنفاذ السياسات. ترد أدناه بعض المصطلحات المفيدة، وترد معلومات أكثر تفصيلا عنها خارج نطاق هذه الوثيقة:
PCtag: تصنف قائمة التحكم في الوصول (ACI) حركة المرور في PCtags وهذه هي التمثيلات الداخلية ل EPGs. يتلقى هذا قيمة افتراضيا مجال من VRF - أي، هم فريد ضمن VRF، غير أن يستطيع كنت أعدت عبر VRF. ومع ذلك، إذا كان أحد EPG لديه عقد مع EPG آخر في VRF / مستأجر مختلف، فسيكون لقيمة PCtag نطاق عالمي - أي لن تجد أي EPG آخر في ACI مع نفس PCtag.
ELAM: وحدة محلل المنطق المضمنة. تستخدم هذه الأداة لالتقاط حزمة واحدة على ASIC استنادا إلى عوامل التصفية ولفحص الرؤوس/العلامات المعينة على الحزمة. تساعد هذه الأداة أيضا على فهم عمليات البحث / المنطق الذي تم إجراؤه استنادا إلى الأجهزة
SCLASS/DCLASS: عندما تصل حركة المرور إلى ورقة، بناء على إتجاه تنفيذ السياسة ومعرفة البادئات المتوفرة محليا، سوف تقوم الورقة بوضع علامة على حركة مرور المصدر والوجهة في وحدات EPG - في ELAM يتم التقاط هذا الأمر كفئة وفئة على التوالي
قاعدة التقسيم إلى مناطق: هذه هي تمثيلات داخلية للعقود وهي مماثلة لخطوط قائمة التحكم في الوصول (ACL). يجب أن تتطابق قيم SrcEpg و DstEpg مع sclass/dclass لحركة المرور للوصول إلى قاعدة معينة والسماح بها. بشكل افتراضي في VRF مفروض هناك رفض ضمني كالسطر الأخير، لذلك أي حركة مرور لا تطابق مع قاعدة معينة سوف تضرب الرفض الضمني ويتم إسقاطها.
الإعداد والمخطط
منشوران - 101 و 102، طراز: N9K-C93180YC-EX
- الإصدار 3.2(4e)
- تم إستخدام VRF واحد -
- تفضيل فرض السياسة: فرض
- توجيه تطبيق السياسة: مدخل.
- VRF VNID(معرف شبكة VxLAN): 2752513 ؛ pcTag: 32770
- L3out في Leaf1 (101) -
- البروتوكول: فتح أقصر مسار أولا (OSPF)
- مستخدم واجهة L3 للسياق- eth1/22 (10.27.48.1/24)
- بطاقة EPG الخارجية: 16387
- تطبيق EPG على Leaf101
- خط الاتصال - ETH1/24
- pcTag: 49153
- نقطة نهاية IP: 172.16.1.17
- البوابة: 172.16.1.254/24 - يتم النشر على مجال Bridge (BD)
- يحتوي BD على PCtag 32771
- L3out على Leaf2 (202) -
- البروتوكول: بروتوكول توجيه البوابة الداخلية المحسنة (EIGRP)
- SVI المستخدم للسرية مع المسار 1/16 - VLAN 2747 (10.27.47.1/24)
- بطاقة EPG الخارجية: 163869
السيناريوهات
حركة المرور المستمدة من الشبكات الفرعية المتداخلة
في هذا السيناريو، نلقي نظرة على تصنيف MIS المحتمل عندما يتم الحصول على حركة المرور من الشبكات الفرعية المتداخلة (من منظور قائمة التحكم في الوصول (ACI))
يعلن OSPF:
10.9.9.6/32
يعلن EIGRP:
10.9.9.1/32
نبدأ بالطبولوجيا في الرسم البياني 1، لكن بدون أي عقود. بالنسبة إلى EPG على OSPF، فإننا نحدد الشبكة الفرعية 0.0.0.0/0 على أنها "شبكة فرعية خارجية لملقمات EPG الخارجية" و 10.9.9.0/24 بنفس العلامة الخاصة ب EIGRP's EPG. هذا ما تبدو عليه الجداول على Leaf1 و 2:
ورقة 1:
leaf101# show end int eth1/24
Legend:
s - arp H - vtep V - vpc-attached p - peer-aged
R - peer-attached-rl B - bounce S - static M - span
D - bounce-to-proxy O - peer-attached a - local-aged L - local
+-----------------------------------+---------------+-----------------+--------------+-------------+
VLAN/ Encap MAC Address MAC Info/ Interface
Domain VLAN IP Address IP Info
+-----------------------------------+---------------+-----------------+--------------+-------------+
48 vlan-2743 dcce.c15b.1e47 L eth1/24
shparanj:eigrp-test vlan-2743 172.16.1.17 L eth1/24
leaf101# show ip route vrf shparanj:eigrp-test
IP Route Table for VRF "shparanj:eigrp-test"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
10.9.9.1/32, ubest/mbest: 1/0
*via 10.0.248.0%overlay-1, [200/128576], 05:31:49, bgp-65003, internal, tag 65003
10.9.9.6/32, ubest/mbest: 1/0
*via 10.27.48.2, eth1/22, [110/5], 05:09:51, ospf-default, intra
10.27.47.0/24, ubest/mbest: 1/0
*via 10.0.248.0%overlay-1, [200/0], 05:31:49, bgp-65003, internal, tag 65003
10.27.48.0/24, ubest/mbest: 1/0, attached, direct
*via 10.27.48.1, eth1/22, [1/0], 05:31:46, direct
10.27.48.1/32, ubest/mbest: 1/0, attached
*via 10.27.48.1, eth1/22, [1/0], 05:31:46, local, local
172.16.1.0/24, ubest/mbest: 1/0, attached, direct, pervasive
*via 10.0.240.34%overlay-1, [1/0], 05:27:43, static
172.16.1.254/32, ubest/mbest: 1/0, attached, pervasive
*via 172.16.1.254, vlan47, [1/0], 05:31:52, local, local
leaf101# show zoning-rule scope 2752513
Rule ID SrcEPG DstEPG FilterID operSt Scope Action Priority
======= ====== ====== ======== ====== ===== ====== ========
4173 0 0 implicit enabled 2752513 deny,log any_any_any(21)
4174 0 0 implarp enabled 2752513 permit any_any_filter(17)
4175 0 15 implicit enabled 2752513 deny,log any_vrf_any_deny(22)
4207 0 32771 implicit enabled 2752513 permit any_dest_any(16)
<<vsh>> (to go into vsh propmt , type: #vsh )
leaf101# show system internal policy-mgr prefix | grep shparanj:eigrp-test
2752513 26 0x1a Up shparanj:eigrp-test 0.0.0.0/0 15 False True False
2752513 26 0x8000001a Up shparanj:eigrp-test ::/0 15 False True False
ورقة 2:
leaf102# show ip route vrf shparanj:eigrp-test
IP Route Table for VRF "shparanj:eigrp-test"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
10.9.9.1/32, ubest/mbest: 1/0
*via 10.27.47.10, vlan78, [90/128576], 06:13:41, eigrp-default, internal
10.9.9.6/32, ubest/mbest: 1/0
*via 10.0.0.64%overlay-1, [200/5], 05:20:27, bgp-65003, internal, tag 65003
10.27.47.0/24, ubest/mbest: 1/0, attached, direct
*via 10.27.47.2, vlan78, [1/0], 3d21h, direct
10.27.47.2/32, ubest/mbest: 1/0, attached
*via 10.27.47.2, vlan78, [1/0], 3d21h, local, local
10.27.48.0/24, ubest/mbest: 1/0
*via 10.0.0.64%overlay-1, [200/0], 05:35:06, bgp-65003, internal, tag 65003
leaf102# show zoning-rule scope 2752513
Rule ID SrcEPG DstEPG FilterID operSt Scope Action Priority
======= ====== ====== ======== ====== ===== ====== ========
4472 0 0 implicit enabled 2752513 deny,log any_any_any(21)
4471 0 0 implarp enabled 2752513 permit any_any_filter(17)
4470 0 15 implicit enabled 2752513 deny,log any_vrf_any_deny(22)
<<vsh>>
leaf102# show system internal policy-mgr prefix | grep shparanj:eigrp-test
2752513 37 0x80000025 Up shparanj:eigrp-test ::/0 15 False True False
2752513 37 0x25 Up shparanj:eigrp-test 0.0.0.0/0 15 False True False
2752513 37 0x25 Up shparanj:eigrp-test 10.9.9.0/24 16386 False True False
دعنا نضيف العقد (العقد في المستأجر، النطاق vrf - عامل التصفية: مشترك:افتراضي)
بمجرد إضافة العقد (ب) - نرى بادئة EIGRP EPG المضافة على الصفحة 1:
leaf101# show system internal policy-mgr prefix | grep shparanj:eigrp-test 2752513 26 0x1a Up shparanj:eigrp-test 10.9.9.0/24 16386 False True False 2752513 26 0x1a Up shparanj:eigrp-test 0.0.0.0/0 15 False True False 2752513 26 0x8000001a Up shparanj:eigrp-test ::/0 15 False True False
لننظر إلى السياسات الأخرى:
عقود ورقه 1:
leaf101# show zoning-rule scope 2752513 Rule ID SrcEPG DstEPG FilterID operSt Scope Action Priority ======= ====== ====== ======== ====== ===== ====== ======== 4173 0 0 implicit enabled 2752513 deny,log any_any_any(21) 4174 0 0 implarp enabled 2752513 permit any_any_filter(17) 4175 0 15 implicit enabled 2752513 deny,log any_vrf_any_deny(22) 4207 0 32771 implicit enabled 2752513 permit any_dest_any(16) 4604 49153 16386 default enabled 2752513 permit src_dst_any(9) 4605 16386 49153 default enabled 2752513 permit src_dst_any(9)
عقود الصفحة 2 (لم تتغير):
leaf102# show zoning-rule scope 2752513 Rule ID SrcEPG DstEPG FilterID operSt Scope Action Priority ======= ====== ====== ======== ====== ===== ====== ======== 4472 0 0 implicit enabled 2752513 deny,log any_any_any(21) 4471 0 0 implarp enabled 2752513 permit any_any_filter(17) 4470 0 15 implicit enabled 2752513 deny,log any_vrf_any_deny(22)
في هذا سيناريو حركة مرور قادمة من OSPF l3out، والذي نتوقع أن يتم وضع علامة به يتم وضع علامة على الطراز 16387 باستخدام الطراز 16386 بدلا من ذلك. هذا لأن حركة المرور تصل إلى إدخال البادئة الجديدة على Leaf1.
إختبار الاتصال من 10.9.9.6 إلى نقطة النهاية 172.16.1.17:
# ping 172.16.1.17 vrf shp-ospf source 10.9.9.6 count 1000 interval 1 PING 172.16.1.17 (172.16.1.17) from 10.9.9.6: 56 data bytes 64 bytes from 172.16.1.17: icmp_seq=0 ttl=253 time=2.207 ms 64 bytes from 172.16.1.17: icmp_seq=1 ttl=253 time=1.443 ms 64 bytes from 172.16.1.17: icmp_seq=2 ttl=253 time=1.312 ms
يعمل إختبار الاتصال حتى بدون عقد بين OSPF EPG و app-epg. وذلك لأنه يتعارض مع نهج EIGRP-EPG ويتم السماح به.
ELAM:
module-1(DBG-elam)# trigger init in-select 6 out-select 0
module-1(DBG-elam-insel6)# set outer ipv4 src_ip 10.9.9.6
module-1(DBG-elam-insel6)# start
module-1(DBG-elam-insel6)# stat
ELAM STATUS
===========
Asic 0 Slice 0 Status Armed
Asic 0 Slice 1 Status Triggered
module-1(DBG-elam-insel6)# report | grep sclass
sug_lurw_vec.info.nsh_special.sclass: 0x4002
sug_lurw_vec.info.ifabric_spine.sclass: 0x4002
sug_lurw_vec.info.ifabric_leaf.sclass: 0x4002
#dec 0x4002
16386
في هذا السيناريو، تنتهي حركة المرور إلى العمل بسبب التصنيف إلى pcTag الذي يحتوي على عقد مع الوجهة المقصودة. على أي حال، إذا كانت الورقة المحوسبة، على سبيل المثال، ورقة ثالثة منفصلة، فإن حركة المرور ستفشل - لأن الدخول للعقد سيكون موجودا فقط على الورقة الثالثة (سياسة الدخول) أو على ورقة 102 (سياسة الخروج).
القناة الليفية ذات الشبكات الفرعية المتداخلة التي تم تصنيفها على أنها شبكات خارجية في وحدات EPG الخارجية المنفصلة
في هذا السيناريو، ننظر إلى تعارض السياسات وتصنيف الأجهزة المحتمل بسبب الشبكات الفرعية المتداخلة أو نفسها التي تم إعلانها كشبكات فرعية خارجية في وحدات EPG الخارجية المختلفة.
يعلن OSPF عن الشبكة:
10.9.1.0/24
يعلن EIGRP عن الشبكة:
10.9.2.0/24
نبدأ بالطبولوجيا في الرسم البياني 1، لكن بدون أي عقود. نحن نحدد الشبكة الفرعية 10.9.0.0/16 as "الشبكة الفرعية الخارجية ل EPG الخارجية" ل EPG على كل من L3out.
هذا ما تبدو عليه الجداول على Leaf1 و 2:
ورقة 1:
leaf101# show ip route vrf shparanj:eigrp-test
IP Route Table for VRF "shparanj:eigrp-test"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
10.9.1.0/24, ubest/mbest: 1/0
*via 10.27.48.2, eth1/22, [110/5], 00:01:50, ospf-default, intra
10.9.2.0/24, ubest/mbest: 1/0
*via 10.0.248.0%overlay-1, [200/128576], 00:00:32, bgp-65003, internal, tag 65003
10.27.47.0/24, ubest/mbest: 1/0
*via 10.0.248.0%overlay-1, [200/0], 01:54:45, bgp-65003, internal, tag 65003
10.27.48.0/24, ubest/mbest: 1/0, attached, direct
*via 10.27.48.1, eth1/22, [1/0], 1d09h, direct
10.27.48.1/32, ubest/mbest: 1/0, attached
*via 10.27.48.1, eth1/22, [1/0], 1d09h, local, local
172.16.1.0/24, ubest/mbest: 1/0, attached, direct, pervasive
*via 10.0.240.34%overlay-1, [1/0], 1d09h, static
172.16.1.254/32, ubest/mbest: 1/0, attached, pervasive
*via 172.16.1.254, vlan47, [1/0], 1d09h, local, local
leaf101# show zoning-rule scope 2752513
Rule ID SrcEPG DstEPG FilterID operSt Scope Action Priority
======= ====== ====== ======== ====== ===== ====== ========
4173 0 0 implicit enabled 2752513 deny,log any_any_any(21)
4174 0 0 implarp enabled 2752513 permit any_any_filter(17)
4175 0 15 implicit enabled 2752513 deny,log any_vrf_any_deny(22)
4207 0 32771 implicit enabled 2752513 permit any_dest_any(16)
<<vsh>>
leaf101# show system internal policy-mgr prefix | grep shparanj:eigrp-test
2752513 26 0x1a Up shparanj:eigrp-test 10.9.0.0/16 16387 False True False
2752513 26 0x1a Up shparanj:eigrp-test 0.0.0.0/0 15 False True False
2752513 26 0x8000001a Up shparanj:eigrp-test ::/0 15 False True False
ورقة 2:
leaf102# show ip route vrf shparanj:eigrp-test
IP Route Table for VRF "shparanj:eigrp-test"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
10.9.1.0/24, ubest/mbest: 1/0
*via 10.0.0.64%overlay-1, [200/5], 00:05:29, bgp-65003, internal, tag 65003
10.9.2.0/24, ubest/mbest: 1/0
*via 10.27.47.10, vlan80, [90/128576], 00:04:10, eigrp-default, internal
10.27.47.0/24, ubest/mbest: 1/0, attached, direct
*via 10.27.47.2, vlan80, [1/0], 01:58:24, direct
10.27.47.2/32, ubest/mbest: 1/0, attached
*via 10.27.47.2, vlan80, [1/0], 01:58:24, local, local
10.27.48.0/24, ubest/mbest: 1/0
*via 10.0.0.64%overlay-1, [200/0], 1d09h, bgp-65003, internal, tag 65003
leaf102# show zoning-rule scope 2752513
Rule ID SrcEPG DstEPG FilterID operSt Scope Action Priority
======= ====== ====== ======== ====== ===== ====== ========
4472 0 0 implicit enabled 2752513 deny,log any_any_any(21)
4471 0 0 implarp enabled 2752513 permit any_any_filter(17)
4470 0 15 implicit enabled 2752513 deny,log any_vrf_any_deny(22)
<<vsh>>
leaf102# show system internal policy-mgr prefix | grep shparanj:eigrp-test
2752513 37 0x80000025 Up shparanj:eigrp-test ::/0 15 False True False
2752513 37 0x25 Up shparanj:eigrp-test 0.0.0.0/0 15 False True False
2752513 37 0x25 Up shparanj:eigrp-test 10.9.0.0/16 16386 False True False
وفي هذه الحالة، ودون أي عقود، لا نرى أخطاء في أي من ملقمي نظام إدارة الطوارئ. لم يتم اكتشاف تداخل في البادئات بعد!
إذا أضفنا العقد (ب)، فإننا نرى خطأ في app-EPG (والذي يستهلك العقد (ب)).
الطوبولوجيا:
لنلقي نظرة على التغيير في الجداول:
leaf101# show zoning-rule scope 2752513 Rule ID SrcEPG DstEPG FilterID operSt Scope Action Priority ======= ====== ====== ======== ====== ===== ====== ======== 4173 0 0 implicit enabled 2752513 deny,log any_any_any(21) 4174 0 0 implarp enabled 2752513 permit any_any_filter(17) 4175 0 15 implicit enabled 2752513 deny,log any_vrf_any_deny(22) 4207 0 32771 implicit enabled 2752513 permit any_dest_any(16) 4605 49153 16386 default enabled 2752513 permit src_dst_any(9) 4604 16386 49153 default enabled 2752513 permit src_dst_any(9) <<vsh>> leaf101# show system internal policy-mgr prefix | grep shparanj:eigrp-test 2752513 26 0x1a Up shparanj:eigrp-test 10.9.0.0/16 16387 False True False 2752513 26 0x1a Up shparanj:eigrp-test 0.0.0.0/0 15 False True False 2752513 26 0x8000001a Up shparanj:eigrp-test ::/0 15 False True False
الصفحة 2 تبقى بدون تغيير.
وهذا يوضح لنا أن قاعدة تقسيم المناطق المقابلة للعقد (ب) قد تم تثبيتها. ومع ذلك، لا يمكن إضافة البادئة، لأنها موجودة بالفعل - تم وضع علامة عليها مقابل OSPF EPG!
وهذا هو الخطأ الذي يحذرنا منه تماما، "إدخال البادئة المستخدم بالفعل في EPG آخر" - حيث لا يثار الخطأ إلا عندما يكون هناك صراع على ورقة معينة بين السياسة (قواعد تقسيم المناطق) وتطبيقها. ويتم رفع الخطأ على EPG للمستهلك.
إذا بدأنا حركة المرور من 10.9.2.1، يتم إسقاطها على Leaf101 بسبب رفض النهج:
# show logging ip access-list internal packet-log deny
[ Tue Feb 19 19:31:33 2019 234270 usecs]: CName: shparanj:eigrp-test(VXLAN: 2752513), VlanType: FD_VLAN, Vlan-Id: 48, SMac: 0xdccec15b1e47, DMac:0x0022bdf819ff, SIP: 172.16.1.17, DIP: 10.9.2.1, SPort: 0, DPort: 0, Src Intf: Ethernet1/24, Proto: 1, PktLen: 98 [ Tue Feb 19 19:31:31 2019 234310 usecs]: CName: shparanj:eigrp-test(VXLAN: 2752513), VlanType: FD_VLAN, Vlan-Id: 48, SMac: 0xdccec15b1e47, DMac:0x0022bdf819ff, SIP: 172.16.1.17, DIP: 10.9.2.1, SPort: 0, DPort: 0, Src Intf: Ethernet1/24, Proto: 1, PktLen: 98
نرى أن الردود من EP 172.16.1.17 إلى 10.9.2.1 قد أسقطت. هذا بسبب:
- تم تصنيف الطلبات الواردة من 10.9.2.1 من البنية بالفعل مع SCLASS 16386 - وهذه الطلبات تصل إلى معرف القاعدة 4604 ويتم السماح لها بالمرور
- يتم تمييز الردود من 172.16.1.17 ب dclass 16387 - يتم انتقاء هذا الإجراء استنادا إلى قواعد البادئات الخاصة ب policy-mgr. لا توجد قاعدة مطابقة ل 16387 ويتم رفضها.
في هذه الحالة يتسبب التصنيف الخاطئ في إسقاط حركة المرور على الرغم من أنه يبدو أن لدينا التكوين الصحيح في موضعه (إذا تم تجاهل الخطأ).
القناة الليفية مع بادئة 0.0.0.0/0 معلنة على أنها خارجية في وحدات EPG خارجية متعددة
في هذا السيناريو، نلقي نظرة على تصنيف الأجهزة المحتمل والانتهاكات الأمنية غير المتوقعة بسبب تطبيق الشبكة الفرعية 0.0.0.0/0 كشبكة خارجية على وحدات EPG الخارجية المختلفة.
يعلن OSPF عن الشبكة:
10.7.7.0/24
يعلن EIGRP عن الشبكة:
10.8.8.0/24
نبدأ بالطبولوجيا في الرسم البياني 1، لكن بدون أي عقود. نحن نحدد الشبكة الفرعية 0.0.0.0/0 على أنها "شبكة فرعية خارجية لملقمات EPG الخارجية" ل EPG في كل من L3out.
هذا ما تبدو عليه الجداول على Leaf1 و 2:
ورقة 1:
leaf101# show zoning-rule scope 2752513
Rule ID SrcEPG DstEPG FilterID operSt Scope Action Priority
======= ====== ====== ======== ====== ===== ====== ========
4173 0 0 implicit enabled 2752513 deny,log any_any_any(21)
4174 0 0 implarp enabled 2752513 permit any_any_filter(17)
4175 0 15 implicit enabled 2752513 deny,log any_vrf_any_deny(22)
4207 0 32771 implicit enabled 2752513 permit any_dest_any(16)
leaf101# show ip route vrf shparanj:eigrp-test
IP Route Table for VRF "shparanj:eigrp-test"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
10.7.7.0/24, ubest/mbest: 1/0
*via 10.27.48.2, eth1/22, [110/5], 00:23:29, ospf-default, intra
10.8.8.0/24, ubest/mbest: 1/0
*via 10.0.248.0%overlay-1, [200/128576], 00:02:30, bgp-65003, internal, tag 65003
10.27.47.0/24, ubest/mbest: 1/0
*via 10.0.248.0%overlay-1, [200/0], 00:02:33, bgp-65003, internal, tag 65003
10.27.48.0/24, ubest/mbest: 1/0, attached, direct
*via 10.27.48.1, eth1/22, [1/0], 1d07h, direct
10.27.48.1/32, ubest/mbest: 1/0, attached
*via 10.27.48.1, eth1/22, [1/0], 1d07h, local, local
172.16.1.0/24, ubest/mbest: 1/0, attached, direct, pervasive
*via 10.0.240.34%overlay-1, [1/0], 1d07h, static
172.16.1.254/32, ubest/mbest: 1/0, attached, pervasive
*via 172.16.1.254, vlan47, [1/0], 1d07h, local, local
<<vsh>>
leaf101# show system internal policy-mgr prefix | grep shparanj:eigrp-test
2752513 26 0x1a Up shparanj:eigrp-test 0.0.0.0/0 15 False True False
2752513 26 0x8000001a Up shparanj:eigrp-test ::/0 15 False True False
ورقة 2:
leaf102# show ip route vrf shparanj:eigrp-test
IP Route Table for VRF "shparanj:eigrp-test"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
10.7.7.0/24, ubest/mbest: 1/0
*via 10.0.0.64%overlay-1, [200/5], 00:26:07, bgp-65003, internal, tag 65003
10.8.8.0/24, ubest/mbest: 1/0
*via 10.27.47.10, vlan80, [90/128576], 00:05:08, eigrp-default, internal
10.27.47.0/24, ubest/mbest: 1/0, attached, direct
*via 10.27.47.2, vlan80, [1/0], 00:05:11, direct
10.27.47.2/32, ubest/mbest: 1/0, attached
*via 10.27.47.2, vlan80, [1/0], 00:05:11, local, local
10.27.48.0/24, ubest/mbest: 1/0
*via 10.0.0.64%overlay-1, [200/0], 1d07h, bgp-65003, internal, tag 65003
leaf102# show zoning-rule scope 2752513
Rule ID SrcEPG DstEPG FilterID operSt Scope Action Priority
======= ====== ====== ======== ====== ===== ====== ========
4472 0 0 implicit enabled 2752513 deny,log any_any_any(21)
4471 0 0 implarp enabled 2752513 permit any_any_filter(17)
4470 0 15 implicit enabled 2752513 deny,log any_vrf_any_deny(22)
<<vsh>>
leaf102# show system internal policy-mgr prefix | grep shparanj:eigrp-test
2752513 37 0x80000025 Up shparanj:eigrp-test ::/0 15 False True False
2752513 37 0x25 Up shparanj:eigrp-test 0.0.0.0/0 15 False True False
إذا أضفنا كلا العقدين A و B، فإننا لا نرى أية أخطاء.
لننظر إلى الطاولات على ورق:
ورقة 1:
leaf101# show zoning-rule scope 2752513 Rule ID SrcEPG DstEPG FilterID operSt Scope Action Priority ======= ====== ====== ======== ====== ===== ====== ======== 4173 0 0 implicit enabled 2752513 deny,log any_any_any(21) 4174 0 0 implarp enabled 2752513 permit any_any_filter(17) 4175 0 15 implicit enabled 2752513 deny,log any_vrf_any_deny(22) 4207 0 32771 implicit enabled 2752513 permit any_dest_any(16) 4616 49153 15 default enabled 2752513 permit src_dst_any(9) 4617 32770 49153 default enabled 2752513 permit src_dst_any(9)
<<vsh>>
leaf101# show system internal policy-mgr prefix | grep shparanj:eigrp-test 2752513 26 0x1a Up shparanj:eigrp-test 0.0.0.0/0 15 False True False 2752513 26 0x8000001a Up shparanj:eigrp-test ::/0 15 False True False
لا تزال الجداول على Leaf2 بدون تغيير.
لا نرى أية أخطاء حيث لا يوجد أي تضارب في السياسات من منظور كل ورقة. إن معرفات القواعد التي تمت إضافتها عند إستخدام 0.0.0.0/0 ك EPG خارجي هي معرفات خاصة.
- يتم وضع علامة على حركة المرور الواردة إلى أي من أوراق الحدود من EPG الخاصة بها بواسطة sclass 32770 - هذه هي pcTag الخاص ب VRF.
- فئة dclass في حركة المرور هذه هي 49153 - علامة الكمبيوتر الشخصي ل app-EPG.
- إرجاع حركة المرور من app-EPG لها فئة 15
ELAM على ليف 1:
module-1(DBG-elam)# trigger init in-select 6 out-select 0
module-1(DBG-elam-insel6)# set outer ipv4 src_ip 10.7.7.1
module-1(DBG-elam-insel6)# start
module-1(DBG-elam-insel6)# stat
ELAM STATUS
===========
Asic 0 Slice 0 Status Armed
Asic 0 Slice 1 Status Triggered
module-1(DBG-elam-insel6)# report | grep sclass
sug_lurw_vec.info.nsh_special.sclass: 0x8002
sug_lurw_vec.info.ifabric_spine.sclass: 0x8002
sug_lurw_vec.info.ifabric_leaf.sclass: 0x8002
module-1(DBG-elam-insel6)# dec 0x8002
32770
module-1(DBG-elam-insel6)# reset
module-1(DBG-elam-insel6)# set outer ipv4 dst_ip 10.7.7.1
module-1(DBG-elam-insel6)# start
module-1(DBG-elam-insel6)# stat
ELAM STATUS
===========
Asic 0 Slice 0 Status Armed
Asic 0 Slice 1 Status Armed
module-1(DBG-elam-insel6)# stat
ELAM STATUS
===========
Asic 0 Slice 0 Status Armed
Asic 0 Slice 1 Status Triggered
module-1(DBG-elam-insel6)# report | grep dclass
sug_lurw_vec.info.nsh_special.dclass: 0xF
sug_lurw_vec.info.ifabric_leaf.dclass: 0xF
حتى إذا قمنا بإزالة العقد A، فيمكن ل 10.7.7.1 متابعة الاتصال ب 172.16.1.17.
وذلك لأن إزالة العقد ألف لا تؤدي إلى أي تغييرات على قواعد تقسيم المناطق على الورقة 1.
leaf101# show system internal policy-mgr prefix | grep shparanj:eigrp-test 2752513 26 0x1a Up shparanj:eigrp-test 0.0.0.0/0 15 False True False 2752513 26 0x8000001a Up shparanj:eigrp-test ::/0 15 False True False leaf101# exit leaf101# show zoning-rule scope 2752513 Rule ID SrcEPG DstEPG FilterID operSt Scope Action Priority ======= ====== ====== ======== ====== ===== ====== ======== 4173 0 0 implicit enabled 2752513 deny,log any_any_any(21) 4174 0 0 implarp enabled 2752513 permit any_any_filter(17) 4175 0 15 implicit enabled 2752513 deny,log any_vrf_any_deny(22) 4207 0 32771 implicit enabled 2752513 permit any_dest_any(16) 4616 49153 15 default enabled 2752513 permit src_dst_any(9) 4617 32770 49153 default enabled 2752513 permit src_dst_any(9)
علاوة على ذلك، يستمر تمييز حركة المرور الواردة على OSPF External EPG باستخدام VRF PCtag، حيث أن EPG لا يزال يحتوي على 0.0.0.0/0 مميز كشبكة فرعية خارجية.
ويؤدي ذلك إلى حدوث خرق في السياسة الأمنية، أي وجود حزبين من مجموعات الحماية الأمنية قادرين على الاتصال بدون عقد في إطار فرض التردد اللاسلكي.
قراءة اضافية
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
28-Oct-2019 |
الإصدار الأولي |
التعليقات