O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve as próximas etapas para a correção da falha F0467 da ACI: invalid-vlan, invalid-path ou encap-already-in-use.
A falha F0467 da ACI é sinalizada em diferentes cenários, mas mostra uma causa distinta para cada um.
Os valores de causa mais comuns observados com o ACI Fault F0467 são:
Todas as causas da falha F0467 da ACI podem afetar a implantação de vlans nas interfaces do nó do switch.
Essa falha é monitorada ativamente como parte dos contratos de ACI proativos.
Se você tiver uma malha da ACI conectada à Intersight, uma solicitação de serviço foi gerada em seu nome para indicar que instâncias dessa falha foram encontradas na malha da ACI conectada à Intersight.
A descrição da falha afirma explicitamente "Ou o EpG não está associado a um domínio ou o domínio não tem essa vlan atribuída a ele".
APIC# moquery -c faultInst -f 'fault.Inst.code=="F0467"' | grep lc_EPG
descr : Configuration failed for uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG node 103 eth1/13 due to Invalid VLAN Configuration, debug message: invalid-vlan: vlan-421 :Either the EpG is not associated with a domain or the domain does not have this vlan assigned to it;
dn : topology/pod-1/node-103/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/nwissues/fault-F0467
O Access Encap VLAN 421 não está implantado no nó folha:
Node-103# show vlan encap-id 421 extended
<<< Empty >>>
O caminho estático para a associação EPG não é criado:
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
<<< Empty >>>
O domínio lc_phys_dom está associado ao EPG lc_EPG:
APIC# moquery -c fvRsDomAtt | grep -A 25 lc_EPG | grep rn
rn : rsdomAtt-[uni/phys-lc_phys_dom]
Existe associação de Domínio com Pool de Vlans:
APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
tDn : uni/infra/vlanns-[lc_vlan_pool]-static
O intervalo do Pool de Vlans lc_vlan_pool é de incluir somente a VLAN 420.
APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]
a vlan 421 não está no pool anterior, portanto o erro "invalid-vlan: vlan-421 :Ou o EpG não está associado a um domínio ou o domínio não tem essa vlan atribuída a ele."
No diagrama de blocos mencionado anteriormente, esta referência específica do pool de vlans é destacada:
Adicione a vlan 421 ausente ao intervalo de vlan específico.
Pool de Vlans para associações de Encap e Domínio (Estrutura > Políticas de Acesso > Pool > VLAN > lc_vlan_pool):
Verificação do intervalo do pool da VLAN após a adição da vlan 421:
APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-421]-to-[vlan-421]
Estrutura > Políticas de acesso > Domínios físicos e externos > Domínios físicos > lc_phys_dom:
[+] Domínio para associação de Pool de Vlans:
APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
<< EMPTY >>
Reparar: Incluir associação de vlan ausente
Estrutura > Políticas de acesso > Domínios físicos e externos > Domínios físicos > lc_phys_dom:
Essa falha é gerada quando uma declaração de switch/porta/VLAN é feita sem as políticas de acesso correspondentes em vigor para permitir que essa configuração seja aplicada corretamente.
Dependendo da descrição dessa falha, um elemento diferente da relação da política de acesso possivelmente está ausente.
EPG - associação lc_EPG a Falha em Locatários > lc_TN > lc_AP > lc_EPG > Falhas > Falha:
O EPG afetado, o ID do nó do switch e o número da porta estão na descrição e no dn da falha:
APIC# moquery -c faultInst -f 'fault.Inst.code=="F0467"' | grep lc_EPG
descr : Configuration failed for uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG node 103 eth1/13 due to Invalid Path Configuration, debug message: invalid-path: Either the EpG/L3Out is not associated with a domain or the domain does not have this interface assigned to it;
dn : topology/pod-1/node-103/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/nwissues/fault-F0467
Confirme se a vlan está implantada. Caso contrário, esses comandos podem ser executados para isolar o erro de configuração.
Nesses comandos, lc_EPG é o nome do EPG usado para filtragem de saída.
Encap-vlan NÃO está implantado no nó de folha:
Node-103# show vlan encap-id 420 extended
<<< Empty >>>
[1] O caminho estático para a política de associação do EPG está vazio:
APIC#moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
<<< Vazio >>>
[2] Domínio para associação EPG:
APIC# moquery -c fvRsDomAtt | grep -A 25 lc_EPG | grep rn
rn : rsdomAtt-[uni/phys-lc_phys_dom]
[3] Domínio para associação de Pool de Vlans:
APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
tDn : uni/infra/vlanns-[lc_vlan_pool]-static
[4] Verificação do intervalo do pool da VLAN:
APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]
[5] Domínio para associação AAEP:
APIC# moquery -c infraRtDomP | grep lc_phys_dom
dn : uni/phys-lc_phys_dom/rtdomP-[uni/infra/attentp-lc_AAEP]
[6] AAEP para associação de grupo de política de interface (IPG):
rtp-aci08-apic1# moquery -c infraRtAttEntP | grep lc_AAEP
dn : uni/infra/attentp-lc_AAEP/rtattEntP-[uni/infra/funcprof/accportgrp-lc_IPG]
[7] IPG para associação de Seletor de Interface:
APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
dn : uni/infra/accportprof-lead103_IP/hports-lc_Interface_Selector-typ-range/rsaccBaseGrp
[8] Interface Profile to Switch Profile association:
APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
dn : uni/infra/nprof-leaf103_SP/rsaccPortP-[uni/infra/accportprof-leaf103_IP]
A causa do caminho inválido será vista se alguma das Políticas de Acesso necessárias associadas estiver ausente, dada a configuração do caminho estático. Percorra as possíveis causas nesta ordem para verificar as Políticas de acesso salto por salto:
Malha > Políticas de acesso > Políticas > Global > AAEP > lc_AAEP:
[+] O caminho estático para a política de associação do EPG está vazio:
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
<< EMPTY >>
[+] Domínio para associação AAEP:
APIC# moquery -c infraRtDomP | grep lc_phys_dom
<< EMPTY >>
Reparar: Pool de VLAN para associações de Encap e Domínio (Malha > Políticas de Acesso > Pool > VLAN > lc_vlan_pool)
Estrutura > Políticas de acesso > Domínios físicos e externos > Domínios físicos > lc_phys_dom:
Estrutura > Políticas de Acesso > Interfaces > Interfaces Folha > Grupos de Políticas > Porta de Acesso Folha > lc_IPG:
[+] O caminho estático para a política de associação do EPG está vazio:
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
<< EMPTY >>
[+] A associação IPG para AAEP está vazia:
APIC# moquery -c infraRsAttEntP | grep -A 15 lc_IPG | grep tDn
<< EMPTY >>
Reparar: Associação AAEP para IPG ausente
Estrutura > Políticas de Acesso > Interfaces > Interfaces Folha > Grupos de Políticas > Porta de Acesso Folha > lc_IPG:
[+] IPG para associação AAEP
APIC# moquery -c infraRsAttEntP | grep -A 15 lc_IPG | grep tDn
tDn : uni/infra/attentp-lc_AAEP
Estrutura > Políticas de acesso > Interfaces > Interfaces Folha > Perfis > leaf103_IP > lc_Interface_Seletor:
[+] IPG para associação do Seletor de Interface
APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
<< EMPTY >>
Reparar: Seletor de Interface para associação de Grupo de Política de Interface
[+] IPG para associação do Seletor de Interface:
APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
dn : uni/infra/accportprof-lead103_IP/hports-lc_Interface_Selector-typ-range/rsaccBaseGrp
Malha > Políticas de acesso > Interfaces > Interfaces folha > Perfis > leaf103_IP:
Troubleshooting:
APIC# moquery -c infraHPortS | grep leaf103_IP
<< EMPTY >>
Reparar: Perfil de interface para associação de Seletor de interface
APIC# moquery -c infraHPortS | grep leaf103_IP
dn : uni/infra/accportprof-leaf103_IP/hports-lc_Interface_Selector-typ-range
Fabric > Access Policies > Switches > Leaf Switches > Profiles > leaf103_SP
APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
<< EMPTY >>
Reparar: Perfil Folha para Associação de Perfis do Seletor de Interface
[+] Perfil de interface para associação do Perfil do Switch:
APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
dn : uni/infra/nprof-leaf103_SP/rsaccPortP-[uni/infra/accportprof-leaf103_IP]
Por padrão, as VLANs têm um escopo global. Um determinado ID de VLAN pode ser usado apenas para um único EPG em um determinado switch leaf.
Qualquer tentativa de reutilizar a mesma VLAN em vários EPGs dentro de um determinado switch leaf resulta em uma falha F0467 de encapsulamento já em uso.
Associação de EPG para Falha em Locatários > lc_TN > lc_AP > lc_EPG > Falhas > Falha:
APIC# moquery -c faultInst -f 'fault.Inst.code=="F0467"' | grep lc_EPG
changeSet : configQual:encap-already-in-use, configSt:failed-to-apply, debugMessage:encap-already-in-use: Encap (vlan-420) is already in use by lc_TN_Dup:lc_APP:lc_EPG;, temporaryError:no
descr : Configuration failed for uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG node 103 eth1/13 due to Encap Already Used in Another EPG, debug message: encap-already-in-use: Encap (vlan-420) is already in use by lc_TN_Dup:lc_APP:lc_EPG;
dn : topology/pod-1/node-103/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/nwissues/fault-F0467
[+] Você pode confirmar que o encapsulamento já está em uso em um locatário diferente lc_TN_Dup:
Node-103# show vlan extended | egrep "Encap|----|vlan-420"
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
3 lc_TN_Dup:lc_APP:lc_EPG vlan-420 Eth1/13
Começando com a versão v1.1, você pode implantar vários EPGs com o mesmo encapsulamento de VLAN em um determinado switch leaf (ou FEX), no guia de configuração de VLAN por porta:
Esta seção pode ser usada como um guia de referência para a aparência de uma configuração completa com uma configuração funcional.
Locatários > lc_TN > lc_AP > lc_EPG > Portas Estáticas:
[+] Porta estática para política de associação do EPG:
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
dn : topology/pod-1/node-103/sys/ctx-[vxlan-2195458]/bd-[vxlan-16416666]/vlan-[vlan-420]/rtfvDomIfConn-[uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/conndef/conn-[vlan-420]-[0.0.0.0]]
Malha > Políticas de acesso > Políticas > Global > AAEP > lc_AAEP:
APIC# moquery -c fvIfConn -f 'fv.IfConn.encap=="vlan-420"' | grep dn
dn : uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/attEntitypathatt-[lc_AAEP]/conndef/conn-[vlan-420]-[0.0.0.0]
Locatários > lc_TN > lc_AP > lc_EPG > Domínios:
[+] O domínio lc_phys_dom foi associado ao EPG.
APIC# moquery -c fvRsDomAtt | grep -A 25 lc_EPG | grep rn
rn : rsdomAtt-[uni/phys-lc_phys_dom]
Estrutura > Políticas de acesso > Domínios físicos e externos > Domínios físicos > lc_phys_dom:
[+] Domínio para associação AAEP:
APIC# moquery -c infraRtDomP | grep lc_phys_dom
dn : uni/phys-lc_phys_dom/rtdomP-[uni/infra/attentp-lc_AAEP]
[+] Domínio para associação de Pool de Vlan
APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
tDn : uni/infra/vlanns-[lc_vlan_pool]-static
Malha > Políticas de acesso > Pool > VLAN > lc_vlan_pool:
[+] Verificação do intervalo do pool da VLAN:
APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]
[+] Domínios em que o lc_vlan_pool foi usado:
APIC# moquery -c fvnsRtVlanNs | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_pool]-dynamic/rtinfraVlanNs-[uni/phys-lc_phys_dom]
Malha > Políticas de acesso > Políticas > Global > AAEP > lc_AAEP:
APIC# moquery -c infraRsDomP | grep lc_AAEP
dn : uni/infra/attentp-lc_AAEP/rsdomP-[uni/phys-lc_phys_dom]
Estrutura > Políticas de Acesso > Interfaces > Interfaces Folha > Grupos de Políticas > Porta de Acesso Folha > lc_IPG:
[+] IPG para associação AAEP:
APIC# moquery -c infraRsAttEntP | grep -A 15 lc_IPG | grep tDn
tDn : uni/infra/attentp-lc_AAEP
Malha > Políticas de acesso > Interfaces > Interfaces folha > Perfis > leaf103_IP:
APIC# moquery -c infraHPortS | grep leaf103_IP
dn : uni/infra/accportprof-leaf103_IP/hports-lc_Interface_Selector-typ-range
Estrutura > Políticas de acesso > Interfaces > Interfaces Folha > Perfis > leaf103_IP > lc_Interface_Seletor:
[+] IPG para associação do Seletor de Interface:
APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
dn : uni/infra/accportprof-lead103_IP/hports-lc_Interface_Selector-typ-range/rsaccBaseGrp
Malha > Políticas de acesso > Switches > Switches leaf > Perfis > leaf103_SP:
[+] Perfil de interface leaf para associação de perfil de switch:
APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
dn : uni/infra/nprof-leaf103_SP/rsaccPortP-[uni/infra/accportprof-leaf103_IP]
[+] Perfil de Switch para associação de Grupo de Políticas de Switch:
APIC# moquery -c infraRsAccNodePGrp | grep -A 8 leaf103_SP | grep tDn
tDn : uni/infra/funcprof/accnodepgrp-leaf103_SPG
Uma moquery em relação à classe fvIcConn pode ser filtrada em limites de VLAN de interesse para mostrar cada combinação de EPG/Switch/Interface onde a VLAN foi implantada.
APIC# moquery -c fvIfConn -f 'fv.IfConn.encap=="vlan-420"' | grep dn
dn : uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/conndef/conn-[vlan-420]-[0.0.0.0]
Execute show vlan extended em qualquer switch para verificar quais VLANs estão atualmente implantadas em um switch, junto com a qual EPG e interface a VLAN está ligada.
O filtro encap-id xx está disponível no ACI versão 4.2 e posterior.
Node-103# show vlan encap-id 420 extended
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
2 lc_TN:lc_APP:lc_EPG vlan-420 Eth1/13
Cada VLAN em um nó de switch ACI é mapeada para alguma VLAN independente de plataforma (PI) que é um valor local para cada nó de switch.
Os Access Encaps são mapeados para uma VLAN IP chamada 'FD VLAN', enquanto os domínios de ponte são mapeados para uma VLAN IP chamada "BD VLAN".
Execute show system internal epm vlan all em um switch para exibir a lista de vlans implantadas no leaf.
Node-103# show vlan extended | egrep "Encap|----|1/13"
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
2 lc_TN:lc_APP:lc_EPG vlan-420 Eth1/13 --> FD vlan 2
18 lc_TN:lc_BD vxlan-16416666 Eth1/13 --> BD vlan 18
A programação da interface da vlan FD e da vlan BD para a interface pode ser validada com um comando show interface:
Node-103# show interface eth 1/13 trunk | grep -A 2 Allowed
Port Vlans Allowed on Trunk
-----------------------------------------------------------------------------------
Eth1/13 2,18
Se estiver validando uma vlan de camada 3 com um SVI de BD, moquery class fvSubnet para obter o endereço IP da sub-rede:
APIC# moquery -c fvSubnet | grep lc_BD
dn : uni/tn-lc_TN/BD-lc_BD/subnet-[10.10.10.254/24]
Em seguida, verifique show ip interface brief novamente e verifique o endereço ip correspondente para validar a vlan e o VRF esperado.
Neste exemplo, a validação é para "BD VLAN 18" do exemplo de saída CLI anterior:
Node-103# show ip interface brief
...
IP Interface Status for VRF "lc_TN:lc_VRF"(16)
Interface Address Interface Status
vlan18 10.10.10.254/24 protocol-up/link-up/admin-up
Esta sequência de alto nível resume as etapas envolvidas na chamada à API do Caminho Estático da VLAN para a Implantação da VLAN do Nó do Switch.
Este diagrama de blocos mostra a relação entre as Políticas de Acesso para garantir uma implantação bem-sucedida da VLAN do Nó do Switch.
Todo engenheiro de rede tem realmente trabalhado com a ideia de políticas de acesso; somente eles foram definidos como texto em um arquivo por meio de uma interface CLI de um dispositivo autônomo.
Quando uma falha F0467 é vista, é importante primeiro entender as políticas de acesso e garantir que elas estejam configuradas corretamente.
Cada saída de comando fornece uma variável que é usada para o próximo comando na lista.
Esses comandos foram referenciados em todo este documento para solucionar problemas em diferentes cenários.
Nó | Comandos | Propósito |
APIC | moquery -c faultInst -f 'fault.Inst.code=="F0467"' | Lista todas as falhas F0467 atualmente ativas na malha |
moquery -c l2RtDomIfConn | grep <epg_name> | grep dn | Mostra os caminhos estáticos/dinâmicos associados ao epg específico. | |
moquery -c fvRsDomAtt | grep -A 25<epg_name> | grep rn | Mostra os domínios associados ao EPG | |
moquery -c infraRsVlanNs | grep -A 15 <dom_name> | grep Dn | Mostra o nome do pool da vlan associado ao domínio. O nome de domínio é extraído do comando anterior | |
moquery -c fvnsEncapBlk | grep <vlan_pool_name> | Mostra os números de vlan associados ao pool de vlan específico | |
moquery -c infraRtDomP | grep <dom_name> | Mostra o AEP associado ao domínio | |
moquery -c infraRtAttEntP | grep <AEP_name> | Mostra o grupo de perfil da interface (IPG) associado ao domínio | |
moquery -c infraRsAccBaseGrp | grep -B 15 <IPG_name> | grep dn | Mostra o grupo de perfil da interface (IPG) para associação do Seletor de Interface | |
moquery -c infraRsAccPortP | grep <Setor_da_interface> | grep dn | Mostra o Perfil de Interface para a associação do Perfil do Switch | |
moquery -c fvIfConn -f 'fv.IfConn.encap=="<encap_vlan>"' | grep dn | Mostra todas as interfaces em que a vlan de encapsulamento específica é implantada na malha | |
moquery -c fvnsRtVlanNs | grep <vlan_pool_name> | | grep dn | Mostra o domínio associado ao pool vlan | |
moquery -c fvSubnet | grep <BD_name> | Mostra o IP svi associado ao domínio | |
Switch | show vlan encap-id <encap_vlan> extended | Mostra detalhes das vlans IP e do usuário, perfil de aplicativo e nome do EPG |
show vlan extended | egrep "Encap|----|<port:example 1/13>" | Mostra detalhes da vlan na porta específica. | |
show int eth <port> trunk | grep -A 2 Permitido | Mostra as vlans que estão sendo encaminhadas em uma porta específica. Observe que os números de vlan são números de vlan internos. | |
show ip int bri vrf <vrf> | Mostrar as interfaces de Camada 3 implantadas para o vrf específico | |
show vpc brief | Mostra as informações relacionadas ao vpc se esse switch fizer parte de um par VPC. |
Revisão | Data de publicação | Comentários |
---|---|---|
2.0 |
21-Nov-2024 |
Texto Alt, formatação, alguns erros de ortografia, erros de cabeçalho, título abreviado |
1.0 |
14-Sep-2023 |
Versão inicial |