أستكشاف أخطاء سياسات الوصول إلى قائمة التحكم في الوصول (ACI) وإصلاحها
المحتويات
المقدمة
يصف هذا المستند خطوات فهم سياسات الوصول إلى ACI واستكشاف أخطائها وإصلاحها.
معلومات أساسية
استخرجت المادة من هذا المستند من أستكشاف أخطاء Cisco Application Centric Infrastructure وإصلاحها، الإصدار الثاني، وخاصة سياسات الوصول - نظرة عامة وسياسات الوصول - أستكشاف أخطاء سير العمل وإصلاحها فصول.
نظرة عامة على سياسات الوصول
كيف يقوم مسؤول قائمة التحكم في الوصول (ACI) بتكوين شبكة VLAN على منفذ في البنية؟ كيف يبدأ مسؤول قائمة التحكم في الوصول (ACI) في معالجة الأخطاء المتعلقة بنهج الوصول؟ يشرح هذا القسم كيفية أستكشاف أخطاء نهج الوصول إلى البنية وإصلاحها.
قبل الانتقال إلى سيناريوهات أستكشاف الأخطاء وإصلاحها، من الضروري أن يكون لدى القارئ فهم جيد لكيفية عمل سياسات الوصول وعلاقاتها داخل نموذج كائن قائمة التحكم في الوصول (ACI). لهذا الغرض، يمكن للقارئ أن يشير إلى كل من الوثائق "نموذج سياسة ACI" و"مرجع نموذج معلومات إدارة APIC" المتوفرة على Cisco.com (https://developer.cisco.com/site/apic-mim-ref-api/).
تتمثل وظيفة سياسات الوصول في تمكين تكوين محدد على منافذ التنزيل الخاصة بمحول طرفي. قبل تحديد سياسة المستأجر للسماح بحركة المرور من خلال منفذ بنية ACI، يجب وضع سياسات الوصول ذات الصلة في مكانها.
عادة، يتم تحديد سياسات الوصول عند إضافة محولات طرفية جديدة إلى البنية، أو اتصال جهاز بارتباطات واجهة التحكم في الوصول (ACI) الطرفية، ولكن وفقا لمدى ديناميكية البيئة، يمكن تعديل سياسات الوصول أثناء التشغيل العادي للنسيج. على سبيل المثال، للسماح بمجموعة جديدة من شبكات VLAN أو إضافة مجال موجه جديد إلى منافذ الوصول إلى البنية.
تتسم سياسات الوصول إلى قائمة التحكم في الوصول (ACI)، رغم ترهيبها في البداية بدرجة قليلة، بمرونة فائقة وهي مصممة لتبسيط إمداد التكوين لشبكة SDN واسعة النطاق في تطور مستمر.
تكوين نهج الوصول: المنهجية
يمكن تكوين سياسات الوصول بشكل مستقل، أي من خلال إنشاء جميع الكائنات المطلوبة بشكل مستقل، أو يمكن تحديدها من خلال المعالجات العديدة التي توفرها واجهة المستخدم الرسومية (GUI) الخاصة بالبنية الأساسية المرتكزة على التطبيقات.
تعد المعالجات مفيدة جدا لأنها توجه المستخدم خلال سير العمل وتأكد من وجود جميع السياسات المطلوبة في موضعها.
نهج الوصول — معالج البدء السريع
تظهر الصورة أعلاه صفحة البدء السريع حيث يمكن العثور على معالجات متعددة.
بمجرد تحديد نهج وصول، فإن التوصية العامة هي التحقق من صحة النهج من خلال التأكد من عدم إظهار كافة الكائنات المقترنة لأي خطأ.
على سبيل المثال، في الشكل أدناه، قام ملف تعريف المحول بتعيين سياسة محدد للواجهة غير موجودة. سيتمكن المستخدم اليقظ بسهولة من تحديد حالة الهدف المفقود" للكائن والتحقق من أنه تم تمييز خطأ من واجهة المستخدم الرسومية:
ملف تعريف الورقة — SwitchProfile_101
ملف تعريف الورقة — SwitchProfile_101 — صدع
في هذه الحالة، يكون تصحيح الخطأ سهلا مثل إنشاء ملف تعريف محدد واجهة جديد يسمى "سياسة".
وسيجري أستكشاف التكوين اليدوي لسياسات الوصول الأساسية في الفقرات التالية.
عمليات التهيئة الأساسية لدليل سياسات الوصول
عند نشر سياسات الوصول، يتم تعريف الكائنات للتعبير عن الاستخدام المقصود للروابط السفلية المحددة. يعتمد التصريح الذي يقوم ببرمجة الارتباطات السفلية (على سبيل المثال، تعيين منفذ EPG الثابت) على هذه النية المعلنة. وهذا يساعد على زيادة حجم التكوين وتجميع كائنات الاستخدام المماثلة بشكل منطقي، مثل المحولات أو المنافذ المتصلة بشكل خاص بجهاز خارجي معين.
يرجى الرجوع إلى المخطط أدناه لما تبقى من هذا الفصل.
مخطط تعريف سياسة الوصول للخادم ثنائي الإتجاه
يتم توصيل خادم ويب بنسيج قائمة التحكم في الوصول (ACI). يحتوي خادم الويب على بطاقتين لواجهة الشبكة (NICs) تم تكوينهما في منفذ LACP. يتم توصيل خادم الويب بالمنفذ 1/9 من المحولات الطرفية 101 و 102. يعتمد خادم الويب على VLAN-1501 ويجب أن يكون موجودا في EPG 'EPG-Web'.
تكوين سياسة المحول
الخطوة المنطقية الأولى هي تحديد المحولات الطرفية التي سيتم إستخدامها. سوف يحتوي 'ملف تعريف المحول' على 'محددي المحول' الذين يقومون بتعريف معرفات العقدة الطرفية التي سيتم إستخدامها.
نهج التحويل
تتمثل التوصية العامة في تكوين ملف تعريف محول واحد لكل محول طرفي فردي وملف تعريف محول واحد لكل زوج مجال VPC، باستخدام نظام تسمية يشير إلى العقد التي هي جزء من ملف التعريف.
تقوم "البداية السريعة" بنشر مخطط منطقي للتسمية يجعل من السهل فهم مكان تطبيقه. يتبع الاسم المكتمل تنسيق 'switch<node-id>_profile'. على سبيل المثال، سيكون 'SWITCH101_PROFILE' لملف تعريف محول يحتوي على عقدة طرفية 101 و SWITCH101-102_PROFILE لملف تعريف محول يحتوي على عقدتي طرفيتين 101 و 102 يجب أن تكونا جزءا من مجال VPC.
تكوين سياسة الواجهة
بمجرد إنشاء سياسات الوصول إلى المحول، سيكون تحديد الواجهات الخطوة المنطقية التالية. ويتم ذلك عن طريق إنشاء "ملف تعريف الواجهة" الذي يتكون من واحد أو أكثر من "محددات منفذ الوصول" التي تحتوي على تعريفات "كتلة المنفذ".
سياسات الواجهة
لتكوين العلاقة بين "ملف تعريف الواجهة" والمحولات المعنية، قم بربط "ملف تعريف المحول" ب "ملف تعريف الواجهة".
يمكن تعريف 'ملفات تعريف الواجهة' بعدة طرق. على غرار "ملفات تعريف المحولات"، يمكن إنشاء 'ملف تعريف واجهة' واحد لكل محول مادي مع 'ملف تعريف واجهة' لكل مجال VPC. يجب أن تحتوي هذه السياسات بعد ذلك على تخطيط من 1 إلى 1 لملف تعريف المحول المطابق لها. وباتباع هذا المنطق، تكون سياسات الوصول إلى البنية مبسطة إلى حد كبير مما يجعل من السهل على المستخدمين الآخرين فهمها.
يمكن أيضا إستخدام أنظمة التسمية الافتراضية المستخدمة من قبل "البدء السريع" هنا. وهو يتبع تنسيق '<switch profile name>_ifselector' للإشارة إلى إستخدام هذا التوصيف لتحديد الواجهات. يكون المثال 'SWITCH101_PROFILE_IFSELECTOR'. سيتم إستخدام هذا المثال "ملف تعريف الواجهة" لتكوين واجهات غير VPC على المحول الطرفي 101 ولن يتم إقرانه إلا بنهج الوصول "Switch101_Profile".
ملف تعريف المحول المرتبط بملف تعريف الواجهة
لاحظ أنه نظرا لأن "ملف تعريف الواجهة" مع ETH 1/9 مرتبط ب "ملف تعريف المحول" الذي يتضمن كلا من المحولين 101 و 102 لأوراق العمل، فإن توفير ETH1/9 على كلا عقدتي يبدأ في نفس الوقت.
عند هذه النقطة، تم تحديد المحولات الطرفية والمنافذ الخاصة بها. ستكون الخطوة المنطقية التالية هي تحديد خصائص هذه المنافذ. تسمح "مجموعة نهج الواجهة" بتعريف خصائص المنفذ هذه. سيتم إنشاء "مجموعة سياسات واجهة VPC" للسماح ب LACP Port-Channel أعلاه.
مجموعة السياسات
تقترن 'مجموعة سياسات واجهة VPC' ب 'مجموعة نهج الواجهة' من 'محدد منفذ الوصول' لتكوين العلاقة من محول/واجهة طرفية إلى خصائص المنفذ.
ملفات تعريف المحول والواجهة المدمجة
شكلت ال VPC
لإنشاء LACP port-channel عبر محولات طرفية، يجب تعريف مجال VPC بين المحول الطرفي 101 و 102. ويتم تحقيق ذلك من خلال تحديد "مجموعة حماية VPC" بين المحولين الطرفيين.
VPC
تكوين تجمعات VLAN
الخطوة المنطقية التالية ستكون لإنشاء شبكات VLAN التي سيتم إستخدامها على هذا المنفذ، في هذه الحالة VLAN-1501. يتم تعريف 'تجمع VLAN' مع 'كتل encap' هذا التكوين.
عند وضع حجم نطاقات تجمع VLAN في الاعتبار، تذكر أن معظم عمليات النشر تحتاج فقط إلى تجمع VLAN واحد وتجمع إضافي واحد إذا كنت تستخدم تكامل VMM. لإحضار شبكات VLAN من شبكة قديمة إلى واجهة التحكم في الوصول (ACI)، حدد نطاق شبكات VLAN القديمة كتجمع VLAN ثابت.
على سبيل المثال، لنفترض أن شبكات VLAN رقم 1-2000 يتم إستخدامها في بيئة قديمة. خلقت واحد VLAN بركة ساكن إستاتيكي أي يحتوي VLANs 1-2000. وهذا سيسمح بتوصيل مجالات جسر قائمة التحكم في الوصول (ACI) وبروتوكولات EPG نحو البنية القديمة. إن ينشر VMM، ثاني بركة حركي يستطيع كنت خلقت يستعمل مدى من VLAN {upper}id.
تجمع VLAN
تكوين المجالات
تتمثل الخطوة المنطقية التالية في إنشاء 'مجال'. يعرف 'domain' نطاق تجمع VLAN، أي أين سيتم تطبيق ذلك التجمع. يمكن أن يكون 'domain' ماديا أو ظاهريا أو خارجيا (ملتقى أو موجه). في هذا المثال، سيتم إستخدام "مجال فعلي" لتوصيل خادم معدني جديد في البنية. يقترن هذا "المجال" ب "تجمع VLAN" للسماح بالشبكة (شبكات) VLAN المطلوبة.
المجالات المادية
بالنسبة لمعظم عمليات النشر، يكون 'مجال فعلي' واحد كافيا لعمليات النشر الجديدة، بينما يكون 'مجال موجه' واحد كافيا لعمليات نشر L3Out. كلا يستطيع خططت إلى ال نفسه 'VLAN بركة'. إذا تم نشر البنية بطريقة متعددة الحيازات، أو إذا كان مطلوبا المزيد من التحكم متعدد المستويات لتقييد أي المستخدمين يمكنهم نشر شبكات EPG وشبكات VLAN معينة على منفذ ما، فيجب النظر في تصميم سياسة وصول أكثر إستراتيجية.
توفر "المجالات" أيضا وظيفة تقييد وصول المستخدم إلى السياسة باستخدام "مجالات الأمان" باستخدام التحكم في الوصول المستند إلى الأدوار (RBAC).
عند نشر شبكات VLAN على محول ما، ستقوم واجهة التحكم في الوصول (ACI) بتضمين وحدات بيانات بروتوكول الجسر (BPDUs) للشجرة المتفرعة باستخدام معرف VXLAN فريد يستند إلى المجال الذي جاءت منه شبكة VLAN. ولهذا السبب، من المهم إستخدام نفس المجال عند توصيل الأجهزة التي تتطلب اتصال بروتوكول الشجرة المتفرعة (STP) بالجسور الأخرى.
يتم إستخدام معرفات شبكات VLAN VXLAN أيضا للسماح لمحولات VPC بمزامنة عناوين MAC و IP التي تم التعرف عليها عبر أجهزة VPC. ونظرا لذلك، فإن أبسط تصميم لتجمعات شبكات VLAN هو إستخدام مجموعة واحدة لعمليات النشر الثابتة وإنشاء مجموعة ثانية لعمليات النشر الديناميكية.
تكوين ملف تعريف كيان الوصول الملحق (AEP)
تم الآن إكمال حزمتين رئيسيتين من تكوين نهج الوصول؛ وتعريفات المحول والواجهة، وتعريفات المجال/شبكة VLAN. سيعمل الكائن المسمى "ملف تعريف كيان الوصول الملحق" (AEP) على ربط هذين الجزأين معا.
يتم ربط "مجموعة السياسات" ب AEP في علاقة واحد إلى كثير مما يسمح ل AEP بتجميع الواجهات والمحولات معا التي تشترك في متطلبات سياسة مماثلة. وهذا يعني أنه يلزم الإشارة إلى حماية مستوى صوت (AEP) واحدة فقط عند تمثيل مجموعة من الواجهات على محولات معينة.
ملف تعريف كيان الوصول القابل الملحق
في معظم عمليات النشر، يجب إستخدام وحدة AEP واحدة للمسارات الثابتة ووحدة AEP إضافية لكل مجال VMM.
يتمثل أهم إعتبار في إمكانية نشر شبكات VLAN على الواجهات من خلال بروتوكول المصادقة والتفويض والمحاسبة (AEP). ويمكن القيام بذلك من خلال تعيين وحدات EPG إلى AEP مباشرة أو من خلال تكوين مجال VMM للتوفير المسبق. يعمل كلا التكوينين على جعل الواجهة المقترنة منفذ خط اتصال ('switchport mode trunk' على المحولات القديمة).
ولهذا السبب، من المهم إنشاء AEP منفصل ل L3Out عند إستخدام المنافذ الموجهة أو الواجهات الفرعية الموجهة. إذا تم إستخدام SVIs في L3Out، ليس من الضروري إنشاء AEP إضافي.
تكوين المستأجر و APP و EPG
يستخدم ACI وسيلة مختلفة لتعريف الاتصال باستخدام نهج قائم على السياسات.
يسمى كائن المستوى الأدنى 'مجموعة نقطة النهاية' (EPG). يتم إستخدام إنشاء EPG لتعريف مجموعة من الأجهزة الافتراضية (VMs) أو الخوادم (نقاط النهاية) بمتطلبات نهج مماثلة. يتم إستخدام 'ملفات تعريف التطبيق'، الموجودة تحت مستأجر، لتجميع EPGs معا بشكل منطقي.
المستأجر، التطبيق، و EPG
تتمثل الخطوة المنطقية التالية في ربط EPG بالمجال. وهذا يؤدي إلى إنشاء الارتباط بين الكائن المنطقي الذي يمثل حمل العمل الخاص بنا وبروتوكول EPG والمحولات/الواجهات المادية وسياسات الوصول.
EPG إلى إرتباط المجال
تكوين روابط EPG الثابتة
تتمثل الخطوة المنطقية الأخيرة في برمجة شبكة VLAN على واجهة محول لبروتوكول EPG محدد. وهذا مهم خصوصا إذا كان إستخدام مجال فعلي، لأن هذا النوع من المجال يتطلب تصريحا صريحا للقيام بذلك. وسيسمح ذلك بتوسيع نطاق مجموعة بروتوكولات الطاقة الكهربائية من البنية، كما سيسمح بتصنيف ملقم المعدن العاري في مجموعة بروتوكولات الطاقة الكهربائية.
روابط ثابتة
يلزم حل 'port encap' المشار إليه مقابل 'تجمع VLAN'. وإذا لم يكن الأمر كذلك، فسيتم وضع علامة على خطأ. تتم مناقشة ذلك في قسم "أستكشاف أخطاء سير العمل وإصلاحها" في هذا الفصل.
ملخص تكوين نهج الوصول
يلخص المخطط التالي كل كائن يخلق أن يسمح موصولية للمضيف من خلال VLAN-1501، يستعمل VPC توصيل إلى ورقة مفتاح 101 و 102.
اتصال واجهة التحكم في الوصول (ACI) للطراز Bare-Metal
توصيل الخوادم الإضافية
مع كل السياسات السابقة التي خلقت، ماذا يعني أن يربط واحد آخر نادل على ميناء ETH1/10 على ورقة مفتاح 101 و 102 مع ميناء قناة؟
بالإشارة إلى الرسم التخطيطي "اتصال قائمة التحكم في الوصول (ACI) للطراز Bare-Metal"، سيتعين إنشاء الحد الأدنى التالي:
- محدد منفذ وصول إضافي وكتلة منفذ.
- مجموعة نهج واجهة VPC إضافية.
- ربط ثابت إضافي باستخدام Encap للمنفذ.
لاحظ أنه بالنسبة لقنوات منفذ LACP، يجب إستخدام مجموعة سياسات مخصصة لواجهة VPC حيث أن مجموعة سياسات VPC هذه هي التي تحدد معرف VPC.
في حالة الارتباطات الفردية، يمكن إعادة إستخدام مجموعة نهج الواجهة غير VPC للخادم الإضافي إذا كان الارتباط يتطلب نفس خصائص المنفذ.
قد تبدو السياسات الناتجة كالصورة التالية.
يتم الآن توصيل الخادم 2 بالإعداد
ما هي الخطوة التالية؟
سيمر القسم التالي بعدد قليل من سيناريوهات فشل نهج الوصول، بدءا من المخطط وحالة الاستخدام التي تمت مناقشتها في هذه النظرة العامة.
أستكشاف أخطاء سير العمل وإصلاحها
يمكن مواجهة سيناريوهات أستكشاف الأخطاء وإصلاحها التالية عند العمل مع نهج الوصول:
- علاقة مفقودة بين وحدتين أو أكثر في نهج الوصول، مثل مجموعة نهج الوصول غير المرتبطة ب AEP.
- يتم ربط سياسة مفقودة أو غير متوقعة بنهج وصول محدد، مثل نهج LLDP المسمى "lldp_enabled"، بينما في الواقع يحتوي تكوين النهج على LLDP RX/tx معطل.
- قيمة مفقودة أو غير متوقعة في نهج الوصول، مثل تضمين معرف VLAN الذي تم تكوينه مفقود من تجمع VLAN الذي تم تكوينه.
- علاقة مفقودة بين EPG ونهج الوصول، مثل عدم وجود إرتباط مجال فعلي أو ظاهري ب EPG.
يتضمن معظم أستكشاف الأخطاء المذكورة أعلاه وإصلاحها المرور عبر علاقات سياسة الوصول لمعرفة ما إذا كانت هناك أي علاقات مفقودة، أو فهم أي السياسات تم تكوينها و/أو ما إذا كان التكوين يؤدي إلى السلوك المطلوب.
إستخدام "تكوين الواجهة و PC و VPC البدء السريع" لاستكشاف الأخطاء وإصلاحها
ضمن واجهة المستخدم الرسومية (GUI) ل APIC، يسهل معالج "تكوين الواجهة و PC و VPC" البدء السريع البحث عن سياسة الوصول من خلال تزويد المسؤول بطريقة عرض مجمعة لسياسات الوصول الموجودة. يمكن العثور على معالج البدء السريع هذا في واجهة المستخدم الرسومية (GUI) في:
'البنية > سياسات الوصول > البدء السريع > الخطوات > تكوين الواجهة والكمبيوتر الشخصي و VPC'.
موقع "تكوين الواجهة والكمبيوتر الشخصي وملف VPC" للبداية السريعة
على الرغم من أن المعالج لديه "تكوين" بالاسم، إلا أنه مفيد بشكل إستثنائي لتوفير طريقة عرض مجمعة للعديد من سياسات الوصول التي يجب تكوينها للحصول على الواجهات مبرمجة. ويعمل هذا التجميع كطريقة عرض واحدة لفهم السياسات المحددة بالفعل وتقليل عدد النقرات المطلوبة للبدء في عزل المشاكل المتعلقة بنهج الوصول بشكل فعال.
عند تحميل طريقة العرض "البدء السريع"، يمكن الإشارة إلى طريقة العرض "واجهات المحولات التي تم تكوينها" (الجزء العلوي الأيسر) لتحديد سياسات الوصول الموجودة. يجمع المعالج الإدخالات تحت المجلدات التي تمثل إما محولات طرفية فردية أو متعددة، حسب تكوين نهج الوصول.
كعرض توضيحي لقيمة المعالج، يتم عرض لقطات الشاشة للمعالج التالية، مع العلم بأن القارئ ليس لديه أي فهم سابق لمخطط البنية:
عرض توضيحي ل 'تكوين الواجهة والكمبيوتر الشخصي و VPC' البدء السريع
يظهر الجزء "واجهات المحولات التي تم تكوينها" تعيينات نهج الوصول. يظهر الجزء "أزواج محولات VPC" تعريفات مجموعة حماية VPC المكتملة.
يظهر الجدول أدناه مجموعة فرعية من تعريفات نهج الوصول المكتملة التي يمكن اشتقاقها من لقطة الشاشة الواردة أعلاه.
مجموعة فرعية من سياسات الوصول المكتملة التي يمكن اشتقاقها من طريقة عرض البدء السريع الواردة أعلاه
| عقدة التبديل |
الواجهة |
نوع مجموعة النهج |
نوع المجال |
VLANs |
| 101 |
1/31 |
إفراديا |
موجه (L3) |
2600 |
| 101 |
1/4 |
إفراديا |
فايس (معدن عاري) |
311-3..؟ |
| 103-104 |
1/10 |
VPC |
فايس (معدن عاري) |
100-3..؟ |
إدخالات أعمدة شبكة VLAN غير مكتملة عمدا نظرا لطريقة العرض الافتراضية.
وبالمثل، يمكن اشتقاق نهج "مجموعة حماية VPC" المكتملة من طريقة العرض "أزواج المحولات الخاصة بالأجهزة الافتراضية (VPC)" (الجزء السفلي الأيسر). بدون "مجموعات حماية VPC"، لا يمكن نشر أجهزة VPCs لأن هذا هو النهج الذي يحدد مجال VPC بين عقدتين طرفيتين.
ضع في الاعتبار أنه نظرا لتحجيم الجزء، فإن المدخلات الطويلة غير مرئية تماما. لعرض القيمة الكاملة لأي إدخال، قم بتحريك مؤشر الماوس فوق الحقل موضع الاهتمام.
يمر مؤشر الماوس فوق حقل "نوع الجهاز المرفق" لإدخال 103-104، int 1/10 VPC:
بتحريك الماوس فوق اللوحة، تكون المدخلات الكاملة مرئية.
مجموعة فرعية محدثة من سياسات الوصول المكتملة باستخدام تفاصيل عملية الماوس
| عقدة التبديل |
الواجهة |
نوع مجموعة النهج |
نوع المجال |
VLANs |
| 101 |
1/31 |
إفراديا |
موجه (L3) |
2600 |
| 101 |
1/4 |
إفراديا |
فايس (معدن عاري) |
311-320 |
| 103-104 |
1/10 |
VPC |
فايس (معدن عاري) |
100-300,900-999 |
| 103-104 |
1/10 |
VPC |
موجه (L3) |
100-300,900-999 |
يمكن الآن ملاحظة اقترانات الشبكة المحلية الظاهرية (VLAN) الكاملة وفهمها لاستكشاف الأخطاء وإصلاحها والتحقق منها.
سيناريوهات أستكشاف الأخطاء وإصلاحها
لسيناريوهات أستكشاف الأخطاء وإصلاحها التالية، راجع نفس المخطط من الفصل السابق.
الطبولوجيا من قسم "مقدمة" لسياسة الوصول
السيناريو 1: الخطأ F0467 — مسار غير صالح، مشاكل الشبكة
ينشأ هذا الخطأ عند إجراء إعلان محول/منفذ/شبكة VLAN دون وجود سياسات الوصول المطابقة للسماح بتطبيق التكوين بشكل صحيح. بناء على وصف هذا الخطأ، قد يكون هناك عنصر مختلف لعلاقة نهج الوصول مفقود.
بعد نشر ربط ساكن إستاتيكي لواجهة VPC الواردة أعلاه مع VLAN 1501 trunked بدون وجود علاقة سياسة الوصول المطابقة، يتم رفع الخطأ التالي على EPG:
خطأ: F0467
الوصف: خطأ التفويض: فشل التكوين لعقدة UNI/tn-prod1/ap-app1/epg-EPG-WEB 101 101_102_eth1_9 بسبب تكوين مسار غير صالح، وتكوين شبكة VLAN غير صالح، ورسالة تصحيح الأخطاء: غير صالح-vlan: vlan-1501: معرف مقطع STP غير موجود ل Encap. إما أن EPG غير مقترن بمجال أو أن المجال لا يحتوي على شبكة VLAN هذه المعينة له؛ مسار غير صالح: vlan-1501: لا يوجد مجال، مقترن بكل من EPG و Port، الذي يتطلب VLAN؛
من وصف الخطأ المذكور أعلاه، توجد بعض المؤشرات الواضحة بشأن ما يمكن أن يسبب حدوث الخطأ. هناك تحذير للتحقق من علاقات سياسة الوصول، بالإضافة إلى التحقق من اقتران المجال ب EPG.
عند مراجعة طريقة عرض "البدء السريع" في السيناريو الموضح أعلاه، من الواضح أن سياسة الوصول تفتقر إلى شبكات VLAN.
طريقة عرض البداية السريعة حيث يفتقد 101-102، Int 1/9 VPC شبكات VLAN
لاحظ أن الإدخال يفتقد مرجع إلى أي معرفات شبكات VLAN.
بمجرد تصحيحها، ستظهر طريقة عرض البدء السريع '(VLANs 1500-1510)'.
من 101 إلى 102، يظهر INT 1/9 VPC الآن Bare Metal (شبكات VLAN: من 1500 إلى 1510)
ومع ذلك، لا يزال خطأ EPG موجودا مع الوصف المحدث التالي للخطأ F0467:
خطأ: F0467
الوصف: خطأ التفويض: فشل التكوين لعقدة UNI/tn-prod1/ap-App1/epg-EPG-WEB 101 101_102_eth1_9 بسبب تكوين المسار غير الصحيح، رسالة تصحيح الأخطاء: مسار غير صالح: vlan-150: لا يوجد مجال، مقترن بكل من EPG و Port، يتطلب VLAN.
مع الخطأ المحدث أعلاه، تحقق من اقترانات مجال EPG للعثور على عدم وجود مجالات مرتبطة ب EPG.
EPG-Web لديه اقتران منافذ ثابتة، ولكنه يفتقد اقترانات المجال
بمجرد إقتران المجال الذي يحتوي على شبكة VLAN 1501 ب EPG، لا يتم رفع أية أخطاء أخرى.
السيناريو 2: تعذر تحديد VPC كمسار للنشر على منفذ EPG الثابت أو ملف تعريف واجهة L3Out المنطقي (SVI)
بينما يحاول أن يشكل VPC كمسار على EPG ساكن إستاتيكي ميناء أو L3Out منطقي قارن توصيف SVI مدخل، ال VPC خاص أن يكون نشرت لا يعرض كخيار يتوفر.
عند محاولة نشر ربط ثابت ل VPC، هناك متطلبان صلبين:
- يجب تعريف مجموعة الحماية الصريحة الخاصة بمعرف فئة المورد (VPC) لزوج المحولات الطرفية المعنية.
- يجب تحديد تعيين نهج الوصول الكامل.
يمكن التحقق من كلا الشرطين من طريقة عرض "البدء السريع" كما هو موضح أعلاه. إن لا يكون أي منهما كامل، ال VPC لن يظهر ببساطة كخيار يتوفر لروابط أيسر ساكن إستاتيكي.
السيناريو 3: الخطأ F0467 — تضمين البنية المستخدم بالفعل في بروتوكول EPG آخر
بشكل افتراضي، يكون لشبكات VLAN نطاق عام. هذا يعني أنه يمكن إستخدام معرف شبكة VLAN محدد ل EPG واحد فقط على محول طرفي معين. ستؤدي أي محاولة لإعادة إستخدام شبكة VLAN نفسها على نقاط EPG متعددة داخل محول طرفي معين إلى حدوث الخطأ التالي:
خطأ: F0467
الوصف: فشل التكوين لعقدة uni/tn-prod1/ap-app1/epg-EPG-BusinessApp 102 101_102_eth1_8 بسبب Encap المستخدم بالفعل في EPG آخر، رسالة تصحيح الأخطاء: encap-in-use بالفعل: Encap قيد الاستخدام من قبل Prod1:App1:EPG-Web؛
بخلاف تحديد شبكة VLAN مختلفة، هناك خيار آخر لجعل هذا التكوين يعمل وهو إعتبار إستخدام نطاق شبكة VLAN "المحلي للمنفذ". يسمح هذا مجال ل VLANs أن يكون عينت على أساس كل قارن لذلك هو يعني أن VLAN-1501 يستطيع كنت استعملت ل مختلف EPGs، عبر يتعدد قارن، على ال نفسه ورقة.
على الرغم من أن نطاق "Port Local" يتم ربطه على أساس مجموعة سياسات (تحديدا من خلال سياسة L2)، فإنه يتم تطبيقه على مستوى الورق.
موقع لتغيير إعداد "نطاق VLAN" داخل واجهة المستخدم الرسومية (GUI) ل APIC
قبل تنفيذ تكوين نطاق شبكة VLAN "المنفذ المحلي"، راجع "دليل تكوين شبكات Cisco APIC الطبقة 2" على Cisco.com لضمان أن تقييداته وقيود التصميم مقبولة لحالات الاستخدام والتصاميم المطلوبة.
الإشارات الخاصة
إظهار الاستخدام
على الرغم من أنه غير محدد للوصول إلى السياسات، يتوفر زر على معظم الكائنات في واجهة المستخدم الرسومية (GUI) التي يكون معنونا ب "إظهار الاستخدام". يقوم هذا الزر بإجراء بحث نهج موجود على الكائن المحدد لتحديد العقد/الواجهات الطرفية التي لها علاقة مباشرة به. يمكن أن يكون هذا مفيدا لكل من سيناريو البحث العام بالإضافة إلى الحصول على فهم لما إذا كان كائن أو سياسة معينة قيد الاستخدام حتى.
في لقطة الشاشة أدناه، يتم إستخدام AEP المحددة من قبل واجهتين مختلفتين. وهذا يعني ضمنا أن إجراء تعديل على سياسة الطاقة المتقدمة سيكون له تأثير مباشر على الواجهات المرتبطة.
تجمعات VLAN المتداخلة
بينما تتمثل وظيفة سياسات الوصول في السماح بنشر شبكة VLAN معينة على واجهة، فهناك إستخدام إضافي يجب مراعاته أثناء مرحلة التصميم. وعلى وجه الخصوص، يتم إستخدام المجال في حساب معرف VXLAN (المسمى تضمين البنية) المرتبط بعملية التضمين الخارجية. وفي حين أن هذه الوظيفة لا تؤثر بشكل عام على حركة مرور مستوى البيانات، فإن هذه المعرفات تكون ذات صلة بشكل خاص بمجموعة فرعية من البروتوكولات التي تتدفق عبر البنية، بما في ذلك وحدات بيانات بروتوكول الجسر (BPDUs) للشجرة الممتدة. إذا كان من المتوقع أن تقوم وحدات بيانات بروتوكول الجسر (BPDUs) التي تصل إلى VLAN-<id> على Leaf1 بالخروج من الوحدة الطرفية 2 (مثل وجود محولات قديمة تصل بين الشجرة المتفرعة عبر ACI)، فيجب أن يكون ل VLAN-<id> نفس البنية المضمنة على كلا عقدتي الورقة. إذا إختلفت قيمة encap الخاصة بالنسيج ل نفسه منفذ VLANs، فإن وحدات بيانات بروتوكول الجسر (BPDUs) لن تجتاز البنية.
كما ذكرنا في القسم السابق، تجنب تكوين شبكات VLAN نفسها في مجالات متعددة (VMM مقابل مادي، على سبيل المثال) ما لم يتم توخي الحذر الخاص لضمان أن كل مجال يتم تطبيقه فقط على مجموعة فريدة من المحولات الطرفية. لحظة أن كلا مجال يستطيع كنت حللت على ال نفسه ورقة مفتاح ل VLAN معطى، هناك فرصة أن أساسي VXLAN يستطيع كنت غيرت بعد تحسين (أو نظيف reload) أي يستطيع قادت مثلا إلى STP تقارب إصدار. هذا السلوك هو نتيجة لوجود قيمة رقمية فريدة لكل مجال (السمة 'base') يتم إستخدامها في المعادلة التالية لتحديد معرف VXLAN:
VXLAN VNID = base + (encap — من_encap)
للتحقق من المجالات التي يتم دفعها إلى ورقة معينة، يمكن تشغيل moquery مقابل الفئة 'stpAllocEncapBlkDef':
leaf# moquery -c stpAllocEncapBlkDef
# stp.AllocEncapBlkDef
encapBlk : uni/infra/vlanns-[physvlans]-dynamic/from-[vlan-1500]-to-[vlan-1510]
base : 8492
dn : allocencap-[uni/infra]/encapnsdef-[uni/infra/vlanns-[physvlans]-dynamic]/allocencapblkdef-[uni/infra/vlanns-[physvlans]-dynamic/from-[vlan-1500]-to-[vlan-1510]]
from : vlan-1500
to : vlan-1510
من هذا الإخراج، ميز تعريفات سياسة الوصول التالية:
- هناك تجمع VLAN مبرمج مع كتلة من VLANs يعرف VLANs بشكل صريح VLANs 1500-1510.
- هذا الكتلة من شبكات VLAN مرتبطة بمجال يسمى 'PhysVLANs'.
- القيمة الأساسية المستخدمة في حساب VXLAN هي 8492.
- سيكون حساب VXLAN الناتج ل VLAN-1501 هو 8492+ (1501-1500) = 8493 كعملية كبسلة البنية.
يمكن التحقق من معرف VXLAN الناتج (في هذا المثال، 8493) باستخدام الأمر التالي:
leaf# show system internal epm vlan all
+----------+---------+-----------------+----------+------+----------+-----------
VLAN ID Type Access Encap Fabric H/W id BD VLAN Endpoint
(Type Value) Encap Count
+----------+---------+-----------------+----------+------+----------+-----------
13 Tenant BD NONE 0 16121790 18 13 0
14 FD vlan 802.1Q 1501 8493 19 13 0
إن هناك أي VLAN بركة آخر يحتوي VLAN-1501 أن يحصل دفع إلى ال نفسه ورقة، تحسين أو إعادة تحميل نظيف يستطيع احتماليا انتزاع قيمة أساسية فريد (وبعد ذلك بناء مختلف Encap) أي سيسبب BPDUs أن يتوقف هو إلى آخر ورقة أي من المتوقع أن يستلم BPDUs على VLAN-1501.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
05-Aug-2022 |
الإصدار الأولي |
التعليقات