Entender a ACI Aplicar validação de domínio

Opções de download

  • PDF     (531.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (380.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (351.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:3 de dezembro de 2023
ID do documento:221206

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve a configuração Aplicar validação de domínio e seus benefícios. 

    Aplicar validação de domínio explicada

    Por padrão, a opção Aplicar validação do domínio não está habilitada, portanto, se um EPG estiver configurado com uma {porta, VLAN} estática onde um domínio contendo essa VLAN não estiver presente, isso acontecerá: 

    • A Application Centric Infrastructure (ACI) gera a falha F0467 "Falha na configuração de <caminho> devido à configuração de caminho inválido".
    • A VLAN é implantada na interface.
    • O tráfego é encaminhado na interface específica.

    Esse erro de configuração pode ser evitado pela opção Aplicar validação de domínio.

    ícone de cuidado

    Cuidado: NÃO HABILITE ESTE RECURSO EM UMA ESTRUTURA EXISTENTE SEM A DILIGÊNCIA DEVIDA APROPRIADA.

    Este recurso não pode ser desativado depois de ativado. Você pode ter configurações existentes que estavam funcionando, mesmo que estivessem incorretas. Antes de ativá-lo, verifique a atribuição de domínio para os EPGs e os AEPs associados.

    Impor Validação de Domínio: Desabilitado (Comportamento Padrão)

    Verificação de validação de domínio de aplicação da CLI do APIC. O estado padrão indica que a validação de domínio está desabilitada.

    APIC# moquery -c infraSetPol | egrep"domainValidation"
    domainValidation               : no

    Suponha que a vlan 420 do encapsulamento não esteja ligada ao domínio/AEP associado ao EPG. A VLAN 420 ainda está implantada na interface esperada. 

    leaf# show vlan encap-id 420 extended
     VLAN Name                             Encap            Ports                    
     ---- -------------------------------- ---------------- ------------------------ 
    1    lc_TN:lc_APP:lc_EPG              vlan-420         Eth1/13 

    As Vlans (1,19) independentes de plataforma (PI) para EPG e BD são implantadas e podem fazer o entroncamento na interface esperada.

    "
     VLAN Name                             Encap            Ports                    
     ---- -------------------------------- ---------------- ------------------------ 
    1    lc_TN:lc_APP:lc_EPG              vlan-420         Eth1/13                  
    19   lc_TN:lc_BD                      vxlan-16416666   Eth1/13                  

    As Vlans para BD e EPG são implantadas na interface esperada.

    leaf# show int eth 1/13 trunk | grep -A Allowed          
     Port           Vlans Allowed on Trunk                                             
    -----------------------------------------------------------------------------------
    Eth1/13        1,19

    Impor validação de domínio: Habilitado

    Se a opção Aplicar validação do domínio estiver habilitada, você poderá criar um caminho estático em um EPG com uma ID de VLAN que não esteja vinculada ao respectivo caminho da política de acesso. A estrutura gera uma falha e a VLAN NÃO é programada na interface.

    GUI do APIC Aplicação da verificação de validação de domínio Sistema > Configurações do sistema > Aplicação da validação de domínio.

    Habilitado Aplicar Validação de DomínioHabilitado Aplicar Validação de Domínio

    Aviso de verificação de confirmação

    Depois de aplicada, a validação do domínio não pode ser desaplicadaDepois de aplicada, a validação do domínio não pode ser desaplicada

    Quando a configuração estiver ativada, a opção ficará esmaecida para que você não possa desfazer a ação.

    APIC CLI: Aplicar verificação de validação de domínio

    APIC# moquery -c infraSetPol | egrep "domainValidation"
    domainValidation               : yes

    Essa validação é iniciada para a configuração existente SOMENTE quando a política precisa ser baixada para o switch.

    Normalmente, isso pode ocorrer durante uma atualização do switch, uma recarga limpa ou uma restauração de snapshot/backup da configuração.

    Exemplo de uma etapa de recarga limpa:

    leaf# acidiag  touch clean 
    This command can wipe out this device, Proceed? [y/N] y
    leaf# reload
    This command can reload the chassis, Proceed (y/n)? [n]: y

    A VLAN 420, que foi originalmente implantada, NÃO está na interface esperada no momento.

    leaf# show int eth 1/13 trunk | grep -A 2 Allowed           
     Port           Vlans Allowed on Trunk                                             
    -----------------------------------------------------------------------------------
     Eth1/13        none

    A habilitação da validação de domínio é considerada uma prática recomendada, portanto, uma vez habilitada, não há opção para reverter a alteração.

    Uma API POSTMAN mostra que a postagem para alterar a configuração não foi bem-sucedida.

    A solicitação de validação de domínio é uma operação única. Não São Permitidas Mais Alterações.A solicitação de validação de domínio é uma operação única. Não São Permitidas Mais Alterações.

    Como essa configuração não era um padrão durante a versão inicial, qualquer alteração futura imposta na configuração padrão pode causar falha na configuração incorreta, resultando em interrupções. 

    Por esse motivo, a configuração é configurável pelo usuário.

    Troubleshooting

    A falha F0467 é acionada para EPGs afetados com associações de políticas de acesso ausentes.

    Consulte este artigo Isolamento de início rápido sobre como solucionar problemas da falha.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    03-Dec-2023
    VLAN 420 atualizada.
    1.0
    01-Dec-2023
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Luis Contreras
      Engenheiro de consultoria técnica

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos