أستكشاف أخطاء ACI L3Out وإصلاحها - الشبكة الفرعية 0.0.0.0/0 و System PCtag 15

خيارات التنزيل

  • PDF     (704.6 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (488.6 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (345.1 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١ سبتمبر ٢٠٢٢
معرّف المستند:218113

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند اشتقاق PcTag للشبكة الفرعية 0.0.0.0/0 عند تعريفه في EPG L3Out.

    معلومات أساسية

    يلخص قسم "L3Out EPG مع 0.0.0.0/0 subnet" من دليل عقد قائمة التحكم في الوصول 0.0.0.0/0 مع "الشبكات الفرعية الخارجية ل EPG الخارجي" تصنيف حركة مرور النطاق كما يلي:

    • يتم تعيين معرف فئة المصدر (sclass) لبادئة L3Out التي تعد أطول بادئة مطابقة لشبكة فرعية تم تكوينها 0.0.0.0/0 لمعرف فئة المصدر (SCLASS) الخاص ب VRF PCtag.
    • يتم تعيين حركة المرور الموجهة إلى EPG L3Out التي تعد أطول بادئة مطابقة لشبكة فرعية تم تكوينها 0.0.0.0/0 لمعرف فئة الوجهة (dclass) من 15، وهو System PcTag. 

    يحتوي قسم "إستثناء 0.0.0.0/0 مع الشبكات الفرعية الخارجية ل EPG الخارجي" من التقرير الرسمي لACI L3Out على تحذير:

    "...وعلى الرغم من أنه لا يوصى بذلك، يمكنك تكوين 0.0.0.0/0 باستخدام "الشبكات الفرعية الخارجية ل EPG الخارجي" في العديد من ملقمات L3Out في نفس VRF.. بينما يتم السماح بهذا التكوين، يحدث نشر عقد غير مقصود...

    وتتناول هذه المقالة مسألة نشر العقد غير المقصود.

    التكوين

    مخطط الطوبولوجيا

    Topoligy

    مميزات التكوين

    • العقد الطرفية 301 و 303 هي عقد ورقية حدودية
    • عقدة الورق 302 هي ورقة غير حدود
    • يحتوي L3Out-1-EEPG، الموجود على الورقة الحدودية 301، على شبكة فرعية 0.0.0.0/0 تحتوي على "شبكات فرعية خارجية ل EPG الخارجي"
    • يوفر L3Out-1-EEPG عقدا
    • EPG، على ورقة غير حدودية 302، يستهلك نفس العقد

    L3Out-1-EEPG with 0.0.0.0/0 Subnet

    التحقق من الصحة

    VRF مع تنفيذ سياسة "مدخل"

    قواعد تقسيم أوراق الأشجار غير الحدودية

    كما هو موضح في قسم معلومات الخلفية، تحصل حركة المرور الموجهة إلى الشبكات خلف L3Out هذا على أطول تطابق للبادئة على الشبكة الفرعية 0.0.0.0/0 التي تم تكوينها على فئة وجهة (pcTag) من 15.

    هذا هو جدول قواعد تقسيم المناطق على الورقة غير الحدودية 302 ل VRF "v1" (معرف المقطع 2129920):

    Leaf-302#  show zoning-rule scope 2129920
+---------+--------+--------+----------+---------+---------+---------+------------------+----------+----------------------+
| Rule ID | SrcEPG | DstEPG | FilterID |   Dir   |  operSt |  Scope  |       Name       |  Action  |       Priority       |
+---------+--------+--------+----------+---------+---------+---------+------------------+----------+----------------------+
|   4107  |   0    |   0    | implarp  | uni-dir | enabled | 2129920 |                  |  permit  |  any_any_filter(17)  |
|   4106  |   0    |   0    | implicit | uni-dir | enabled | 2129920 |                  | deny,log |   any_any_any(21)    |
|   4105  |   0    | 49155  | implicit | uni-dir | enabled | 2129920 |                  |  permit  |   any_dest_any(16)   |
|   4108  |   0    |   15   | implicit | uni-dir | enabled | 2129920 |                  | deny,log | any_vrf_any_deny(22) |
|   4112  | 16386  | 49156  | default  | uni-dir | enabled | 2129920 | tn1:EPG_to_L3Out |  permit  |    src_dst_any(9)    |
|   4111  | 49156  |   15   | default  | uni-dir | enabled | 2129920 | tn1:EPG_to_L3Out |  permit  |    src_dst_any(9)    |
+---------+--------+--------+----------+---------+---------+---------+------------------+----------+----------------------+

    هناك قاعدتان تم تركيبهما نتيجة للعقد بين L3Out-1-EEPG و EPG (49156):

    • والقاعدة 4112 هي لحركة المرور الخارجية التي يتم الحصول عليها من L3Out EPG مع 0.0.0.0/0 LPM الموجهة إلى EPG.
      • يصنف تدفق حركة المرور مع فئة VRF PcTag (16386) وفئة EPG (49156) .
    • القاعدة 4111 هي لحركة المرور المستمدة من EPG الموجه إلى L3Out EPG مع 0.0.0.0/0 LPM.
      • يصنف تدفق حركة المرور مع فئة EPG (49156) وفئة System PcTag 15

    قواعد تقسيم الورقة الحدودية

    لا تحتوي عقدة الورقة الحدودية 301 على قواعد تقسيم المناطق نفسها الخاصة بالعقدة الطرفية غير الحدودية 302 بسبب تنفيذ سياسة VRF التي تم تعيينها على "مدخل" (القيمة الافتراضية). من المتوقع تطبيق نهج هذه الأنواع من التدفقات على العقد الطرفية غير الحدودية.

    Leaf-301# show zoning-rule scope 2129920
+---------+--------+--------+----------+---------+---------+---------+------+----------+----------------------+
| Rule ID | SrcEPG | DstEPG | FilterID |   Dir   |  operSt |  Scope  | Name |  Action  |       Priority       |
+---------+--------+--------+----------+---------+---------+---------+------+----------+----------------------+
|   4105  |   0    |   0    | implarp  | uni-dir | enabled | 2129920 |      |  permit  |  any_any_filter(17)  |
|   4107  |   0    |   0    | implicit | uni-dir | enabled | 2129920 |      | deny,log |   any_any_any(21)    |
|   4106  |   0    |   15   | implicit | uni-dir | enabled | 2129920 |      | deny,log | any_vrf_any_deny(22) |
|   4108  |   0    | 16387  | implicit | uni-dir | enabled | 2129920 |      |  permit  |   any_dest_any(16)   |
+---------+--------+--------+----------+---------+---------+---------+------+----------+----------------------+

    *No entry for 16386 to 49156 , or 49156 to 15*

    EPG إلى L3Out ELAM

    تم إختبار الاتصال من نقطة نهاية EPG 192.168.1.1 إلى IP خلف L3Out-1-EEPG بنجاح:

    Host# ping 10.1.1.1 count 10000 int 1
PING 10.1.1.1 (10.1.1.1): 56 data bytes
64 bytes from 10.1.1.1: icmp_seq=0 ttl=252 time=1.063 ms
64 bytes from 10.1.1.1: icmp_seq=1 ttl=252 time=0.92 ms
64 bytes from 10.1.1.1: icmp_seq=2 ttl=252 time=0.963 ms

    تؤكد ELAM الخاصة بحركة مرور EPG إلى L3Out على الورقة غير الحدودية 302 (بوابة EPG):

    1. الربط يتلقى المصدر والوجهة المتوقع ip: مصدر ip:192.168.1.1، غاية ip: 10.1.1.1
    2. فئة المصدر (sclass) هي EPG PCtag 49156
    3. فئة الوجهة (dclass) هي System PCtag 15، حيث تطابق البادئة 10.1.1.0/24 الأطول الشبكة الفرعية 0.0.0.0/0 على L3Out-1-EEPG
    4. تم تطبيق النهج على هذه العقدة 302، العقدة الطرفية غير الحدودية.
    Leaf-302# ereport
======================================================================================================================================================
                                                            Captured Packet                                                                           
======================================================================================================================================================
...snip...
------------------------------------------------------------------------------------------------------------------------------------------------------
Outer L2 Header
------------------------------------------------------------------------------------------------------------------------------------------------------
Destination MAC               : 0022.BDF8.19FF                          
Source MAC                    : AAAA.AAAA.2222                          
802.1Q tag is valid           : yes( 0x1 )                              
CoS                           : 0( 0x0 )                                
Access Encap VLAN             : 192( 0xC0 )                             

------------------------------------------------------------------------------------------------------------------------------------------------------
Outer L3 Header
------------------------------------------------------------------------------------------------------------------------------------------------------
L3 Type                       : IPv4                                    
...                       
IP Protocol Number            : ICMP                                    
IP CheckSum                   : 63781( 0xF925 )                         
Destination IP                : 10.1.1.1                                
Source IP                     : 192.168.1.1       
...
======================================================================================================================================================
                                                                Contract Lookup ( FPC )
======================================================================================================================================================

------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Lookup Key
------------------------------------------------------------------------------------------------------------------------------------------------------
IP Protocol                             : ICMP( 0x1 )                   
L4 Src Port                             : 2048( 0x800 )                 
L4 Dst Port                             : 43014( 0xA806 )               
sclass (src pcTag)                      : 49156( 0xC004 )               
dclass (dst pcTag)                      : 15( 0xF )                     
src pcTag is from local table           : yes                           
...

------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Result
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Drop                           : no                            
Contract Logging                        : no                            
Contract Applied                        : yes                           
Contract Hit                            : yes                           
Contract Aclqos Stats Index             : 81875                         
( show sys int aclqos zoning-rules | grep -B 9 "Idx: 81875" )

    يمكن إدخال الأمر المعطى بواسطة التقرير للحصول على تحقق إضافي من صحة قاعدة تقسيم المناطق التي تم الوصول إليها:

    module-1(DBG-elam-insel6)# show sys int aclqos zoning-rules | grep -B 9 "Idx: 81875"
===========================================
Rule ID: 4111 Scope 6 Src EPG: 49156 Dst EPG: 15 Filter 65535
    unit_id: 0
    === Region priority: 2462 (rule prio: 9 entry: 158)===
        sw_index = 46 | hw_index = 45 | stats_idx = 81875 

  Curr TCAM resource:
  =============================
    === SDK Info ===
        Result/Stats Idx: 81875

    L3Out إلى EPG ELAM

    يحصل تدفق المرتجعات على سياسة مطبقة على العقدة الطرفية 302 غير الحدودية. من المتوقع حدوث ذلك عند تعيين تنفيذ سياسة VRF على "مدخل".

    Leaf-302# ereport
    ...    
------------------------------------------------------------------------------------------------------------------------------------------------------
Inner L3 Header
------------------------------------------------------------------------------------------------------------------------------------------------------
L3 Type                       : IPv4                                    
DSCP                          : 0                                       
Don't Fragment Bit            : 0x0                                     
TTL                           : 254                                     
IP Protocol Number            : ICMP                                    
Destination IP                : 192.168.1.1                              
Source IP                     : 10.1.1.1                                 
                 
======================================================================================================================================================
                                                                Contract Lookup ( FPC )
======================================================================================================================================================

------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Lookup Key
------------------------------------------------------------------------------------------------------------------------------------------------------
IP Protocol                             : ICMP( 0x1 )                   
L4 Src Port                             : 0( 0x0 )                      
L4 Dst Port                             : 60691( 0xED13 )               
sclass (src pcTag)                      : 16386( 0x4002 )                
dclass (dst pcTag)                      : 49156( 0xC004 )                
src pcTag is from local table           : no                            
derived from group-id in iVxLAN header of incoming packet
Unknown Unicast / Flood Packet          : no                            
If yes, Contract is not applied here because it is flooded

------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Result
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Drop                           : no                            
Contract Logging                        : no                            
 Contract Applied                        : yes                            
 Contract Hit                            : yes                            
 Contract Aclqos Stats Index             : 81874                          
( show sys int aclqos zoning-rules | grep -B 9 "Idx: 81874" )

    المزيد من التحقق:

    module-1(DBG-elam-insel14)# show sys int aclqos zoning-rules | grep -B 9 "Idx: 81874"
===========================================
Rule ID: 4112 Scope 6 Src EPG: 16386 Dst EPG: 49156 Filter 65535
    unit_id: 0
    === Region priority: 2462 (rule prio: 9 entry: 158)===
        sw_index = 47 | hw_index = 46 | stats_idx = 81874 

  Curr TCAM resource:
  =============================
    === SDK Info ===
        Result/Stats Idx: 81874
module-1(DBG-elam-insel14)#

    VRF مع تنفيذ سياسة "مخرج"

    قواعد تقسيم أوراق الأشجار غير الحدودية

    مع تعيين تنفيذ سياسة VRF على "مخرج"، يتم نشر قواعد العقد ل L3Out على كل من العقد الطرفية الحدودية وغير الحدودية. ونتيجة لذلك، يستهلك هذا التكوين مساحة TCAM إضافية مقارنة بتطبيق "الدخول". هذا التكوين ليس القيمة الافتراضية، وإذا تم إستخدامه، فيجب مراعاته بعناية.

    عقدة الورق غير الحدودية 302 لها قاعدتي تقسيم، واحدة لكل إتجاه تدفق:

    Leaf-302# show zoning-rule scope 2129920
+---------+--------+--------+----------+---------+---------+---------+------------------+----------+----------------------+
| Rule ID | SrcEPG | DstEPG | FilterID |   Dir   |  operSt |  Scope  |       Name       |  Action  |       Priority       |
+---------+--------+--------+----------+---------+---------+---------+------------------+----------+----------------------+
|   4107  |   0    |   0    | implarp  | uni-dir | enabled | 2129920 |                  |  permit  |  any_any_filter(17)  |
|   4106  |   0    |   0    | implicit | uni-dir | enabled | 2129920 |                  | deny,log |   any_any_any(21)    |
|   4105  |   0    | 49155  | implicit | uni-dir | enabled | 2129920 |                  |  permit  |   any_dest_any(16)   |
|   4108  |   0    |   15   | implicit | uni-dir | enabled | 2129920 |                  | deny,log | any_vrf_any_deny(22) |
|   4112  | 16386  | 49156  | default  | uni-dir | enabled | 2129920 | tn1:EPG_to_L3Out |  permit  |    src_dst_any(9)    | 
|   4111  | 49156  |   15   | default  | uni-dir | enabled | 2129920 | tn1:EPG_to_L3Out |  permit  |    src_dst_any(9)    | 
+---------+--------+--------+----------+---------+---------+---------+------------------+----------+----------------------+

    قواعد تقسيم الورقة الحدودية

    من خلال تطبيق سياسة "الخروج"، تحتوي عقدة الورقة الحدودية 301 أيضا على قاعدتين إضافيتين لتقسيم المناطق:

    Leaf-301# show zoning-rule scope 2129920
+---------+--------+--------+----------+---------+---------+---------+------------------+----------+----------------------+
| Rule ID | SrcEPG | DstEPG | FilterID |   Dir   |  operSt |  Scope  |       Name       |  Action  |       Priority       |
+---------+--------+--------+----------+---------+---------+---------+------------------+----------+----------------------+
|   4105  |   0    |   0    | implarp  | uni-dir | enabled | 2129920 |                  |  permit  |  any_any_filter(17)  |
|   4107  |   0    |   0    | implicit | uni-dir | enabled | 2129920 |                  | deny,log |   any_any_any(21)    |
|   4106  |   0    |   15   | implicit | uni-dir | enabled | 2129920 |                  | deny,log | any_vrf_any_deny(22) |
|   4108  |   0    | 16387  | implicit | uni-dir | enabled | 2129920 |                  |  permit  |   any_dest_any(16)   |
|   4109  | 16386  | 49156  | default  | uni-dir | enabled | 2129920 | tn1:EPG_to_L3Out |  permit  |    src_dst_any(9)    | 
|   4110  | 49156  |   15   | default  | uni-dir | enabled | 2129920 | tn1:EPG_to_L3Out |  permit  |    src_dst_any(9)    | 
+---------+--------+--------+----------+---------+---------+---------+------------------+----------+----------------------+

    EPG إلى L3Out ELAM

    تم إختبار الاتصال من نقطة النهاية 192.168.1.1 إلى الشبكة خلف L3Out بنجاح:

    Host# ping 10.1.1.1 count 10000 int 1
PING 10.1.1.1 (10.1.1.1): 56 data bytes
64 bytes from 10.1.1.1: icmp_seq=0 ttl=252 time=1.319 ms
64 bytes from 10.1.1.1: icmp_seq=1 ttl=252 time=0.962 ms
64 bytes from 10.1.1.1: icmp_seq=2 ttl=252 time=0.958 ms
64 bytes from 10.1.1.1: icmp_seq=3 ttl=252 time=1.093 ms

    تشير ELAM على عقدة الأوراق غير الحدودية 302 إلى أن السياسة لم تطبق على هذه الورقة. وبالإضافة إلى ذلك، فقد قامت بالتقاط فئة System PCtag 1 للسماح للتدفق بالوصول إلى العقدة الطرفية التالية في التدفق:

    Leaf-302# ereport
======================================================================================================================================================
                                                            Captured Packet                                                                           

------------------------------------------------------------------------------------------------------------------------------------------------------
Outer L3 Header
------------------------------------------------------------------------------------------------------------------------------------------------------
...                              
IP Protocol Number            : ICMP                                    
IP CheckSum                   : 26943( 0x693F )                         
Destination IP                : 10.1.1.1                                 
Source IP                     : 192.168.1.1                             

======================================================================================================================================================
                                                                Contract Lookup ( FPC )
======================================================================================================================================================

------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Lookup Key
------------------------------------------------------------------------------------------------------------------------------------------------------
IP Protocol                             : ICMP( 0x1 )                   
L4 Src Port                             : 2048( 0x800 )                 
L4 Dst Port                             : 27360( 0x6AE0 )               
sclass (src pcTag)                      : 49156( 0xC004 )                
dclass (dst pcTag)                      : 1( 0x1 )                       
...

------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Result
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Drop                           : no                            
Contract Logging                        : no                            
Contract Applied                        : no                            
Contract Hit                            : yes                           
Contract Aclqos Stats Index             : 81903                         
( show sys int aclqos zoning-rules | grep -B 9 "Idx: 81903" )

    تشير ELAM على عقدة أوراق الحدود 301 إلى تطبيق السياسة على هذه العقدة. كما أنها حصلت على فئة System PCtag 15. هذا يعني أنها أطول بادئة مطابقة على إدخال 0.0.0.0/0 L3Out للشبكة الفرعية:

    Leaf-301# ereport
======================================================================================================================================================
                                                            Captured Packet                                                                           
======================================================================================================================================================

------------------------------------------------------------------------------------------------------------------------------------------------------
Inner L3 Header
------------------------------------------------------------------------------------------------------------------------------------------------------
...                                   
IP Protocol Number            : ICMP                                    
Destination IP                : 10.1.1.1                                
Source IP                     : 192.168.1.1                             

======================================================================================================================================================
                                                                Contract Lookup ( FPC )
======================================================================================================================================================

------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Lookup Key
------------------------------------------------------------------------------------------------------------------------------------------------------
IP Protocol                             : ICMP( 0x1 )                   
L4 Src Port                             : 2048( 0x800 )                 
L4 Dst Port                             : 40498( 0x9E32 )               
sclass (src pcTag)                      : 49156( 0xC004 )               
dclass (dst pcTag)                      : 15( 0xF )                     
src pcTag is from local table           : no                            
derived from group-id in iVxLAN header of incoming packet
Unknown Unicast / Flood Packet          : no                            
If yes, Contract is not applied here because it is flooded

------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Result
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Drop                           : no                            
Contract Logging                        : no                            
Contract Applied                        : yes                           
Contract Hit                            : yes                           
Contract Aclqos Stats Index             : 81874                         
( show sys int aclqos zoning-rules | grep -B 9 "Idx: 81874" )
...

    
module-1(DBG-elam-insel14)# show sys int aclqos zoning-rules | grep -B 9 "Idx: 81874"
===========================================
Rule ID: 4110 Scope 6 Src EPG: 49156 Dst EPG: 15 Filter 65535
    unit_id: 0
    === Region priority: 2462 (rule prio: 9 entry: 158)===
        sw_index = 47 | hw_index = 46 | stats_idx = 81874 

  Curr TCAM resource:
  =============================
    === SDK Info ===
        Result/Stats Idx: 81874

    L3Out إلى EPG ELAM

    هناك تحذير مع تدفق الإرجاع في هذا الإعداد:

    • لا تحتوي عقدة الورقة الحدودية 301 على معرفة نقطة نهاية ل 192.168.1.1.
    Leaf-301# show endpoint ip 192.168.1.1
    Legend:
    S - static s - arp L - local O - peer-attached 
    V - vpc-attached a - local-aged p - peer-aged M - span 
    B - bounce H - vtep R - peer-attached-rl D - bounce-to-proxy 
    E - shared-service m - svc-mgr 
    +-----------------------------------+---------------+-----------------+--------------+-------------+
    VLAN/ Encap MAC Address MAC Info/ Interface
    Domain VLAN IP Address IP Info
    +-----------------------------------+---------------+-----------------+--------------+-------------+
    ...empty...

    ونتيجة لذلك، لا يتم تطبيق النهج على العقدة الطرفية الحدودية 301 لهذا التدفق ويجب السماح له بشكل ضمني بالوصول إلى الورقة التالية:

    Leaf-301# ereport
======================================================================================================================================================
                                                            Captured Packet                                                                           
======================================================================================================================================================
------------------------------------------------------------------------------------------------------------------------------------------------------
Outer L3 Header
------------------------------------------------------------------------------------------------------------------------------------------------------
...                              
IP Protocol Number            : ICMP                                    
IP CheckSum                   : 25157( 0x6245 )                         
Destination IP                : 192.168.1.1                             
Source IP                     : 10.1.1.1                                

======================================================================================================================================================
                                                                Contract Lookup ( FPC )
======================================================================================================================================================

------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Lookup Key
------------------------------------------------------------------------------------------------------------------------------------------------------
IP Protocol                             : ICMP( 0x1 )                   
L4 Src Port                             : 0( 0x0 )                      
L4 Dst Port                             : 33570( 0x8322 )               
sclass (src pcTag)                      : 16386( 0x4002 )               
dclass (dst pcTag)                      : 1( 0x1 )                      
src pcTag is from local table           : yes                           
derived from a local table on this node by the lookup of src IP or MAC
Unknown Unicast / Flood Packet          : no                            
If yes, Contract is not applied here because it is flooded

------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Result
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Drop                           : no                            
Contract Logging                        : no                            
Contract Applied                        : no                            
Contract Hit                            : yes                           
Contract Aclqos Stats Index             : 81903                         
( show sys int aclqos zoning-rules | grep -B 9 "Idx: 81903" )

    بدلا من ذلك، يتم تطبيق النهج على العقدة الطرفية 302 غير الحدودية:

    Leaf-302# ereport
======================================================================================================================================================
                                                            Captured Packet                                                                           
======================================================================================================================================================
 
------------------------------------------------------------------------------------------------------------------------------------------------------
Inner L3 Header
------------------------------------------------------------------------------------------------------------------------------------------------------
...                                 
IP Protocol Number            : ICMP                                    
Destination IP                : 192.168.1.1                             
Source IP                     : 10.1.1.1                                 

======================================================================================================================================================
                                                                Contract Lookup ( FPC )
======================================================================================================================================================

------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Lookup Key
------------------------------------------------------------------------------------------------------------------------------------------------------
IP Protocol                             : ICMP( 0x1 )                   
L4 Src Port                             : 0( 0x0 )                      
L4 Dst Port                             : 61057( 0xEE81 )               
sclass (src pcTag)                      : 16386( 0x4002 )               
dclass (dst pcTag)                      : 49156( 0xC004 )               
src pcTag is from local table           : no                            
derived from group-id in iVxLAN header of incoming packet
Unknown Unicast / Flood Packet          : no                            
If yes, Contract is not applied here because it is flooded

------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Result
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Drop                           : no                            
Contract Logging                        : no                            
Contract Applied                        : yes                           
Contract Hit                            : yes                           
Contract Aclqos Stats Index             : 81874                         
( show sys int aclqos zoning-rules | grep -B 9 "Idx: 81874" )
...

    
module-1(DBG-elam-insel14)# show sys int aclqos zoning-rules | grep -B 9 "Idx: 81874"
===========================================
Rule ID: 4112 Scope 6 Src EPG: 16386 Dst EPG: 49156 Filter 65535
    unit_id: 0
    === Region priority: 2462 (rule prio: 9 entry: 158)===
        sw_index = 47 | hw_index = 46 | stats_idx = 81874 

  Curr TCAM resource:
  =============================
    === SDK Info ===
        Result/Stats Idx: 81874

    إذا كانت عقدة ورقة الحدود 301 تحتوي على نقطة نهاية تعرف على 192.168.1.1، كان سيتم تطبيق النهج على هذه العقدة.

    استكشاف الأخطاء وإصلاحها

    السيناريو - السماح غير المقصود

    يمكن أن يتيح النشر الذي يحتوي على نقاط وصول متعددة من السلسلة L3Out في نفس بروتوكول VRF الذي تم تكوينه باستخدام الشبكة الفرعية 0.0.0.0/0 باستخدام "الشبكات الفرعية الخارجية لبروتوكول EPG الخارجي" لحركة مرور البيانات إلى الوجهات الخارجية بشكل غير متوقع.

    وللحث على ذلك، أضف الشبكة الفرعية 0.0.0.0/0 تحت L3Out-2-EEPG والتي تكون في نفس VRF مثل L3Out-1-EEPG.

    L3Out-2-EEPG with 0.0.0.0/0 Subnet

    لا توجد عقود على L3Out-2-EEPG، لذلك نتوقع إسقاط حركة المرور بشكل افتراضي:

    L3Out-2-EEPG without contracts

    ومع ذلك، نجح إختبار الاتصال من نقطة نهاية EPG 192.168.1.1 إلى الوجهة 10.2.2.2 خلف L3Out-2-EEPG. هذا غير متوقع!

    Host# ping 10.2.2.2 
PING 10.2.2.2 (10.2.2.2): 56 data bytes
64 bytes from 10.2.2.2: icmp_seq=0 ttl=252 time=0.881 ms
64 bytes from 10.2.2.2: icmp_seq=1 ttl=252 time=0.801 ms
64 bytes from 10.2.2.2: icmp_seq=2 ttl=252 time=0.877 ms
64 bytes from 10.2.2.2: icmp_seq=3 ttl=252 time=0.827 ms

    تظهر كل من البادئة route و policy-mgr أن حركة المرور الموجهة إلى 10.2.2.2 في هذا VRF معينة إلى System PcTag 15

    Leaf-302# vsh_lc -c "show forward route 10.2.2.2 platform vrf tn1:v1" 
...
Policy Prefix 0.0.0.0/0

SDK Information:
vrf: 7(0x7), routed_if: 0x0 epc_class: 15(0xf)
...


Leaf-302# vsh -c "show system internal policy-mgr prefix"
Requested prefix data

Vrf-Vni VRF-Id Table-Id Table-State  VRF-Name                    Addr                                Class Shared Remote Complete Svc_ena
======= ======  =========== =======  ============================ ================================= ====== ====== ====== ======== ========
...  
2129920 7      0x7           Up     tn1:v1                                               0.0.0.0/0   15      False  False  False    False   
2129920 7      0x80000007    Up     tn1:v1                                                    ::/0   15      False  False  False    False   

Leaf-302#

    يتحقق ELAM الموجود على عقدة الورق غير الحدودية 302 من تصنيف حركة المرور باستخدام فئة System PCtag 15.

    Leaf-302# ereport
    ======================================================================================================================================================
                                                            Captured Packet                                                                           
======================================================================================================================================================
------------------------------------------------------------------------------------------------------------------------------------------------------
Outer L3 Header
------------------------------------------------------------------------------------------------------------------------------------------------------
...                                  
IP Protocol Number            : ICMP                                    
IP CheckSum                   : 14444( 0x386C )                         
Destination IP                : 10.2.2.2                                
Source IP                     : 192.168.1.1                             

======================================================================================================================================================
                                                                Contract Lookup ( FPC )
======================================================================================================================================================

------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Lookup Key
------------------------------------------------------------------------------------------------------------------------------------------------------
IP Protocol                             : ICMP( 0x1 )                   
L4 Src Port                             : 2048( 0x800 )                 
L4 Dst Port                             : 33134( 0x816E )               
sclass (src pcTag)                      : 49156( 0xC004 )               
dclass (dst pcTag)                      : 15( 0xF )                     
src pcTag is from local table           : yes                           
derived from a local table on this node by the lookup of src IP or MAC
Unknown Unicast / Flood Packet          : no                            
If yes, Contract is not applied here because it is flooded

------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Result
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Drop                           : no                            
Contract Logging                        : no                            
Contract Applied                        : yes                           
Contract Hit                            : yes                           
Contract Aclqos Stats Index             : 81875                         
( show sys int aclqos zoning-rules | grep -B 9 "Idx: 81875" )
...

    
module-1(DBG-elam-insel6)# show sys int aclqos zoning-rules | grep -B 9 "Idx: 81875"
===========================================
Rule ID: 4111 Scope 6 Src EPG: 49156 Dst EPG: 15 Filter 65535
    unit_id: 0
    === Region priority: 2462 (rule prio: 9 entry: 158)===
        sw_index = 46 | hw_index = 45 | stats_idx = 81875 

  Curr TCAM resource:
  =============================
    === SDK Info ===
        Result/Stats Idx: 81875

    لا تظهر قواعد تقسيم المناطق ل VRF "v1" أي إدخالات جديدة ل EPG و L3Out-2:

    Leaf-302# show zoning-rule scope 2129920
+---------+--------+--------+----------+---------+---------+---------+------------------+----------+----------------------+
| Rule ID | SrcEPG | DstEPG | FilterID |   Dir   |  operSt |  Scope  |       Name       |  Action  |       Priority       |
+---------+--------+--------+----------+---------+---------+---------+------------------+----------+----------------------+
|   4107  |   0    |   0    | implarp  | uni-dir | enabled | 2129920 |                  |  permit  |  any_any_filter(17)  |
|   4106  |   0    |   0    | implicit | uni-dir | enabled | 2129920 |                  | deny,log |   any_any_any(21)    |
|   4105  |   0    | 49155  | implicit | uni-dir | enabled | 2129920 |                  |  permit  |   any_dest_any(16)   |
|   4108  |   0    |   15   | implicit | uni-dir | enabled | 2129920 |                  | deny,log | any_vrf_any_deny(22) |
|   4112  | 16386  | 49156  | default  | uni-dir | enabled | 2129920 | tn1:EPG_to_L3Out |  permit  |    src_dst_any(9)    |
|   4111  | 49156  |   15   | default  | uni-dir | enabled | 2129920 | tn1:EPG_to_L3Out |  permit  |    src_dst_any(9)    |
+---------+--------+--------+----------+---------+---------+---------+------------------+----------+----------------------+
Leaf-302#

    بما أن L3Out-2-EEPG به الشبكة الفرعية 0.0.0.0/0 التي تم تكوينها فقط، يتم تصنيف جميع حركات المرور الموجهة إليها مع dclass من System PcTag 15.

    تتم برمجة معرف قواعد تقسيم المناطق 4111 و 4112 لأن L3Out-1-EEPG يحتوي على كل من الشبكة الفرعية 0.0.0.0/0 ويقدم عقدا يتم إستهلاكه بواسطة EPG.

    يسمح بالتدفق إلى L3Out-2-EEPG بشكل غير متوقع بسبب هذا التكوين!

    الحل - سماح غير مقصود

    لمنع هذا السلوك:

    1. يوصى بشدة باستخدام الشبكة الفرعية 0.0.0.0/0 على شبكة L3Out EPG واحدة لكل VRF فقط
    2. أستخدم، حيثما كان ذلك مناسبا، شبكات فرعية معينة لنقاط الوصول من المستوى الثالث الأخرى في نفس VRF. وهذا يسمح لحركة المرور بسحب قيم L3Out PCtag الفريدة كفئة DCLASS الخاصة بها.

    L3Out-2-EEPG with 10.2.2.0/24 Subnet

    تطبيق هذه التغييرات للحد من السماح غير المتوقع:

    1. على L3Out-2-EEPG، استبدل الشبكة الفرعية 0.0.0.0/0 بشبكة فرعية 10.2.2.0/24
    2. في L3Out-2-EEPG، قم بتوفير عقد
    3. في EPG، استهلك نفس العقد

    وبمجرد اكتمالها، لاحظ هذه التغييرات على العقدة الطرفية 302 غير الحدودية:

    • هناك بادئة سياسة-mgr أكثر تحديدا ل 10.2.2.0/24 مرتبطة ب L3Out-2-EEPG PCtag 32771
    • هناك إدخال معرف قواعد التقسيم إلى مناطق 4109
      • يسمح هذا مدخل تدفق من EPG PCtag 49156 إلى L3Out-2-EEPG PCtag 32771
    • يوجد إدخال لمعرف قواعد تقسيم المناطق رقم 4110
      • يسمح هذا مدخل تدفق من L3Out-2-EEPG pcTag 32771 إلى EPG PCtag 49156

    البادئة المحدثة للمسار للأمام و Policy-mgr التي تظهر أن 10.2.2.2 تم تعيين L3Out-2-EEPG PgTag الخاصة ب 32771:

    Leaf-302# vsh_lc -c "show forward route 10.2.2.2 platform vrf tn1:v1"
...
Policy Prefix 10.2.2.0/24
...
SDK Information:
vrf: 7(0x7), routed_if: 0x0 epc_class: 32771(0x8003)
attributes: SUP_CP DST_POL_IC SRC_POL_IC 

    
Leaf-302# vsh -c "show system internal policy-mgr prefix"
Requested prefix data

Vrf-Vni VRF-Id Table-Id Table-State  VRF-Name                    Addr                                Class Shared Remote Complete Svc_ena
======= ======  =========== =======  ============================ ================================= ====== ====== ====== ======== ========
...
2129920 7      0x7           Up     tn1:v1                                               0.0.0.0/0   15      False  False  False    False   
2129920 7      0x80000007    Up     tn1:v1                                                    ::/0   15      False  False  False    False   
2129920 7      0x7           Up     tn1:v1                                              10.2.2.0/24  32771   False  True   False    False

    ملاحظة: لا تزال معرفات قواعد تقسيم المناطق 4111 و 4112 موجودة على العقدة الطرفية غير الحدودية 302 لأن L3Out-1-EEPG لا يزال لديه الشبكة الفرعية 0.0.0.0/0 كما أنه لديه علاقة عقد مع EPG. ومع ذلك، فإن حركة مرور L3Out-2-EEPG لم تعد تستخدم بدون قصد تلك القواعد لأن حركة المرور الخاصة بها يتم تصنيفها الآن مع L3Out PCtag، وليس System PCtag 15:

    Leaf-302# show zoning-rule scope 2129920
+---------+--------+--------+----------+----------------+---------+---------+------------------+----------+----------------------+
| Rule ID | SrcEPG | DstEPG | FilterID |      Dir       |  operSt |  Scope  |       Name       |  Action  |       Priority       |
+---------+--------+--------+----------+----------------+---------+---------+------------------+----------+----------------------+
|   4107  |   0    |   0    | implarp  |    uni-dir     | enabled | 2129920 |                  |  permit  |  any_any_filter(17)  |
|   4106  |   0    |   0    | implicit |    uni-dir     | enabled | 2129920 |                  | deny,log |   any_any_any(21)    |
|   4105  |   0    | 49155  | implicit |    uni-dir     | enabled | 2129920 |                  |  permit  |   any_dest_any(16)   |
|   4108  |   0    |   15   | implicit |    uni-dir     | enabled | 2129920 |                  | deny,log | any_vrf_any_deny(22) |
|   4112  | 16386  | 49156  | default  |    uni-dir     | enabled | 2129920 | tn1:EPG_to_L3Out |  permit  |    src_dst_any(9)    |
|   4111  | 49156  |   15   | default  |    uni-dir     | enabled | 2129920 | tn1:EPG_to_L3Out |  permit  |    src_dst_any(9)    |
|   4109  | 49156  | 32771  | default  |     bi-dir     | enabled | 2129920 | tn1:EPG_to_L3Out |  permit  |    src_dst_any(9)    |
|   4110  | 32771  | 49156  | default  | uni-dir-ignore | enabled | 2129920 | tn1:EPG_to_L3Out |  permit  |    src_dst_any(9)    |
+---------+--------+--------+----------+----------------+---------+---------+------------------+----------+----------------------+

    إختبار الاتصال من مضيف EPG إلى الوجهة الخارجية خلف L3Out-2-EEPG ناجح:

    Host# ping 10.2.2.2 
PING 10.2.2.2 (10.2.2.2): 56 data bytes
    64 bytes from 10.2.2.2: icmp_seq=0 ttl=252 time=0.854 ms
    64 bytes from 10.2.2.2: icmp_seq=1 ttl=252 time=0.669 ms
    64 bytes from 10.2.2.2: icmp_seq=2 ttl=252 time=0.716 ms
    64 bytes from 10.2.2.2: icmp_seq=3 ttl=252 time=0.669 ms
    64 bytes from 10.2.2.2: icmp_seq=4 ttl=252 time=0.666 ms

    يشير ELAM الخاص بطلب ICMP على العقدة الطرفية غير الحدودية 302 إلى أن DCLASS هي الآن 32771 - PCtag الخاص ب L3Out-2-EEPG.

    Leaf-302# ereport
======================================================================================================================================================
                                                            Captured Packet                                                                           
======================================================================================================================================================
------------------------------------------------------------------------------------------------------------------------------------------------------
Outer L3 Header
------------------------------------------------------------------------------------------------------------------------------------------------------
...
IP Protocol Number : ICMP 
IP CheckSum : 4095( 0xFFF ) 
Destination IP : 10.2.2.2 
Source IP : 192.168.1.1                              

======================================================================================================================================================
                                                                Contract Lookup ( FPC )
======================================================================================================================================================
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Lookup Key
------------------------------------------------------------------------------------------------------------------------------------------------------
IP Protocol                             : ICMP( 0x1 )                   
L4 Src Port                             : 2048( 0x800 )                 
L4 Dst Port                             : 49837( 0xC2AD )               
sclass (src pcTag)                      : 49156( 0xC004 )               
dclass (dst pcTag)                      : 32771( 0x8003 )               
src pcTag is from local table           : yes                           
derived from a local table on this node by the lookup of src IP or MAC
Unknown Unicast / Flood Packet          : no                            
If yes, Contract is not applied here because it is flooded

------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Result
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Drop                           : no                            
Contract Logging                        : no                            
Contract Applied                        : yes                           
Contract Hit                            : yes                           
Contract Aclqos Stats Index             : 81873                         
( show sys int aclqos zoning-rules | grep -B 9 "Idx: 81873" )
...

    يوضح التقرير الذي تم توفيره ل ACLQOS أن هذا التدفق يضرب أحد قواعد تقسيم المناطق الجديدة، وخاصة معرف القاعدة 4109:

    module-1(DBG-elam-insel6)# show sys int aclqos zoning-rules | grep -B 9 "Idx: 81873"
===========================================
Rule ID: 4109 Scope 6 Src EPG: 49156 Dst EPG: 32771 Filter 65535
    unit_id: 0
    === Region priority: 2462 (rule prio: 9 entry: 158)===
        sw_index = 48 | hw_index = 47 | stats_idx = 81873 

  Curr TCAM resource:
  =============================
    === SDK Info ===
        Result/Stats Idx: 81873

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    2.0
    01-Sep-2022
    إضافة إخراج بادئة المسار والسياسة-mgr
    1.0
    30-Aug-2022
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Jaime Calzada
      مهندس ACI TAC

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات