Informazioni su ACI Enforce Domain Validation

Opzioni per il download

  • PDF     (529.7 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (380.4 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (351.7 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:3 dicembre 2023
ID documento:221206

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritta l'impostazione Applica convalida dominio e i relativi vantaggi. 

    Spiegazione dell'applicazione della convalida del dominio

    Per impostazione predefinita, l'opzione Imponi convalida dominio non è abilitata, quindi se un EPG è configurato con una {port, VLAN} statica in cui non è presente un dominio contenente questa VLAN, si verifica quanto segue: 

    • ACI (Application Centric Infrastructure) genera l'errore F0467 "Configurazione non riuscita per <percorso> a causa di una configurazione del percorso non valida".
    • La VLAN è distribuita sull'interfaccia.
    • Il traffico viene inoltrato sull'interfaccia specifica.

    È possibile impedire questa configurazione errata applicando la convalida del dominio.

    icona di attenzione

    ATTENZIONE: NON ABILITARE QUESTA FUNZIONE SU UN FABRIC ESISTENTE SENZA LA DOVUTA DILIGENZA.

    Una volta attivata, la funzionalità non può essere disattivata. È possibile che le configurazioni esistenti funzionino anche se non sono corrette. Prima di abilitarla, verificare l'assegnazione del dominio agli EPG e agli AEP associati.

    Applica convalida dominio: disabilitato (comportamento predefinito)

    APIC CLI Applica la verifica della convalida del dominio. Lo stato predefinito indica che la convalida del dominio è disattivata.

    APIC# moquery -c infraSetPol | egrep"domainValidation"
    domainValidation               : no

    Si supponga che la vlan 420 dell'encap non sia collegata al dominio/AEP associato all'EPG. La VLAN 420 è ancora implementata sull'interfaccia prevista. 

    leaf# show vlan encap-id 420 extended
     VLAN Name                             Encap            Ports                    
     ---- -------------------------------- ---------------- ------------------------ 
    1    lc_TN:lc_APP:lc_EPG              vlan-420         Eth1/13 

    Le Vlan IP (Platform Independent) (1,19) per EPG e BD vengono distribuite e possono essere trunk sull'interfaccia prevista.

    "
     VLAN Name                             Encap            Ports                    
     ---- -------------------------------- ---------------- ------------------------ 
    1    lc_TN:lc_APP:lc_EPG              vlan-420         Eth1/13                  
    19   lc_TN:lc_BD                      vxlan-16416666   Eth1/13                  

    Le Vlan per BD ed EPG sono installate sull'interfaccia prevista.

    leaf# show int eth 1/13 trunk | grep -A Allowed          
     Port           Vlans Allowed on Trunk                                             
    -----------------------------------------------------------------------------------
    Eth1/13        1,19

    Applica convalida dominio: abilitata

    Se l'opzione Applica convalida dominio è abilitata, è possibile creare un percorso statico su un EPG con un ID VLAN non collegato al rispettivo percorso dei criteri di accesso. La struttura genera un errore e la VLAN NON è programmata sull'interfaccia.

    GUI APIC applicazione della convalida del dominio verifica System > System Settings > Enforce Domain Validation.

    Abilitato Applica convalida dominioAbilitato Applica convalida dominio

    Avviso verifica conferma

    Una volta applicata, la convalida del dominio non può essere annullataUna volta applicata, la convalida del dominio non può essere annullata

    Una volta attivata l'impostazione, l'opzione è disattivata e non è possibile annullare l'operazione.

    CLI APIC: Applica verifica convalida dominio

    APIC# moquery -c infraSetPol | egrep "domainValidation"
    domainValidation               : yes

    Questa convalida attiva la configurazione esistente SOLO quando il criterio deve essere scaricato sullo switch.

    In genere, ciò può verificarsi durante un aggiornamento dello switch, un ricaricamento pulito o un ripristino della configurazione tramite snapshot/backup.

    Esempio di un passo di ricaricamento:

    leaf# acidiag  touch clean 
    This command can wipe out this device, Proceed? [y/N] y
    leaf# reload
    This command can reload the chassis, Proceed (y/n)? [n]: y

    La VLAN 420, originariamente implementata, NON è al momento sull'interfaccia prevista.

    leaf# show int eth 1/13 trunk | grep -A 2 Allowed           
     Port           Vlans Allowed on Trunk                                             
    -----------------------------------------------------------------------------------
     Eth1/13        none

    L'abilitazione della convalida del dominio è considerata una procedura consigliata, pertanto una volta abilitata, non è possibile annullare la modifica.

    Un'API POSTMAN indica che il post per la modifica dell'impostazione non è riuscito.

    La richiesta di convalida del dominio è un'operazione singola. Non Sono Consentite Ulteriori Modifiche.La richiesta di convalida del dominio è un'operazione singola. Non Sono Consentite Ulteriori Modifiche.

    Poiché questa impostazione non era un'impostazione predefinita durante la release iniziale, qualsiasi modifica applicata in futuro nell'impostazione predefinita può causare errori di configurazione errata, con conseguenti interruzioni. 

    Per questo motivo, l'impostazione è configurabile dall'utente.

    Risoluzione dei problemi

    L'errore F0467 viene generato per gli EPG interessati con associazioni di criteri di accesso mancanti.

    Fare riferimento a questo articolo Quick Start Isolation su come risolvere il problema.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    03-Dec-2023
    VLAN 420 aggiornata.
    1.0
    01-Dec-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Luis Contreras
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti