أستكشاف أخطاء ACI L3Out وإصلاحها - علامة PCTag للشبكة الفرعية المتصلة مباشرة 1
المحتويات
المقدمة
يصف هذا المستند سيناريو حيث يمكن أن تؤدي حركة المرور التي يتم الحصول عليها من شبكة فرعية ل3Out متصلة مباشرة دون التكوين المناسب ضمن EPG الخارجي إلى حالات إسقاط العقد.
معلومات أساسية
يوضح القسم "إستثناء شبكة فرعية متصلة مباشرة مع 0.0.0.0/0" من التقرير الرسمي عن معيار ACI L3out هذا السلوك فيما يتعلق ب pcTag 1:
"...بشكل افتراضي، يتم تعيين pcTag 1 للشبكات الفرعية المتصلة مباشرة، وهي عبارة عن pcTag خاص لتجاوز العقد. هذا للسماح ضمنيا باتصالات بروتوكول المسار في سيناريو حالة الركن. ومع ذلك... قد يتسبب ذلك في حدوث مشكلة أمنية بدلا من ذلك. وبالتالي، يتم شرح هذا السلوك بالتفصيل عبر معرف تصحيح الأخطاء من Cisco CSCuz12913 
، الذي يقدم أيضا تكوينا للحل البديل:
السيناريو
الطوبولوجيا والتكوين
طوبولوجيا
- يتم تكوين جدران الحماية (FW) باستخدام ترجمة عنوان الشبكة (NAT).
- يتم الحصول على جميع حركة المرور التي يتم إرسالها إلى بنية قائمة التحكم في الوصول (ACI) من IP الخاصة بالواجهة التي تشكل تجاور OSPF مع واجهة التحكم في الوصول (ACI).
- يحتوي EPG الخارجي على شبكة 0.0.0.0/0 تم تكوينها باستخدام شبكات فرعية خارجية ل EPG الخارجي.
- يوجد عقد للاتصال بين فريق الشراكة الاقتصادية الداخلي وفريق الشراكة الاقتصادية الخارجي.
مسألة مرصودة
مع FW1 كجهاز نشط، تعمل حركة مرور البيانات كما هو متوقع. لم تلاحظ أي قطرات.
بعد فشل خدمات جدار الحماية في FW2، يتم فقد الاتصال - لم يعد بإمكان 10.1.1.1 و 172.16.100.2 الاتصال.
الغوص العميق الإصدار
يسمح لنا التقاط ELAM على Leaf101 بالتحقق من صحة ما إذا تم إسقاط حركة المرور من Host1 إلى FW2.
أستخدمت خيارات ELAM هذه:
leaf101# vsh_lc
module-1# debug platform internal roc elam asic 0
module-1(DBG-elam-insel6)# trigger reset
module-1(DBG-elam)# trigger init in-select 14 out-select 1
module-1(DBG-elam-insel14)# set inner ipv4 src_ip 10.1.1.1 dst_ip 172.16.100.2
module-1(DBG-elam-insel14)# start
module-1(DBG-elam-insel14)# status
وعند التشغيل، يسمح لك التقرير الإلكتروني بعرض نتائج البحث:
<snip>
======================================================================================================================================================
Captured Packet
======================================================================================================================================================
<snip>
------------------------------------------------------------------------------------------------------------------------------------------------------
Inner L3 Header
------------------------------------------------------------------------------------------------------------------------------------------------------
L3 Type : IPv4
DSCP : 0
Don't Fragment Bit : 0x0
TTL : 254
IP Protocol Number : ICMP
Destination IP : 172.16.100.2 <<<----
Source IP : 10.1.1.1 <<<----
<snip>
======================================================================================================================================================
Contract Lookup ( FPC )
======================================================================================================================================================
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Lookup Key
------------------------------------------------------------------------------------------------------------------------------------------------------
IP Protocol : ICMP( 0x1 )
L4 Src Port : 2048( 0x800 )
L4 Dst Port : 52579( 0xCD63 )
sclass (src pcTag) : 16388( 0x4004 ) <<<----
dclass (dst pcTag) : 16386( 0x4002 ) <<<----
<snip>
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Result
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Drop : yes <<<----
Contract Logging : yes
Contract Applied : no
Contract Hit : yes
Contract Aclqos Stats Index : 81824
( show sys int aclqos zoning-rules | grep -B 9 "Idx: 81824" )
يوضح هذا التقرير أن التدفق تم إسقاطه مع هذه التفاصيل:
- SCLASS هو 16388 وهو ال pcTag الخاص ب EPG_10.
- ال DCLASS 16386 أي ال pcTag من ال VRF v1.
بعد ذلك، تحقق من صحة قواعد تقسيم المناطق ل VRF:
leaf102# show zoning-rule scope 2949121 +---------+--------+--------+----------+---------+---------+---------+------------------+----------+----------------------+ | Rule ID | SrcEPG | DstEPG | FilterID | Dir | operSt | Scope | Name | Action | Priority | +---------+--------+--------+----------+---------+---------+---------+------------------+----------+----------------------+ | 4131 | 0 | 15 | implicit | uni-dir | enabled | 2949121 | | deny,log | any_vrf_any_deny(22) | | 4130 | 0 | 0 | implarp | uni-dir | enabled | 2949121 | | permit | any_any_filter(17) | | 4129 | 0 | 0 | implicit | uni-dir | enabled | 2949121 | | deny,log | any_any_any(21) | | 4132 | 0 | 49155 | implicit | uni-dir | enabled | 2949121 | | permit | any_dest_any(16) | | 4112 | 16386 | 16388 | default | uni-dir | enabled | 2949121 | tn1:EPG-to-L3Out | permit | src_dst_any(9) | | 4133 | 16388 | 15 | default | uni-dir | enabled | 2949121 | tn1:EPG-to-L3Out | permit | src_dst_any(9) | +---------+--------+--------+----------+---------+---------+---------+------------------+----------+----------------------+
يوجد عقد للاتصال من EPG_10 (16388) إلى الشبكات خلف OSPF L3Out (0.0.0.0/0 = 15). مهما، حددت الحركة مرور من 172.16.100.2 تحت ال VRF v1 pcTag (16386).
الحل
قم بإضافة الشبكة الفرعية المتصلة مباشرة ل L3Out ضمن OSPF Ext_EPG.
لهذه الإضافة تأثيران:
- يتم تمييز حركة المرور من الشبكة الفرعية المتصلة مباشرة تحت علامة OSPF_ExtEPG PCtag (32774)
- تتم إضافة القواعد للسماح بالتدفق من وإلى EPG_10 و OSPF_ExtEPG
leaf102# show zoning-rule scope 2949121
+---------+--------+--------+----------+----------------+---------+---------+------------------+----------+----------------------+ | Rule ID | SrcEPG | DstEPG | FilterID | Dir | operSt | Scope | Name | Action | Priority | +---------+--------+--------+----------+----------------+---------+---------+------------------+----------+----------------------+ | 4131 | 0 | 15 | implicit | uni-dir | enabled | 2949121 | | deny,log | any_vrf_any_deny(22) | | 4130 | 0 | 0 | implarp | uni-dir | enabled | 2949121 | | permit | any_any_filter(17) | | 4129 | 0 | 0 | implicit | uni-dir | enabled | 2949121 | | deny,log | any_any_any(21) | | 4132 | 0 | 49155 | implicit | uni-dir | enabled | 2949121 | | permit | any_dest_any(16) | | 4112 | 16386 | 16388 | default | uni-dir | enabled | 2949121 | tn1:EPG-to-L3Out | permit | src_dst_any(9) | | 4133 | 16388 | 15 | default | uni-dir | enabled | 2949121 | tn1:EPG-to-L3Out | permit | src_dst_any(9) | | 4134 | 16388 | 32774 | default | bi-dir | enabled | 2949121 | tn1:EPG-to-L3Out | permit | src_dst_any(9) | <<<---- | 4135 | 32774 | 16388 | default | uni-dir-ignore | enabled | 2949121 | tn1:EPG-to-L3Out | permit | src_dst_any(9) | <<<---- +---------+--------+--------+----------+----------------+---------+---------+------------------+----------+----------------------+
الشرح
يتمثل السبب وراء عمل هذا الإجراء عندما يتم توصيل FW والمضيف بنفس الصفحة (دون إضافة الشبكة الفرعية L3Out) في أن الشبكات الفرعية المتصلة مباشرة تستخدم PCtag خاص من 1 الذي يتجاوز جميع العقود. هذا للسماح ضمنيا باتصالات بروتوكول المسار في سيناريو حالة الركن.
مع هذه المشغلات يمكن أن تمسك حركة مرور تدفق من 172.16.100.2 إلى 10.1.1.1 بينما على Leaf102:
leaf102# vsh_lc module-1# debug platform internal roc elam asic 0 module-1(DBG-elam)# trigger reset module-1(DBG-elam)# trigger init in-select 6 out-select 1 module-1(DBG-elam-insel6)# set outer ipv4 src_ip 172.16.100.2 dst_ip 10.1.1.1 module-1(DBG-elam-insel6)# start module-1(DBG-elam-insel6)# status ELAM STATUS =========== Asic 0 Slice 0 Status Triggered
يوضح هذا التقرير نتائج البحث:
module-1(DBG-elam-insel6)# ereport
Python available. Continue ELAM decode with LC Pkg
ELAM REPORT
======================================================================================================================================================
Captured Packet
======================================================================================================================================================
------------------------------------------------------------------------------------------------------------------------------------------------------
Outer L3 Header
------------------------------------------------------------------------------------------------------------------------------------------------------
L3 Type : IPv4
IP Version : 4
DSCP : 0
IP Packet Length : 84 ( = IP header(28 bytes) + IP payload )
Don't Fragment Bit : not set
TTL : 255
IP Protocol Number : ICMP
IP CheckSum : 32320( 0x7E40 )
Destination IP : 10.1.1.1 <<<----
Source IP : 172.16.100.2 <<<----
======================================================================================================================================================
Contract Lookup ( FPC )
======================================================================================================================================================
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Lookup Key
------------------------------------------------------------------------------------------------------------------------------------------------------
IP Protocol : ICMP( 0x1 )
L4 Src Port : 0( 0x0 )
L4 Dst Port : 19821( 0x4D6D )
sclass (src pcTag) : 1( 0x1 ) <<<----
dclass (dst pcTag) : 16388( 0x4004 ) <<<----
src pcTag is from local table : yes
derived from a local table on this node by the lookup of src IP or MAC
Unknown Unicast / Flood Packet : no
If yes, Contract is not applied here because it is flooded
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Result
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Drop : no <<<----
Contract Logging : no
Contract Applied : no <<<----
Contract Hit : yes
Contract Aclqos Stats Index : 81903
للتحقق من صحة تدفق الإرجاع:
module-1(DBG-elam-insel6)# trigger reset module-1(DBG-elam)# trigger init in-select 6 out-select 1 module-1(DBG-elam-insel6)# set outer ipv4 src_ip 10.1.1.1 dst_ip 172.16.100.2 module-1(DBG-elam-insel6)# start module-1(DBG-elam-insel6)# status ELAM STATUS =========== Asic 0 Slice 0 Status Triggered
نتائج البحث الخاصة بتدفق الإرجاع:
module-1(DBG-elam-insel6)# ereport
Python available. Continue ELAM decode with LC Pkg
ELAM REPORT
======================================================================================================================================================
Captured Packet
======================================================================================================================================================
------------------------------------------------------------------------------------------------------------------------------------------------------
Outer L3 Header
------------------------------------------------------------------------------------------------------------------------------------------------------
L3 Type : IPv4
IP Version : 4
DSCP : 0
IP Packet Length : 84 ( = IP header(28 bytes) + IP payload )
Don't Fragment Bit : not set
TTL : 255
IP Protocol Number : ICMP
IP CheckSum : 32198( 0x7DC6 )
Destination IP : 172.16.100.2 <<<----
Source IP : 10.1.1.1 <<<----
======================================================================================================================================================
Contract Lookup ( FPC )
======================================================================================================================================================
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Lookup Key
------------------------------------------------------------------------------------------------------------------------------------------------------
IP Protocol : ICMP( 0x1 )
L4 Src Port : 2048( 0x800 )
L4 Dst Port : 18134( 0x46D6 )
sclass (src pcTag) : 16388( 0x4004 ) <<<----
dclass (dst pcTag) : 1( 0x1 ) <<<----
src pcTag is from local table : yes
derived from a local table on this node by the lookup of src IP or MAC
Unknown Unicast / Flood Packet : no
If yes, Contract is not applied here because it is flooded
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Result
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Drop : no <<<----
Contract Logging : no
Contract Applied : no <<<----
Contract Hit : yes
Contract Aclqos Stats Index : 81903
يلخص هذا طاولة السلوك المتوقع على Gen2 مفتاح:
| سيناريو |
إتجاه |
إسقاط العقد |
عدم إسقاط العقد |
| عبر نفس الورقة تنفيذ سياسة التردد اللاسلكي: كلاهما |
X إلى L3Out |
X |
|
| L3Out إلى X |
X |
||
| عبر عقدتين من الورق تنفيذ سياسة VRF: مدخل |
X إلى L3Out |
X |
|
| L3Out إلى X |
X |
||
| عبر عقدتين من الورق تنفيذ سياسة VRF: مخرج |
X إلى L3Out |
X |
|
| L3Out إلى X |
X |
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
04-Aug-2022 |
الإصدار الأولي |
التعليقات