Gestion et automatisation de réseau : Cisco Application Policy Infrastructure Controller (APIC)

Configurez les contre- stratégies atomiques

16 janvier 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (23 décembre 2015) | Commentaires

Introduction

Ce document décrit comment les stratégies atomiques de compteurs travaillent à la matrice. Cette caractéristique te permet pour surveiller les baisses/paquets excédentaires du trafic sur votre matrice.

Contribué par Leigh Pember, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Infrastructure centrale d'application de Cisco (interception commandée en vol)
  • Version 1.0(3n) APIC
  • version 11.0(3n) n9000-aci

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales 

Ces acronymes sont utilisés en cet article :

  • APIC - Contrôleur d'infrastructure de stratégie d'application
  • TEP - Point final de tunnel
  • VRF - Routage et expédition virtuels
  • TCAM - Mémoire de contenu adressable ternaire
  • EPG - Groupe de point final
  • MOIS - Objet géré

Il y a quelques informations importantes contenues dans « dépannent » la section qui aide à comprendre le thème. Avant tout, le trafic qui est mesuré doit traverser par la matrice (feuille > épine > feuille) afin de tirer profit de toutes les contre- stratégies atomiques. La création d'une stratégie pour deux points finaux reliés à la même feuille tiendra compte seulement de la transmission à l'opposé de l'incrément.

Notez qu'il y a plus d'un type de compteur atomique. Ce document identifie comment configurer les contre- stratégies atomiques sur demande. Ceux-ci peuvent être "Marche/Arrêt" basculé par l'administrateur. Il y a également des compteurs atomiques « illimités » qui le trafic de mesure entre les feuilles. Ce sont les compteurs TEP-à-TEP atomiques. Ils peuvent être vus dans ces éléments :

  • dbgIngrTep (compteurs TEP d'entrée)
  • dbgEgrTep (compteurs TEP de sortie)

Ils sont comptés pour chacun du TEPs sur chacune des feuilles. Il est possible de voter le contrôleur d'infrastructure de stratégie d'application (APIC) pour ces nombres, mais il n'est pas recommandé. La meilleure ligne de conduite pour un client intéressé au trafic de surveillance sur leur réseau serait de configurer les compteurs sur demande.

Afin de fonctionner, les compteurs atomiques inversent un "Marche/Arrêt" mordu « M » dans l'en-tête d'eVXLAN. Ils ne sont pas incrémentés en ce qui concerne le temps, mais en ce qui concerne le « paquet ». Le bit M indique au noeud quelle banque (impaire ou même) à incrémenter pour le paquet. Les compteurs atomiques fonctionnent à côté de voter les Noeuds pour le compteur sur leur impair et même banques respectives. Par exemple, l'APIC pourrait mesurer la banque impaire sur la feuille 1 et même la banque sur la feuille 4 en raison d'une stratégie sur demande qui est configurée. Ceci permet à l'APIC pour dériver transmis et les paquets reçus de chaque banque comptent, puis le nombre de baisses et de paquets excédentaires basés sur la différence.

Quand la stratégie sur demande est configurée, les compteurs incrémentent si une entrée TCAM est appariée et l'impair/mordait même est placé. Ceci signifie que vous devez avoir une stratégie réglée par l'intermédiaire des contrats entre les deux points finaux/groupes de point final/IPS que vous essayez de mesurer avant que les compteurs atomiques fonctionnent.

Voici quelques mises en garde à considérer quand vous configurez les compteurs atomiques de stratégie :

  • L'utilisation des compteurs atomiques n'est pas prise en charge quand les points finaux sont dans différents locataires ou dans différents contextes (vrf) chez le même locataire. 

  • Dans des 2 stratégies atomiques pures de configurations de la couche où l'adresse IP n'est pas apprise (l'adresse IP est 0.0.0.0), point-à-EPG et d'EPG-à-point final contre- ne sont pas pris en charge. Dans des ces cas, le point-à-point final et EPG--EPG aux stratégies sont pris en charge. Les stratégies externes sont routage virtuel et expédition (VRF) basés sur, qui exige les adresses IP instruites, et sont prises en charge. 

  • Quand la contre- source ou destination atomique est un point final, le point final doit être dynamique et non statique. À la différence d'un point final dynamique (fv : Cèpe), un point final de charge statique (fv : StCEp) n'a pas un objet d'enfant (fv : RsCEpToPathEp) qui est exigé par le compteur atomique. 

  • Dans une topologie de transit, où les Commutateurs de feuille ne sont pas dans le maillage complet avec tous les Commutateurs d'épine, puis les compteurs de la feuille-à-feuille (TEP à la TEP) ne fonctionnent pas comme prévu. 

  • Pour les compteurs atomiques de la feuille-à-feuille (TEP à la TEP), une fois le nombre de tunnels augmente la limite de matériel, les évolutions des systèmes le mode du mode de trace au mode de chemin et l'utilisateur n'est plus présenté avec le trafic de par-épine. 

  • Le compteur atomique ne compte pas le trafic de proxy d'épine. 

  • Les paquets ont relâché avant qu'ils entrent dans la matrice ou avant qu'ils soient expédiés à un port de feuille sont ignorés par les compteurs atomiques. 

  • Des paquets qui sont commutés dans le hypervisor (le mêmes groupe et hôte de port) ne sont pas comptés. 

  • Les compteurs atomiques exigent une stratégie de Protocole NTP (Network Time Protocol) de matrice d'active. 

  • Une contre- stratégie configurée atomique avec le fvCEp comme source et/ou comptes de destination seulement le trafic qui est de/au MAC et les adresses IP qui sont présents dans le fvCEp a géré des objets (mos). Si le fvCEp MOIS a un champ vide d'adresse IP, alors tout le trafic à/de cette adresse MAC serait compté indépendamment de l'adresse IP. Si l'APIC a appris de plusieurs adresses IP pour un fvCEp, alors le trafic seulement de l'une adresse IP dans le fvCEp MOIS lui-même est compté comme précédemment indiqué. Afin de configurer une contre- stratégie atomique à/d'une adresse IP spécifique, utilisez le fvIp MOIS comme source et/ou destination. 

  • S'il y a un fvIp derrière un fvCEp, vous devez ajouter des stratégies basées sur fvIP et des stratégies non basées sur fvCEp. 

Voir le guide de dépannage de Cisco APIC - Pour en savoir plus de compteurs d'instructions atomiques et de restrictions.

Configurez

Afin de configurer de contre- stratégies atomiques, terminez-vous ces étapes :

  1. Déterminez quel type de contre- stratégie atomique vous voulez configurer.
  2. Créez la stratégie.
  3. Ajoutez le filtre que vous voudriez utiliser pour la stratégie.

Déterminez quel type de stratégie atomique vous voulez configurer

Ces types de contre- stratégies atomiques sur demande peuvent être configurés :

  • PE au PE
  • PE à EPG
  • PE à l'ext.
  • EPG au PE
  • EPG à EPG
  • EPG à l'IP
  • Ext. à l'IP
  • IP à EPG

La signification de chaque acronyme est comme suit :

  • PE - Point final
  • EPG - Groupe de point final
  • Ext. - Réseau externe
  • IP - Adresse IP

Notez que pour des stratégies basées sur PE l'unes des, le point final doit déjà être appris sur la matrice avant que la stratégie puisse être configurée.

Le type de stratégie que vous choisissez de configurer déterminera les paramètres qui doivent être configurés dans la section suivante.

Créez la stratégie

Les captures d'écran utilisées dans cette section sont pour un EPG à la stratégie EPG. Votre vue pourrait varier basé sur quel type vous configurez, mais les principaux concepts seront identiques.

PE au PE

Vous pouvez choisir entre deux types de source : PE et IP. Si vous choisissez le PE, alors vous sélectionnez un point final qui a été appris sur la matrice. Si vous choisissez l'IP, alors vous sélectionnez un point final qui a été appris sur la matrice aussi bien qu'une adresse IP. Ceci te permet pour obtenir plus granulaire dans la décision entre un point final spécifique et un hôte IP spécifique qui pourraient se reposer derrière un point final.

EPG à EPG

Sélectionnez une source et une destination EPG pour la stratégie. Ceci mesure le trafic qui va de tous les points finaux dans la source EPG à tous les points finaux dans la destination EPG.

PE à EPG

Le processus pour choisir la source est identique que pour « PE la stratégie à PE ». Le processus pour choisir la destination est identique que pour le « EPG à EPG » stratégie ».

PE à l'ext.

Le processus pour choisir la source est identique que pour « PE la stratégie à PE ». Vous devez écrire « un IP externe » afin de spécifier une adresse IP en dehors de la matrice qui sera utilisée comme destination pour le compteur. Vous pouvez choisir une adresse IP spécifique ou une plage d'adresses IP en mettant « / » après l'adresse et en spécifiant une taille de sous-réseau.

EPG au PE

Le processus pour choisir la source est identique que pour « EPG la stratégie à EPG ». Le processus pour choisir la destination est identique que pour « PE la stratégie à PE ».

EPG à l'IP

Le processus pour choisir la source est identique que pour « EPG la stratégie à EPG ». Le processus pour choisir la destination est identique que pour « PE la stratégie à ext. ».

Ext. à l'IP

Sélectionnez une adresse IP source pour le trafic et présentez-la dans le domaine de « source ip ». Ce peut être une adresse IP spécifique ou un IP de sous-réseau. Le processus pour choisir une destination est identique que pour « PE la stratégie à PE ».

IP à EPG

Le processus pour choisir la source est identique que pour « ext. la stratégie à IP ». Le processus pour choisir la destination est identique que pour « EPG la stratégie à EPG ».

Ajoutez le filtre que vous voudriez utiliser pour la stratégie

L'écran que vous voyez voici cohérent indépendamment de quel type de stratégie vous configurez. Notez que le contre- filtre atomique est un type différent d'objet que le filtre que vous appliquez aux contrats dans la matrice, bien qu'ils remplissent des fonctions similaires.

  • Nom - Écrivez le nom pour le contre- filtre atomique ici. Notez que ce filtre est spécifique à cette stratégie seulement et ne sera pas réutilisé.
  • Protocol - Vous pouvez choisir un protocole de la liste déroulante ou introduire un nombre qui correspond au protocole entre 0 et 255. La plage 0 à 255 correspond au nombre de protocole IP contenu dans l'en-tête de paquet IP.
  • Port de source - Vous pouvez choisir un des protocoles utilisés généralement de la liste déroulante ou introduire un nombre entre 0 et 65535.
  • Destination port - Vous pouvez choisir un des protocoles utilisés généralement de la liste déroulante ou introduire un nombre entre 0 et 65535.
  • Description - C'est juste une description pour que le filtre facilite l'identification. Il n'affectera pas qui le trafic est ou n'est pas identifié par ce filtre.

Vous pouvez également configurer les compteurs atomiques avec le REPOS API. Voici un exemple de la demande de POST utilisée pour créer EPG--EPG à la stratégie :

URL - https:// <apic-ip>/api/node/mo/uni/tn-Leigh/epgToEpg-Test-Policy.json

JSON 

{« dbgacEpgToEpg » :

    {« attributs » :

        {« dn » : « uni/tn-Leigh/epgToEpg-Test-Policy »,

        « nom » : « Test-stratégie »,

        « rn » : « EpgToEpg-Test-stratégie »,

        « état » : « créé »},

        « enfants » : [

            {« dbgacFilter » :

                {« attributs » :

                    {« dn » : « uni/tn-Leigh/epgToEpg-Test-Policy/filt-filter-all »,

                    « nom » : « filtre-tout »,

                    « rn » : « filt-filtre-tout »,

                    « état » : « créé »},

                    « enfants » : []}},

            {« dbgacRsFromEpg » :

                {« attributs » :

                    {"tDn":"uni/tn-Leigh/ap-projet-App/epg-EPG-1",

                    « état » : « créé, modifié »},

                    « enfants » : []}},

            {« dbgacRsToEpgForEpgToEpg » :

                {« attributs » :

                    {"tDn":"uni/tn-Leigh/ap-projet-App/epg-EPG-2",

                    « état » : « créé »},

                    « enfants » : []

                }

            }

        ]

    }

}

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

Le moyen le plus simple de vérifier que la contre- stratégie atomique que vous avez configurée est opérationnel est de s'assurer que « l'état administratif » est placé « activé » sous à l'onglet de « stratégie ».

Afin de voir les compteurs pour chaque statistique sur la stratégie, naviguez vers l'onglet « opérationnel ». Voici que vous devriez voir le nombre de paquets transmis et admis pour incrémenter si la circulation. Un défaut mineur est déclenché si 1% ou plus de paquets sont relâchés et un défaut important est déclenché si 5% ou plus des paquets sont relâchés.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Si vous ne voyez pas les compteurs l'uns des incrémenter, voici quelques questions possibles aux lesquelles vous pourriez faire face :

  • La stratégie est-elle activée ?
  • Le filtre est-il pour la stratégie configurée correctement ?
  • Y a-t-il des contrats en place entre les deux points finaux ou périphériques entre lesquels vous mesurez le trafic ?

Si vous un certain la stratégie est configuré correctement, activé, et les points finaux qui sont testés avec succès passent le trafic, alors la question est probable que les deux points finaux soient connectés à la même feuille. En raison de la conception de l'architecture de matériel, le trafic doit passer par le Northstar ASIC sur les feuilles pour que les compteurs incrémentent. Si le trafic traverse seulement une feuille, alors vous verrez seulement les compteurs de transmission incrémenter.

Si vous voyez un nombre élevé de relâcher ou des paquets excédentaires, alors une possibilité est que vous avez un surabonnement entre deux périphériques.


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 119418