التحقق من الخدمات المشتركة ل ACI - Shared Service Consumer Tag 14

المقدمة

يصف هذا المستند الخطوات اللازمة لتكوين تكوين الخدمات المشتركة والتحقق من صحته باستخدام BD المشترك في واجهة التحكم في الوصول (ACI).

معلومات أساسية

ويتيح تكوين الخدمات المشتركة إمكانية الاتصال بين بروتوكولات EPG عبر بروتوكولات VRF مختلفة داخل بنية قائمة التحكم في الوصول (ACI).

تعمل الخدمات المشتركة على تحقيق الاستفادة الكاملة من فئات PCtag الثلاثة:

اسم الفئة	نطاق PcTag
النظام	1 - 15
عمومي	16 - 16385
محلي	16386 - 65535

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

الرسم التخطيطي للشبكة

مميزات التكوين

• مطلوب نطاق الشبكة الفرعية "المشترك بين شبكات VRF" على الشبكة الفرعية التي سيتم تسريبها,192.168.10.1/24
• يجب أن يحتوي العقد على نطاق "المستأجر" على الأقل نظرا لأن مجموعات إدارة البرامج (EPG) موجودة في نفس المستأجر.
  • إذا كانت مجموعات إدارة البرامج موجودة في مستأجرين مختلفين، فيجب أن يكون للعقد نطاق 'عالمي'​
• إذا تم تحديد الشبكة الفرعية المشتركة بموجب EPG للموفر، فلا يلزم توفير العقد إلا على EPG لكي تتم مشاركته واستهلاكه على EPG لاستهلاكه.
  

                    أو  ​

• إذا تم تحديد الشبكة الفرعية المشتركة ضمن Provider BD، فيجب توفير العقد من قبل كل من EPGs واستهلاكه من قبل كل من EPGs والشبكات الفرعية على BD فقط. يستخدم هذا مساحة TCAM أكبر عند برمجة المزيد من قواعد تقسيم المناطق.
  

ملاحظة: لا يتم دعم VZany كموفر للخدمات المشتركة.​

التحقق من الصحة

السيناريو 1 - EPG-to-EPG: الشبكة الفرعية المشتركة المحددة في EPG للموفر 

في سيناريو المثال هذا، يتم تكوين الشبكة الفرعية المشتركة ضمن EPG-2.

ملاحظة: إذا تم تعريف الشبكة الفرعية نفسها ضمن كل من EPG و BD المرتبط به، فيجب أن يكون لكلا التعريفين نفس مجموعة قيم النطاق.

يعمل هذا الخيار على تحسين تحسين عملية تحويل TCAM ويحقق تكوين الخدمات المشتركة. تم تحسين TCAM حيث أن قواعد تقسيم المناطق تحتاج فقط إلى أن يتم برمجتها في VRF الخاص بالمستهلكين. في هذا السيناريو، يظهر VRF للمستهلك على صفحة 101 فقط. 

تتبع التدفق EPG-1 إلى EPG-2

ورقة المستهلك 101 

تظهر معلومات المسار على Leaf 101 Consumer VRF PJ:VRF-1 المسار ل 192.168.10.10 عبر VNID 2260992، والذي يعد الموفر VRF PJ:VRF-2:

leaf101# show ip route 192.168.10.10 vrf PJ:VRF-1
IP Route Table for VRF "PJ:VRF-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%' in via output denotes VRF

192.168.10.0/24, ubest/mbest: 1/0, attached, direct, pervasive
    *via 10.0.240.33%overlay-1, [1/0], 23:06:11, static, tag 4294967294, rwVnid: vxlan-2260992
         recursive next hop: 10.0.240.33/32%overlay-1

يمكن التحقق من تدفق حركة المرور باستخدام ELAM على Consumer Leaf 101 مقابل طلب ICMP من المصدر 10.10.10.10 إلى الوجهة 192.168.10.1

leaf101# vsh_lc
module-1# trigger reset
module-1# trigger init in-select 6 out-select 1
module-1# set outer ipv4 src_ip 10.10.10.10 dst_ip 192.168.10.10
module-1# start


module-1# ereport
...
-----------------------------------------------------------------------------------------------------------------------------------
Outer L3 Header
-----------------------------------------------------------------------------------------------------------------------------------
...                                  
IP Protocol Number            : ICMP                                    
IP CheckSum                   : 37262( 0x918E )                         
Destination IP                : 192.168.10.10                             
Source IP                     : 10.10.10.10                             
-----------------------------------------------------------------------------------------------------------------------------------
Contract Lookup Key
-----------------------------------------------------------------------------------------------------------------------------------
IP Protocol                             : ICMP( 0x1 )                   
L4 Src Port                             : 2048( 0x800 )                 
L4 Dst Port                             : 16568( 0x40B8 )               
sclass (src pcTag)                      : 16388( 0x4004 )               
dclass (dst pcTag)                      : 10930( 0x2AB2 )               
src pcTag is from local table           : yes                           
derived from a local table on this node by the lookup of src IP or MAC
Unknown Unicast / Flood Packet          : no                            
If yes, Contract is not applied here because it is flooded

-----------------------------------------------------------------------------------------------------------------------------------
Contract Result
-----------------------------------------------------------------------------------------------------------------------------------
Contract Drop                           : no                            
Contract Logging                        : no                            
Contract Applied                        : yes                           
Contract Hit                            : yes                           
Contract Aclqos Stats Index             : 81874                         
( show sys int aclqos zoning-rules | grep -B 9 "Idx: 81874" )

يظهر التقرير أن العقد مطبق على Consumer Leaf 101 وأنه قد تم تعيين Src pcTag 16388 (EPG-1) و Dst PCtag 10930 (EPG-2).

يمكن مقارنة هذه القيم بقواعد تقسيم المناطق المبرمجة في VRF المستهلك pj:VRF-1 (VNID 3080192) لتحديد معرفات القواعد التي تم الوصول إليها:

leaf101# show zoning-rule scope 3080192
+---------+--------+--------+----------+----------------+---------+---------+--------------+----------+------------------------+
| Rule ID | SrcEPG | DstEPG | FilterID |      Dir       |  operSt |  Scope  |     Name     |  Action  |        Priority        |
+---------+--------+--------+----------+----------------+---------+---------+--------------+----------+------------------------+
|   4117  | 10930  |   0    | implicit |    uni-dir     | enabled | 3080192 |              | deny,log | shsrc_any_any_deny(12) |
|   4108  | 10930  | 16388  |    8     | uni-dir-ignore | enabled | 3080192 | PJ:EPG1-EPG2 |  permit  |     fully_qual(7)      |
|   4118  | 16388  | 10930  |    8     |     bi-dir     | enabled | 3080192 | PJ:EPG1-EPG2 |  permit  |     fully_qual(7)      |
+---------+--------+--------+----------+----------------+---------+---------+--------------+----------+------------------------+

ملاحظة: يتم إنشاء قاعدة رفض ضمنية تلقائيا من الموفر EPG-2 (PCtag 10930) إلى أي (PCtag 0). وهذا لمنع الاتصال من Provider VRF إلى VRF المستهلك دون عقود إضافية عبر EPGs.

تتبع التدفق EPG-2 إلى EPG-1

ورقة الموفر 102

تظهر معلومات المسار على الصفحة 102 لمزود VRF PJ:VRF-2 المسار ل 10.10.10.10 عبر VNID 3080192، وهو مستهلك VRF pj:VRF-1:

leaf102# show ip route 10.10.10.10 vrf PJ:VRF-2
IP Route Table for VRF "PJ:VRF-2"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%' in via output denotes VRF 

10.10.10.0/24, ubest/mbest: 1/0, attached, direct, pervasive
    *via 10.0.240.33%overlay-1, [1/0], 1d22h, static, tag 4294967294, rwVnid: vxlan-3080192
         recursive next hop: 10.0.240.33/32%overlay-1

يمكن التحقق من تدفق حركة المرور باستخدام ELAM على ورقة الموفر 101 مقابل طلب ICMP من المصدر 192.168.10.10 إلى الوجهة 10.10.10.10:

leaf102# trigger reset 
module-1# trigger init in-select 6 out-select 1 
module-1# set outer ipv4 src_ip 192.168.10.10 dst_ip 10.10.10.10
module-1# start


module-1# ereport
...
-----------------------------------------------------------------------------------------------------------------------------------
Outer L3 Header
-----------------------------------------------------------------------------------------------------------------------------------
...                                
IP Protocol Number            : ICMP                                    
IP CheckSum                   : 37262( 0x918E )                         
Destination IP                : 10.10.10.10                             
Source IP                     : 192.168.10.10                             

-----------------------------------------------------------------------------------------------------------------------------------
Contract Lookup Key
-----------------------------------------------------------------------------------------------------------------------------------
IP Protocol                             : ICMP( 0x1 )                   
L4 Src Port                             : 0( 0x0 )                      
L4 Dst Port                             : 18616( 0x48B8 )               
sclass (src pcTag)                      : 10930( 0x2AB2 )               
dclass (dst pcTag)                      : 14( 0xE )                     
src pcTag is from local table           : yes                           
derived from a local table on this node by the lookup of src IP or MAC
Unknown Unicast / Flood Packet          : no                            
If yes, Contract is not applied here because it is flooded

-----------------------------------------------------------------------------------------------------------------------------------
Contract Result
-----------------------------------------------------------------------------------------------------------------------------------
Contract Drop                           : no                            
Contract Logging                        : no                            
Contract Applied                        : no                            
Contract Hit                            : yes                           
Contract Aclqos Stats Index             : 81873                         
( show sys int aclqos zoning-rules | grep -B 9 "Idx: 81873" )

في هذا التقرير، لاحظ أن كلا من SCLASS و DCLASS قيمتان غير محليتان.

يقوم EPG-2، مزود الخدمة المشتركة، الآن بتشغيل Global PcTag of10930. 

الفئة المعينة لهذه الحزمة هي PCtag 14 لمستهلكي الخدمة المشتركة. PcTag 14 هو System PcTag محجوز لحركة مرور البيانات بين شبكات VRF. 

لاحظ وجود قاعدة تقسيم خاصة مبرمجة على ورقة الموفر 102 بين الموفر EPG2 PCtag 10930 و Shared Service Consumer System PCtag 14 مع تعيين "Action" على "Permit_override".  تسمح هذه القاعدة للتدفقات المتطابقة بالانتقال إلى صفحة المستهلك للبحث النهائي عن النهج:

leaf102# show zoning-rule 
+---------+--------+--------+----------+---------+---------+----------+------+-----------------+----------------------+
| Rule ID | SrcEPG | DstEPG | FilterID |   Dir   |  operSt |  Scope   | Name |      Action     |       Priority       |
+---------+--------+--------+----------+---------+---------+----------+------+-----------------+----------------------+
|   4113  | 10930  |   14   | implicit | uni-dir | enabled | 2260992  |      | permit_override |    src_dst_any(9)    |
+---------+--------+--------+----------+---------+---------+----------+------+-----------------+----------------------+

السيناريو 2 - من BD إلى BD: الشبكة الفرعية المشتركة المحددة في Provider BD.

في سيناريو المثال هذا، يتم تكوين الشبكة الفرعية المشتركة فقط في BD-2.

لإكمال تكوين الخدمات المشتركة، يجب إستهلاك العقود وتوفيرها على كل من EPG-1 و EPG-2.

تتبع التدفق EPG-1 إلى EPG-2

بما أن عقد الخدمة المشتركة يتم توفيره واستهلاكه على كل من EPG، فإن تدفق الحزمة بين EPG-1 (Leaf 101) و EPG-2 (Leaf 102) يلاحظ هذه الخصائص:

• يعتبر EPG-1 الموفر
• EPG-2 يعتبر المستهلك
• صفحة 102 هي ورقة المستهلك، وهكذا يتم تطبيق السياسة النهائية هنا.

معلومات المسار هي نفسها الخاصة بالسيناريو 1. 

ورقة "المزود" رقم 101:

Leaf101# vsh_lc
module-1# trigger reset
module-1# trigger init in-select 6 out-select 1
module-1# set outer ipv4 src_ip 10.10.10.10 dst_ip 192.168.10.10
module-1# start
module-1# status


module-1# ereport
...
-----------------------------------------------------------------------------------------------------------------------------------
Outer L3 Header
-----------------------------------------------------------------------------------------------------------------------------------
...                               
IP Protocol Number            : ICMP                                    
IP CheckSum                   : 23304( 0x5B08 )                         
Destination IP                : 192.168.10.10                             
Source IP                     : 10.10.10.10                            

-----------------------------------------------------------------------------------------------------------------------------------
Contract Lookup Key
-----------------------------------------------------------------------------------------------------------------------------------
IP Protocol                             : ICMP( 0x1 )                   
L4 Src Port                             : 2048( 0x800 )                 
L4 Dst Port                             : 59074( 0xE6C2 )               
sclass (src pcTag)                      : 18( 0x12 )                    
dclass (dst pcTag)                      : 14( 0xE )                     
src pcTag is from local table           : yes                           
derived from a local table on this node by the lookup of src IP or MAC
Unknown Unicast / Flood Packet          : no                            
If yes, Contract is not applied here because it is flooded

-----------------------------------------------------------------------------------------------------------------------------------
Contract Result
-----------------------------------------------------------------------------------------------------------------------------------
Contract Drop                           : no                            
Contract Logging                        : no                            
Contract Applied                        : no                            
Contract Hit                            : yes                           
Contract Aclqos Stats Index             : 81873                         
( show sys int aclqos zoning-rules | grep -B 9 "Idx: 81873" )

لاحظ أنه يتم تعيين DCLASS 14. وهذا يعني أنه يتم السماح بحركة المرور بالمتابعة عبر قاعدة "allow_override" بحيث يمكن لورقة المستهلك تشغيل البحث النهائي عن السياسة.

ورقة مستهلكة 102

Leaf102# vsh_lc
module-1# trigger reset
module-1# trigger init in-select 14 out-select 1
module-1# set inner ipv4 src_ip 10.10.10.10  dst_ip 192.168.10.10
module-1# start

module-1# ereport
...
-----------------------------------------------------------------------------------------------------------------------------------
Inner L3 Header
-----------------------------------------------------------------------------------------------------------------------------------
...                                   
IP Protocol Number            : ICMP                                    
Destination IP                : 192.168.10.10                             
Source IP                     : 10.10.10.10                             

-----------------------------------------------------------------------------------------------------------------------------------
Contract Lookup Key
-----------------------------------------------------------------------------------------------------------------------------------
IP Protocol                             : ICMP( 0x1 )                   
L4 Src Port                             : 2048( 0x800 )                 
L4 Dst Port                             : 26203( 0x665B )               
sclass (src pcTag)                      : 18( 0x12 )                    
dclass (dst pcTag)                      : 10930( 0x2AB2 )               
src pcTag is from local table           : no                            
derived from group-id in iVxLAN header of incoming packet
Unknown Unicast / Flood Packet          : no                            
If yes, Contract is not applied here because it is flooded

-----------------------------------------------------------------------------------------------------------------------------------
Contract Result
-----------------------------------------------------------------------------------------------------------------------------------
Contract Drop                           : no                            
Contract Logging                        : no                            
Contract Applied                        : yes                           
Contract Hit                            : yes                           
Contract Aclqos Stats Index             : 81874                         
( show sys int aclqos zoning-rules | grep -B 9 "Idx: 81874" )

لاحظ أن كلا من EPG-1 و EPG-2 لديهما الآن علامات كمبيوتر عالمية، EPG-1 هو PCtag 18 و EPG-2 هو PCtag 10938. 

تتبع التدفق EPG-2 إلى EPG-1

بما أن عقد الخدمة المشتركة يتم توفيره واستهلاكه على كل من EPG، فإن تدفق الحزمة بين EPG-2 (Leaf 102) و EPG-1 (Leaf 101) يلاحظ هذه الخصائص:

• يعتبر EPG-2 الموفر
• EPG-1 يعتبر المستهلك
• صفحة 101 هي ورقة المستهلك، وهكذا يتم تطبيق السياسة النهائية هنا.

معلومات المسار هي نفسها الخاصة بالسيناريو 1. 

ورقة "المزود" رقم 102

Leaf102# vsh_lc
module-1# trigger reset 
module-1# trigger init in-select 6 out-select 1
module-1# set outer ipv4 src_ip 192.168.10.10 dst_ip 10.10.10.10
module-1# start


module-1# ereport
...
-----------------------------------------------------------------------------------------------------------------------------------
Outer L3 Header
-----------------------------------------------------------------------------------------------------------------------------------
...                                 
IP Protocol Number            : ICMP                                    
IP CheckSum                   : 23308( 0x5B0C )                         
Destination IP                : 10.10.10.10                             
Source IP                     : 192.168.10.10                             


-----------------------------------------------------------------------------------------------------------------------------------
Contract Lookup Key
-----------------------------------------------------------------------------------------------------------------------------------
IP Protocol                             : ICMP( 0x1 )                   
L4 Src Port                             : 0( 0x0 )                      
L4 Dst Port                             : 56682( 0xDD6A )               
sclass (src pcTag)                      : 10930( 0x2AB2 )               
dclass (dst pcTag)                      : 14( 0xE )                     
src pcTag is from local table           : yes                           
derived from a local table on this node by the lookup of src IP or MAC
Unknown Unicast / Flood Packet          : no                            
If yes, Contract is not applied here because it is flooded

-----------------------------------------------------------------------------------------------------------------------------------
Contract Result
-----------------------------------------------------------------------------------------------------------------------------------
Contract Drop                           : no                            
Contract Logging                        : no                            
Contract Applied                        : no                            
Contract Hit                            : yes                           
Contract Aclqos Stats Index             : 81873                         
( show sys int aclqos zoning-rules | grep -B 9 "Idx: 81873" )

لاحظ أنه يتم تعيين DCLASS 14. وهذا يعني أنه يتم السماح بحركة المرور بالمتابعة عبر قاعدة "allow_override" بحيث يمكن لورقة المستهلك تشغيل البحث النهائي عن السياسة.

ورقة مستهلكة 101

Leaf101# vsh_lc
module-1# trigger reset 
module-1# trigger init in-select 6 out-select 1
module-1# set outer ipv4 src_ip 192.168.10.10 dst_ip 10.10.10.10
module-1# start


module-1# ereport
-----------------------------------------------------------------------------------------------------------------------------------
Inner L3 Header
-----------------------------------------------------------------------------------------------------------------------------------
L3 Type                       : IPv4                                    
DSCP                          : 0                                       
Don't Fragment Bit            : 0x0                                     
TTL                           : 254                                     
IP Protocol Number            : ICMP                                    
Destination IP                : 10.10.10.10                             
Source IP                     : 192.168.10.10                             

-----------------------------------------------------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------------------------------------------------------
Contract Lookup Key
-----------------------------------------------------------------------------------------------------------------------------------
IP Protocol                             : ICMP( 0x1 )                   
L4 Src Port                             : 0( 0x0 )                      
L4 Dst Port                             : 22874( 0x595A )               
sclass (src pcTag)                      : 10930( 0x2AB2 )               
dclass (dst pcTag)                      : 18( 0x12 )                    
src pcTag is from local table           : no                            
derived from group-id in iVxLAN header of incoming packet
Unknown Unicast / Flood Packet          : no                            
If yes, Contract is not applied here because it is flooded

-----------------------------------------------------------------------------------------------------------------------------------
Contract Result
-----------------------------------------------------------------------------------------------------------------------------------
Contract Drop                           : no                            
Contract Logging                        : no                            
Contract Applied                        : yes                           
Contract Hit                            : yes                           
Contract Aclqos Stats Index             : 81874                         
( show sys int aclqos zoning-rules | grep -B 9 "Idx: 81874" )

تمييز إستخدام TCAM

في سيناريو "من أجل التنمية" إلى "من أجل التنمية"، لاحظ أن قواعد تقسيم المناطق قد تضاعفت لأن كلا من EPG-1 و EPG-2 هما مستهلكان لعقود الخدمات المشتركة:

Leaf101# show zoning-rule scope 3080192  
+---------+--------+--------+----------+----------------+---------+---------+--------------+-----------------+------------------------+
| Rule ID | SrcEPG | DstEPG | FilterID |      Dir       |  operSt |  Scope  |     Name     |      Action     |        Priority        |
+---------+--------+--------+----------+----------------+---------+---------+--------------+-----------------+------------------------+
|   4117  | 10930  |   0    | implicit |    uni-dir     | enabled | 3080192 |              |     deny,log    | shsrc_any_any_deny(12) |
|   4129  |   18   |   14   | implicit |    uni-dir     | enabled | 3080192 |              | permit_override |     src_dst_any(9)     |
|   4128  | 10930  |   18   |    8     |     bi-dir     | enabled | 3080192 | PJ:EPG1-EPG2 |      permit     |     fully_qual(7)      |
|   4127  |   18   | 10930  |    8     | uni-dir-ignore | enabled | 3080192 | PJ:EPG1-EPG2 |      permit     |     fully_qual(7)      |
+---------+--------+--------+----------+----------------+---------+---------+--------------+-----------------+------------------------+

Leaf102# show zoning-rule scope 2260992
+---------+--------+--------+----------+----------------+---------+---------+--------------+-----------------+------------------------+
| Rule ID | SrcEPG | DstEPG | FilterID |      Dir       |  operSt |  Scope  |     Name     |      Action     |        Priority        |
+---------+--------+--------+----------+----------------+---------+---------+--------------+-----------------+------------------------+
|   4113  | 10930  |   14   | implicit |    uni-dir     | enabled | 2260992 |              | permit_override |     src_dst_any(9)     |
|   4123  |   18   | 10930  |    8     |     bi-dir     | enabled | 2260992 | PJ:EPG1-EPG2 |      permit     |     fully_qual(7)      |
|   4124  |   18   |   0    | implicit |    uni-dir     | enabled | 2260992 |              |     deny,log    | shsrc_any_any_deny(12) |
|   4122  | 10930  |   18   |    8     | uni-dir-ignore | enabled | 2260992 | PJ:EPG1-EPG2 |      permit     |     fully_qual(7)      |
+---------+--------+--------+----------+----------------+---------+---------+--------------+-----------------+------------------------+

ملاحظة: لاحظ أن عدد قواعد تقسيم المناطق الضمنية shsrc_any_deny" و"allowed_override" قد تضاعف أيضا بسبب هذا التكوين.

القرار

يحقق كلا سيناريوهين للتكوين وظيفة "الخدمات المشتركة"، إلا أن طريقة الانتقال من BD إلى BD تأتي على حساب إستهلاك TCAM إضافي.

المراجع والروابط المفيدة 

دليل عقد واجهة التحكم في الوصول (ACI) من Cisco

فهم الخدمات المشتركة ل ACI واستكشاف أخطائها وإصلاحها - DGTL-TSCDCN-305