ACI Enforce Domain Validation 이해
소개
이 문서에서는 Enforce Domain Validation 설정 및 그 혜택에 대해 설명합니다.
도메인 검증 실행 설명
기본적으로 Enforce Domain Validation(도메인 검증 시행)이 활성화되지 않으므로, 이 VLAN을 포함하는 도메인이 없는 고정 {port, VLAN}으로 EPG가 구성된 경우 다음과 같은 상황이 발생합니다.
- ACI(Application Centric Infrastructure)에서 Fault F0467 "잘못된 경로 구성으로 인해 <path>에 대한 구성이 실패했습니다."가 제기됩니다.
- Vlan은 인터페이스에 구축됩니다.
- 트래픽은 특정 인터페이스에서 전달됩니다.
이러한 컨피그레이션 오류는 Enforce Domain Validation을 통해 방지할 수 있습니다.
주의: 적절한 실사 없이 기존 패브릭에서 이 기능을 활성화하지 마십시오.
이 기능을 활성화한 후에는 비활성화할 수 없습니다. 기존 컨피그레이션이 틀렸더라도 제대로 작동할 수 있습니다. 활성화하기 전에 EPG 및 연결된 AEP에 대한 도메인 할당을 확인하십시오.
도메인 유효성 검사 시행: 사용 안 함(기본 동작)
APIC CLI Enforce Domain 검증 확인. 기본 상태는 도메인 검증이 비활성화되었음을 나타냅니다.
APIC# moquery -c infraSetPol | egrep"domainValidation"
domainValidation : no
캡슐화 vlan 420이 EPG와 연결된 도메인/AEP에 연결되어 있지 않다고 가정합니다. Vlan 420은 여전히 예상 인터페이스에 구축되어 있습니다.
leaf# show vlan encap-id 420 extended
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
1 lc_TN:lc_APP:lc_EPG vlan-420 Eth1/13
EPG 및 BD용 PI(Platform Independent) VLAN(1,19)이 구축되어 예상 인터페이스에서 트렁크할 수 있습니다.
"
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
1 lc_TN:lc_APP:lc_EPG vlan-420 Eth1/13
19 lc_TN:lc_BD vxlan-16416666 Eth1/13
BD 및 EPG용 VLAN은 예상 인터페이스에 구축됩니다.
leaf# show int eth 1/13 trunk | grep -A Allowed
Port Vlans Allowed on Trunk
-----------------------------------------------------------------------------------
Eth1/13 1,19
도메인 유효성 검사 시행: 사용
Enforce Domain Validation(도메인 검증 시행)이 Enabled(활성화됨)로 설정된 경우, VLAN ID가 있는 EPG에서 해당 액세스 정책 경로에 링크되지 않은 고정 경로를 생성할 수 있습니다. 패브릭에서 결함이 발생하며 VLAN이 인터페이스에 프로그래밍되지 않았습니다.
APIC GUI Enforcing Domain Validation verification System(APIC GUI 도메인 검증 적용 확인 시스템) > System Settings(시스템 설정) > Enforce Domain Validation(도메인 검증 적용).
Enforce Domain Validation(도메인 검증 시행)이 활성화됨
확인 확인 경고
일단 시행되면 도메인 검증을 시행할 수 없습니다.
이 설정을 활성화하면 옵션이 회색으로 비활성화되므로 작업을 취소할 수 없습니다.
APIC CLI: 도메인 검증 확인 시행
APIC# moquery -c infraSetPol | egrep "domainValidation"
domainValidation : yes
이 검증은 정책이 스위치에 다운로드되어야 하는 경우에만 기존 컨피그레이션에 적용됩니다.
일반적으로 이 문제는 스위치 업그레이드, 정상 다시 로드 또는 구성의 스냅샷/백업 복원 중에 발생할 수 있습니다.
정상 다시 로드 단계의 예:
leaf# acidiag touch clean
This command can wipe out this device, Proceed? [y/N] y
leaf# reload
This command can reload the chassis, Proceed (y/n)? [n]: y
원래 구축되었던 VLAN 420은 현재 예상 인터페이스에 없습니다.
leaf# show int eth 1/13 trunk | grep -A 2 Allowed
Port Vlans Allowed on Trunk
-----------------------------------------------------------------------------------
Eth1/13 none
도메인 검증을 활성화하는 것은 모범 사례로 간주되므로 활성화한 후에는 변경 사항을 되돌릴 수 없습니다.
POSTMAN API는 설정을 성공적으로 변경하지 못한 게시물을 표시합니다.
도메인 유효성 검사를 요청하는 것은 일회성 작업입니다. 더 이상 변경할 수 없습니다.
이 설정은 초기 릴리스 동안 기본값이 아니었기 때문에 이후에 기본 설정을 강제로 변경하면 잘못된 컨피그레이션에 실패하여 가동 중단이 발생할 수 있습니다.
이러한 이유로 설정은 사용자가 구성할 수 있습니다.
문제 해결
액세스 정책 연결이 없는 영향을 받는 EPG에 대해 결함 F0467이 제기됩니다.
결함 해결 방법에 대한 빠른 시작 격리를 참조하십시오.
관련 정보
- 주소 ACI 결함 코드 F0467: invalid-vlan, invalid-path, encap-already-in-use
- ACI 패브릭 설정: 초기 설정 컨피그레이션 예 > 시스템 설정
- Cisco ACI(Application Centric Infrastructure) 설계 가이드 > EPG 도메인 검증
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
2.0 |
03-Dec-2023 |
업데이트된 VLAN 420. |
1.0 |
01-Dec-2023 |
최초 릴리스 |
피드백