O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve as próximas etapas para correção da falha F0467 da ACI; vlan inválida, caminho inválido ou encapsulamento já em uso.
A falha F0467 da ACI é sinalizada em diferentes cenários, mas mostra uma "causa" distinta para cada um.
Os valores de 'causa' mais comuns vistos com a falha F0467 da ACI são:
Todas as causas da falha F0467 da ACI podem afetar a implantação de vlans nas interfaces do nó do switch.
Essa falha é monitorada ativamente como parte dos contratos de ACI proativos.
Se você tiver uma malha da ACI conectada à Intersight, uma solicitação de serviço foi gerada em seu nome para indicar que instâncias dessa falha foram encontradas na malha da ACI conectada à Intersight.
A descrição da falha afirma explicitamente "Ou o EpG não está associado a um domínio ou o domínio não tem essa vlan atribuída a ele".
APIC# moquery -c faultInst -f 'fault.Inst.code=="F0467"' | grep lc_EPG
descr : Configuration failed for uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG node 103 eth1/13 due to Invalid VLAN Configuration, debug message: invalid-vlan: vlan-421 :Either the EpG is not associated with a domain or the domain does not have this vlan assigned to it;
dn : topology/pod-1/node-103/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/nwissues/fault-F0467
O Access Encap VLAN 421 não está implantado no nó folha.
Node-103# show vlan encap-id 421 extended
<<< Empty >>>
O caminho estático para a associação EPG não foi criado.
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
<<< Empty >>>
O domínio lc_phys_dom está associado ao EPG lc_EPG.
APIC# moquery -c fvRsDomAtt | grep -A 25 lc_EPG | grep rn
rn : rsdomAtt-[uni/phys-lc_phys_dom]
Existe associação de domínio com o Pool de Vlans.
APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
tDn : uni/infra/vlanns-[lc_vlan_pool]-static
O intervalo do Pool de Vlans lc_vlan_pool é de incluir somente a VLAN 420.
APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]
a vlan 421 não está no pool anterior, portanto o erro "invalid-vlan: vlan-421 :Ou o EpG não está associado a um domínio ou o domínio não tem essa vlan atribuída a ele"
No diagrama de blocos mencionado anteriormente, essa referência específica do pool de vlans é destacada
Adicione a vlan 421 ausente ao intervalo de vlan específico
Pool de Vlans para associações de Encap e Domínio (Malha > Políticas de Acesso > Pool > VLAN > lc_vlan_pool)
Verificação do intervalo do pool da VLAN após a adição da vlan 421
APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-421]-to-[vlan-421]
Estrutura > Políticas de acesso > Domínios físicos e externos > Domínios físicos > lc_phys_dom
[+] Domínio para associação de Pool de Vlan
APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
<< EMPTY >>
Correção: incluir associação de vlan ausente
Estrutura > Políticas de acesso > Domínios físicos e externos > Domínios físicos > lc_phys_dom
Essa falha é gerada quando uma declaração de switch/porta/VLAN é feita sem as políticas de acesso correspondentes em vigor para permitir que essa configuração seja aplicada corretamente.
Dependendo da descrição dessa falha, um elemento diferente da relação da política de acesso possivelmente está ausente.
EPG - associação lc_EPG a Falha em Locatários > lc_TN > lc_AP > lc_EPG > Falhas > Falha
O EPG afetado, o ID do nó do switch e o número da porta estão na descrição e no dn da falha:
APIC# moquery -c faultInst -f 'fault.Inst.code=="F0467"' | grep lc_EPG
descr : Configuration failed for uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG node 103 eth1/13 due to Invalid Path Configuration, debug message: invalid-path: Either the EpG/L3Out is not associated with a domain or the domain does not have this interface assigned to it;
dn : topology/pod-1/node-103/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/nwissues/fault-F0467
Confirme se a vlan está implantada. Caso contrário, esses comandos podem ser executados para isolar o erro de configuração.
Nesses comandos, lc_EPG é o nome do EPG usado para filtragem de saída.
Encap-vlan NÃO está implantado no nó folha
Node-103# show vlan encap-id 420 extended
<<< Empty >>>
[1] O caminho estático para a política de associação do EPG está vazio.
APIC#moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
<<< Vazio >>>
[2] Domínio para associação EPG
APIC# moquery -c fvRsDomAtt | grep -A 25 lc_EPG | grep rn
rn : rsdomAtt-[uni/phys-lc_phys_dom]
[3] Domínio para associação de Pool de Vlan
APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
tDn : uni/infra/vlanns-[lc_vlan_pool]-static
[4] Verificação do intervalo do pool da VLAN
APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]
[5] Domínio para associação AAEP
APIC# moquery -c infraRtDomP | grep lc_phys_dom
dn : uni/phys-lc_phys_dom/rtdomP-[uni/infra/attentp-lc_AAEP]
[6] AAEP para associação de grupo de política de interface (IPG)
rtp-aci08-apic1# moquery -c infraRtAttEntP | grep lc_AAEP
dn : uni/infra/attentp-lc_AAEP/rtattEntP-[uni/infra/funcprof/accportgrp-lc_IPG]
[7] IPG para associação de Seletor de Interface
APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
dn : uni/infra/accportprof-lead103_IP/hports-lc_Interface_Selector-typ-range/rsaccBaseGrp
[8] Interface Profile to Switch Profile association
APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
dn : uni/infra/nprof-leaf103_SP/rsaccPortP-[uni/infra/accportprof-leaf103_IP]
A causa do caminho inválido é vista se qualquer uma das políticas de acesso necessárias associadas estiver ausente, dada a configuração do caminho estático. Percorra as causas em potencial nesta ordem para verificar as Políticas de Acesso salto por salto.
Estrutura > Políticas de acesso > Políticas > Global > AAEP > lc_AAEP
[+] O caminho estático para a política de associação do EPG está vazio
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
<< EMPTY >>
[+] Domínio para associação AAEP
APIC# moquery -c infraRtDomP | grep lc_phys_dom
<< EMPTY >>
Correção: incluir associação de Domínio Ausente
Estrutura > Políticas de acesso > Domínios físicos e externos > Domínios físicos > lc_phys_dom
IPG para associação AAEP
Fabric > Access Policies > Interfaces > Leaf Interfaces > Policy Groups > Leaf Access Port > lc_IPG
[+] O caminho estático para a política de associação do EPG está vazio
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
<< EMPTY >>
[+] A associação de IPG com AAEP está vazia
APIC# moquery -c infraRsAttEntP | grep -A 15 lc_IPG | grep tDn
<< EMPTY >>
Correção:AAEP ausente para associação IPG
Fabric > Access Policies > Interfaces > Leaf Interfaces > Policy Groups > Leaf Access Port > lc_IPG
[+] IPG para associação AAEP
APIC# moquery -c infraRsAttEntP | grep -A 15 lc_IPG | grep tDn
tDn : uni/infra/attentp-lc_AAEP
Seletor de Interface para associação de Grupo de Política de Interface
Fabric > Access Policies > Interfaces > Leaf Interfaces > Profiles > leaf103_IP > lc_Interface_Seletor
[+] IPG para associação do Seletor de Interface
APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
<< EMPTY >>
Correção:Seletor de Interface para associação de Grupo de Política de Interface
[+] IPG para associação do Seletor de Interface
APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
dn : uni/infra/accportprof-lead103_IP/hports-lc_Interface_Selector-typ-range/rsaccBaseGrp
Perfil de interface para associação de Seletor de interface
Estrutura > Políticas de acesso > Interfaces > Interfaces Folha > Perfis > leaf103_IP
Troubleshooting:
APIC# moquery -c infraHPortS | grep leaf103_IP
<< EMPTY >>
Corrigir perfil de interface para associação de seletor de interface
APIC# moquery -c infraHPortS | grep leaf103_IP
dn : uni/infra/accportprof-leaf103_IP/hports-lc_Interface_Selector-typ-range
Perfil de interface para associação de perfil de switch
Fabric > Access Policies > Switches > Leaf Switches > Profiles > leaf103_SP
APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
<< EMPTY >>
Corrigir Perfil Folha para Associação de Perfis do Seletor de Interface
[+] Perfil de interface para associação de perfil de switch
APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
dn : uni/infra/nprof-leaf103_SP/rsaccPortP-[uni/infra/accportprof-leaf103_IP]
Por padrão, as VLANs têm um escopo global. Um determinado ID de VLAN pode ser usado apenas para um único EPG em um determinado switch leaf.
Qualquer tentativa de reutilizar a mesma VLAN em vários EPGs dentro de um determinado switch leaf resulta em uma falha F0467 de encapsulamento já em uso.
Associação de EPG para Falha em Locatários > lc_TN > lc_AP > lc_EPG > Falhas > Falha
APIC# moquery -c faultInst -f 'fault.Inst.code=="F0467"' | grep lc_EPG
changeSet : configQual:encap-already-in-use, configSt:failed-to-apply, debugMessage:encap-already-in-use: Encap (vlan-420) is already in use by lc_TN_Dup:lc_APP:lc_EPG;, temporaryError:no
descr : Configuration failed for uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG node 103 eth1/13 due to Encap Already Used in Another EPG, debug message: encap-already-in-use: Encap (vlan-420) is already in use by lc_TN_Dup:lc_APP:lc_EPG;
dn : topology/pod-1/node-103/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/nwissues/fault-F0467
[+] Você pode confirmar que o encapsulamento já está em uso em um locatário diferente lc_TN_Dup
Node-103# show vlan extended | egrep "Encap|----|vlan-420"
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
3 lc_TN_Dup:lc_APP:lc_EPG vlan-420 Eth1/13
Opção 1:
Use um número de vlan diferente em uso no par de folha ou VPC.
Opção 2:
Use a mesma vlan em um leaf ou par de VPC diferente que não tenha Vlan tentando ser implantada.
Opção 3:
Remova a associação de porta estática no EPG duplicado , isso permite a nova implantação.
Opção 4:
Nas versões da ACI anteriores à versão v1.1, um determinado encapsulamento de VLAN é mapeado para apenas um único EPG em um switch leaf. Se houver um segundo EPG com o mesmo encapsulamento de VLAN no mesmo switch leaf, a ACI gera essa falha.
Começando com a versão v1.1, você pode implantar vários EPGs com o mesmo encapsulamento de VLAN em um determinado switch leaf (ou FEX), na configuração de VLAN por porta
Guia de configuração de VLAN por porta
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/2-x/L2_config/b_Cisco_APIC_Layer_2_Configuration_Guide/b_Cisco_APIC_Layer_2_Configuration_Guide_chapter_011.html#concept_BC396E1CBB7D4687A9CBBECDDD43DE11
Esta seção pode ser usada como um guia de referência para a aparência de uma configuração completa com uma configuração funcional.
Locatários > lc_TN > lc_AP > lc_EPG > Portas Estáticas
[+] Porta estática para política de associação do EPG
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
dn : topology/pod-1/node-103/sys/ctx-[vxlan-2195458]/bd-[vxlan-16416666]/vlan-[vlan-420]/rtfvDomIfConn-[uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/conndef/conn-[vlan-420]-[0.0.0.0]]
Estrutura > Políticas de acesso > Políticas > Global > AAEP > lc_AAEP
APIC# moquery -c fvIfConn -f 'fv.IfConn.encap=="vlan-420"' | grep dn
dn : uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/attEntitypathatt-[lc_AAEP]/conndef/conn-[vlan-420]-[0.0.0.0]
Locatários > lc_TN > lc_AP > lc_EPG > Domínios
[+] O domínio lc_phys_dom foi associado ao EPG.
APIC# moquery -c fvRsDomAtt | grep -A 25 lc_EPG | grep rn
rn : rsdomAtt-[uni/phys-lc_phys_dom]
Estrutura > Políticas de acesso > Domínios físicos e externos > Domínios físicos > lc_phys_dom
[+] Domínio para associação AAEP
APIC# moquery -c infraRtDomP | grep lc_phys_dom
dn : uni/phys-lc_phys_dom/rtdomP-[uni/infra/attentp-lc_AAEP]
[+] Domínio para associação de Pool de Vlan
APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
tDn : uni/infra/vlanns-[lc_vlan_pool]-static
Fabric > Access Policies > Pool > VLAN > lc_vlan_pool
[+] Verificação do intervalo do pool da VLAN
APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]
[+] Domínios em que o lc_vlan_pool foi usado
APIC# moquery -c fvnsRtVlanNs | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_pool]-dynamic/rtinfraVlanNs-[uni/phys-lc_phys_dom]
Estrutura > Políticas de acesso > Políticas > Global > AAEP > lc_AAEP
APIC# moquery -c infraRsDomP | grep lc_AAEP
dn : uni/infra/attentp-lc_AAEP/rsdomP-[uni/phys-lc_phys_dom]
Fabric > Access Policies > Interfaces > Leaf Interfaces > Policy Groups > Leaf Access Port > lc_IPG
[+] IPG para associação AAEP
APIC# moquery -c infraRsAttEntP | grep -A 15 lc_IPG | grep tDn
tDn : uni/infra/attentp-lc_AAEP
Estrutura > Políticas de acesso > Interfaces > Interfaces Folha > Perfis > leaf103_IP
APIC# moquery -c infraHPortS | grep leaf103_IP
dn : uni/infra/accportprof-leaf103_IP/hports-lc_Interface_Selector-typ-range
Fabric > Access Policies > Interfaces > Leaf Interfaces > Profiles > leaf103_IP > lc_Interface_Seletor
[+] IPG para associação do Seletor de Interface
APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
dn : uni/infra/accportprof-lead103_IP/hports-lc_Interface_Selector-typ-range/rsaccBaseGrp
<h4">Perfil de Interface Folha para Seletores de Interface e associações de Perfil de Switch Folha
Fabric > Access Policies > Switches > Leaf Switches > Profiles > leaf103_SP
[+] Perfil de Interface Folha para associação de Perfil de Switch
APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
dn : uni/infra/nprof-leaf103_SP/rsaccPortP-[uni/infra/accportprof-leaf103_IP]
[+] Perfil de Switch para associação de Grupo de Políticas de Switch
APIC# moquery -c infraRsAccNodePGrp | grep -A 8 leaf103_SP | grep tDn
tDn : uni/infra/funcprof/accnodepgrp-leaf103_SPG
Uma moquery em relação à classe fvIcConn pode ser filtrada em limites de VLAN de interesse para mostrar cada combinação de EPG/Switch/Interface onde a VLAN foi implantada.
APIC# moquery -c fvIfConn -f 'fv.IfConn.encap=="vlan-420"' | grep dn
dn : uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/conndef/conn-[vlan-420]-[0.0.0.0]
O comando 'show vlan extended' pode ser executado em qualquer switch para verificar quais VLANs estão atualmente implantadas em um switch, junto com a qual EPG e interface a VLAN está ligada.
O filtro 'encap-id xx' está disponível na ACI versão 4.2 e posterior.
Node-103# show vlan encap-id 420 extended
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
2 lc_TN:lc_APP:lc_EPG vlan-420 Eth1/13
Cada VLAN em um nó de switch ACI é mapeada para alguma VLAN independente de plataforma (PI) que é um valor local para cada nó de switch.
Os Access Encaps são mapeados para uma VLAN IP chamada "FD VLAN", enquanto os domínios de ponte são mapeados para uma VLAN IP chamada "BD VLAN".
"show system internal epm vlan all" pode ser executado em um switch para exibir a lista de vlans implantadas no leaf.
Node-103# show vlan extended | egrep "Encap|----|1/13"
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
2 lc_TN:lc_APP:lc_EPG vlan-420 Eth1/13 --> FD vlan 2
18 lc_TN:lc_BD vxlan-16416666 Eth1/13 --> BD vlan 18
A programação da vlan FD e da vlan BD para a interface pode ser validada com um comando 'show interface'.
Node-103# show interface eth 1/13 trunk | grep -A 2 Allowed
Port Vlans Allowed on Trunk
-----------------------------------------------------------------------------------
Eth1/13 2,18
Se estiver validando uma vlan de camada 3 com um SVI de BD, moquery class fvSubnet para obter o endereço IP da sub-rede.
APIC# moquery -c fvSubnet | grep lc_BD
dn : uni/tn-lc_TN/BD-lc_BD/subnet-[10.10.10.254/24]
Em seguida, marque 'show ip interface brief' e procure o endereço ip correspondente para validar a vlan e o VRF esperado.
Neste exemplo, a validação é para BD VLAN 18 do exemplo de saída CLI anterior.
Node-103# show ip interface brief
...
IP Interface Status for VRF "lc_TN:lc_VRF"(16)
Interface Address Interface Status
vlan18 10.10.10.254/24 protocol-up/link-up/admin-up
Esta sequência de alto nível resume as etapas envolvidas na chamada à API do Caminho Estático da VLAN para a Implantação da VLAN do Nó do Switch.
Este diagrama de blocos mostra a relação entre as Políticas de Acesso para garantir uma implantação bem-sucedida da VLAN do Nó do Switch.
Cada engenheiro de rede tem realmente trabalhado com a ideia de políticas de acesso; apenas elas foram definidas como texto em um arquivo por meio de uma interface CLI de um dispositivo autônomo.
Quando uma falha F0467 é vista, é importante primeiro entender as políticas de acesso e garantir que elas estejam configuradas corretamente.
Cada saída de comando fornece uma variável que é usada para o próximo comando na lista.
Esses comandos foram referenciados em todo este documento para solucionar problemas em diferentes cenários.
Nó | Comandos | Propósito |
APIC | moquery -c faultInst -f 'fault.Inst.code=="F0467"' | Lista todas as falhas F0467 atualmente ativas na malha |
moquery -c l2RtDomIfConn | grep <epg_name> | grep dn | Mostra os caminhos estáticos/dinâmicos associados ao epg específico. | |
moquery -c fvRsDomAtt | grep -A 25<epg_name> | grep rn | Mostra os domínios associados ao EPG | |
moquery -c infraRsVlanNs | grep -A 15 <dom_name> | grep Dn | Mostra o nome do pool da vlan associado ao domínio. O nome de domínio é extraído do comando anterior | |
moquery -c fvnsEncapBlk | grep <vlan_pool_name> | Mostra os números de vlan associados ao pool de vlan específico | |
moquery -c infraRtDomP | grep <dom_name> | Mostra o AEP associado ao domínio | |
moquery -c infraRtAttEntP | grep <AEP_name> | Mostra o grupo de perfil da interface (IPG) associado ao domínio | |
moquery -c infraRsAccBaseGrp | grep -B 15 <IPG_name> | grep dn | Mostra o grupo de perfil da interface (IPG) para associação do Seletor de Interface | |
moquery -c infraRsAccPortP | grep <Setor_Interface> | grep dn | Mostra o Perfil de Interface para a associação do Perfil do Switch | |
moquery -c fvIfConn -f 'fv.IfConn.encap=="<encap_vlan>"' | grep dn | Mostra todas as interfaces em que a vlan de encapsulamento específica é implantada na malha | |
moquery -c fvnsRtVlanNs | grep <vlan_pool_name> | | grep dn | Mostra o domínio associado ao pool vlan | |
moquery -c fvSubnet | grep <BD_name> | Mostra o IP svi associado ao domínio | |
Switch | show vlan encap-id <encap_vlan> extended | Mostra detalhes das vlans IP e do usuário, perfil de aplicativo e nome do EPG |
show vlan extended | egrep "Encap|----|<port:example 1/13>" | Mostra detalhes da vlan na porta específica. | |
show int eth <port> trunk | grep -A 2 Permitido | Mostra as vlans que estão sendo encaminhadas em uma porta específica. Observe que os números de vlan são números de vlan internos. | |
show ip int bri vrf <vrf> | Mostrar as interfaces de Camada 3 implantadas para o vrf específico | |
show vpc brief | Mostra as informações relacionadas ao vpc se esse switch fizer parte de um par VPC. |
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
14-Sep-2023 |
Versão inicial |