دراسة حالة قائمة التحكم في الوصول (ACI): يتم قطع اتصال المجال المادي من EPG عند إزالة آخر ربط لمنفذ ثابت من واجهة سطر الأوامر (CLI) لنظام التشغيل NXOS

المقدمة

يصف هذا وثيقة التأثير أن يحذف كل ربط أيسر ساكن إستاتيكي من APIC CLI لمفتاح طرفي عندما يكون مجال صحة سمة مكنت على ACI.

المتطلبات الأساسية

الفهم الأساسي لتكوين البنية الأساسية المرتكزة على التطبيقات (ACI) وميزة التحقق من صحة المجال.

يمكن العثور على مزيد من المعلومات حول ميزة التحقق من صحة المجال في قائمة التحكم بالوصول (ACI) على،

https://www.cisco.com/c/en/us/support/docs/software/aci-data-center/221206-understand-aci-enforce-domain-validation.html#:~:text=13%201%2C19-,Enforce%20Domain%20Validation%3A%20Enabled,NOT%20programmed%20on%20the%20interface. 

الإعداد والمخطط

في هذا الإعداد، ستقوم باستخدام طريقتين مختلفتين لبرمجة شبكة VLAN على واجهات المحولات الطرفية المرتكزة على التطبيقات

1. تم تكوين ملف تعريف كيان الوصول القابل الملحق (AEP) المرفق بمجموعة سياسة واجهة المنافذ (IPG) باستخدام تعيين مجموعة نهج النقطة الطرفية (EPG).
2. لا يحتوي AAEP المرفق ب Leaf04 port IPG على أي تخطيط EPG ومع ذلك يتم تنفيذ " ربط المنفذ الثابت" من خلال CLI (واجهة سطر الأوامر) لدفع شبكات VLAN.

ورقتان - 01 و 04 ،

الطراز: N9K-C93180YC-FX

• الإصدار- 16.0(3e)

• سياسة IPG: IPG_1
• AEP1 (يستخدم للورقة 01)
• تم تمكين system-cdp
• دعم النظام لبروتوكول LLDP

• سياسة IPG: IPG_2
• aep_static ( مستخدم ل Leaf04)
• تم تمكين system-cdp
• دعم النظام لبروتوكول LLDP

• محدد واجهة الورق:Leaf_101_interface_profile
• المنفذ 8-9
•  IPG_1

• محدد واجهة الورق:Leaf_104_interface_profile
• المنفذ 8-9
•  IPG_2

• ملف تعريف المحول: leaf_101
• ليف 101
• Leaf_101_interface_profile

• ملف تعريف المحول: leaf_104
• ليف 104
• Leaf_104_interface_profile

• المستأجر: ABC-TN، ملف تعريف التطبيق: abc-ap، EPG: epg-1، bd: bd-1

• المجال المادي: ABC-DOM، تجمع VLAN: ثابت: abc-vlan-pool(150-152)

• تم تعيين نموذج المجال إلى EPG-1

دراسة الحالة

في هذا المختبر أنت ذاهب إلى ملاحظة تأثير حذف روابط المنافذ الثابتة من NXOS® CLI. سيظهر السلوك في هذا المستند لك عندما تقوم بإزالة جميع تعيينات المنافذ الثابتة من NXOS® CLI(CLI فقط)، سيقوم APIC بإزالة المجال الفعلي من EPG. طبقا لتصميم CLI الحالي، تجري عملية تنظيف للمجال المادي إلى اقتران EPG عند إزالة آخر منفذ ثابت. هذا خاص للحفاظ على تكوين أمثل وتجنب شبكات VLAN المتداخلة في سيناريوهات معينة. ولا ينطبق الأمر نفسه على التكوينات التي يتم إجراؤها عبر واجهة المستخدم الرسومية (GUI)/واجهة برمجة التطبيقات (API).

يمكن أن يؤثر هذا السلوك فقط على بنية قائمة التحكم في الوصول (ACI) حيث يتضمن تصميم التكوين نشر كل من مرفقات المنافذ الثابتة و EPG إلى اقتران AEP المختلط تحت نفس EPG، وهو أمر غير شائع.

إن أزلت مجال طبيعي من EPG ومكنت مجال صحة سمة في البناء، APIC يذهب أن يزيل all the VLANs من ال EPG قارن.

تمت معالجة هذه المشكلة بالفعل في معرف تصحيح الأخطاء من Cisco CSCwj74262 تغييرات على السلوك المتوقع الحالي فيما يتعلق بتنظيف التكوين تحت تكوين واجهة سطر الأوامر (CLI)

الخطوات المعنية

الخطوة 1. تأكد من تمكين التحقق من صحة المجال.

apic1# moquery -c infraSetPol | egrep "domainValidation"

domainValidation               : yes

إذا تم تعطيل التحقق من صحة المجال في السيناريو، فلن يظهر أي تأثير على أنه يزيل اقتران المجال الفعلي من EPG ولن يحدث هذا لإزالة شبكة VLAN من واجهات الأوراق.

الخطوة 2. تتم برمجة شبكات VLAN على صفحة 101 بسبب AEP إلى تعيين EPG.

apic1# fabric 101 show vlan encap-id 151

----------------------------------------------------------------

 Node 101 (bgl-aci07-leaf01)

----------------------------------------------------------------




 VLAN Name                             Status    Ports                          

 ---- -------------------------------- --------- -------------------------------

 14   abc-tn:abc-ap:epg-1       active    Eth1/8, Eth1/9




 VLAN Type  Vlan-mode 

 ---- ----- ----------

 14   enet  CE        

الخطوة 3. لم تتم برمجة شبكات VLAN لصفحة 104 نظرا لعدم إجراء تعيين ثابت.

apic1# fabric 104 show vlan encap-id 151

----------------------------------------------------------------

 Node 104 (leaf04)

----------------------------------------------------------------
++ No vlan programmed



 VLAN Name                             Status    Ports                          

 ---- -------------------------------- --------- -------------------------------




 VLAN Type  Vlan-mode 

 ---- ----- ----------

الخطوة الثالثة. تكوين نمط NXOS® على صفحة 104 من واجهة سطر الأوامر (CLI) لواجهة سطر الأوامر

apic1(config)# leaf 104

apic1(config-leaf)# interface eth 1/8-9

apic1(config-leaf-if)# switchport trunk allowed vlan 151 tenant abc-tn application abc-ap epg epg-1 <<== add static path binding

الخطوة 4. تم إنشاء التحقق من الصحة على APIC FVifConn MO

apic1# moquery -c fvIfConn | grep dn | grep abc

dn                 : uni/epp/fv-[uni/tn-abc-tn/ap-abc-ap/epg-epg-1]/node-101/attEntitypathatt-[abc-aaep]/conndef/conn-[vlan-151]-[0.0.0.0] <<<=== MO created due to EPG to AAEP Mapping

dn                 : uni/epp/fv-[uni/tn-abc-tn/ap-abc-ap/epg-epg-1]/node-104/stpathatt-[eth1/8]/conndef/conn-[vlan-151]-[0.0.0.0] <<<==== MO created due to static port binding in step 3

dn                 : uni/epp/fv-[uni/tn-abc-tn/ap-abc-ap/epg-epg-1]/node-104/stpathatt-[eth1/9]/conndef/conn-[vlan-151]-[0.0.0.0]

الخطوة 5. التكوين المحذوف من العقدة 104

apic1(config-leaf)# interface eth 1/8-9

apic1(config-leaf-if)# no switchport trunk allowed vlan 151 tenant abc-tn application abc-ap epg epg-1 <<== Delete static path binding

apic1(config-leaf-if)#

الخطوة 6. تمت إزالة المجال بسبب برنامج نصي للتنظيف تم تشغيله في الطرف الخلفي عند إزالة التكوين من خلال CLI (واجهة سطر الأوامر).

الخطوة 7. تمت إزالة برمجة شبكة VLAN بسبب فرض ميزة التحقق من الصحة (نظرا لأن المجال غير مقترن ب EPG، لن تتم برمجة شبكات VLAN)

apic1# fabric 101 show vlan encap-id 151

----------------------------------------------------------------

 Node 101 (leaf01)

----------------------------------------------------------------




 VLAN Name                             Status    Ports                          

 ---- -------------------------------- --------- -------------------------------

++ vlan got removed


 VLAN Type  Vlan-mode 

 ---- ----- ----------