أستكشاف أخطاء إدارة قائمة التحكم في الوصول (ACI) والخدمات الأساسية وإصلاحها - الإدارة داخل النطاق وخارجه

المقدمة

يصف هذا المستند خطوات أستكشاف أخطاء إدارة ACI خارج النطاق (OOB) والإدارة داخل النطاق (INB) وإصلاحها.

معلومات أساسية

تم إستخلاص المواد من هذا المستند من فصل الإدارة داخل النطاق وخارج النطاق الذي يتناول أستكشاف أخطاء البنية الأساسية المرتكزة على التطبيقات من Cisco وإصلاحها، الإصدار الثاني على وجه التحديد.

الإدارة داخل النطاق وخارجه

تتضمن عقد البنية الخاصة بواجهة التحكم في الوصول (ACI) خيارين للاتصال بالإدارة؛ خارج النطاق (OOB)، والذي يحكم منفذ الإدارة المادية المخصص على الجزء الخلفي من الجهاز، أو داخل النطاق (INB)، والذي يتم توفيره باستخدام EPG/BD/VRF محدد في مستأجر الإدارة مع درجة من المعلمات القابلة للتكوين. توجد مجموعة بيانات تعريف OOB موجودة في مستأجر الإدارة ('mgmt')، ولكنها موجودة بشكل افتراضي ولا يمكن تعديلها. وهو يسمح فقط بتكوين عقود خارج النطاق (OOB) المتوفرة. على APIC، تتم ملاحظة واجهة OOB في إخراج الأمر "ifconfig" على أنها "oobmgmt" وسيتم تمثيل الواجهة داخل النطاق بواجهة "bond.x"، حيث يتم تكوين شبكة VLAN المحيطة ل EPG داخل النطاق.

apic1# ifconfig oobmgmt
oobmgmt: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.4.20  netmask 255.255.255.0  broadcast 192.168.4.255
        inet6 fe80::7269:5aff:feca:2986  prefixlen 64  scopeid 0x20
        ether 70:69:5a:ca:29:86  txqueuelen 1000  (Ethernet)
        RX packets 495815  bytes 852703636 (813.2 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 432927  bytes 110333594 (105.2 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

apic1# ifconfig bond0.300
bond0.300: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1496
        inet 10.30.30.254  netmask 255.255.255.0  broadcast 10.30.30.255
        inet6 fe80::25d:73ff:fec1:8d9e  prefixlen 64  scopeid 0x20
        ether 00:5d:73:c1:8d:9e  txqueuelen 1000  (Ethernet)
        RX packets 545  bytes 25298 (24.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 6996  bytes 535314 (522.7 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

على الورقة، يتم النظر إلى واجهة OOB على أنها 'eth0' في إخراج الأمر 'ifconfig' ويتم النظر إلى INB على أنها SVI مخصص. يمكن للمستخدم عرض الواجهة باستخدام 'ifconfig' أو باستخدام 'show ip interface vrf mgmt:' حيث يكون الاسم المحدد ل VRF داخل النطاق.

leaf101# show interface mgmt 0
mgmt0 is up
admin state is up,
  Hardware: GigabitEthernet, address: 00fc.baa8.2760 (bia 00fc.baa8.2760)
  Internet Address is 192.168.4.23/24
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec
  reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, medium is broadcast
  Port mode is routed
  full-duplex, 1000 Mb/s
  Beacon is turned off
  Auto-Negotiation is turned on
  Input flow-control is off, output flow-control is off
  Auto-mdix is turned off
  EtherType is 0x0000
  30 seconds input rate 3664 bits/sec, 4 packets/sec
  30 seconds output rate 4192 bits/sec, 4 packets/sec
  Rx
    14114 input packets 8580 unicast packets 5058 multicast packets
    476 broadcast packets 2494768 bytes
  Tx
    9701 output packets 9686 unicast packets 8 multicast packets
    7 broadcast packets 1648081 bytes

leaf101# show ip interface vrf mgmt:inb
  IP Interface Status for VRF "mgmt:inb-vrf" 
  vlan16, Interface status: protocol-up/link-up/admin-up, iod: 4, mode: pervasive 
    IP address: 10.30.30.1, IP subnet: 10.30.30.0/24 
    secondary IP address: 10.30.30.3, IP subnet: 10.30.30.0/24 
    IP broadcast address: 255.255.255.255 
  IP primary address route-preference: 0, tag: 0

سيقوم 'show ip interface vrf mgmt:'بعرض شبكة IP الفرعية الخاصة بالإدارة داخل النطاق كعنوان IP ثانوي؛ هذا هو الإخراج المتوقع.

في المحولات الأساسية، تتم إضافة عنوان IP الخاص بالإدارة داخل النطاق كواجهة إسترجاع مخصصة في ميزة "الإدارة:" VRF. وبالتالي، يختلف هذا التنفيذ عن تنفيذ IP الخاص بالإدارة داخل النطاق على المحولات الطرفية. لاحظ 'show ip int vrf mgmt:'إخراج الأمر أدناه على محول العمود الرئيسي

spine201# show ip interface vrf mgmt:inb
  IP Interface Status for VRF "mgmt:inb"
  lo10, Interface status: protocol-up/link-up/admin-up, iod: 98, mode: pervasive
    IP address: 10.30.30.12, IP subnet: 10.30.30.12/32
    IP broadcast address: 255.255.255.255
 IP primary address route-preference: 0, tag: 0 

تحت إعدادات النظام، هناك إعداد لتحديد إما تفضيل الاتصال داخل النطاق الترددي أو خارج النطاق الترددي ل APICs.

ستستخدم حركة المرور المرسلة من APIC تفضيل الإدارة المحدد في "تفضيلات اتصال APIC" فقط. لا يزال بإمكان APIC إستقبال حركة مرور البيانات إما داخل النطاق الترددي أو خارج النطاق الترددي، بافتراض تكوين أي منهما. يستخدم APIC منطق إعادة التوجيه التالي:

• الحزم التي تأتي في واجهة وتخرج نفس الواجهة.
• تخرج الحزم المستمدة من APIC، الموجهة إلى شبكة متصلة مباشرة، من الواجهة المتصلة مباشرة.
• تفضل الحزم المستمدة من APIC، الموجهة إلى شبكة بعيدة، داخل النطاق الترددي أو خارج النطاق الترددي استنادا إلى تفضيلات اتصال APIC.

تفضيلات اتصال APIC

جدول توجيه APIC مع تحديد OOB. لاحظ القيمة المترية 16 لواجهة الإدارة التي تكون أقل من قياس واجهة إدارة النطاق داخل النطاق الذي يبلغ 32. يعني أنه سيتم إستخدام واجهة الإدارة خارج النطاق لحركة مرور الإدارة الصادرة.

apic1# bash
admin@apic1:~> route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.4.1     0.0.0.0         UG    16     0        0 oobmgmt
0.0.0.0         10.30.30.1      0.0.0.0         UG    32     0        0 bond0.300

جدول توجيه APIC مع تحديد داخل النطاق. لاحظ مقياس واجهة الإدارة داخل النطاق Bond0.300 إذا كان 8 والذي هو الآن أقل من قياس واجهة التصميم البالغ 16. يعني أنه سيتم إستخدام واجهة الإدارة داخل النطاق الترددي Bond0.300 لحركة مرور الإدارة الصادرة.

admin@apic1:~> route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.30.30.1      0.0.0.0         UG    8      0        0 bond0.300
0.0.0.0         192.168.4.1     0.0.0.0         UG    16     0        0 oobmgmt

لا تتأثر تفضيلات إدارة العقدة الأساسية والورق بهذا الإعداد. يتم تحديد تفضيلات الاتصال هذه ضمن نهج البروتوكول. فيما يلي مثال على بروتوكول وقت الشبكة (NTP).

إذا تم تحديد داخل النطاق ضمن تفضيلات اتصال APIC، ولكن بعد ذلك يتم تحديد خارج النطاق بموجب البروتوكول، أي واجهة مع إستخدام حزمة البروتوكول؟

• سيكون تفضيل اتصال APIC دائما هو الأولوية على تحديد البروتوكول في APIC.
• العقد الطرفية على العكس من ذلك، فهي تشير فقط إلى التحديد تحت البروتوكول.

السيناريو: تعذر الوصول إلى شبكة الإدارة

إذا لم يتمكن المستخدم من الوصول إلى شبكة الإدارة، فقد يكون ذلك بسبب عدد من المشاكل المختلفة، ولكن يمكنهم دائما إستخدام نفس المنهجية لعزل المشكلة. من المفترض في هذا السيناريو أن المستخدم لا يستطيع الوصول إلى أي أجهزة في شبكة الإدارة من وراء L3Out الخاصة به.

• تحقق من تفضيلات اتصال APIC. يتم توضيح ذلك في شكل "تفضيلات اتصال APIC"، والخيارات هي خارج النطاق أو داخل النطاق.
• على حسب أي تفضيل يكون محددا، تحقق من صحة التكوين، والواجهات قيد التشغيل، والبوابة الافتراضية يمكن الوصول إليها عبر الواجهة المحددة، ولا توجد عمليات إسقاط على مسار الحزمة.

لا تنس التحقق من الأخطاء في كل قسم من التكوين في واجهة المستخدم الرسومية. ومع ذلك، يمكن أن تظهر بعض أخطاء التكوين في حالات غير متوقعة، ولكن قد يتم إنشاء خطأ في قسم آخر أكثر مما قد يتخذه المستخدم في البداية.

الوصول إلى الإدارة خارج النطاق

التحقق من التكوين خارج النطاق

للتكوين خارج النطاق، هناك أربعة مجلدات للتحقق تحت مستأجر خاص يسمى "mgmt":

• عناوين إدارة العقد.
• وحدات EPG لإدارة العقد.
• العقود خارج النطاق (بموجب العقود).
• ملفات تعريف مثيل الشبكة الخارجية.

يمكن تعيين عناوين إدارة العقد بشكل ثابت أو من تجمع. فيما يلي مثال على تعيين العناوين الثابت. تحقق من تعيين عناوين IP خارج النطاق ومن صحة البوابة الافتراضية.

إدارة العقدة الثابتة تعالج التحقق من واجهة المستخدم الرسومية (GUI)

يجب أن يكون EPG خارج النطاق موجودا ضمن مجلد EPG لإدارة العقد.

EPG خارج النطاق - الافتراضي

والعقود التي تحكم الخدمات الإدارية التي يتم توفيرها من فريق الشراكة الاقتصادية خارج النطاق هي عقود خاصة يتم تكوينها في مجلد العقود خارج النطاق.

عقد خارج النطاق

بعد ذلك، تحقق من إنشاء ملف تعريف مثيل شبكة الإدارة الخارجية ومن تكوين العقد الصحيح خارج النطاق ك "عقد خارج النطاق المستهلك".

ملف تعريف مثيل شبكة الإدارة الخارجية

العناصر التالية التي يجب التحقق منها هي حالة الواجهة والكابلات، ثم الاتصال بالبوابة.

• للتحقق مما إذا كانت واجهة الإدارة قيد التشغيل، أدخل "ifconfig oobmgmt" على واجهة سطر أوامر APIC. تحقق من أن علامات الواجهة هي 'up' و'running'، ومن تكوين عنوان IP الصحيح، ومن زيادة الحزم في عدادات Rx و TX. إذا كانت هناك أي عمليات تحقق مفقودة، فتحقق من إستخدام الكبلات الصحيحة ومن أنها متصلة بمنافذ الإدارة المادية الصحيحة على APIC. سيتم وضع علامة على منافذ الإدارة ETH1-1 و ETH1-2، كما أن الأجهزة الحديثة تحتوي على ملصقات توضيحية للإشارة إلى الواجهة خارج النطاق. لمزيد من المعلومات حول منافذ الإدارة المادية خارج النطاق في الجزء الخلفي من APIC، يرجى الرجوع إلى القسم "إعداد البنية الأولية" في الفصل "اكتشاف البنية".
  
  

apic1# ifconfig oobmgmt
oobmgmt: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
inet 192.168.4.20  netmask 255.255.255.0  broadcast 192.168.4.255
inet6 fe80::7269:5aff:feca:2986  prefixlen 64  scopeid 0x20
ether 70:69:5a:ca:29:86  txqueuelen 1000  (Ethernet)
RX packets 295605  bytes 766226440 (730.7 MiB)
RX errors 0  dropped 0  overruns 0  frame 0
TX packets 253310  bytes 38954978 (37.1 MiB)
TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

• للتحقق من اتصال الشبكة من خلال عملية الإدخال/الإخراج (OOB)، أستخدم إختبار الاتصال لاختبار مسار الحزمة من خلال الشبكة خارج النطاق الترددي.

apic1# ping 192.168.4.1
PING 192.168.4.1 (192.168.4.1) 56(84) bytes of data.
64 bytes from 192.168.4.1: icmp_seq=1 ttl=255 time=0.409 ms
64 bytes from 192.168.4.1: icmp_seq=2 ttl=255 time=0.393 ms
64 bytes from 192.168.4.1: icmp_seq=3 ttl=255 time=0.354 ms

باستخدام traceroute في shell bash على APIC، تتبع الاتصال بالمستخدم النهائي. إذا لم يكتمل traceroute، قم بتسجيل الدخول إلى هذا الجهاز (إذا كان يمكن الوصول إليه) وقم باختبار واجهة الإدارة واختبار اتصال المضيف. بناء على الإتجاه الذي يفشل، قم باستكشاف المشكلة وإصلاحها كمشكلة شبكة تقليدية.

يعمل Traceroute عن طريق إرسال حزم UDP باستخدام مدة البقاء (TTL) المتزايدة، بدءا من 1. إذا كان الموجه يتلقى الحزمة مع TTL 1 ويحتاج إلى توجيهها، فإنه يسقط الإطار ويرسل رسالة ICMP الذي يتعذر الوصول إليه إلى المرسل. يتم إرسال كل خطوة بمعدل 3 حزم UDP في مدة البقاء (TTL) الحالية، وتمثل النجوم محاولات لم يتم فيها إستلام حزمة ICMP الذي يتعذر الوصول إليه / TTL التي تم تجاوزها. من المتوقع وجود كتل النجمة الثلاث هذه في معظم الشبكات نظرا لأن بعض أجهزة التوجيه تحتوي على رسائل ICMP الذي يتعذر الوصول إليه / TTL الذي تجاوز الرسائل معطلة، لذلك عند استقبالها حزم TTL 1 التي تحتاج إلى التوجيه، فإنها ببساطة تسقط الحزمة ولا ترسل الرسالة مرة أخرى إلى المرسل.

apic1# bash
admin@apic1:~> traceroute 10.55.0.16
traceroute to 10.55.0.16 (10.55.0.16), 30 hops max, 60 byte packets
    1  192.168.4.1 (192.168.4.1)  0.368 ms  0.355 ms  0.396 ms
    2  * * *
    3  * * *
    4  10.0.255.221 (10.0.255.221)  6.419 ms 10.0.255.225 (10.0.255.225)  6.447 ms *
    5  * * *
    6  * * *
    7  10.55.0.16 (10.55.0.16)  8.652 ms  8.676 ms  8.694 ms

تصل المحولات الطرفية إلى الأمر tcpdump، والذي يمكن إستخدامه للتحقق من الحزم التي تجتاز واجهة الإدارة. يلتقط المثال التالي على 'eth0'، وهو واجهة التحكم المستخدمة على محولات الورقة والعمود الرئيسي، ويستخدم الخيار '-n' ل tcpdump لإعطاء عناوين IP المستخدمة بدلا من أسماء DNS، ثم التصفية تحديدا لحزم NTP (منفذ UDP 123). تذكر أن الورقة في المثال السابق هي عبارة عن التحقق من خادم NTP 172.18.108.14. أدناه، يمكن للمستخدم التحقق من إرسال حزم NTP عبر الواجهة خارج النطاق الترددي وكذلك من أن الورقة تتلقى إستجابة من الخادم.

fab1-leaf101# tcpdump -n -i eth0 dst port 123
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
16:49:01.431624 IP 192.168.4.23.123 > 172.18.108.14.123: NTPv4, Client, length 48
16:49:01.440303 IP 172.18.108.14.123 > 192.168.4.23.123: NTPv4, Server, length 48

تتطلب تهيئة الإدارة داخل النطاق اعتبارات خاصة لعمليات النشر من الطبقة 2 أو الطبقة 3. يغطي هذا المثال النشر واستكشاف الأخطاء وإصلاحها للطبقة 3 فقط.

تكوين الإدارة داخل النطاق

تحقق من وجود BD في مستأجر الإدارة مع شبكة فرعية سيتم من خلالها تخصيص عناوين إدارة العقد داخل النطاق لعقد البنية الخاصة بالاتصال داخل النطاق، وتأكد من اقتران L3Out مع L3 في In-band Management BD.

الشبكة الفرعية لمجال Bridge التي ستعمل كبوابة إدارة داخل النطاق

تحقق من وجود EPG لإدارة العقدة داخل النطاق. كما هو موضح أدناه في لقطة الشاشة، تتم الإشارة إلى أسماء EPG داخل النطاق في واجهة المستخدم الرسومية (GUI) باستخدام البادئة 'inb-'. تحقق من اقتران شبكة VLAN الخاصة ب EPG encap داخل النطاق بشكل صحيح بتجمع شبكات VLAN.

يجب السماح بتضمين شبكة VLAN التي تم تكوينها في مجموعة إدارة EPG داخل النطاق بواسطة سياسات الوصول: 'inb mgmt EPG encap VLAN > تجمع VLAN > المجال > AEP > مجموعة سياسة الواجهة > ملف تعريف الواجهة الطرفية > ملف تعريف المحول'. في حالة عدم تكوين سياسات الوصول الداعمة، سيتم رفع خطأ في الرمز F0467 وفقا للقطة الشاشة أدناه.

Fault F0467 - inb EPG

تحقق من أن مجال الجسر هو نفسه الذي تم إنشاؤه أعلاه للشبكة الفرعية داخل النطاق الترددي. وأخيرا، تحقق من وجود عقد مقدم تم تكوينه على EPG الخاص بالإدارة داخل النطاق، والذي يتم إستهلاكه بواسطة EPG الخارجي.

EPG داخل النطاق

ملف تعريف مثيل EPG الخارجي

وكما هو الحال خارج النطاق، يمكن تعيين عناوين IP الخاصة بإدارة البنية داخل النطاق بشكل ثابت لعقدة البنية أو تخصيصها بشكل ديناميكي من نطاق محدد مسبقا. تحقق من تطابق العناوين المطبقة على النوع داخل النطاق الترددي مع شبكة BD الفرعية السابقة التي تم تكوينها. تحقق أيضا من صحة البوابة الافتراضية.

عناوين إدارة العقد الثابتة

إذا تم تكوين كل شيء بشكل صحيح، ولا توجد أخطاء في أي قسم مذكور أعلاه، فإن الخطوة التالية هي إختبار الاتصال بين المحولات و/أو بطاقات واجهة برمجة التطبيقات (APIC) للتحقق من أن الاتصال داخل النطاق يعمل بشكل صحيح داخل واجهة التحكم في الوصول (ACI).

لن تستجيب عقد العمود الفقري إلى إختبار الاتصال على النطاق الداخلي لأنها تستخدم واجهات الاسترجاع للاتصال التي لا تستجيب إلى ARP.

الواجهة داخل النطاق المستخدمة على المحولات الطرفية هي kpm_inb. باستخدام التقاط tcpdump مماثل، تحقق من أن الحزمة تشغل واجهة وحدة المعالجة المركزية (CPU) داخل النطاق.

fab2-leaf101# tcpdump -n -i kpm_inb dst port 123 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on kpm_inb, link-type EN10MB (Ethernet), capture size 65535 bytes
16:46:50.431647 IP 10.30.30.3.123 > 172.18.108.14.123: NTPv4, Client, length 48
16:47:19.431650 IP 10.30.30.3.123 > 172.18.108.15.123: NTPv4, Client, length 48

دققت أن ال SVI يستعمل ل داخل النطاق 'protocol-up/link-up/admin-up'.

fab1-leaf101# show ip interface vrf mgmt:inb-vrf
IP Interface Status for VRF "mgmt:inb-vrf"
vlan16, Interface status: protocol-up/link-up/admin-up, iod: 4, mode: pervasive
    IP address: 10.30.30.1, IP subnet: 10.30.30.0/24 secondary
    IP address: 10.30.30.3, IP subnet: 10.30.30.0/24
    IP broadcast address: 255.255.255.255
    IP primary address route-preference: 0, tag: 0