تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند خطوات أستكشاف أخطاء إدارة ACI خارج النطاق (OOB) والإدارة داخل النطاق (INB) وإصلاحها.
تم إستخلاص المواد من هذا المستند من فصل الإدارة داخل النطاق وخارج النطاق الذي يتناول أستكشاف أخطاء البنية الأساسية المرتكزة على التطبيقات من Cisco وإصلاحها، الإصدار الثاني على وجه التحديد.
تتضمن عقد البنية الخاصة بواجهة التحكم في الوصول (ACI) خيارين للاتصال بالإدارة؛ خارج النطاق (OOB)، والذي يحكم منفذ الإدارة المادية المخصص على الجزء الخلفي من الجهاز، أو داخل النطاق (INB)، والذي يتم توفيره باستخدام EPG/BD/VRF محدد في مستأجر الإدارة مع درجة من المعلمات القابلة للتكوين. توجد مجموعة بيانات تعريف OOB موجودة في مستأجر الإدارة ('mgmt')، ولكنها موجودة بشكل افتراضي ولا يمكن تعديلها. وهو يسمح فقط بتكوين عقود خارج النطاق (OOB) المتوفرة. على APIC، تتم ملاحظة واجهة OOB في إخراج الأمر "ifconfig" على أنها "oobmgmt" وسيتم تمثيل الواجهة داخل النطاق بواجهة "bond.x"، حيث يتم تكوين شبكة VLAN المحيطة ل EPG داخل النطاق.
apic1# ifconfig oobmgmt oobmgmt: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.4.20 netmask 255.255.255.0 broadcast 192.168.4.255 inet6 fe80::7269:5aff:feca:2986 prefixlen 64 scopeid 0x20 ether 70:69:5a:ca:29:86 txqueuelen 1000 (Ethernet) RX packets 495815 bytes 852703636 (813.2 MiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 432927 bytes 110333594 (105.2 MiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
apic1# ifconfig bond0.300 bond0.300: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1496 inet 10.30.30.254 netmask 255.255.255.0 broadcast 10.30.30.255 inet6 fe80::25d:73ff:fec1:8d9e prefixlen 64 scopeid 0x20 ether 00:5d:73:c1:8d:9e txqueuelen 1000 (Ethernet) RX packets 545 bytes 25298 (24.7 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 6996 bytes 535314 (522.7 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
على الورقة، يتم النظر إلى واجهة OOB على أنها 'eth0' في إخراج الأمر 'ifconfig' ويتم النظر إلى INB على أنها SVI مخصص. يمكن للمستخدم عرض الواجهة باستخدام 'ifconfig' أو باستخدام 'show ip interface vrf mgmt:' حيث يكون الاسم المحدد ل VRF داخل النطاق.
leaf101# show interface mgmt 0 mgmt0 is up admin state is up, Hardware: GigabitEthernet, address: 00fc.baa8.2760 (bia 00fc.baa8.2760) Internet Address is 192.168.4.23/24 MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, medium is broadcast Port mode is routed full-duplex, 1000 Mb/s Beacon is turned off Auto-Negotiation is turned on Input flow-control is off, output flow-control is off Auto-mdix is turned off EtherType is 0x0000 30 seconds input rate 3664 bits/sec, 4 packets/sec 30 seconds output rate 4192 bits/sec, 4 packets/sec Rx 14114 input packets 8580 unicast packets 5058 multicast packets 476 broadcast packets 2494768 bytes Tx 9701 output packets 9686 unicast packets 8 multicast packets 7 broadcast packets 1648081 bytes
leaf101# show ip interface vrf mgmt:inb IP Interface Status for VRF "mgmt:inb-vrf" vlan16, Interface status: protocol-up/link-up/admin-up, iod: 4, mode: pervasive IP address: 10.30.30.1, IP subnet: 10.30.30.0/24 secondary IP address: 10.30.30.3, IP subnet: 10.30.30.0/24 IP broadcast address: 255.255.255.255 IP primary address route-preference: 0, tag: 0
سيقوم 'show ip interface vrf mgmt:'بعرض شبكة IP الفرعية الخاصة بالإدارة داخل النطاق كعنوان IP ثانوي؛ هذا هو الإخراج المتوقع.
في المحولات الأساسية، تتم إضافة عنوان IP الخاص بالإدارة داخل النطاق كواجهة إسترجاع مخصصة في ميزة "الإدارة:" VRF. وبالتالي، يختلف هذا التنفيذ عن تنفيذ IP الخاص بالإدارة داخل النطاق على المحولات الطرفية. لاحظ 'show ip int vrf mgmt:'إخراج الأمر أدناه على محول العمود الرئيسي
spine201# show ip interface vrf mgmt:inb IP Interface Status for VRF "mgmt:inb" lo10, Interface status: protocol-up/link-up/admin-up, iod: 98, mode: pervasive IP address: 10.30.30.12, IP subnet: 10.30.30.12/32 IP broadcast address: 255.255.255.255 IP primary address route-preference: 0, tag: 0
تحت إعدادات النظام، هناك إعداد لتحديد إما تفضيل الاتصال داخل النطاق الترددي أو خارج النطاق الترددي ل APICs.
ستستخدم حركة المرور المرسلة من APIC تفضيل الإدارة المحدد في "تفضيلات اتصال APIC" فقط. لا يزال بإمكان APIC إستقبال حركة مرور البيانات إما داخل النطاق الترددي أو خارج النطاق الترددي، بافتراض تكوين أي منهما. يستخدم APIC منطق إعادة التوجيه التالي:
جدول توجيه APIC مع تحديد OOB. لاحظ القيمة المترية 16 لواجهة الإدارة التي تكون أقل من قياس واجهة إدارة النطاق داخل النطاق الذي يبلغ 32. يعني أنه سيتم إستخدام واجهة الإدارة خارج النطاق لحركة مرور الإدارة الصادرة.
apic1# bash admin@apic1:~> route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.4.1 0.0.0.0 UG 16 0 0 oobmgmt 0.0.0.0 10.30.30.1 0.0.0.0 UG 32 0 0 bond0.300
جدول توجيه APIC مع تحديد داخل النطاق. لاحظ مقياس واجهة الإدارة داخل النطاق Bond0.300 إذا كان 8 والذي هو الآن أقل من قياس واجهة التصميم البالغ 16. يعني أنه سيتم إستخدام واجهة الإدارة داخل النطاق الترددي Bond0.300 لحركة مرور الإدارة الصادرة.
admin@apic1:~> route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10.30.30.1 0.0.0.0 UG 8 0 0 bond0.300 0.0.0.0 192.168.4.1 0.0.0.0 UG 16 0 0 oobmgmt
لا تتأثر تفضيلات إدارة العقدة الأساسية والورق بهذا الإعداد. يتم تحديد تفضيلات الاتصال هذه ضمن نهج البروتوكول. فيما يلي مثال على بروتوكول وقت الشبكة (NTP).
إذا تم تحديد داخل النطاق ضمن تفضيلات اتصال APIC، ولكن بعد ذلك يتم تحديد خارج النطاق بموجب البروتوكول، أي واجهة مع إستخدام حزمة البروتوكول؟
إذا لم يتمكن المستخدم من الوصول إلى شبكة الإدارة، فقد يكون ذلك بسبب عدد من المشاكل المختلفة، ولكن يمكنهم دائما إستخدام نفس المنهجية لعزل المشكلة. من المفترض في هذا السيناريو أن المستخدم لا يستطيع الوصول إلى أي أجهزة في شبكة الإدارة من وراء L3Out الخاصة به.
لا تنس التحقق من الأخطاء في كل قسم من التكوين في واجهة المستخدم الرسومية. ومع ذلك، يمكن أن تظهر بعض أخطاء التكوين في حالات غير متوقعة، ولكن قد يتم إنشاء خطأ في قسم آخر أكثر مما قد يتخذه المستخدم في البداية.
للتكوين خارج النطاق، هناك أربعة مجلدات للتحقق تحت مستأجر خاص يسمى "mgmt":
يمكن تعيين عناوين إدارة العقد بشكل ثابت أو من تجمع. فيما يلي مثال على تعيين العناوين الثابت. تحقق من تعيين عناوين IP خارج النطاق ومن صحة البوابة الافتراضية.
يجب أن يكون EPG خارج النطاق موجودا ضمن مجلد EPG لإدارة العقد.
والعقود التي تحكم الخدمات الإدارية التي يتم توفيرها من فريق الشراكة الاقتصادية خارج النطاق هي عقود خاصة يتم تكوينها في مجلد العقود خارج النطاق.
بعد ذلك، تحقق من إنشاء ملف تعريف مثيل شبكة الإدارة الخارجية ومن تكوين العقد الصحيح خارج النطاق ك "عقد خارج النطاق المستهلك".
العناصر التالية التي يجب التحقق منها هي حالة الواجهة والكابلات، ثم الاتصال بالبوابة.
apic1# ifconfig oobmgmt oobmgmt: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.4.20 netmask 255.255.255.0 broadcast 192.168.4.255 inet6 fe80::7269:5aff:feca:2986 prefixlen 64 scopeid 0x20 ether 70:69:5a:ca:29:86 txqueuelen 1000 (Ethernet) RX packets 295605 bytes 766226440 (730.7 MiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 253310 bytes 38954978 (37.1 MiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
apic1# ping 192.168.4.1 PING 192.168.4.1 (192.168.4.1) 56(84) bytes of data. 64 bytes from 192.168.4.1: icmp_seq=1 ttl=255 time=0.409 ms 64 bytes from 192.168.4.1: icmp_seq=2 ttl=255 time=0.393 ms 64 bytes from 192.168.4.1: icmp_seq=3 ttl=255 time=0.354 ms
باستخدام traceroute في shell bash على APIC، تتبع الاتصال بالمستخدم النهائي. إذا لم يكتمل traceroute، قم بتسجيل الدخول إلى هذا الجهاز (إذا كان يمكن الوصول إليه) وقم باختبار واجهة الإدارة واختبار اتصال المضيف. بناء على الإتجاه الذي يفشل، قم باستكشاف المشكلة وإصلاحها كمشكلة شبكة تقليدية.
يعمل Traceroute عن طريق إرسال حزم UDP باستخدام مدة البقاء (TTL) المتزايدة، بدءا من 1. إذا كان الموجه يتلقى الحزمة مع TTL 1 ويحتاج إلى توجيهها، فإنه يسقط الإطار ويرسل رسالة ICMP الذي يتعذر الوصول إليه إلى المرسل. يتم إرسال كل خطوة بمعدل 3 حزم UDP في مدة البقاء (TTL) الحالية، وتمثل النجوم محاولات لم يتم فيها إستلام حزمة ICMP الذي يتعذر الوصول إليه / TTL التي تم تجاوزها. من المتوقع وجود كتل النجمة الثلاث هذه في معظم الشبكات نظرا لأن بعض أجهزة التوجيه تحتوي على رسائل ICMP الذي يتعذر الوصول إليه / TTL الذي تجاوز الرسائل معطلة، لذلك عند استقبالها حزم TTL 1 التي تحتاج إلى التوجيه، فإنها ببساطة تسقط الحزمة ولا ترسل الرسالة مرة أخرى إلى المرسل.
apic1# bash admin@apic1:~> traceroute 10.55.0.16 traceroute to 10.55.0.16 (10.55.0.16), 30 hops max, 60 byte packets 1 192.168.4.1 (192.168.4.1) 0.368 ms 0.355 ms 0.396 ms 2 * * * 3 * * * 4 10.0.255.221 (10.0.255.221) 6.419 ms 10.0.255.225 (10.0.255.225) 6.447 ms * 5 * * * 6 * * * 7 10.55.0.16 (10.55.0.16) 8.652 ms 8.676 ms 8.694 ms
تصل المحولات الطرفية إلى الأمر tcpdump، والذي يمكن إستخدامه للتحقق من الحزم التي تجتاز واجهة الإدارة. يلتقط المثال التالي على 'eth0'، وهو واجهة التحكم المستخدمة على محولات الورقة والعمود الرئيسي، ويستخدم الخيار '-n' ل tcpdump لإعطاء عناوين IP المستخدمة بدلا من أسماء DNS، ثم التصفية تحديدا لحزم NTP (منفذ UDP 123). تذكر أن الورقة في المثال السابق هي عبارة عن التحقق من خادم NTP 172.18.108.14. أدناه، يمكن للمستخدم التحقق من إرسال حزم NTP عبر الواجهة خارج النطاق الترددي وكذلك من أن الورقة تتلقى إستجابة من الخادم.
fab1-leaf101# tcpdump -n -i eth0 dst port 123 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 16:49:01.431624 IP 192.168.4.23.123 > 172.18.108.14.123: NTPv4, Client, length 48 16:49:01.440303 IP 172.18.108.14.123 > 192.168.4.23.123: NTPv4, Server, length 48
تتطلب تهيئة الإدارة داخل النطاق اعتبارات خاصة لعمليات النشر من الطبقة 2 أو الطبقة 3. يغطي هذا المثال النشر واستكشاف الأخطاء وإصلاحها للطبقة 3 فقط.
تحقق من وجود BD في مستأجر الإدارة مع شبكة فرعية سيتم من خلالها تخصيص عناوين إدارة العقد داخل النطاق لعقد البنية الخاصة بالاتصال داخل النطاق، وتأكد من اقتران L3Out مع L3 في In-band Management BD.
تحقق من وجود EPG لإدارة العقدة داخل النطاق. كما هو موضح أدناه في لقطة الشاشة، تتم الإشارة إلى أسماء EPG داخل النطاق في واجهة المستخدم الرسومية (GUI) باستخدام البادئة 'inb-'. تحقق من اقتران شبكة VLAN الخاصة ب EPG encap داخل النطاق بشكل صحيح بتجمع شبكات VLAN.
يجب السماح بتضمين شبكة VLAN التي تم تكوينها في مجموعة إدارة EPG داخل النطاق بواسطة سياسات الوصول: 'inb mgmt EPG encap VLAN > تجمع VLAN > المجال > AEP > مجموعة سياسة الواجهة > ملف تعريف الواجهة الطرفية > ملف تعريف المحول'. في حالة عدم تكوين سياسات الوصول الداعمة، سيتم رفع خطأ في الرمز F0467 وفقا للقطة الشاشة أدناه.
تحقق من أن مجال الجسر هو نفسه الذي تم إنشاؤه أعلاه للشبكة الفرعية داخل النطاق الترددي. وأخيرا، تحقق من وجود عقد مقدم تم تكوينه على EPG الخاص بالإدارة داخل النطاق، والذي يتم إستهلاكه بواسطة EPG الخارجي.
وكما هو الحال خارج النطاق، يمكن تعيين عناوين IP الخاصة بإدارة البنية داخل النطاق بشكل ثابت لعقدة البنية أو تخصيصها بشكل ديناميكي من نطاق محدد مسبقا. تحقق من تطابق العناوين المطبقة على النوع داخل النطاق الترددي مع شبكة BD الفرعية السابقة التي تم تكوينها. تحقق أيضا من صحة البوابة الافتراضية.
إذا تم تكوين كل شيء بشكل صحيح، ولا توجد أخطاء في أي قسم مذكور أعلاه، فإن الخطوة التالية هي إختبار الاتصال بين المحولات و/أو بطاقات واجهة برمجة التطبيقات (APIC) للتحقق من أن الاتصال داخل النطاق يعمل بشكل صحيح داخل واجهة التحكم في الوصول (ACI).
لن تستجيب عقد العمود الفقري إلى إختبار الاتصال على النطاق الداخلي لأنها تستخدم واجهات الاسترجاع للاتصال التي لا تستجيب إلى ARP.
الواجهة داخل النطاق المستخدمة على المحولات الطرفية هي kpm_inb. باستخدام التقاط tcpdump مماثل، تحقق من أن الحزمة تشغل واجهة وحدة المعالجة المركزية (CPU) داخل النطاق.
fab2-leaf101# tcpdump -n -i kpm_inb dst port 123 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on kpm_inb, link-type EN10MB (Ethernet), capture size 65535 bytes 16:46:50.431647 IP 10.30.30.3.123 > 172.18.108.14.123: NTPv4, Client, length 48 16:47:19.431650 IP 10.30.30.3.123 > 172.18.108.15.123: NTPv4, Client, length 48
دققت أن ال SVI يستعمل ل داخل النطاق 'protocol-up/link-up/admin-up'.
fab1-leaf101# show ip interface vrf mgmt:inb-vrf IP Interface Status for VRF "mgmt:inb-vrf" vlan16, Interface status: protocol-up/link-up/admin-up, iod: 4, mode: pervasive IP address: 10.30.30.1, IP subnet: 10.30.30.0/24 secondary IP address: 10.30.30.3, IP subnet: 10.30.30.0/24 IP broadcast address: 255.255.255.255 IP primary address route-preference: 0, tag: 0
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
05-Aug-2022 |
الإصدار الأولي |