تكوين L1 PBR نشط/نشط والتحقق من صحته في قائمة التحكم في الوصول (ACI)
المحتويات
المقدمة
يوضح هذا المستند كيفية تكوين الرسم البياني النشط/النشط L1 Service Graph في "البنية الأساسية المرتكزة على التطبيقات" (ACI) والتحقق منه.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- فهم كيفية عمل الرسم البياني للخدمة من الطبقة الثالثة في واجهة برمجة التطبيقات (ACI)
- فهم كيفية تكوين مجموعة سياسة نقطة النهاية ونطاقات الجسر والعقد في واجهة التحكم في الوصول (ACI)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- APIC الإصدار: 5.3(2a)
- الوحدة الطرفية H/W: N9K-C93180YC-FX و N9K-C93180YC-EX
- ورقة S/W: n9000-15.3(2a)
- عقدة الورق 101 و 102 و 103 و 104
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر
المخطط
لا يتم عرض تكوين EPG1 و EPG2 في هذا المستند، ويجب تكوينه قبل تعلم اليد ونقطة النهاية.
1. التحقق من نقطة نهاية EPG1 192.168.132.100 التي تم التعرف عليها (العقدة 101).
2. التحقق من صحة EPG2 يحتوي على نقطة نهاية 192.168.132.200 تم التعرف عليها (العقدة 104).
لماذا يجب إستخدام رسم الخدمة L1 في ACI؟
في قائمة التحكم في الوصول (ACI) من Cisco، يمكنك إدراج جهاز خدمة L4-L7 باسم L3/L2/L1. الطبقة 3 تعني أن الجهاز الخارجي قادر على توفير قرار التوجيه لإعادة توجيه حركة المرور بينما تعني الطبقة 2 حركة المرور التي سيتم إعادة توجيهها فقط على أساس عنوان MAC. في قائمة التحكم في الوصول (ACI) يمكنك إدراج جهاز من المستوى الثاني مثل نظام منع التسلل (IPS)/جدار حماية شفاف. والآن فكر في سيناريو حيث يكون الجهاز الذي ستقوم بإعادة توجيه حركة المرور عليه غير قادر على إتخاذ أي قرار إعادة توجيه، لذلك، في هذه الحالات، يمكنك نشر التوجيه المستند إلى سياسة (PBR) من المستوى 1.
تتم إعادة توجيه حركة المرور نفسها لحالات L3 و L2 PBR، والاختلاف الوحيد في حالة إعادة توجيه حركة مرور بيانات L3 PBR إلى عنوان IP حيث يتم إعادة توجيه حركة مرور بيانات L1/L2 PBR إلى عنوان MAC. يتم ربط عناوين MAC هذه بشكل ثابت بواجهة طرفية لغرض إعادة التوجيه. سترون المزيد في هذا يذهب أبعد من ذلك.
لمزيد من المعلومات حول حالات إستخدام PBR من المستوى 1/L2 النشط/النشط أو النشط/Active، راجع الارتباط؛ التقرير الرسمي ل PBR.
حول جهاز L1
في نموذج النشر هذا، لا يتم إجراء ترجمة لشبكة VLAN على جهاز الخدمة، وتعمل كلا واجهات الشبكة على شبكة VLAN نفسها. يعرف هذا النهج عادة باسم الوضع المضمن أو الوضع السلكي ويتم إستخدامه بشكل نموذجي لجدران الحماية وأنظمة منع التسلل (IPS). ويكون مثاليا عندما يتوقع أن يؤدي جهاز الخدمة وظائف أمان دون المشاركة في إعادة توجيه الطبقة 2 أو الطبقة 3.
نشط/نشط L1 PBR
بدءا من الإصدار 5.0 من واجهة التحكم في الوصول (ACI) وما بعده، يتم دعم نشر الرسم البياني للخدمة مع أجهزة L4-L7 في الوضع النشط/النشط. ويتم تحقيق ذلك من خلال تعيين تضمين فريد لكل واجهة جهاز من المستوى الرابع إلى المستوى السابع (واجهة ملموسة) وزيادة التكوين التلقائي ل ACI من "تدفق في التضمين" على EPG للخدمة المخفية. يتم إنشاء EPG للخدمة المخفية بواسطة واجهة التحكم في الوصول (ACI) لإقران واجهة جهاز L4-L7 بمجال جسر الخدمة.
لا يحتاج المسؤولون إلى تكوين EPG للخدمة المخفية يدويا، حيث إن ACI تقوم تلقائيا بتمكين "تدفق في التضمين" أثناء عملية عرض الرسم البياني للخدمة.
بالنسبة لعمليات النشر L1 PBR Active-Active، يجب تكوين النطاق المحلي للمنفذ. وهذا يتطلب وضع واجهات قطاع المستهلك والمزود (الموصلات) لجهاز L4-L7 في مجالات فعلية منفصلة، كل مع تجمع VLAN الخاص به، مع الحفاظ على نفس نطاق VLAN عبر كلا النوعين.
المرجع: تقرير PBR.
تكوين الرسم البياني لخدمة L1
يجب تمكين توجيه البث الأحادي، ويجب تعيين البث الأحادي غير المعروف من المستوى 2 على وكيل الأجهزة ولا يلزم وجود شبكة فرعية لمجالات الاتصال وجسر التوجيه.
الخطوة 1. قم بتكوين مجال جسر المستهلك المسمى باسم cons_bd1.
الخطوة 2. قم بتكوين مجال جسر الموفر المسمى باسم prov-bd1.
الخطوة 3. تكوين سياسة إتفاقية مستوى خدمة IP (SLA) باستخدام نوع SLA L2Ping.
انتقل إلى مستأجر > سياسات > بروتوكول > IP SLA > سياسات مراقبة IP SLA، ثم انقر بزر الماوس الأيمن فوق إنشاء سياسة.
الخطوة 4. قم بتكوين جهاز L4/L7.
انتقل إلى المستأجر > الخدمات > الأجهزة، ثم انقر بزر الماوس الأيمن فوق جهاز L4-L7 وقم بإنشائه.
ملاحظة: بالنسبة لجهاز L1، يجب أن تكون كل واجهة نظام مجموعة في مجالات مادية مختلفة لنطاق المنفذ المحلي.
الخطوة 5. قم بتكوين إعادة توجيه قائمة على سياسة المستوى 4-L7 للواجهة الداخلية والخارجية.
انتقل إلى مستأجر > سياسات > بروتوكول > إعادة توجيه قائمة على سياسة L4-L7، ثم انقر بزر الماوس الأيمن فوق إنشاء سياسة.
++ اسم النهج موجود بالداخل
++ لدينا وجهان L1، واحد لكل جهاز L1
++ اسم النهج خارجي
++ لدينا وجهان L1، واحد لكل جهاز L1
ملاحظة: يجب أن يكون إجراء الحد الأدنى مماثلا لكل من نهج إعادة توجيه المستوى 4-L7.
الخطوة 6. تكوين قالب الرسم البياني للخدمة.
انتقل إلى مستأجر > خدمات > قالب الرسم البياني للخدمة، ثم انقر بزر الماوس الأيمن فوق قالب الرسم البياني للخدمة L4-L7 وأنشئ.
الخطوة 7. إنشاء عقد.
انتقل إلى مستأجر > عقد > قياسي، ثم انقر بزر الماوس الأيمن فوق إنشاء عقد.
الخطوة 8. تطبيق العقد كمستهلك ومزود على EPG1 و EPG2 على التوالي.
الخطوة 9. تطبيق قالب الرسم البياني للخدمة من المستوى 4 إلى المستوى 7.
انتقل إلى المستأجر > الخدمات > قالب الرسم البياني للخدمة، ثم انقر بزر الماوس الأيمن فوق PBR1 وقم بتطبيق قالب الرسم البياني للخدمة من المستوى الرابع إلى المستوى السابع.
++ إضافة EPG للمستهلك والمزود
++ تحديد العقد
++ انقر فوق التالي
++ تحديد تفاصيل موصل المستهلك
++ تحديد تفاصيل موصل الموفر
++ انقر فوق إنهاء
التحقق من الرسم البياني للخدمة من المستوى الأول على واجهة المستخدم الرسومية (GUI) لواجهة برمجة التطبيقات (APIC)
الخطوة 1. تحقق من سياسة تحديد الجهاز التي تم إنشاؤها بعد تطبيق قالب الرسم البياني للخدمة.
++ التحقق من صحة موصل المستهلك
++ تكوين موصل الموفر
الخطوة 2. تحقق من مثيلات الرسم البياني الذي تم نشره، حيث سترى مثيلا، يجب أن يكون في حالة تطبيق.
++ التحقق من واجهات الأجهزة وموصلات التيار حيث سترى PCTAG المقترنة ب EPG للخدمة
التحقق من الرسم البياني للخدمة من المستوى الأول على واجهة سطر أوامر APIC
الخطوة 1. تحقق مما إذا كان الرسم البياني للخدمة مطبقا على عقدة المستهلك والمزود مع حالة مجموعة الحماية.
apic01# fabric 101,104 show service redir info
----------------------------------------------------------------
Node 101
----------------------------------------------------------------
=======================================================================================================================================
LEGEND
TL: Threshold(Low) | TH: Threshold(High) | HP: HashProfile | HG: HealthGrp | BAC: Backup-Dest | TRA: Tracking | RES: Resiliency
=======================================================================================================================================
List of Dest Groups
GrpID Name destination HG-name BAC operSt operStQual TL TH HP TRAC RES
===== ==== =========== ============== === ======= ============ === === === === ===
10 destgrp-10 dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369] l1_pbr_tenant::HG2 N enabled no-oper-grp 51 100 sym yes no
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369] l1_pbr_tenant::HG1 N
2 destgrp-2 dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369] l1_pbr_tenant::HG1 N enabled no-oper-grp 51 100 sym yes no
dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369] l1_pbr_tenant::HG2 N
List of destinations
Name bdVnid vMac vrf operSt operStQual HG-name
==== ====== ==== ==== ===== ========= =======
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369] vxlan-16252846 10:B3:D5:14:99:99 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG1
dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369] vxlan-16252846 10:B3:D5:14:77:77 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG2
dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369] vxlan-15794150 10:B3:D5:14:66:66 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG1
dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369] vxlan-15794150 10:B3:D5:14:77:77 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG2
List of Health Groups
HG-Name HG-OperSt HG-Dest HG-Dest-OperSt
======= ========= ======= ==============
l1_pbr_tenant::HG1 enabled dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369]] up
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369]] up
l1_pbr_tenant::HG2 enabled dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369]] up
dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369]] up
----------------------------------------------------------------
Node 104
----------------------------------------------------------------
=======================================================================================================================================
LEGEND
TL: Threshold(Low) | TH: Threshold(High) | HP: HashProfile | HG: HealthGrp | BAC: Backup-Dest | TRA: Tracking | RES: Resiliency
=======================================================================================================================================
List of Dest Groups
GrpID Name destination HG-name BAC operSt operStQual TL TH HP TRAC RES
===== ==== =========== ============== === ======= ============ === === === === ===
3 destgrp-3 dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369] l1_pbr_tenant::HG2 N enabled no-oper-grp 51 100 sym yes no
dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369] l1_pbr_tenant::HG1 N
4 destgrp-4 dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369] l1_pbr_tenant::HG2 N enabled no-oper-grp 51 100 sym yes no
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369] l1_pbr_tenant::HG1 N
List of destinations
Name bdVnid vMac vrf operSt operStQual HG-name
==== ====== ==== ==== ===== ========= =======
dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369] vxlan-15794150 10:B3:D5:14:66:66 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG1
dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369] vxlan-15794150 10:B3:D5:14:77:77 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG2
dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369] vxlan-16252846 10:B3:D5:14:77:77 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG2
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369] vxlan-16252846 10:B3:D5:14:99:99 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG1
List of Health Groups
HG-Name HG-OperSt HG-Dest HG-Dest-OperSt
======= ========= ======= ==============
l1_pbr_tenant::HG1 enabled dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369]] up
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369]] up
l1_pbr_tenant::HG2 enabled dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369]] up
dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369]] up
الخطوة 2. تحقق مما إذا كان قد تم إنشاء ربط MAC الثابت على عقد الخدمة (102 و 103).
apic01# fabric 102-103 show endpoint vrf l1_pbr_tenant:l1_pbr_vrf
----------------------------------------------------------------
Node 102
----------------------------------------------------------------
Legend:
S - static s - arp L - local O - peer-attached
V - vpc-attached a - local-aged p - peer-aged M - span
B - bounce H - vtep R - peer-attached-rl D - bounce-to-proxy
E - shared-service m - svc-mgr
+-----------------------------------+---------------+-----------------+--------------+-------------+
VLAN/ Encap MAC Address MAC Info/ Interface
Domain VLAN IP Address IP Info
+-----------------------------------+---------------+-----------------+--------------+-------------+
23/l1_pbr_tenant:l1_pbr_vrf vlan-1310 10b3.d514.7777 LS eth1/6
24/l1_pbr_tenant:l1_pbr_vrf vlan-1301 10b3.d514.9999 LS eth1/5
----------------------------------------------------------------
Node 103
----------------------------------------------------------------
Legend:
S - static s - arp L - local O - peer-attached
V - vpc-attached a - local-aged p - peer-aged M - span
B - bounce H - vtep R - peer-attached-rl D - bounce-to-proxy
E - shared-service m - svc-mgr
+-----------------------------------+---------------+-----------------+--------------+-------------+
VLAN/ Encap MAC Address MAC Info/ Interface
Domain VLAN IP Address IP Info
+-----------------------------------+---------------+-----------------+--------------+-------------+
40/l1_pbr_tenant:l1_pbr_vrf vlan-1310 10b3.d514.7777 LS eth1/6
1/l1_pbr_tenant:l1_pbr_vrf vlan-1301 10b3.d514.6666 LS eth1/5
التحقق من صحة حركة المرور
1. يتم إنشاء حزم إختبار اتصال ICMP رقم 2000 من EP1 إلى EP2 التي سيتم إعادة توجيهها إلى جهاز L1.
switch1# ping 192.168.132.200 vrf l1_pbr1 count 2000 >>>>> sending 2000 packets
64 bytes from 192.168.132.200: icmp_seq=464 ttl=251 time=0.859 ms
64 bytes from 192.168.132.200: icmp_seq=465 ttl=251 time=0.872 ms
64 bytes from 192.168.132.200: icmp_seq=466 ttl=251 time=0.844 ms
64 bytes from 192.168.132.200: icmp_seq=467 ttl=251 time=0.821 ms
64 bytes from 192.168.132.200: icmp_seq=468 ttl=251 time=0.814 ms
64 bytes from 192.168.132.200: icmp_seq=469 ttl=251 time=0.846 ms
64 bytes from 192.168.132.200: icmp_seq=470 ttl=251 time=0.863 ms
64 bytes from 192.168.132.200: icmp_seq=471 ttl=251 time=0.819 ms
64 bytes from 192.168.132.200: icmp_seq=472 ttl=251 time=0.802 ms
64 bytes from 192.168.132.200: icmp_seq=473 ttl=251 time=0.851 ms
64 bytes from 192.168.132.200: icmp_seq=474 ttl=251 time=0.815 ms
2. التحقق من صحة عدادات الواجهات على العقدة 102 و 103 المتصلة بجهاز L1.
apic01# fabric 102-103 show interface ethernet 1/5-6 | grep "Node\|Ethernet\|RX\|packets\|TX"
Node 102
Ethernet1/5 is up
Hardware: 100/1000/10000/25000/auto Ethernet, address: 10b3.d5c5.8f25 (bia 10b3.d5c5.8f25)
30 seconds input rate 0 bits/sec, 0 packets/sec
30 seconds output rate 64 bits/sec, 0 packets/sec
RX
2008 unicast packets 2 multicast packets 0 broadcast packets >>>>>2000 packets recieved from L1 device
2010 input packets 213180 bytes
0 jumbo packets 0 storm suppression bytes
TX
2009 unicast packets 1 multicast packets 0 broadcast packets >>>>> 2000 packets transmitted towards L1 device
2010 output packets 213003 bytes
0 jumbo packets
Ethernet1/6 is up
Hardware: 100/1000/10000/25000/auto Ethernet, address: 10b3.d5c5.8f26 (bia 10b3.d5c5.8f26)
30 seconds input rate 0 bits/sec, 0 packets/sec
30 seconds output rate 64 bits/sec, 0 packets/sec
RX
9 unicast packets 2 multicast packets 0 broadcast packets
11 input packets 1286 bytes
0 jumbo packets 0 storm suppression bytes
TX
9 unicast packets 1 multicast packets 0 broadcast packets
10 output packets 1003 bytes
0 jumbo packets
Node 103
Ethernet1/5 is up
Hardware: 100/1000/10000/25000/auto Ethernet, address: a453.0e75.9a85 (bia a453.0e75.9a85)
30 seconds input rate 0 bits/sec, 0 packets/sec
30 seconds output rate 64 bits/sec, 0 packets/sec
RX
2009 unicast packets 1 multicast packets 0 broadcast packets >>>>> 2000 packets recieved from L1 device
2010 input packets 213003 bytes
0 jumbo packets 0 storm suppression bytes
TX
2008 unicast packets 1 multicast packets 0 broadcast packets >>> 2000 packets transmitted towards L1 device
2009 output packets 212897 bytes
0 jumbo packets
Ethernet1/6 is up
Hardware: 100/1000/10000/25000/auto Ethernet, address: a453.0e75.9a86 (bia a453.0e75.9a86)
30 seconds input rate 0 bits/sec, 0 packets/sec
30 seconds output rate 64 bits/sec, 0 packets/sec
RX
9 unicast packets 1 multicast packets 0 broadcast packets
10 input packets 1003 bytes
0 jumbo packets 0 storm suppression bytes
TX
9 unicast packets 1 multicast packets 0 broadcast packets
10 output packets 1003 bytes
0 jumbo packets
ملاحظة: تم مسح عدادات الواجهة على العقدة 102 و 103 قبل إختبار حركة المرور.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
25-Mar-2025
|
الإصدار الأولي |
التعليقات