Risoluzione dei problemi relativi alla gestione ACI e ai servizi di base - Gestione in-band e fuori banda

Introduzione

In questo documento viene descritto come risolvere i problemi relativi alla gestione ACI fuori banda (OOB) e in banda (INB).

Premesse

Il materiale di questo documento è stato estratto dal libro Troubleshooting Cisco Application Centric Infrastructure, Second Edition specificamente dal capitolo Management and Core Services - In-band and out-of-band Management.

Gestione in banda e fuori banda

I nodi ACI fabric dispongono di due opzioni per la connettività di gestione; fuori banda (OOB), che gestisce la porta di gestione fisica dedicata sul retro del dispositivo, o in banda (INB), che viene fornita utilizzando uno specifico EPG/BD/VRF nel tenant di gestione con un certo grado di parametri configurabili. Nel tenant di gestione ('mgmt') è presente un EPG OOB, ma è presente per impostazione predefinita e non può essere modificato. Consente solo la configurazione dei contratti OOB forniti. Sull'APIC, l'interfaccia OOB viene osservata nell'output del comando 'ifconfig' come 'oobmgmt' e l'interfaccia in-band viene rappresentata dall'interfaccia 'bond.x', dove è la VLAN di accesso configurata per l'EPG in-band.

apic1# ifconfig oobmgmt
oobmgmt: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.4.20  netmask 255.255.255.0  broadcast 192.168.4.255
        inet6 fe80::7269:5aff:feca:2986  prefixlen 64  scopeid 0x20
        ether 70:69:5a:ca:29:86  txqueuelen 1000  (Ethernet)
        RX packets 495815  bytes 852703636 (813.2 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 432927  bytes 110333594 (105.2 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

apic1# ifconfig bond0.300
bond0.300: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1496
        inet 10.30.30.254  netmask 255.255.255.0  broadcast 10.30.30.255
        inet6 fe80::25d:73ff:fec1:8d9e  prefixlen 64  scopeid 0x20
        ether 00:5d:73:c1:8d:9e  txqueuelen 1000  (Ethernet)
        RX packets 545  bytes 25298 (24.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 6996  bytes 535314 (522.7 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Sul lato sinistro, l'interfaccia OOB è visualizzata come 'eth0' nell'output del comando 'ifconfig' e l'INB come SVI dedicato. L'utente può visualizzare l'interfaccia con 'ifconfig' o con 'show ip interface vrf mgmt:', dove è il nome selezionato per il VRF in-band.

leaf101# show interface mgmt 0
mgmt0 is up
admin state is up,
  Hardware: GigabitEthernet, address: 00fc.baa8.2760 (bia 00fc.baa8.2760)
  Internet Address is 192.168.4.23/24
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec
  reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, medium is broadcast
  Port mode is routed
  full-duplex, 1000 Mb/s
  Beacon is turned off
  Auto-Negotiation is turned on
  Input flow-control is off, output flow-control is off
  Auto-mdix is turned off
  EtherType is 0x0000
  30 seconds input rate 3664 bits/sec, 4 packets/sec
  30 seconds output rate 4192 bits/sec, 4 packets/sec
  Rx
    14114 input packets 8580 unicast packets 5058 multicast packets
    476 broadcast packets 2494768 bytes
  Tx
    9701 output packets 9686 unicast packets 8 multicast packets
    7 broadcast packets 1648081 bytes

leaf101# show ip interface vrf mgmt:inb
  IP Interface Status for VRF "mgmt:inb-vrf" 
  vlan16, Interface status: protocol-up/link-up/admin-up, iod: 4, mode: pervasive 
    IP address: 10.30.30.1, IP subnet: 10.30.30.0/24 
    secondary IP address: 10.30.30.3, IP subnet: 10.30.30.0/24 
    IP broadcast address: 255.255.255.255 
  IP primary address route-preference: 0, tag: 0

Il comando 'show ip interface vrf mgmt:' visualizza l'indirizzo IP della subnet BD di gestione in-band come indirizzo IP secondario; output previsto.

Sugli switch spine, l'indirizzo IP di gestione in-band viene aggiunto come interfaccia di loopback dedicata nel VRF "mgmt:". Questa implementazione è quindi diversa dall'implementazione IP di gestione in-band sugli switch foglia. Osservare l'output del comando 'show ip int vrf mgmt:' riportato di seguito su uno switch con dorso

spine201# show ip interface vrf mgmt:inb
  IP Interface Status for VRF "mgmt:inb"
  lo10, Interface status: protocol-up/link-up/admin-up, iod: 98, mode: pervasive
    IP address: 10.30.30.12, IP subnet: 10.30.30.12/32
    IP broadcast address: 255.255.255.255
 IP primary address route-preference: 0, tag: 0 

In System Settings (Impostazioni di sistema) è disponibile un'impostazione che consente di selezionare la preferenza di connettività in banda o fuori banda per gli APIC.

Solo il traffico inviato dall'APIC utilizzerà le preferenze di gestione selezionate in 'Preferenze connettività APIC'. L'APIC può ancora ricevere traffico in banda o fuori banda, a condizione che sia configurato. APIC utilizza la seguente logica di inoltro:

• Pacchetti che entrano in un'interfaccia e escono dalla stessa interfaccia.
• I pacchetti provenienti dall'APIC e destinati a una rete a connessione diretta escono dall'interfaccia a connessione diretta.
• I pacchetti provenienti dall'APIC e destinati a una rete remota preferiscono quelli in banda o fuori banda in base alle preferenze di connettività APIC.

Preferenze connettività APIC

Tabella di routing APIC con OOB selezionato. Osservare il valore metrico di 16 per l'interfaccia oobmgmt che è inferiore alla metrica dell'interfaccia di gestione in banda bond0.300 di 32. Ciò significa che l'interfaccia di gestione fuori banda oobmgmt verrà utilizzata per il traffico di gestione in uscita.

apic1# bash
admin@apic1:~> route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.4.1     0.0.0.0         UG    16     0        0 oobmgmt
0.0.0.0         10.30.30.1      0.0.0.0         UG    32     0        0 bond0.300

Tabella di routing APIC con in-band selezionata. Osservare la metrica if 8 dell'interfaccia di gestione in banda bond0.300, che è ora inferiore alla metrica 16 dell'interfaccia oobmgmt. Ciò significa che l'interfaccia di gestione in banda bond0.300 verrà utilizzata per il traffico di gestione in uscita.

admin@apic1:~> route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.30.30.1      0.0.0.0         UG    8      0        0 bond0.300
0.0.0.0         192.168.4.1     0.0.0.0         UG    16     0        0 oobmgmt

Questa impostazione non influisce sulle preferenze di gestione dei nodi foglia e direttrice. Queste preferenze di connettività sono selezionate nei criteri del protocollo. Di seguito è riportato un esempio di NTP.

Se si seleziona in-band nelle Preferenze connettività APIC, ma poi fuori banda viene selezionato nel protocollo, quale interfaccia con il pacchetto del protocollo utilizzare?

• La preferenza di connettività APIC avrà sempre la precedenza sulla selezione del protocollo nell'APIC.
• I nodi foglia sono l'opposto, fanno riferimento solo alla selezione sotto il protocollo.

Scenario: Impossibile raggiungere la rete di gestione

Se l'utente non è in grado di raggiungere la rete di gestione, è possibile che si siano verificati diversi problemi, ma è sempre possibile utilizzare la stessa metodologia per isolare il problema. In questo scenario si presume che l'utente non sia in grado di raggiungere alcun dispositivo nella rete di gestione da dietro il relativo L3Out.

• Verificare le preferenze relative alla connettività APIC. La figura 'Preferenze connettività APIC' illustra questo aspetto e le opzioni sono OOB o in banda.
• A seconda della preferenza selezionata, verificare che la configurazione sia corretta, che le interfacce siano attive, che il gateway predefinito sia raggiungibile tramite l'interfaccia selezionata e che non vi siano perdite sul percorso del pacchetto.

Non dimenticare di controllare la presenza di errori in ciascuna sezione della configurazione nell'interfaccia utente. Tuttavia, alcuni errori di configurazione possono manifestarsi in stati imprevisti, ma un errore può essere generato in una sezione diversa da quella che l'utente considererebbe inizialmente.

Accesso alla gestione fuori banda

Verifica della configurazione fuori banda

Per la configurazione fuori banda, sono disponibili quattro cartelle da verificare in uno speciale tenant denominato 'mgmt':

• Indirizzi di gestione dei nodi.
• EPG di gestione dei nodi.
• Contratti fuori banda (in Contratti).
• Profili di istanze di rete esterne.

Gli indirizzi di gestione dei nodi possono essere assegnati in modo statico o da un pool. Di seguito è riportato un esempio di assegnazione di indirizzi statici. Verificare che il tipo di indirizzi IP fuori banda sia assegnato e che il gateway predefinito sia corretto.

Verifica GUI per indirizzi di gestione dei nodi statici

L'EPG fuori banda deve essere presente nella cartella EPG di gestione dei nodi.

EPG fuori banda - predefinito

I contratti che disciplinano i servizi di gestione forniti dall'EPG fuori banda sono contratti speciali configurati nella cartella dei contratti fuori banda.

Contratto fuori banda

Verificare quindi che il profilo dell'istanza della rete di gestione esterna sia stato creato e che il contratto fuori banda corretto sia configurato come 'Contratto fuori banda utilizzato'.

Profilo istanza rete di gestione esterna

Gli elementi successivi da verificare sono lo stato dell'interfaccia e il cablaggio, quindi la connettività al gateway.

• Per verificare se l'interfaccia oobmgmt è attiva, immettere 'ifconfig oobmgmt' nella CLI di APIC. Verificare che i flag di interfaccia siano "UP" e "RUNNING", che sia configurato l'indirizzo IP corretto e che i pacchetti aumentino nei contatori RX e TX. In caso di controlli mancanti, verificare che siano in uso i cavi corretti e che siano collegati alle porte di gestione fisica corrette sull'APIC. Le porte di gestione saranno etichettate Eth1-1 ed Eth1-2 e i recenti dispositivi hardware dispongono di adesivi di gestione per indicare l'interfaccia fuori banda. Per ulteriori informazioni sulle porte fisiche di gestione fuori banda sul pannello posteriore di un'APIC, fare riferimento alla sezione "Configurazione iniziale dell'infrastruttura" nel capitolo "Rilevamento dell'infrastruttura".
  
  

apic1# ifconfig oobmgmt
oobmgmt: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
inet 192.168.4.20  netmask 255.255.255.0  broadcast 192.168.4.255
inet6 fe80::7269:5aff:feca:2986  prefixlen 64  scopeid 0x20
ether 70:69:5a:ca:29:86  txqueuelen 1000  (Ethernet)
RX packets 295605  bytes 766226440 (730.7 MiB)
RX errors 0  dropped 0  overruns 0  frame 0
TX packets 253310  bytes 38954978 (37.1 MiB)
TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

• Per controllare la connettività di rete tramite l'OOB, usare il comando ping per verificare il percorso del pacchetto attraverso la rete fuori banda.

apic1# ping 192.168.4.1
PING 192.168.4.1 (192.168.4.1) 56(84) bytes of data.
64 bytes from 192.168.4.1: icmp_seq=1 ttl=255 time=0.409 ms
64 bytes from 192.168.4.1: icmp_seq=2 ttl=255 time=0.393 ms
64 bytes from 192.168.4.1: icmp_seq=3 ttl=255 time=0.354 ms

Utilizzando traceroute nella shell Bash sull'interfaccia APIC, tracciare la connettività con l'utente finale. Se il traceroute è incompleto, accedere al dispositivo (se accessibile), eseguire il ping sull'interfaccia oobmgmt ed eseguire il ping sull'host. A seconda della direzione in cui si verifica il problema, risolverlo come problema di rete tradizionale.

Il comando traceroute invia i pacchetti UDP con un valore TTL crescente, a partire da 1. Se un router riceve il pacchetto con TTL 1 e deve inoltrarlo, scarta il frame e restituisce un messaggio ICMP "destinazione irraggiungibile" al mittente. Ogni hop viene inviato 3 pacchetti UDP al valore TTL corrente, e gli asterischi rappresentano i tentativi di ricezione di un pacchetto ICMP "destinazione irraggiungibile" / "velocità eccessiva". Questi 3 blocchi di asterisco sono previsti nella maggior parte delle reti perché alcuni dispositivi di routing hanno i messaggi ICMP "destinazione irraggiungibile" / "valore TTL superato" disabilitati, quindi quando ricevono i pacchetti TTL 1 che devono inoltrare, si limitano a scartare il pacchetto e non a inviare nuovamente il messaggio al mittente.

apic1# bash
admin@apic1:~> traceroute 10.55.0.16
traceroute to 10.55.0.16 (10.55.0.16), 30 hops max, 60 byte packets
    1  192.168.4.1 (192.168.4.1)  0.368 ms  0.355 ms  0.396 ms
    2  * * *
    3  * * *
    4  10.0.255.221 (10.0.255.221)  6.419 ms 10.0.255.225 (10.0.255.225)  6.447 ms *
    5  * * *
    6  * * *
    7  10.55.0.16 (10.55.0.16)  8.652 ms  8.676 ms  8.694 ms

Gli switch foglia hanno accesso al comando tcpdump, che può essere usato per verificare quali pacchetti attraversano l'interfaccia oobmgmt. L'esempio che segue viene acquisito su 'eth0', l'interfaccia obmgmt usata sugli switch foglia e dorso, e usa l'opzione '-n' per tcpdump per fornire gli indirizzi IP usati al posto dei nomi DNS, quindi filtra specificamente i pacchetti NTP (porta UDP 123). Tenere presente che nell'esempio precedente la foglia sta eseguendo il polling del server NTP 172.18.108.14. Di seguito, l'utente può verificare che i pacchetti NTP vengano trasmessi tramite l'interfaccia fuori banda e che la foglia riceva una risposta dal server.

fab1-leaf101# tcpdump -n -i eth0 dst port 123
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
16:49:01.431624 IP 192.168.4.23.123 > 172.18.108.14.123: NTPv4, Client, length 48
16:49:01.440303 IP 172.18.108.14.123 > 192.168.4.23.123: NTPv4, Server, length 48

La configurazione della gestione in banda richiede considerazioni specifiche per le distribuzioni di layer 2 o layer 3. In questo esempio vengono illustrate solo l'implementazione e la risoluzione dei problemi del layer 3.

Configurazione della gestione in banda

Verificare che nel tenant di gestione sia presente un BD con una subnet da cui gli indirizzi di gestione dei nodi in-band verranno allocati ai nodi fabric per la connettività in-band e verificare che l'uscita L3T sia associata alla BD di gestione in-band.

Subnet di dominio bridge che fungerà da gateway di gestione in banda

Verificare che sia presente un EPG di gestione dei nodi in-band. Come nell'immagine seguente, i nomi EPG in-band sono indicati nella GUI con il prefisso 'inb-'. Verificare che la VLAN di accesso EPG in banda sia associata correttamente a un pool VLAN.

La VLAN di incapsulamento configurata nell'EPG di gestione in-band deve essere consentita dalle policy di accesso: 'inb mgmt EPG encap VLAN > Pool VLAN > Dominio > AEP > Gruppo di criteri di interfaccia > Profilo interfaccia foglia > Profilo switch'. Se i criteri di accesso di supporto non sono configurati, verrà generato un errore con il codice F0467 come da screenshot seguente.

Errore F0467 - inb EPG

Verificare che il dominio bridge sia lo stesso creato in precedenza per la subnet in banda. Infine, verificare che esista un contratto fornito configurato sulla gestione in banda EPG, utilizzata dall'EPG esterno.

EPG in-band

Profilo istanza EPG esterna

Analogamente agli indirizzi IP di gestione in banda dei nodi della struttura fuori banda, gli indirizzi IP possono essere assegnati in modo statico o dinamico da un intervallo preselezionato. Verificare che gli indirizzi applicati per il tipo in banda corrispondano alla subnet BD configurata in precedenza. Verificare inoltre che il gateway predefinito sia corretto.

Indirizzi di gestione dei nodi statici

Se la configurazione è stata completata correttamente e non sono presenti errori in nessuna delle sezioni precedenti, il passaggio successivo è eseguire il ping tra gli switch e/o gli APIC per verificare che la connettività in-band funzioni correttamente all'interno di ACI.

I nodi della spine non risponderanno al ping sulla banda in quanto utilizzano interfacce di loopback per la connettività che non rispondono ad ARP.

L'interfaccia in-band utilizzata sugli switch foglia è kpm_inb. Utilizzando un'acquisizione tcpdump simile, verificare che il pacchetto stia uscendo dall'interfaccia CPU in-band.

fab2-leaf101# tcpdump -n -i kpm_inb dst port 123 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on kpm_inb, link-type EN10MB (Ethernet), capture size 65535 bytes
16:46:50.431647 IP 10.30.30.3.123 > 172.18.108.14.123: NTPv4, Client, length 48
16:47:19.431650 IP 10.30.30.3.123 > 172.18.108.15.123: NTPv4, Client, length 48

Verificare che l'SVI utilizzata per l'in-band sia 'protocol-up/link-up/admin-up'.

fab1-leaf101# show ip interface vrf mgmt:inb-vrf
IP Interface Status for VRF "mgmt:inb-vrf"
vlan16, Interface status: protocol-up/link-up/admin-up, iod: 4, mode: pervasive
    IP address: 10.30.30.1, IP subnet: 10.30.30.0/24 secondary
    IP address: 10.30.30.3, IP subnet: 10.30.30.0/24
    IP broadcast address: 255.255.255.255
    IP primary address route-preference: 0, tag: 0