簡介
本文檔介紹強制域驗證設定及其優點。
已解釋強制域驗證
預設情況下,Enforce Domain Validation(強制域驗證)處於啟用狀態,因此,如果為EPG配置了靜態{port, VLAN},但包含此VLAN的域不存在,則會發生以下情況:
- 以應用為中心的基礎設施(ACI)引發故障F0467「Configuration failed for <path> due to Invalid Path Configuration」。
- Vlan部署在介面上。
- 流量會在特定介面上轉發。
通過強制域驗證可以防止此配置錯誤。
注意:未經適當的盡職調查,請勿在現有交換矩陣上啟用此功能。
此功能一旦啟用,便無法禁用。 即使現有配置不正確,它們也可以正常工作。啟用之前,請確保驗證對EPG和關聯的AEP的域分配。
強制域驗證:已禁用(預設行為)
APIC CLI強制域驗證驗證。預設狀態表示域驗證已禁用。
APIC# moquery -c infraSetPol | egrep"domainValidation"
domainValidation : no
假設封裝VLAN 420未繫結到與EPG關聯的域/AEP。Vlan 420仍部署在預期介面上。
leaf# show vlan encap-id 420 extended
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
1 lc_TN:lc_APP:lc_EPG vlan-420 Eth1/13
部署用於EPG和BD的平台獨立(PI)Vlan(1,19),並允許它們在預期介面上中繼。
"
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
1 lc_TN:lc_APP:lc_EPG vlan-420 Eth1/13
19 lc_TN:lc_BD vxlan-16416666 Eth1/13
BD和EPG的VLAN部署在預期介面上。
leaf# show int eth 1/13 trunk | grep -A Allowed
Port Vlans Allowed on Trunk
-----------------------------------------------------------------------------------
Eth1/13 1,19
強制域驗證:已啟用
如果啟用Enforce Domain Validation(實施域驗證),則可以在EPG上建立靜態路徑,其VLAN ID未連結到相應的訪問策略路徑。交換矩陣引發故障,介面上未對VLAN進行程式設計。
APIC GUI實施域驗證驗證System > System Settings > Enforce Domain Validation。
已啟用強制域驗證
確認驗證警告
實施後,無法取消實施域驗證
啟用設定後,該選項將呈灰色顯示,因此您無法撤消操作。
APIC CLI:實施域驗證驗證
APIC# moquery -c infraSetPol | egrep "domainValidation"
domainValidation : yes
僅當必須將策略下載到交換機時,此驗證才對現有配置生效。
通常,這會在交換機升級、全新重新載入或配置快照/備份還原期間發生。
全新重新載入步驟範例:
leaf# acidiag touch clean
This command can wipe out this device, Proceed? [y/N] y
leaf# reload
This command can reload the chassis, Proceed (y/n)? [n]: y
最初部署的VLAN 420此時不在預期的介面上。
leaf# show int eth 1/13 trunk | grep -A 2 Allowed
Port Vlans Allowed on Trunk
-----------------------------------------------------------------------------------
Eth1/13 none
啟用域驗證被視為最佳實踐,因此,一旦啟用,便沒有恢復更改的選項。
POSTMAN API顯示更改設定的帖子未成功。
請求域驗證是一次性操作。不允許進一步更改。
由於在初始發行時此設定不是預設設定,因此將來對預設設定進行的任何強制更改都可能會導致配置不正確失敗,從而導致停機。
因此,使用者可配置該設定。
疑難排解
對於缺少訪問策略關聯的受影響EPG,將引發故障F0467。
有關如何進行故障排除,請參閱本文的快速啟動隔離。
相關資訊