Comprensión de ACI Exigir validación de dominio

Opciones de descarga

  • PDF     (530.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (381.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (352.4 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:3 de diciembre de 2023
ID del documento:221206

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la configuración de Aplicar validación de dominio y sus ventajas. 

    Explicación de aplicación de validación de dominio

    De forma predeterminada, la aplicación de validación de dominio no está habilitada, por lo que si un EPG está configurado con un {port, VLAN} estático en el que no hay un dominio que contenga esta VLAN, sucede lo siguiente: 

    • Application Centric Infrastructure (ACI) provoca el fallo F0467 "Error de configuración para <path> debido a una configuración de ruta no válida".
    • La VLAN se implementa en la interfaz.
    • El tráfico se reenvía en la interfaz específica.

    Este error de configuración se puede evitar mediante la aplicación de la validación de dominio.

    icono de precaución

    Precaución: NO HABILITE ESTA FUNCIÓN EN UN FABRIC EXISTENTE SIN LA DILIGENCIA DEBIDA.

    Esta función no se puede desactivar una vez que la haya activado. Puede tener configuraciones existentes que funcionaban aunque fueran incorrectas. Antes de habilitarlo, asegúrese de verificar la asignación de dominio a los EPG y los AEP asociados.

    Aplicar validación de dominio: deshabilitado (comportamiento predeterminado)

    APIC CLI Exige la verificación de validación de dominio. El estado predeterminado indica que la validación del dominio está deshabilitada.

    APIC# moquery -c infraSetPol | egrep"domainValidation"
    domainValidation               : no

    Suponga que encap vlan 420 no está vinculado al dominio/AEP asociado al EPG. Vlan 420 todavía está implementado en la interfaz esperada. 

    leaf# show vlan encap-id 420 extended
     VLAN Name                             Encap            Ports                    
     ---- -------------------------------- ---------------- ------------------------ 
    1    lc_TN:lc_APP:lc_EPG              vlan-420         Eth1/13 

    Las VLAN independientes de la plataforma (PI) (1,19) para EPG y BD se implementan y se les permite establecer enlaces troncales en la interfaz esperada.

    "
     VLAN Name                             Encap            Ports                    
     ---- -------------------------------- ---------------- ------------------------ 
    1    lc_TN:lc_APP:lc_EPG              vlan-420         Eth1/13                  
    19   lc_TN:lc_BD                      vxlan-16416666   Eth1/13                  

    Las VLAN para BD y EPG se implementan en la interfaz esperada.

    leaf# show int eth 1/13 trunk | grep -A Allowed          
     Port           Vlans Allowed on Trunk                                             
    -----------------------------------------------------------------------------------
    Eth1/13        1,19

    Aplicar validación de dominio: habilitado

    Si se habilita la aplicación de validación de dominio, puede crear una ruta estática en un EPG con un ID de VLAN que no esté vinculado a la ruta de la política de acceso correspondiente. El entramado genera un fallo y la VLAN NO está programada en la interfaz.

    GUI de APIC Aplicación de validación de dominio System > System Settings > Enforce Domain Validation.

    Habilitado Aplicar validación de dominioHabilitado Aplicar validación de dominio

    Advertencia de verificación de confirmación

    Una vez aplicada, la validación de dominio no se puede anularUna vez aplicada, la validación de dominio no se puede anular

    Una vez habilitada la configuración, la opción aparece atenuada para que no pueda deshacer la acción.

    APIC CLI: aplicación de la verificación de validación de dominio

    APIC# moquery -c infraSetPol | egrep "domainValidation"
    domainValidation               : yes

    Esta validación se inicia para la configuración existente SOLAMENTE cuando la política tiene que ser descargada al switch.

    Normalmente, esto puede ocurrir durante una actualización de switch, una recarga limpia o una restauración de instantánea/copia de seguridad de la configuración.

    Ejemplo de un paso de recarga limpia:

    leaf# acidiag  touch clean 
    This command can wipe out this device, Proceed? [y/N] y
    leaf# reload
    This command can reload the chassis, Proceed (y/n)? [n]: y

    La VLAN 420, que se implementó originalmente, NO se encuentra en la interfaz esperada en este momento.

    leaf# show int eth 1/13 trunk | grep -A 2 Allowed           
     Port           Vlans Allowed on Trunk                                             
    -----------------------------------------------------------------------------------
     Eth1/13        none

    La habilitación de la validación de dominio se considera una práctica recomendada, por lo que una vez habilitada, no existe la opción de revertir el cambio.

    Una API POSTMAN muestra que la publicación para cambiar la configuración no se ha realizado correctamente.

    Solicitar la validación de dominio es una operación única. No Se Permiten Más Cambios.Solicitar la validación de dominio es una operación única. No Se Permiten Más Cambios.

    Debido a que esta configuración no era predeterminada durante la versión inicial, cualquier cambio futuro que se exija en la configuración predeterminada puede hacer que falle una configuración incorrecta, lo que provoca interrupciones. 

    Por este motivo, el usuario puede configurar el parámetro.

    Resolución de problemas

    El error F0467 se genera para los EPG afectados con asociaciones de políticas de acceso faltantes.

    Consulte este artículo Quick Start Isolation sobre cómo solucionar el problema.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    03-Dec-2023
    VLAN 420 actualizada.
    1.0
    01-Dec-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Luis Contreras
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos