瞭解ACI強制域驗證

已更新: 2023 年 12 月 3 日
文件 ID:221206

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹強制域驗證設定及其優點。 

    已解釋強制域驗證

    預設情況下,Enforce Domain Validation(強制域驗證)處於啟用狀態,因此,如果為EPG配置了靜態{port, VLAN},但包含此VLAN的域不存在,則會發生以下情況: 

    • 以應用為中心的基礎設施(ACI)引發故障F0467「Configuration failed for <path> due to Invalid Path Configuration」。
    • Vlan部署在介面上。
    • 流量會在特定介面上轉發。

    通過強制域驗證可以防止此配置錯誤。

    caution-icon

    注意:未經適當的盡職調查,請勿在現有交換矩陣上啟用此功能。

    此功能一旦啟用,便無法禁用。 即使現有配置不正確,它們也可以正常工作。啟用之前,請確保驗證對EPG和關聯的AEP的域分配。

    強制域驗證:已禁用(預設行為)

    APIC CLI強制域驗證驗證。預設狀態表示域驗證已禁用。

    APIC# moquery -c infraSetPol | egrep"domainValidation"
    domainValidation               : no

    假設封裝VLAN 420未繫結到與EPG關聯的域/AEP。Vlan 420仍部署在預期介面上。 

    leaf# show vlan encap-id 420 extended
     VLAN Name                             Encap            Ports                    
     ---- -------------------------------- ---------------- ------------------------ 
    1    lc_TN:lc_APP:lc_EPG              vlan-420         Eth1/13 

    部署用於EPG和BD的平台獨立(PI)Vlan(1,19),並允許它們在預期介面上中繼。

    "
     VLAN Name                             Encap            Ports                    
     ---- -------------------------------- ---------------- ------------------------ 
    1    lc_TN:lc_APP:lc_EPG              vlan-420         Eth1/13                  
    19   lc_TN:lc_BD                      vxlan-16416666   Eth1/13                  

    BD和EPG的VLAN部署在預期介面上。

    leaf# show int eth 1/13 trunk | grep -A Allowed          
     Port           Vlans Allowed on Trunk                                             
    -----------------------------------------------------------------------------------
    Eth1/13        1,19

    強制域驗證:已啟用

    如果啟用Enforce Domain Validation(實施域驗證),則可以在EPG上建立靜態路徑,其VLAN ID未連結到相應的訪問策略路徑。交換矩陣引發故障,介面上未對VLAN進行程式設計。

    APIC GUI實施域驗證驗證System > System Settings > Enforce Domain Validation

    Enabled Enforce Domain Validation已啟用強制域驗證

    確認驗證警告

    Once Enforced, the Domain Validation Cannot be Un-enforced實施後,無法取消實施域驗證

    啟用設定後,該選項將呈灰色顯示,因此您無法撤消操作。

    APIC CLI:實施域驗證驗證

    APIC# moquery -c infraSetPol | egrep "domainValidation"
    domainValidation               : yes

    僅當必須將策略下載到交換機時,此驗證才對現有配置生效。

    通常,這會在交換機升級、全新重新載入或配置快照/備份還原期間發生。

    全新重新載入步驟範例:

    leaf# acidiag  touch clean 
    This command can wipe out this device, Proceed? [y/N] y
    leaf# reload
    This command can reload the chassis, Proceed (y/n)? [n]: y

    最初部署的VLAN 420此時不在預期的介面上。

    leaf# show int eth 1/13 trunk | grep -A 2 Allowed           
     Port           Vlans Allowed on Trunk                                             
    -----------------------------------------------------------------------------------
     Eth1/13        none

    啟用域驗證被視為最佳實踐,因此,一旦啟用,便沒有恢復更改的選項。

    POSTMAN API顯示更改設定的帖子未成功。

    Asking for Domain Validation is a One Time Operation. No Further Changes Allowed.請求域驗證是一次性操作。不允許進一步更改。

    由於在初始發行時此設定不是預設設定,因此將來對預設設定進行的任何強制更改都可能會導致配置不正確失敗,從而導致停機。 

    因此,使用者可配置該設定。

    疑難排解

    對於缺少訪問策略關聯的受影響EPG,將引發故障F0467。

    有關如何進行故障排除,請參閱本文的快速啟動隔離

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    2.0
    03-Dec-2023
    已更新VLAN 420。
    1.0
    01-Dec-2023
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Luis Contreras
      Technical Consulting Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品