Comprendre l'ACI Appliquer la validation de domaine
Introduction
Ce document décrit le paramètre Appliquer la validation de domaine et ses avantages.
Application de la validation de domaine expliquée
Par défaut, l'option Appliquer la validation de domaine n'est pas activée. Par conséquent, si un EPG est configuré avec un {port, VLAN} statique où un domaine contenant ce VLAN n'est pas présent, cela se produit :
- L'infrastructure axée sur les applications (ACI) déclenche l'erreur F0467 « La configuration a échoué pour <chemin> en raison d'une configuration de chemin non valide ».
- Le VLAN est déployé sur l’interface.
- Le trafic est transféré sur l’interface spécifique.
Cette erreur de configuration peut être évitée par l'application de la validation de domaine.
ATTENTION : N'ACTIVEZ PAS CETTE FONCTIONNALITÉ SUR UN FABRIC EXISTANT SANS UNE DILIGENCE APPROPRIÉE.
Cette fonctionnalité ne peut pas être désactivée une fois que vous l'avez activée. Vous pouvez avoir des configurations existantes qui fonctionnaient même si elles étaient incorrectes. Avant de l'activer, assurez-vous de vérifier l'attribution de domaine aux groupes de terminaux et aux groupes de terminaux associés.
Appliquer la validation de domaine : Désactivé (comportement par défaut)
CLI APIC : vérification de la validation du domaine. L'état par défaut indique que la validation du domaine est désactivée.
APIC# moquery -c infraSetPol | egrep"domainValidation"
domainValidation : no
Supposons que le vlan 420 encap n'est pas lié au domaine/AEP associé à l'EPG. Le VLAN 420 est toujours déployé sur l’interface attendue.
leaf# show vlan encap-id 420 extended
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
1 lc_TN:lc_APP:lc_EPG vlan-420 Eth1/13
Des VLAN (1,19) indépendants de la plate-forme (PI) pour EPG et BD sont déployés et autorisés à agréger sur l'interface attendue.
"
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
1 lc_TN:lc_APP:lc_EPG vlan-420 Eth1/13
19 lc_TN:lc_BD vxlan-16416666 Eth1/13
Les VLAN pour BD et EPG sont déployés sur l'interface attendue.
leaf# show int eth 1/13 trunk | grep -A Allowed
Port Vlans Allowed on Trunk
-----------------------------------------------------------------------------------
Eth1/13 1,19
Imposer la validation du domaine : activé
Si l'option Appliquer la validation de domaine est activée, vous pouvez créer un chemin statique sur un EPG avec un ID de VLAN qui n'est pas lié au chemin de stratégie d'accès respectif. Le fabric génère une erreur et le VLAN n'est PAS programmé sur l'interface.
Interface utilisateur graphique APIC Vérification de la validation du domaine Système > Paramètres système > Appliquer la validation du domaine.
Activé Appliquer la validation de domaine
Avertissement de vérification de confirmation
Une fois appliquée, la validation de domaine ne peut pas être annulée
Une fois le paramètre activé, l'option est grisée afin que vous ne puissiez pas annuler l'action.
CLI APIC : application de la vérification de validation de domaine
APIC# moquery -c infraSetPol | egrep "domainValidation"
domainValidation : yes
Cette validation intervient pour la configuration existante UNIQUEMENT lorsque la stratégie doit être téléchargée sur le commutateur.
En général, cela peut se produire lors d'une mise à niveau du commutateur, d'un rechargement propre ou d'une restauration par snapshot/sauvegarde de la configuration.
Exemple d'étape de rechargement propre :
leaf# acidiag touch clean
This command can wipe out this device, Proceed? [y/N] y
leaf# reload
This command can reload the chassis, Proceed (y/n)? [n]: y
Le VLAN 420, qui a été déployé à l’origine, n’est PAS sur l’interface attendue pour le moment.
leaf# show int eth 1/13 trunk | grep -A 2 Allowed
Port Vlans Allowed on Trunk
-----------------------------------------------------------------------------------
Eth1/13 none
L'activation de la validation de domaine est considérée comme une meilleure pratique. Par conséquent, une fois activée, il n'y a pas d'option pour annuler la modification.
Une API POSTMAN indique que la publication visant à modifier le paramètre échoue.
Demander la validation d'un domaine est une opération unique. Aucune Modification Supplémentaire N'Est Autorisée.
Comme ce paramètre n'était pas défini par défaut dans la version initiale, toute modification ultérieure du paramètre par défaut peut entraîner l'échec d'une configuration incorrecte, ce qui peut entraîner des interruptions.
Pour cette raison, le paramètre est configurable par l'utilisateur.
Dépannage
La panne F0467 est déclenchée pour les EPG affectés avec des associations de stratégies d'accès manquantes.
Consultez cet article Quick Start Isolation pour savoir comment dépanner la panne.
Informations connexes
- Adresse Code d'erreur ACI F0467 : invalid-vlan, invalid-path, encap-already-in-use
- Configuration d'un fabric ACI : Exemple de configuration initiale > Paramètres système
- Guide de conception de l'infrastructure axée sur les applications (ACI) Cisco > Validation du domaine EPG
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
2.0 |
03-Dec-2023 |
VLAN 420 mis à jour. |
1.0 |
01-Dec-2023 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)