Risoluzione dei problemi relativi al codice di errore ACI dell'indirizzo F0467

Introduzione

In questo documento viene descritto come risolvere il problema relativo all'errore ACI F0467: invalid-vlan, invalid-path o encap-already-in-use.

Premesse

ACI Fault F0467 è contrassegnato in diversi scenari, ma mostra una causa distinta per ciascuno di essi.

I valori di causa più comuni rilevati con ACI Fault F0467 sono:

• invalid-vlan
• percorso-non valido
• encap già in uso

Tutte le cause dell'errore ACI F0467 possono influire sull'implementazione delle vlan sulle interfacce del nodo dello switch.

Intersight Connected ACI Fabric

Questo guasto viene monitorato attivamente come parte degli accordi ACI proattivi.

Se si dispone di un'infrastruttura ACI connessa a Intersight, è stata generata una richiesta di assistenza per conto dell'utente per indicare che sono state trovate istanze di questo errore nell'infrastruttura ACI connessa a Intersight.

Scenari ACI Fault F0467

Configurazione VLAN non valida - vlan non valida

Scenario

• Nuovo EPG configurato con Encrypt VLAN 421
• Dominio fisico assegnato a EPG
• Binding della porta statica per VLAN 421 su EPG
• Errore F0467 - contrassegnato sul nodo dello switch con un puntatore all'EPG
• Il messaggio di debug di errore contiene invalid-vlan:vlan-x:l'EpG non è associato a un dominio o al dominio non è assegnata alcuna vlan.

La descrizione dell'errore indica esplicitamente "L'EpG non è associato a un dominio o al dominio non è stata assegnata questa vlan".

APIC# moquery -c faultInst -f 'fault.Inst.code=="F0467"' | grep lc_EPG
descr : Configuration failed for uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG node 103 eth1/13 due to Invalid VLAN Configuration, debug message: invalid-vlan: vlan-421 :Either the EpG is not associated with a domain or the domain does not have this vlan assigned to it;
dn : topology/pod-1/node-103/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/nwissues/fault-F0467

Causa potenziale: Il pool di VLAN associato non contiene la VLAN richiesta

Access Encap VLAN 421 non è distribuita sul nodo foglia:

Node-103# show vlan encap-id 421 extended 
<<< Empty >>>   

Il percorso statico dell'associazione EPG non viene creato:

APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn 
<<< Empty >>>  

Il dominio lc_phys_dom è associato a lc_EPG EPG:

APIC# moquery -c fvRsDomAtt | grep -A 25 lc_EPG | grep rn
rn : rsdomAtt-[uni/phys-lc_phys_dom]

Esiste un'associazione tra il dominio e il pool VLAN:

APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
tDn : uni/infra/vlanns-[lc_vlan_pool]-static

L'intervallo tra il pool di VLAN lc_vlan_pool e la VLAN 420 è limitato.

APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool 
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]

la vlan 421 non è presente nel pool precedente, quindi viene visualizzato l'errore "invalid-vlan: vlan-421:l'EpG non è associato a un dominio o al dominio non è stata assegnata questa vlan."

Nel diagramma a blocchi a cui si fa riferimento in precedenza, viene evidenziato questo riferimento specifico al pool di vlan:

Aggiungere la vlan mancante 421 all'intervallo di vlan specifico.

Associazioni pool VLAN da incapsulare e dominio (Fabric > Criteri di accesso > Pool > VLAN > lc_vlan_pool):

Verifica dell'intervallo del pool di VLAN dopo l'aggiunta della vlan 421:

APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool 
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-421]-to-[vlan-421]

Causa potenziale: Pool di VLAN con VLAN richiesta non associato al dominio  

Fabric > Policy di accesso > Domini fisici ed esterni > Domini fisici > lc_phys_dom:

[+] Associazione tra dominio e pool VLAN:

APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
<< EMPTY >>

Risolto: Includi associazione VLAN mancante

Fabric > Policy di accesso > Domini fisici ed esterni > Domini fisici > lc_phys_dom:

Percorso configurazione non valido percorso non valido

Scenario

• EPG configurato
• Dominio assegnato a EPG
• Associazione porta statica creata su EPG per VLAN 420, nodo 103 eth 1/13
• Errore F0467 - contrassegnato sul nodo dello switch con un puntatore all'EPG
• Il messaggio di debug di errore contiene un percorso non valido: EpG/L3Out non è associato a un dominio oppure al dominio non è assegnata questa interfaccia.

Questo errore viene generato quando si esegue una dichiarazione di switch, porta o VLAN senza le policy di accesso corrispondenti in uso, in modo da consentire la corretta applicazione della configurazione.

A seconda della descrizione dell'errore, è possibile che manchi un elemento diverso della relazione tra i criteri di accesso.

EPG - lc_EPG to Fault association at Tenants > lc_TN > lc_AP > lc_EPG > Faults > Fault:

L'EPG, l'ID del nodo dello switch e il numero della porta interessati sono indicati nella descrizione e nel dn dell'errore:

APIC# moquery -c faultInst -f 'fault.Inst.code=="F0467"' | grep lc_EPG
descr            : Configuration failed for uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG node 103 eth1/13 due to Invalid Path Configuration, debug message: invalid-path: Either the EpG/L3Out is not associated with a domain or the domain does not have this interface assigned to it;
dn               : topology/pod-1/node-103/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/nwissues/fault-F0467

Isolamento avvio rapido

Verificare che la vlan sia stata distribuita. In caso contrario, è possibile eseguire questi comandi per isolare l'errore di configurazione.

In questi comandi, lc_EPG è il nome EPG utilizzato per il filtro di output. 

Encap-vlan NON è distribuito sul nodo foglia:

Node-103# show vlan encap-id 420 extended 
<<< Empty >>>   

[1] Il percorso statico del criterio di associazione EPG è vuoto:

APIC# moquery -c l2RtDomIfConn | grep lc_EPG | ddr grep
<<< Vuoto >>>

[2] Associazione dominio-EPG:

APIC# moquery -c fvRsDomAtt | grep -A 25 lc_EPG | grep rn
rn : rsdomAtt-[uni/phys-lc_phys_dom]

[3] Associazione tra dominio e pool di VLAN:

APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
tDn : uni/infra/vlanns-[lc_vlan_pool]-static

[4] Verifica intervallo pool VLAN:

APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool 
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]

[5] Associazione dominio-AEP:

APIC# moquery -c infraRtDomP | grep lc_phys_dom
dn : uni/phys-lc_phys_dom/rtdomP-[uni/infra/attentp-lc_AAEP]

[6] AAEP to Interface Policy Group Association (IPG):

rtp-aci08-apic1# moquery -c infraRtAttEntP | grep lc_AAEP
dn           : uni/infra/attentp-lc_AAEP/rtattEntP-[uni/infra/funcprof/accportgrp-lc_IPG]

[7] Associazione IPG - Selettore interfaccia:

APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
dn : uni/infra/accportprof-lead103_IP/hports-lc_Interface_Selector-typ-range/rsaccBaseGrp

[8] Associazione tra profilo di interfaccia e profilo di switch:

APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
dn : uni/infra/nprof-leaf103_SP/rsaccPortP-[uni/infra/accportprof-leaf103_IP] 

La causa del percorso non valido viene rilevata se uno dei criteri di accesso necessari associati risulta mancante in base alla configurazione del percorso statico. Esaminare le potenziali cause in questo ordine per verificare hop per hop il funzionamento dei criteri di accesso:

1. Associazione da dominio ad AEP mancante
2. Associazione AEP-IPG mancante 
3. Associazione IPG a selettore di interfaccia mancante  
4. Selettore di interfaccia mancante nell'associazione profilo interfaccia 
5. Profilo interfaccia mancante per l'associazione profilo switch

Causa potenziale: Associazione dominio-AEP mancante 

Fabric > Criteri di accesso > Criteri > Globale > AEP > lc_AEP:

[+] Il percorso statico del criterio di associazione EPG è vuoto:

APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn 
<< EMPTY >>

[+] Associazione da dominio a AEP:

APIC# moquery -c infraRtDomP | grep lc_phys_dom
<< EMPTY >>

Risolto: Associazioni pool VLAN da incapsulare e dominio (Fabric > Criteri di accesso > Pool > VLAN > lc_vlan_pool)

Fabric > Policy di accesso > Domini fisici ed esterni > Domini fisici > lc_phys_dom:

Causa potenziale: Associazione AEP to IPG mancante

Associazione da IPG ad AAEP

Fabric > Criteri di accesso > Interfacce > Interfacce foglia > Gruppi di criteri > Porta di accesso foglia > lc_IPG:

[+] Il percorso statico del criterio di associazione EPG è vuoto:

APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn 
<< EMPTY >>

L'associazione tra IPG e AEP [+] è vuota:

APIC# moquery -c infraRsAttEntP | grep -A 15 lc_IPG | grep tDn
<< EMPTY >>

Risolto: Associazione AEP-IPG mancante

Fabric > Criteri di accesso > Interfacce > Interfacce foglia > Gruppi di criteri > Porta di accesso foglia > lc_IPG:

[+] Associazione da IPG ad AEP 

APIC# moquery -c infraRsAttEntP | grep -A 15 lc_IPG | grep tDn
tDn : uni/infra/attentp-lc_AAEP

Causa potenziale: Associazione del selettore di interfaccia IPG mancante

Associazione tra il selettore di interfaccia e il gruppo di criteri

Fabric > Policy di accesso > Interfacce > Interfacce foglia > Profili > leaf103_IP > lc_Interface_Selector:

[+] Associazione IPG a selettore interfaccia

APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
<< EMPTY >>

Risolto: Associazione tra il selettore di interfaccia e il gruppo di criteri

[+] Associazione IPG a selettore interfaccia:

APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
dn : uni/infra/accportprof-lead103_IP/hports-lc_Interface_Selector-typ-range/rsaccBaseGrp

Causa potenziale: Selettore di interfaccia mancante nell'associazione del profilo di interfaccia

Associazione tra profilo di interfaccia e selettore di interfaccia

Fabric > Criteri di accesso > Interfacce > Interfacce foglia > Profili > leaf103_IP:

Risoluzione dei problemi:

APIC# moquery -c infraHPortS | grep leaf103_IP
<< EMPTY >>

Risolto: Associazione tra profilo di interfaccia e selettore di interfaccia

APIC# moquery -c infraHPortS | grep leaf103_IP
dn : uni/infra/accportprof-leaf103_IP/hports-lc_Interface_Selector-typ-range

Causa potenziale: Profilo di interfaccia mancante per l'associazione del profilo di switch

Associazione profilo interfaccia a profilo switch

Fabric > Criteri di accesso > Switch > Switch foglia > Profili > foglia103_SP

APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
<< EMPTY >>

Risolto: Associazione tra profilo foglia e profili selettore interfaccia

[+] Associazione tra profilo interfaccia e profilo switch:

APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
dn : uni/infra/nprof-leaf103_SP/rsaccPortP-[uni/infra/accportprof-leaf103_IP]

Incapsula già utilizzata in un altro EPG: encap già in uso

Scenario

Per impostazione predefinita, le VLAN hanno un ambito globale. Un determinato ID VLAN può essere utilizzato solo per un singolo EPG su uno switch foglia specifico.

Ogni tentativo di riutilizzare la stessa VLAN su più EPG all'interno di uno switch foglia specifico determina un errore F0467 di incapsulamento già in uso.

Associazione da EPG a errore in Tenant > lc_TN > lc_AP > lc_EPG > Errori > Errore:

APIC# moquery -c faultInst -f 'fault.Inst.code=="F0467"' | grep lc_EPG
changeSet : configQual:encap-already-in-use, configSt:failed-to-apply, debugMessage:encap-already-in-use: Encap (vlan-420) is already in use by lc_TN_Dup:lc_APP:lc_EPG;, temporaryError:no
descr : Configuration failed for uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG node 103 eth1/13 due to Encap Already Used in Another EPG, debug message: encap-already-in-use: Encap (vlan-420) is already in use by lc_TN_Dup:lc_APP:lc_EPG;
dn : topology/pod-1/node-103/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/nwissues/fault-F0467

Isolamento avvio rapido

[+] È possibile confermare l'encap già in uso su un altro tenant lc_TN_Dup:

Node-103# show vlan extended | egrep "Encap|----|vlan-420"
 VLAN Name                             Encap            Ports
 ---- -------------------------------- ---------------- ------------------------
 3    lc_TN_Dup:lc_APP:lc_EPG          vlan-420         Eth1/13

Opzioni di risoluzione

• Opzione 1: Usare un numero di vlan diverso da quello in uso sulla coppia foglia o VPC.
• Opzione 2: Usare la stessa vlan su una coppia di porte o VPC diversa per cui non è presente una VLAN che stia tentando di essere distribuita.
• Opzione 3: Rimuovere l'associazione della porta statica sull'EPG duplicato, in modo da consentire la nuova distribuzione.
• Opzione 4: Nelle versioni ACI precedenti alla versione 1.1, un determinato incapsulamento VLAN è mappato solo a un singolo EPG su uno switch foglia. Se esiste un secondo EPG con lo stesso incapsulamento VLAN sullo stesso switch foglia, l'ACI genera il problema.

A partire dalla versione 1.1, è possibile distribuire più EPG con la stessa incapsulamento VLAN su uno switch foglia (o FEX) specifico, nella guida alla configurazione della VLAN per porta:

• https://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/2-x/L2_config/b_Cisco_APIC_Layer_2_Configuration_Guide/b_Cisco_APIC_Layer_2_Configuration_Guide_chapter_011.html#concept_BC396E1CBB7D4687A9CBBECDDD43DE11

Ulteriori dettagli

Riferimento alla configurazione riuscito

Questa sezione può essere utilizzata come guida di riferimento per una configurazione completa con una configurazione funzionale.

Associazione da EPG a percorso statico

Tenant > lc_TN > lc_AP > lc_EPG > Porte statiche:

[+] Criteri di associazione da porta statica a EPG:

APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn 
dn : topology/pod-1/node-103/sys/ctx-[vxlan-2195458]/bd-[vxlan-16416666]/vlan-[vlan-420]/rtfvDomIfConn-[uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/conndef/conn-[vlan-420]-[0.0.0.0]]

Associazione da EPG ad AAEP

Fabric > Criteri di accesso > Criteri > Globale > AEP > lc_AEP:

APIC# moquery -c fvIfConn -f 'fv.IfConn.encap=="vlan-420"' | grep dn 
dn : uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/attEntitypathatt-[lc_AAEP]/conndef/conn-[vlan-420]-[0.0.0.0]

Associazione tra EPG e dominio

Tenant > lc_TN > lc_AP > lc_EPG > Domini:

[+] Il dominio lc_phys_dom è stato associato a EPG.

APIC# moquery -c fvRsDomAtt | grep -A 25 lc_EPG | grep rn
rn : rsdomAtt-[uni/phys-lc_phys_dom]

Associazioni dominio-AEP e pool di VLAN

Fabric > Policy di accesso > Domini fisici ed esterni > Domini fisici > lc_phys_dom:

[+] Associazione da dominio a AEP:

APIC# moquery -c infraRtDomP | grep lc_phys_dom
dn : uni/phys-lc_phys_dom/rtdomP-[uni/infra/attentp-lc_AAEP]

[+] Associazione tra dominio e pool VLAN 

APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
tDn : uni/infra/vlanns-[lc_vlan_pool]-static

Pool di VLAN per incapsulare associazioni di blocchi e domini

Fabric > Criteri di accesso > Pool > VLAN > lc_vlan_pool:

[+] Verifica intervallo pool VLAN:

APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool 
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]

[+] Domini in cui è stato utilizzato lc_vlan_pool:

APIC# moquery -c fvnsRtVlanNs | grep lc_vlan_pool
dn           : uni/infra/vlanns-[lc_pool]-dynamic/rtinfraVlanNs-[uni/phys-lc_phys_dom]

Associazione AEP a dominio

Fabric > Criteri di accesso > Criteri > Globale > AEP > lc_AEP:

APIC# moquery -c infraRsDomP | grep lc_AAEP 
dn : uni/infra/attentp-lc_AAEP/rsdomP-[uni/phys-lc_phys_dom]

Associazione da IPG ad AAEP

Fabric > Criteri di accesso > Interfacce > Interfacce foglia > Gruppi di criteri > Porta di accesso foglia > lc_IPG:

[+] Associazione da IPG ad AEP:

APIC# moquery -c infraRsAttEntP | grep -A 15 lc_IPG | grep tDn
tDn : uni/infra/attentp-lc_AAEP

Associazione tra profilo foglia e selettore interfaccia

Fabric > Criteri di accesso > Interfacce > Interfacce foglia > Profili > leaf103_IP:

APIC# moquery -c infraHPortS | grep leaf103_IP
dn : uni/infra/accportprof-leaf103_IP/hports-lc_Interface_Selector-typ-range

Associazione tra il selettore di interfaccia e il gruppo di criteri

Fabric > Policy di accesso > Interfacce > Interfacce foglia > Profili > leaf103_IP > lc_Interface_Selector:

[+] Associazione IPG a selettore interfaccia:

APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
dn : uni/infra/accportprof-lead103_IP/hports-lc_Interface_Selector-typ-range/rsaccBaseGrp

Associazioni tra il profilo di interfaccia foglia e i selettori di interfaccia e il profilo di switch foglia

Fabric > Criteri di accesso > Switch > Switch foglia > Profili > Leaf103_SP:

[+] Associazione profilo interfaccia foglia a profilo switch:

APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
dn : uni/infra/nprof-leaf103_SP/rsaccPortP-[uni/infra/accportprof-leaf103_IP]

[+] Associazione tra profilo di switch e gruppo di criteri:

APIC# moquery -c infraRsAccNodePGrp | grep -A 8 leaf103_SP | grep tDn
tDn : uni/infra/funcprof/accnodepgrp-leaf103_SPG

Verifica Dell'Implementazione Della Vlan

Scenario

• Access Encap VLAN 420 è implementata sul nodo 103 - E1/13
• Distribuzione di tutti i criteri di accesso e della configurazione EPG rilevanti

Verifica dell'implementazione della VLAN dell'infrastruttura ACI tramite APIC

Una moquery sulla classe fvIcConn può essere filtrata sugli incapsulamenti VLAN di interesse per visualizzare ogni combinazione EPG/switch/interfaccia in cui è stata distribuita la VLAN.

APIC# moquery -c fvIfConn -f 'fv.IfConn.encap=="vlan-420"' | grep dn 
dn               : uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/conndef/conn-[vlan-420]-[0.0.0.0]

Verifica dell'implementazione della VLAN tramite la CLI dello switch

Eseguire il comando show vlan extended su uno switch per verificare quali VLAN sono attualmente distribuite su uno switch, oltre a quale EPG e all'interfaccia a cui è collegata la VLAN.

il filtro encap-id xx è disponibile su ACI versione 4.2 e successive.

Node-103# show vlan encap-id 420 extended 

 VLAN Name                             Encap            Ports                    
 ---- -------------------------------- ---------------- ------------------------ 
2    lc_TN:lc_APP:lc_EPG              vlan-420         Eth1/13                  

Verifica dell'installazione di VLAN indipendenti dalla piattaforma tramite la CLI dello switch

Ogni VLAN in un nodo dello switch ACI è mappata a una VLAN indipendente dalla piattaforma (IP) che è un valore locale di ciascun nodo dello switch. 

Gli incapsulamenti dell'accesso vengono mappati su una VLAN IP chiamata 'VLAN DCF', mentre i domini bridge vengono mappati su una VLAN IP chiamata "VLAN DBD".

Eseguire il comando show system internal epm vlan all su uno switch per visualizzare l'elenco delle vlan distribuite sulla foglia.

Node-103# show vlan extended | egrep "Encap|----|1/13"
 VLAN Name                             Encap            Ports                    
 ---- -------------------------------- ---------------- ------------------------ 
2    lc_TN:lc_APP:lc_EPG              vlan-420         Eth1/13                   --> FD vlan 2               
18   lc_TN:lc_BD                      vxlan-16416666   Eth1/13                   --> BD vlan 18

La programmazione FD vlan e BD vlan sull'interfaccia può essere convalidata con un comando show interface:

Node-103# show interface eth 1/13 trunk | grep -A 2 Allowed           
 Port           Vlans Allowed on Trunk                                             
-----------------------------------------------------------------------------------
 Eth1/13        2,18

Verifica dell'installazione della VLAN SVI

Se si convalida una vlan di layer 3 con una SVI BD, modificare la classe fvSubnet per ottenere l'indirizzo IP della subnet:

APIC# moquery -c fvSubnet | grep lc_BD
dn : uni/tn-lc_TN/BD-lc_BD/subnet-[10.10.10.254/24]

Quindi, selezionare nuovamente show ip interface brief e verificare se l'indirizzo IP corrisponde per convalidare la vlan e la VRF prevista.

In questo esempio, la convalida è per "BD VLan 18" dall'output del precedente esempio della CLI:

Node-103# show ip interface brief
...
 
IP Interface Status for VRF "lc_TN:lc_VRF"(16)
Interface            Address              Interface Status
vlan18               10.10.10.254/24   protocol-up/link-up/admin-up

Diagrammi di riferimento

Sequenza di programmazione di alto livello per un'associazione di percorso statico

Questa sequenza di alto livello riepiloga i passaggi da una chiamata all'API del percorso statico della VLAN alla distribuzione della VLAN del nodo dello switch.

Diagramma a blocchi relazioni criteri di accesso

Questo diagramma a blocchi mostra la relazione tra i criteri di accesso per garantire una corretta distribuzione della VLAN nel nodo dello switch.

Comandi NXOS autonomi mappati a criteri di accesso

Ogni ingegnere di rete ha effettivamente lavorato con l'idea di politiche di accesso; solo che sono stati definiti come testo in un file tramite un'interfaccia CLI di un dispositivo standalone.

Quando viene rilevato un errore F0467, è importante innanzitutto comprendere le policy di accesso e assicurarsi che siano configurate correttamente.

Cheat sheet sul comando di verifica VLAN

Ogni output di comando fornisce una variabile che viene utilizzata per il comando successivo nell'elenco.

Per risolvere i problemi relativi ai diversi scenari, nel presente documento è stato fatto riferimento a questi comandi.

Nodo	Comandi	Scopo
APIC	moquery -c faultInst -f 'fault.Inst.code="F0467"'	Elenca tutti gli errori F0467 attualmente attivi nella struttura
	moquery -c2RtDomIfConn | grep <nome_epg> | ddr grep	Mostra i percorsi statici/dinamici associati all'epg specifico.
	moquery -c fvRsDomAtt | grep -A 25<nome_epg> | rn grep	Mostra i domini associati all'EPG
	moquery -c infraRsVlanNs | grep -A 15 <nome_dominio> | grep tDn	Mostra il nome del pool di VLAN associato al dominio. Il nome di dominio viene estratto dal comando precedente
	moquery -c fvnsEncapBlack | grep <nome_pool_vlan>	Mostra i numeri di vlan associati allo specifico pool di vlan
	moquery -c infraRtDomP | grep <nome_dominio>	Mostra l'AEP associato al dominio
	moquery -c infraRtAttEntP | grep <nome_AEP>	Mostra il gruppo di profili di interfaccia (IPG) associato al dominio
	moquery -c infraRsAccBaseGrp | grep -B 15 <nome_IPG> | ddr grep	Mostra l'associazione tra il gruppo di profili di interfaccia (IPG) e il selettore di interfaccia
	moquery -c infraRsAccPortP | grep <Settore_interfaccia> | ddr grep	Mostra l'associazione tra profilo interfaccia e profilo di switch
	moquery -c fvIfConn -f 'fv.IfConn.encap="<vlan_encap>"' | ddr grep	Mostra tutte le interfacce in cui la vlan encap specifica è distribuita sull'infrastruttura
	moquery -c fvnsRtVlanNs | grep <nome_pool_vlan> |  | ddr grep	Mostra il dominio associato al pool di VLAN
	moquery -c subnetFv | grep <nome_BD>	Mostra l'indirizzo IP svi associato al dominio
Switch	show vlan encap-id <encap_vlan> extended	Mostra i dettagli delle vlan IP e del tenant, del profilo applicazione e del nome EPG
	show vlan extended | egrep "Encap|—|<port:example 1/13>"	Mostra i dettagli della vlan sulla porta specifica.
	show int eth <porta> trunk | grep -A 2 Consentito	Mostra le vlan inoltrate su una porta specifica. I numeri vlan sono numeri vlan interni.
	show ip int bri vrf <vrf>	Mostra le interfacce di layer 3 distribuite per il file vrf specifico
	show vpc brief	Mostra le informazioni relative al vpc se lo switch fa parte di una coppia VPC.

Informazioni correlate

• https://www.ciscolive.com/on-demand/on-demand-library.html?&currentTab=session&search=BRKDCN-3900
• https://www.ciscolive.com/on-demand/on-demand-library.html?&currentTab=session&search=BRKACI-2770
• https://www.cisco.com/c/dam/en/us/td/docs/switches/datacenter/aci/apic/sw/4-x/troubleshooting/Cisco_TroubleshootingApplicationCentricInfrastructureSecondEdition.pdf