تكوين قائمة إستثناءات الأحرف/الأحرف في ACI
المقدمة
يوضح هذا المستند حول ميزة قائمة إستثناءات البرامج/المخادعة في وحدة التحكم في الوصول (ACI) (البنية الأساسية المرتكزة على التطبيقات) ويغطي التكوين والتحقق.
لماذا قائمة الاستثناءات؟
تعمل ميزة "التحكم في نقطة الوصول (EP) المخادعة في واجهة سطر الأوامر (ACI) على تقليل تأثير حلقات التكرار المؤقتة من خلال عزل نقاط النهاية داخل مجال الجسر المحدد حيث تحدث هذه الحلقات. ومع ذلك، يمكن أن تتسبب هذه الميزة في بعض الأحيان في تشويش غير ضروري. على سبيل المثال، أثناء تجاوز فشل جدار الحماية، يمكن لجدران الحماية إرسال حركة مرور البيانات مؤقتا باستخدام عنوان MAC (التحكم في الوصول إلى الوسائط) نفسه، مما يؤدي إلى حدوث خلل حتى يتم تجميع الشبكة. قبل 5.2(3) إذا اكتشفت واجهة التحكم في الوصول (ACI) حركة 4 EP (نقطة النهاية) في 60 ثانية، فإنها تصبح بعد ذلك ثابتة ولا يسمح لها بالتنقل خلال 30 دقيقة التالية. 4 حركات في 60 ثانية ممكن أن تكون واقعية في بعض الإنتشار. يعد وقت الانتظار الذي يبلغ 30 دقيقة عدوانيا للسيناريوهات التي يتوقع فيها حدوث عمليات نقل EP.
الحل
لمعالجة هذه المشكلة، من الممكن تكوين قائمة إستثناءات مراوغة/COOP." мас في قائمة الاستثناءات، ثم تستخدم معايير حد أعلى لاكتشاف المخادع. MAC الذي تم تكوينه في قائمة الاستثناءات تم تحويله إلى ملف مخادع بعد 3000 حركة في فاصل زمني 10 دقائق.ма сعنوان في قائمة الاستثناءات يستخدم عتبة إلغاء إلغاء COOP (بروتوكول مجلس أوراكل) أعلى لتجنب التعتيم في COOP. يمكنك إضافة ما يصل إلى 100 عنوان MAC في قائمة الاستثناءات.
المتطلبات الأساسية
- تتوفر هذه الميزة من الإصدار الذي يبدأ من 5.2(3)
- يمكن إستخدام هذا الخيار فقط إذا كان BD (مجال الجسر) هو L2 BD (كما لو لم يتم تكوين BD لتوجيه IP)
- يجب تمكين ميزة مخادعة لعمل سلوك قائمة الاستثناءات المخادعة.
تكوين قائمة إستثناءات المعالجات المتوافقة/الشائعة
يمكن إستخدام هذه الميزة في مجالات الجسر من الطبقة 2 (L2 BD) لمنع وضع علامة على عناوين MAC معينة ككلمات دخيلة بسبب الحركات الشرعية.
التكوين باستخدام واجهة المستخدم الرسومية (GUI) الخاصة ب APIC (وحدة التحكم في البنية الأساسية لسياسة التطبيق)
لتكوين:
الخطوة 1. سجل الدخول إلى واجهة المستخدم الرسومية (GUI) لواجهة برمجة التطبيقات (APIC) من Cisco.
الخطوة 2. انتقل إلى المستأجر > الشبكة > مجالات الجسر > BD > السياسة > علامة التبويب متقدم/أستكشاف الأخطاء وإصلاحها
في هذه الصفحة يمكنك إضافة عناوين MAC في قائمة الاستثناءات.
الخطوة 3. حدد + رمز لإضافة عنوان MAC في قائمة إستثناءات COOP/Gue.
الخطوة 4. إضافة عنوان MAC وتحديثه.
التحقق
لتوضيح هذه الميزة، هناك نقطة نهاية مع عنوان MAC 10:B3:D5:14:14:29 متصلة بنسيج قائمة التحكم في الوصول (ACI) الخاص بنا داخل إستثناء المستأجر واستثناء Bridge Domain (BD) BD-Exception.
بعد إضافة عنوان MAC إلى قائمة الاستثناءات في قسم "تكوين قائمة إستثناءات البروتوكول/البروتوكول" في هذا المستند، يمكن التحقق من التكوين باستخدام استعلام الكائن المدار (MO): moquery -c fvRogueExceptionMac
واجهة سطر الأوامر ل APIC:
bgl-aci04-apic1# moquery -c fvRogueExceptionMac
Total Objects shown: 1
# fv.RogueExceptionMac
mac : 10:B3:D5:14:14:29
annotation :
childAction :
descr :
dn : uni/tn-Exception/BD-Exception_BD/rgexpmac-10:B3:D5:14:14:29
extMngdBy :
lcOwn : local
modTs : 2024-07-17T04:57:04.923+00:00
name :
nameAlias :
rn : rgexpmac-10:B3:D5:14:14:29
status :
uid : 16222
userdom : :all:
bgl-aci04-apic1#
واجهة سطر الأوامر (CLI) للورقة:
يوفر هذا الاستعلام وحدات التوقيت المطبقة على قائمة الاستثناءات الدخيلة.
bgl-aci04-leaf1# moquery -c "topoctrlRogueExpP"
Total Objects shown: 1
# topoctrl.RogueExpP
childAction :
descr :
dn : sys/topoctrl/rogueexpp
lcOwn : local
modTs : 2024-07-13T15:51:57.921+00:00
name :
nameAlias :
rn : rogueexpp
rogueExpEpDetectIntvl : 600 <<< Detection Interval in second
rogueExpEpDetectMult : 3000 <<< Detection Multiple (No of moves)
rogueExpEpHoldIntvl : 30 <<< Hold Interval in second
status :
باستخدام Moquery، يمكنك التحقق من إضافة أي MAC معين في قائمة الاستثناءات.
bgl-aci04-leaf1# moquery -c "l2RogueExpMac" -f 'l2.RogueExpMac.mac=="10:B3:D5:14:14:29"'
Total Objects shown: 1
# l2.RogueExpMac
mac : 10:B3:D5:14:14:29
childAction :
dn : sys/ctx-[vxlan-2293760]/bd-[vxlan-15957970]/rogueexpmac-10:B3:D5:14:14:29
lcOwn : local
modTs : 2024-07-17T04:57:04.939+00:00
name :
operSt : up
rn : rogueexpmac-10:B3:D5:14:14:29
status :
bgl-aci04-leaf1#
لتأكيد معلمات قائمة الاستثناءات من واجهة سطر الأوامر (CLI) الطرفية:
module-1# show system internal epmc global-info | grep "Rogue Exception List"
Rogue Exception List Endpoint Detection Interval : 600
Rogue Exception List Endpoint Detection Multiple : 3000
Rogue Exception List Endpoint Hold Interval : 30
module-1#
module-1#
module-1#
للتحقق من نقطة النهاية في EPMC والتحقق من عدد مرات النقل كذلك لنقطة النهاية تلك.
واجهة سطر الأوامر (CLI) للورقة:
module-1# show system internal epmc endpoint mac 10:B3:D5:14:14:29
MAC : 10b3.d514.1429 ::: Num IPs : 0
Vlan id : 9 ::: Vlan vnid : 8193 ::: BD vnid : 15957970
Encap vlan : 802.1Q/101
VRF name : Exception:Exception_vrf ::: VRF vnid : 2293760
phy if : 0x1a015000 ::: tunnel if : 0 ::: Interface : Ethernet1/22
Ref count : 5 ::: sclass : 16386
Timestamp : 07/17/2024 05:20:20.523019
::: last mv ts: 07/17/2024 05:19:17.424213 ::: ep move cnt: 9 <<<< Shows how many times endpoint moved
::: Learns Src: Hal
EP Flags : local|MAC|sclass|timer|
Aging: Timer-type : HT ::: Timeout-left : 784 ::: Hit-bit : Yes ::: Timer-reset count : 0
PD handles:
[L2]: Hdl : 0x18c1e ::: Hit: Yes
::::
module-1#
للتحقق من تكوين قائمة الاستثناءات:
واجهة سطر الأوامر (CLI) للورقة:
module-1# show system internal epmc rogue-exp-ep
BD: 15957970 MAC:10b3.d514.1429
[01/01/1970 00:00:00.000000] : 0 Moves in 60 sec
module-1#
يمكنك التحقق من حركات نقاط النهاية في واجهة المستخدم الرسومية (GUI) لواجهة المستخدم الرسومية (APIC) في العمليات > متتبع EP، ابحث في عنوان MAC هنا.
كما لا يزال هناك حركات لعنوان MAC هذا ولكن الآن لا توجد علامة مخادعة لنقطة النهاية هذه.
يمكن التحقق من هذا الإجراء باستخدام الأوامر.
واجهة سطر الأوامر (CLI) للورقة:
للتحقق مما إذا تمت إضافة علامة مخادعة إلى نقطة النهاية التي تم التعرف عليها في EPM الطرفية (مدير نقطة النهاية)
bgl-aci04-leaf1# show system internal epm endpoint mac 10:B3:D5:14:14:29
MAC : 10b3.d514.1429 ::: Num IPs : 0
Vlan id : 9 ::: Vlan vnid : 8193 ::: VRF name : Exception:Exception_vrf
BD vnid : 15957970 ::: VRF vnid : 2293760
Phy If : 0x1a015000 ::: Tunnel If : 0
Interface : Ethernet1/22
Flags : 0x80004804 ::: sclass : 16386 ::: Ref count : 4
EP Create Timestamp : 07/17/2024 05:19:10.424033
EP Update Timestamp : 07/17/2024 05:22:03.674624
EP Flags : local|MAC|sclass|timer| <<<< Once if endpoint is rogue a Rogue flag is added here.
::::
bgl-aci04-leaf1#
واجهة سطر الأوامر ل APIC:
للتحقق من ظهور أي خطأ لنقطة النهاية الدخيلة.
bgl-aci04-apic1# moquery -c faultInst -f 'fault.Inst.code=="F3014"'
No Mos found
bgl-aci04-apic1#
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
23-Jul-2024
|
الإصدار الأولي |
التعليقات