فهم التحقق من صحة مجال فرض قائمة التحكم في الوصول (ACI)

المقدمة

يصف هذا المستند إعداد فرض التحقق من صحة المجال وفوائده. 

شرح فرض التحقق من صحة المجال

بشكل افتراضي، لا يتم تمكين فرض التحقق من صحة المجال، لذلك إذا تم تكوين EPG باستخدام {port، VLAN} ثابت حيث لا يوجد مجال يحتوي على شبكة VLAN هذه، يحدث ذلك: 

• تقوم البنية الأساسية المرتكزة على التطبيقات (ACI) برفع الخطأ F0467 "فشل التكوين ل <path> بسبب تكوين المسار غير الصحيح".
• يتم نشر شبكة VLAN على الواجهة.
• تتم إعادة توجيه حركة مرور البيانات على الواجهة المحددة.

يمكن منع هذا التكوين الخاطئ بواسطة فرض التحقق من صحة المجال.

تحذير: لا تقم بتمكين هذه الميزة على بنية موجودة دون بذل العناية الواجبة المناسبة.

لا يمكن تعطيل هذه الميزة بمجرد تمكينها. يمكنك الحصول على التكوينات الموجودة التي كانت تعمل حتى إذا كانت غير صحيحة. قبل تمكينها، تأكد من التحقق من تعيين المجال إلى EPGs و AEPs المقترنة.

فرض التحقق من صحة المجال: معطل (السلوك الافتراضي)

يقوم APIC CLI بفرض التحقق من صحة المجال. تشير الحالة الافتراضية إلى تعطيل التحقق من صحة المجال.

APIC# moquery -c infraSetPol | egrep"domainValidation"
domainValidation               : no

بافتراض أن encap vlan 420 غير مرتبط بالمجال/AEP المرتبط ب EPG. لا يزال VLAN 420 يتم نشره على الواجهة المتوقعة. 

leaf# show vlan encap-id 420 extended
 VLAN Name                             Encap            Ports                    
 ---- -------------------------------- ---------------- ------------------------ 
1    lc_TN:lc_APP:lc_EPG              vlan-420         Eth1/13 

"
 VLAN Name                             Encap            Ports                    
 ---- -------------------------------- ---------------- ------------------------ 
1    lc_TN:lc_APP:lc_EPG              vlan-420         Eth1/13                  
19   lc_TN:lc_BD                      vxlan-16416666   Eth1/13                  

leaf# show int eth 1/13 trunk | grep -A Allowed          
 Port           Vlans Allowed on Trunk                                             
-----------------------------------------------------------------------------------
Eth1/13        1,19

APIC# moquery -c infraSetPol | egrep "domainValidation"
domainValidation               : yes

leaf# acidiag  touch clean 
This command can wipe out this device, Proceed? [y/N] y
leaf# reload
This command can reload the chassis, Proceed (y/n)? [n]: y

leaf# show int eth 1/13 trunk | grep -A 2 Allowed           
 Port           Vlans Allowed on Trunk                                             
-----------------------------------------------------------------------------------
 Eth1/13        none

يعتبر تمكين التحقق من صحة المجال أفضل ممارسة، وبالتالي بمجرد تمكينه، لا يوجد خيار لاستعادة التغيير.

تظهر واجهة برمجة تطبيقات (API) ل PostMan أن تغيير الإعداد غير ناجح.

يعد طلب التحقق من صحة المجال عملية تتم مرة واحدة. غير مسموح بإجراء أي تغييرات أخرى.

نظرا لأن هذا الإعداد لم يكن افتراضيا أثناء الإصدار الأولي، فإن أي تغيير يتم فرضه مستقبلا في الإعداد الافتراضي يمكن أن يؤدي إلى فشل التكوين غير الصحيح، مما يؤدي إلى حالات انقطاع. 

ولهذا السبب، يكون الإعداد قابلا للتكوين من قبل المستخدم.

استكشاف الأخطاء وإصلاحها

يتم رفع الخطأ F0467 ل EPGs المتأثرة مع اقترانات سياسات الوصول المفقودة.

راجع هذه المقالة عزل البدء السريع حول كيفية أستكشاف الأخطاء وإصلاحها.

معلومات ذات صلة

• رمز خطأ قائمة التحكم في الوصول (ACI) للعنوان F0467: شبكة محلية ظاهرية (VLAN) غير صحيحة، مسار غير صالح، encap-in-use بالفعل
• إعداد بنية قائمة التحكم في الوصول (ACI): مثال تكوين الإعداد الأولي > إعدادات النظام
• دليل تصميم البنية الأساسية المرتكزة على التطبيقات (ACI) من Cisco > التحقق من صحة مجال EPG