La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene descritto come risolvere il problema relativo all'errore ACI F0467: invalid-vlan, invalid-path o encap-already-in-use.
ACI Fault F0467 è contrassegnato in diversi scenari, ma mostra una causa distinta per ciascuno di essi.
I valori di causa più comuni rilevati con ACI Fault F0467 sono:
Tutte le cause dell'errore ACI F0467 possono influire sull'implementazione delle vlan sulle interfacce del nodo dello switch.
Questo guasto viene monitorato attivamente come parte degli accordi ACI proattivi.
Se si dispone di un'infrastruttura ACI connessa a Intersight, è stata generata una richiesta di assistenza per conto dell'utente per indicare che sono state trovate istanze di questo errore nell'infrastruttura ACI connessa a Intersight.
La descrizione dell'errore indica esplicitamente "L'EpG non è associato a un dominio o al dominio non è stata assegnata questa vlan".
APIC# moquery -c faultInst -f 'fault.Inst.code=="F0467"' | grep lc_EPG
descr : Configuration failed for uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG node 103 eth1/13 due to Invalid VLAN Configuration, debug message: invalid-vlan: vlan-421 :Either the EpG is not associated with a domain or the domain does not have this vlan assigned to it;
dn : topology/pod-1/node-103/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/nwissues/fault-F0467
Access Encap VLAN 421 non è distribuita sul nodo foglia:
Node-103# show vlan encap-id 421 extended
<<< Empty >>>
Il percorso statico dell'associazione EPG non viene creato:
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
<<< Empty >>>
Il dominio lc_phys_dom è associato a lc_EPG EPG:
APIC# moquery -c fvRsDomAtt | grep -A 25 lc_EPG | grep rn
rn : rsdomAtt-[uni/phys-lc_phys_dom]
Esiste un'associazione tra il dominio e il pool VLAN:
APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
tDn : uni/infra/vlanns-[lc_vlan_pool]-static
L'intervallo tra il pool di VLAN lc_vlan_pool e la VLAN 420 è limitato.
APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]
la vlan 421 non è presente nel pool precedente, quindi viene visualizzato l'errore "invalid-vlan: vlan-421:l'EpG non è associato a un dominio o al dominio non è stata assegnata questa vlan."
Nel diagramma a blocchi a cui si fa riferimento in precedenza, viene evidenziato questo riferimento specifico al pool di vlan:
Aggiungere la vlan mancante 421 all'intervallo di vlan specifico.
Associazioni pool VLAN da incapsulare e dominio (Fabric > Criteri di accesso > Pool > VLAN > lc_vlan_pool):
Verifica dell'intervallo del pool di VLAN dopo l'aggiunta della vlan 421:
APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-421]-to-[vlan-421]
Fabric > Policy di accesso > Domini fisici ed esterni > Domini fisici > lc_phys_dom:
[+] Associazione tra dominio e pool VLAN:
APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
<< EMPTY >>
Risolto: Includi associazione VLAN mancante
Fabric > Policy di accesso > Domini fisici ed esterni > Domini fisici > lc_phys_dom:
Questo errore viene generato quando si esegue una dichiarazione di switch, porta o VLAN senza le policy di accesso corrispondenti in uso, in modo da consentire la corretta applicazione della configurazione.
A seconda della descrizione dell'errore, è possibile che manchi un elemento diverso della relazione tra i criteri di accesso.
EPG - lc_EPG to Fault association at Tenants > lc_TN > lc_AP > lc_EPG > Faults > Fault:
L'EPG, l'ID del nodo dello switch e il numero della porta interessati sono indicati nella descrizione e nel dn dell'errore:
APIC# moquery -c faultInst -f 'fault.Inst.code=="F0467"' | grep lc_EPG
descr : Configuration failed for uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG node 103 eth1/13 due to Invalid Path Configuration, debug message: invalid-path: Either the EpG/L3Out is not associated with a domain or the domain does not have this interface assigned to it;
dn : topology/pod-1/node-103/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/nwissues/fault-F0467
Verificare che la vlan sia stata distribuita. In caso contrario, è possibile eseguire questi comandi per isolare l'errore di configurazione.
In questi comandi, lc_EPG è il nome EPG utilizzato per il filtro di output.
Encap-vlan NON è distribuito sul nodo foglia:
Node-103# show vlan encap-id 420 extended
<<< Empty >>>
[1] Il percorso statico del criterio di associazione EPG è vuoto:
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | ddr grep
<<< Vuoto >>>
[2] Associazione dominio-EPG:
APIC# moquery -c fvRsDomAtt | grep -A 25 lc_EPG | grep rn
rn : rsdomAtt-[uni/phys-lc_phys_dom]
[3] Associazione tra dominio e pool di VLAN:
APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
tDn : uni/infra/vlanns-[lc_vlan_pool]-static
[4] Verifica intervallo pool VLAN:
APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]
[5] Associazione dominio-AEP:
APIC# moquery -c infraRtDomP | grep lc_phys_dom
dn : uni/phys-lc_phys_dom/rtdomP-[uni/infra/attentp-lc_AAEP]
[6] AAEP to Interface Policy Group Association (IPG):
rtp-aci08-apic1# moquery -c infraRtAttEntP | grep lc_AAEP
dn : uni/infra/attentp-lc_AAEP/rtattEntP-[uni/infra/funcprof/accportgrp-lc_IPG]
[7] Associazione IPG - Selettore interfaccia:
APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
dn : uni/infra/accportprof-lead103_IP/hports-lc_Interface_Selector-typ-range/rsaccBaseGrp
[8] Associazione tra profilo di interfaccia e profilo di switch:
APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
dn : uni/infra/nprof-leaf103_SP/rsaccPortP-[uni/infra/accportprof-leaf103_IP]
La causa del percorso non valido viene rilevata se uno dei criteri di accesso necessari associati risulta mancante in base alla configurazione del percorso statico. Esaminare le potenziali cause in questo ordine per verificare hop per hop il funzionamento dei criteri di accesso:
Fabric > Criteri di accesso > Criteri > Globale > AEP > lc_AEP:
[+] Il percorso statico del criterio di associazione EPG è vuoto:
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
<< EMPTY >>
[+] Associazione da dominio a AEP:
APIC# moquery -c infraRtDomP | grep lc_phys_dom
<< EMPTY >>
Risolto: Associazioni pool VLAN da incapsulare e dominio (Fabric > Criteri di accesso > Pool > VLAN > lc_vlan_pool)
Fabric > Policy di accesso > Domini fisici ed esterni > Domini fisici > lc_phys_dom:
Fabric > Criteri di accesso > Interfacce > Interfacce foglia > Gruppi di criteri > Porta di accesso foglia > lc_IPG:
[+] Il percorso statico del criterio di associazione EPG è vuoto:
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
<< EMPTY >>
L'associazione tra IPG e AEP [+] è vuota:
APIC# moquery -c infraRsAttEntP | grep -A 15 lc_IPG | grep tDn
<< EMPTY >>
Risolto: Associazione AEP-IPG mancante
Fabric > Criteri di accesso > Interfacce > Interfacce foglia > Gruppi di criteri > Porta di accesso foglia > lc_IPG:
[+] Associazione da IPG ad AEP
APIC# moquery -c infraRsAttEntP | grep -A 15 lc_IPG | grep tDn
tDn : uni/infra/attentp-lc_AAEP
Fabric > Policy di accesso > Interfacce > Interfacce foglia > Profili > leaf103_IP > lc_Interface_Selector:
[+] Associazione IPG a selettore interfaccia
APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
<< EMPTY >>
Risolto: Associazione tra il selettore di interfaccia e il gruppo di criteri
[+] Associazione IPG a selettore interfaccia:
APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
dn : uni/infra/accportprof-lead103_IP/hports-lc_Interface_Selector-typ-range/rsaccBaseGrp
Fabric > Criteri di accesso > Interfacce > Interfacce foglia > Profili > leaf103_IP:
Risoluzione dei problemi:
APIC# moquery -c infraHPortS | grep leaf103_IP
<< EMPTY >>
Risolto: Associazione tra profilo di interfaccia e selettore di interfaccia
APIC# moquery -c infraHPortS | grep leaf103_IP
dn : uni/infra/accportprof-leaf103_IP/hports-lc_Interface_Selector-typ-range
Fabric > Criteri di accesso > Switch > Switch foglia > Profili > foglia103_SP
APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
<< EMPTY >>
Risolto: Associazione tra profilo foglia e profili selettore interfaccia
[+] Associazione tra profilo interfaccia e profilo switch:
APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
dn : uni/infra/nprof-leaf103_SP/rsaccPortP-[uni/infra/accportprof-leaf103_IP]
Per impostazione predefinita, le VLAN hanno un ambito globale. Un determinato ID VLAN può essere utilizzato solo per un singolo EPG su uno switch foglia specifico.
Ogni tentativo di riutilizzare la stessa VLAN su più EPG all'interno di uno switch foglia specifico determina un errore F0467 di incapsulamento già in uso.
Associazione da EPG a errore in Tenant > lc_TN > lc_AP > lc_EPG > Errori > Errore:
APIC# moquery -c faultInst -f 'fault.Inst.code=="F0467"' | grep lc_EPG
changeSet : configQual:encap-already-in-use, configSt:failed-to-apply, debugMessage:encap-already-in-use: Encap (vlan-420) is already in use by lc_TN_Dup:lc_APP:lc_EPG;, temporaryError:no
descr : Configuration failed for uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG node 103 eth1/13 due to Encap Already Used in Another EPG, debug message: encap-already-in-use: Encap (vlan-420) is already in use by lc_TN_Dup:lc_APP:lc_EPG;
dn : topology/pod-1/node-103/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/nwissues/fault-F0467
[+] È possibile confermare l'encap già in uso su un altro tenant lc_TN_Dup:
Node-103# show vlan extended | egrep "Encap|----|vlan-420"
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
3 lc_TN_Dup:lc_APP:lc_EPG vlan-420 Eth1/13
A partire dalla versione 1.1, è possibile distribuire più EPG con la stessa incapsulamento VLAN su uno switch foglia (o FEX) specifico, nella guida alla configurazione della VLAN per porta:
Questa sezione può essere utilizzata come guida di riferimento per una configurazione completa con una configurazione funzionale.
Tenant > lc_TN > lc_AP > lc_EPG > Porte statiche:
[+] Criteri di associazione da porta statica a EPG:
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
dn : topology/pod-1/node-103/sys/ctx-[vxlan-2195458]/bd-[vxlan-16416666]/vlan-[vlan-420]/rtfvDomIfConn-[uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/conndef/conn-[vlan-420]-[0.0.0.0]]
Fabric > Criteri di accesso > Criteri > Globale > AEP > lc_AEP:
APIC# moquery -c fvIfConn -f 'fv.IfConn.encap=="vlan-420"' | grep dn
dn : uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/attEntitypathatt-[lc_AAEP]/conndef/conn-[vlan-420]-[0.0.0.0]
Tenant > lc_TN > lc_AP > lc_EPG > Domini:
[+] Il dominio lc_phys_dom è stato associato a EPG.
APIC# moquery -c fvRsDomAtt | grep -A 25 lc_EPG | grep rn
rn : rsdomAtt-[uni/phys-lc_phys_dom]
Fabric > Policy di accesso > Domini fisici ed esterni > Domini fisici > lc_phys_dom:
[+] Associazione da dominio a AEP:
APIC# moquery -c infraRtDomP | grep lc_phys_dom
dn : uni/phys-lc_phys_dom/rtdomP-[uni/infra/attentp-lc_AAEP]
[+] Associazione tra dominio e pool VLAN
APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
tDn : uni/infra/vlanns-[lc_vlan_pool]-static
Fabric > Criteri di accesso > Pool > VLAN > lc_vlan_pool:
[+] Verifica intervallo pool VLAN:
APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]
[+] Domini in cui è stato utilizzato lc_vlan_pool:
APIC# moquery -c fvnsRtVlanNs | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_pool]-dynamic/rtinfraVlanNs-[uni/phys-lc_phys_dom]
Fabric > Criteri di accesso > Criteri > Globale > AEP > lc_AEP:
APIC# moquery -c infraRsDomP | grep lc_AAEP
dn : uni/infra/attentp-lc_AAEP/rsdomP-[uni/phys-lc_phys_dom]
Fabric > Criteri di accesso > Interfacce > Interfacce foglia > Gruppi di criteri > Porta di accesso foglia > lc_IPG:
[+] Associazione da IPG ad AEP:
APIC# moquery -c infraRsAttEntP | grep -A 15 lc_IPG | grep tDn
tDn : uni/infra/attentp-lc_AAEP
Fabric > Criteri di accesso > Interfacce > Interfacce foglia > Profili > leaf103_IP:
APIC# moquery -c infraHPortS | grep leaf103_IP
dn : uni/infra/accportprof-leaf103_IP/hports-lc_Interface_Selector-typ-range
Fabric > Policy di accesso > Interfacce > Interfacce foglia > Profili > leaf103_IP > lc_Interface_Selector:
[+] Associazione IPG a selettore interfaccia:
APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
dn : uni/infra/accportprof-lead103_IP/hports-lc_Interface_Selector-typ-range/rsaccBaseGrp
Fabric > Criteri di accesso > Switch > Switch foglia > Profili > Leaf103_SP:
[+] Associazione profilo interfaccia foglia a profilo switch:
APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
dn : uni/infra/nprof-leaf103_SP/rsaccPortP-[uni/infra/accportprof-leaf103_IP]
[+] Associazione tra profilo di switch e gruppo di criteri:
APIC# moquery -c infraRsAccNodePGrp | grep -A 8 leaf103_SP | grep tDn
tDn : uni/infra/funcprof/accnodepgrp-leaf103_SPG
Una moquery sulla classe fvIcConn può essere filtrata sugli incapsulamenti VLAN di interesse per visualizzare ogni combinazione EPG/switch/interfaccia in cui è stata distribuita la VLAN.
APIC# moquery -c fvIfConn -f 'fv.IfConn.encap=="vlan-420"' | grep dn
dn : uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/conndef/conn-[vlan-420]-[0.0.0.0]
Eseguire il comando show vlan extended su uno switch per verificare quali VLAN sono attualmente distribuite su uno switch, oltre a quale EPG e all'interfaccia a cui è collegata la VLAN.
il filtro encap-id xx è disponibile su ACI versione 4.2 e successive.
Node-103# show vlan encap-id 420 extended
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
2 lc_TN:lc_APP:lc_EPG vlan-420 Eth1/13
Ogni VLAN in un nodo dello switch ACI è mappata a una VLAN indipendente dalla piattaforma (IP) che è un valore locale di ciascun nodo dello switch.
Gli incapsulamenti dell'accesso vengono mappati su una VLAN IP chiamata 'VLAN DCF', mentre i domini bridge vengono mappati su una VLAN IP chiamata "VLAN DBD".
Eseguire il comando show system internal epm vlan all su uno switch per visualizzare l'elenco delle vlan distribuite sulla foglia.
Node-103# show vlan extended | egrep "Encap|----|1/13"
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
2 lc_TN:lc_APP:lc_EPG vlan-420 Eth1/13 --> FD vlan 2
18 lc_TN:lc_BD vxlan-16416666 Eth1/13 --> BD vlan 18
La programmazione FD vlan e BD vlan sull'interfaccia può essere convalidata con un comando show interface:
Node-103# show interface eth 1/13 trunk | grep -A 2 Allowed
Port Vlans Allowed on Trunk
-----------------------------------------------------------------------------------
Eth1/13 2,18
Se si convalida una vlan di layer 3 con una SVI BD, modificare la classe fvSubnet per ottenere l'indirizzo IP della subnet:
APIC# moquery -c fvSubnet | grep lc_BD
dn : uni/tn-lc_TN/BD-lc_BD/subnet-[10.10.10.254/24]
Quindi, selezionare nuovamente show ip interface brief e verificare se l'indirizzo IP corrisponde per convalidare la vlan e la VRF prevista.
In questo esempio, la convalida è per "BD VLan 18" dall'output del precedente esempio della CLI:
Node-103# show ip interface brief
...
IP Interface Status for VRF "lc_TN:lc_VRF"(16)
Interface Address Interface Status
vlan18 10.10.10.254/24 protocol-up/link-up/admin-up
Questa sequenza di alto livello riepiloga i passaggi da una chiamata all'API del percorso statico della VLAN alla distribuzione della VLAN del nodo dello switch.
Questo diagramma a blocchi mostra la relazione tra i criteri di accesso per garantire una corretta distribuzione della VLAN nel nodo dello switch.
Ogni ingegnere di rete ha effettivamente lavorato con l'idea di politiche di accesso; solo che sono stati definiti come testo in un file tramite un'interfaccia CLI di un dispositivo standalone.
Quando viene rilevato un errore F0467, è importante innanzitutto comprendere le policy di accesso e assicurarsi che siano configurate correttamente.
Ogni output di comando fornisce una variabile che viene utilizzata per il comando successivo nell'elenco.
Per risolvere i problemi relativi ai diversi scenari, nel presente documento è stato fatto riferimento a questi comandi.
Nodo | Comandi | Scopo |
APIC | moquery -c faultInst -f 'fault.Inst.code="F0467"' | Elenca tutti gli errori F0467 attualmente attivi nella struttura |
moquery -c2RtDomIfConn | grep <nome_epg> | ddr grep | Mostra i percorsi statici/dinamici associati all'epg specifico. | |
moquery -c fvRsDomAtt | grep -A 25<nome_epg> | rn grep | Mostra i domini associati all'EPG | |
moquery -c infraRsVlanNs | grep -A 15 <nome_dominio> | grep tDn | Mostra il nome del pool di VLAN associato al dominio. Il nome di dominio viene estratto dal comando precedente | |
moquery -c fvnsEncapBlack | grep <nome_pool_vlan> | Mostra i numeri di vlan associati allo specifico pool di vlan | |
moquery -c infraRtDomP | grep <nome_dominio> | Mostra l'AEP associato al dominio | |
moquery -c infraRtAttEntP | grep <nome_AEP> | Mostra il gruppo di profili di interfaccia (IPG) associato al dominio | |
moquery -c infraRsAccBaseGrp | grep -B 15 <nome_IPG> | ddr grep | Mostra l'associazione tra il gruppo di profili di interfaccia (IPG) e il selettore di interfaccia | |
moquery -c infraRsAccPortP | grep <Settore_interfaccia> | ddr grep | Mostra l'associazione tra profilo interfaccia e profilo di switch | |
moquery -c fvIfConn -f 'fv.IfConn.encap="<vlan_encap>"' | ddr grep | Mostra tutte le interfacce in cui la vlan encap specifica è distribuita sull'infrastruttura | |
moquery -c fvnsRtVlanNs | grep <nome_pool_vlan> | | ddr grep | Mostra il dominio associato al pool di VLAN | |
moquery -c subnetFv | grep <nome_BD> | Mostra l'indirizzo IP svi associato al dominio | |
Switch | show vlan encap-id <encap_vlan> extended | Mostra i dettagli delle vlan IP e del tenant, del profilo applicazione e del nome EPG |
show vlan extended | egrep "Encap|—|<port:example 1/13>" | Mostra i dettagli della vlan sulla porta specifica. | |
show int eth <porta> trunk | grep -A 2 Consentito | Mostra le vlan inoltrate su una porta specifica. I numeri vlan sono numeri vlan interni. | |
show ip int bri vrf <vrf> | Mostra le interfacce di layer 3 distribuite per il file vrf specifico | |
show vpc brief | Mostra le informazioni relative al vpc se lo switch fa parte di una coppia VPC. |
Revisione | Data di pubblicazione | Commenti |
---|---|---|
2.0 |
21-Nov-2024 |
Testo alternativo, formattazione, alcuni errori di ortografia, errori di intestazione, titolo abbreviato |
1.0 |
14-Sep-2023 |
Versione iniziale |