تكوين تكوين الرسم البياني للخدمة للطبقة 2 باستخدام ASAv والتحقق منه

خيارات التنزيل

  • PDF     (1.8 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.7 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٧ أبريل ٢٠٢٥
معرّف المستند:222934

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند كيفية تكوين تكوين رسم بياني الطبقة 2 للخدمة والتحقق من صحته في Cisco Application Centric Infrastructure (ACI).

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • فهم كيفية عمل الرسم البياني للخدمة من الطبقة الثالثة في واجهة برمجة التطبيقات (ACI)
    • فهم كيفية تكوين مجموعة سياسة نقطة النهاية ونطاقات الجسر والعقد في واجهة التحكم في الوصول (ACI)
    • فهم كيفية تكوين ASAv (تطبيق الأمان القابل للتكيف الظاهري) كجدار حماية شفاف

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • إصدار APIC: 6.0 (3g)
    • الوحدة الطرفية H/W: N9K-C93180YC-FX
    • الوحدة الطرفية S/W: n9000-16.0 (3g)
    • عقدة الورق 101 و 102 و 103 
    • نشر ASAv على خادم ESXi

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    المخطط

    Topologyالمخطط

    لا يتم عرض تكوين EPG1 و EPG2 في هذا المستند، ويجب تكوينه قبل تعلم اليد ونقطة النهاية.

    1. التحقق من صحة نقطة نهاية EPG1 الفعلية x.1.1.10 التي تم التعرف عليها (العقدة 101).

    Client Endpointsنقاط نهاية العميل

    2. يتم إستهلاك EPG1 للعقد ABC.

    Consumed Contractالعقد المستهلك

    3. التحقق من صحة EPG2 يحتوي على نقطة نهاية X.1.2.15تم التعلم (العقدة 104).

    Client Endpointنقطة نهاية العميل

    4. يتم توفير ABC للعقد بواسطة EPG2.

    Provided Contractالعقد المقدم

    لماذا يلزم إستخدام الرسم البياني للخدمة من المستوى الثاني في واجهة التحكم في الوصول (ACI)؟

    • في Cisco ACI، يمكن إدراج أجهزة خدمة L4-L7 في الطبقة 3 (L3)، الطبقة 2 (L2)، أو الطبقة 1 (L1).

    • إدخال الخدمة من المستوى الثالث: يقوم الجهاز الخارجي (على سبيل المثال، جدار الحماية ونظام منع التسلل (IPS) باتخاذ قرارات التوجيه وإعادة توجيه حركة مرور البيانات استنادا إلى عناوين IP.

    • إدخال الخدمة من المستوى الثاني: تتم إعادة توجيه حركة المرور استنادا إلى عناوين MAC دون مشاركة توجيه. ويكون هذا مفيدا لجدران الحماية الشفافة أو أجهزة IPS.

    • يتم إستخدام التوجيه المستند إلى سياسة (PBR) من المستوى الثاني عند إدخال جهاز خدمة من المستوى الثاني، مثل بروتوكول IPS أو جدار حماية شفاف في قائمة التحكم في الوصول (ACI).

    • تظل آلية إعادة توجيه حركة المرور هي نفسها لكل من L3 و L2 PBR.

    • الفارق الرئيسي:

      • L3 PBR: تتم إعادة توجيه حركة المرور إلى عنوان IP (يشارك الجهاز في التوجيه).

      • L2 PBR: تتم إعادة توجيه حركة المرور إلى عنوان MAC (يعمل الجهاز في الطبقة 2).

    • في L2 PBR، يتم ربط عناوين MAC بشكل ثابت بالواجهات الطرفية لضمان إعادة توجيه حركة المرور المناسبة.

    لمزيد من المعلومات حول حالات إستخدام PBR من المستوى الأول/النشط أو النشط/النشط L1/L2، راجع التقرير الرسمي ل PBR.

    تكوين الرسم البياني لخدمة L2

    خطوة 1. يشكل مستهلك bd يعين ك con-bd1.

    يجب تمكين توجيه البث الأحادي، يجب تعيين البث الأحادي غير المعروف من المستوى 2 على وكيل الأجهزة ولا يلزم وجود شبكة فرعية لمجالات con و prov Bridge (BDs).

    Cons BD Configurationتكوين CONS BD

    Cons BD Configuration 2التكوين 2 ل Cons BD

    الخطوة 2. قم بتكوين الموفر المسمى ك prov-bd1.

    Prov BD Configurationتكوين Prov BD

    Prov BD Configuration 2التكوين 2 ل PROV BD

    الخطوة 3. تكوين سياسة إتفاقية مستوى خدمة IP (SLA) باستخدام نوع SLA L2Ping.

    انتقل إلى المستأجر > سياسات > بروتوكول > IP SLA > سياسات مراقبة IP SLA، ثم انقر بزر الماوس الأيمن فوق إنشاء سياسة.

    IP SLA Policyسياسة IP SLA

    الخطوة 4. تكوين جهاز L4/L7.

    انتقل إلى المستأجر > الخدمات > الأجهزة، ثم انقر بزر الماوس الأيمن فوق جهاز L4-L7 وقم بإنشائه.

    L4-L7 Deviceجهاز L4-L7

    الخطوة 5. التحقق من نظرة عامة على إعادة التوجيه المستندة إلى السياسة (يمكنك التحقق من هذا بعد تكوين 5a و 5b).

    L4-L7 Redirect Policyسياسة إعادة توجيه المستوى 4-L7

    الخطوة 5.1. تكوين سياسة إعادة التوجيه المستندة إلى سياسة L4-L7 لأجهزة الأمان المعدلة (ASA) داخل الواجهة (لا حاجة إلى تحديد MAC أو IP، يتم ملؤها بواسطة APIC نفسه).

    انتقل إلى مستأجر > سياسات > بروتوكول > إعادة توجيه قائمة على سياسة L4-L7، ثم انقر بزر الماوس الأيمن فوق إنشاء سياسة.

    L4-L7 Redirect Policy Configurationتكوين سياسة إعادة توجيه المستوى 4-L7

    الخطوة 5.2. تكوين سياسة إعادة التوجيه المستندة إلى سياسة L4-L7 لواجهة ASA الخارجية (لا حاجة إلى تحديد MAC أو IP، يتم ملؤها بواسطة APIC نفسه).

    انتقل إلى مستأجر > سياسات > بروتوكول > إعادة توجيه قائمة على سياسة L4-L7، ثم انقر بزر الماوس الأيمن فوق إنشاء سياسة.

    L4-L7 Redirect Policy Configuration 2تكوين سياسة إعادة توجيه المستوى 4-L7 2

    الخطوة 6. تكوين قالب الرسم البياني للخدمة.

    انتقل إلى مستأجر > خدمات > قالب الرسم البياني للخدمة، ثم انقر بزر الماوس الأيمن فوق قالب الرسم البياني للخدمة L4-L7 وأنشئ.

    Service Graph Configurationتكوين الرسم البياني للخدمة

    الخطوة 7. تكوين نهج تحديد الجهاز.

    انتقل إلى مستأجر > خدمات > نهج تحديد الجهاز، ثم انقر بزر الماوس الأيمن فوق نهج تحديد الجهاز وقم بإنشائه.

    Service Graph Configuration 2تكوين الرسم البياني للخدمة 2

    ++ سياق الواجهة المنطقية للمستهلك

    Device Selection Policy Consumer Configurationتكوين المستهلك لنهج تحديد الجهاز

    سياق الواجهة المنطقية للموفر ++

    Device Selection Policy Provider Configurationتكوين موفر نهج تحديد الجهاز

    note-icon

    ملاحظة: نهج تحديد الجهاز إذا كان سيتم إنشاؤه تلقائيا في حالة إستخدام خيار تطبيق الرسم البياني للخدمة.

    الخطوة 8. قم بتطبيق PBR من أجل التعاقد على موضوع abc.

    انتقل إلى مستأجر > عقد > موضوع العقد > L4-L7 Service Graph > transparent_fw.

    كونContract Configurationتكوين العقد

    الخطوة 9. إذا تم النشر بنجاح، تحقق من الصحة تحت الرسم البياني المثيل المنشور (ابحث عن الحالة).

    Service Graph Validationالتحقق من صحة الرسم البياني للخدمة

    ++ التحقق من واجهات نظام المجموعة والشبكات المحلية الظاهرية (VLANs) المدمجة ومعرفات فئات موصل الوظائف.

    Service Graph Validation 2التحقق من صحة الرسم البياني للخدمة 2

    التحقق من حركة مرور L2 PBR على ASA

    طبقة الأمان (SSH) من نقطة نهاية Src إلى نقطة النهاية المحددة التي يمكنك رؤيتها في إدخال جدول المحتوى على ASA.

    ASA Validationالتحقق من صحة ASA

    التحقق من L2 PBR على الورقة

    1. البرمجة عبر الشبكة المحلية الظاهرية (VLAN) على عقدة الورق 102.

    PBR vlan 2525 and 2526 will get programmed on leaf node 102 and mac addresses will be statically tied to interfaces

    bgl-aci07-apic100# fabric 102 show endpoint
    ----------------------------------------------------------------
    Node 102 (bgl-aci07-leaf2)
    ----------------------------------------------------------------
    Legend:
    S - static           s - arp              L - local            O - peer-attached   
    V - vpc-attached     a - local-aged       p - peer-aged        M - span            
    B - bounce           H - vtep             R - peer-attached-rl D - bounce-to-proxy
    E - shared-service   m - svc-mgr         
    +-----------------------------------+---------------+-----------------+--------------+-------------+
          VLAN/                           Encap           MAC Address       MAC Info/       Interface
          Domain                          VLAN            IP Address        IP Info
    +-----------------------------------+---------------+-----------------+--------------+-------------+
    28/l3_out_pk_tn:l3_out_vrf_pk_1           vlan-2525    024a.e954.b591 LS                    eth1/14
    1/l3_out_pk_tn:l3_out_vrf_pk_1            vlan-2526    02c0.282b.d1cf LS                    eth1/14

    2. إعادة توجيه السياسة وقاعدة تقسيم المناطق على عقدة المستهلك (101) والمزود (104).

    ++ Redirect policy on consumer node

    bgl-aci07-apic100# fabric 101 show service redir info
    ----------------------------------------------------------------
    Node 101 (bgl-aci07-leaf1)
    ----------------------------------------------------------------
    ===============================================================================================================================================================
    LEGEND
    TL: Threshold(Low)  |  TH: Threshold(High) |  HP: HashProfile  |  HG: HealthGrp  | BAC: Backup-Dest |  TRA: Tracking | RES: Resiliency | W: Weight
    ===============================================================================================================================================================
    List of Dest Groups
    GrpID Name            destination                                                    HG-name                          BAC W   operSt   operStQual      TL  TH  HP  TRA RES
    ===== ====            ===========                                                    ==============                   === === =======  ============    === === === === ===
    7     destgrp-7       dest-[3d49:a399:3d4b:4ea1:8829:5991:b554:e94a]-[vxlan-2228224] l3_out_pk_tn::HG1                N   1   enabled  no-oper-grp     0   0   sym yes no
    8     destgrp-8       dest-[143a:41d1:9c75:4973:8501:bcf:d12b:28c0]-[vxlan-2228224]  l3_out_pk_tn::HG2                N   1   enabled  no-oper-grp     0   0   sym yes no

    List of destinations
    Name                                                           bdVnid          vMac                 vrf                       operSt     operStQual      HG-name                         
    ====                                                           ======          ====                 ====                      =====      =========       =======                                      
    dest-[3d49:a399:3d4b:4ea1:8829:5991:b554:e94a]-[vxlan-2228224] vxlan-16744328  02:4A:E9:54:B5:91    l3_out_pk_tn:l3_out_vrf_pk_1 enabled    no-oper-dest    l3_out_pk_tn::HG1               
    dest-[143a:41d1:9c75:4973:8501:bcf:d12b:28c0]-[vxlan-2228224]  vxlan-16056296  02:C0:28:2B:D1:CF    l3_out_pk_tn:l3_out_vrf_pk_1 enabled    no-oper-dest    l3_out_pk_tn::HG2               

    List of Health Groups
    HG-Name                                    HG-OperSt  HG-Dest                                                                HG-Dest-OperSt
    =======                                    =========  =======                                                                ==============
    l3_out_pk_tn::HG1                          enabled    dest-[3d49:a399:3d4b:4ea1:8829:5991:b554:e94a]-[vxlan-2228224]]        up        
    l3_out_pk_tn::HG2                          enabled    dest-[143a:41d1:9c75:4973:8501:bcf:d12b:28c0]-[vxlan-2228224]]         up        

    List of Backup Destinations
    Name                                                           primaryDestName                                                DestGroup                                                     
    ====                                                           ==============                                                 =========                                                     
    List of AclRules
    AclRuleVnid     DestGroup       OperSt   OperStQual      
    ===========     =========       ======   ==========      

    ++ Zoning rule on consumer Node

    bgl-aci07-apic100# fabric 101 show zoning-rule  | grep redir
    |   4228  | 32771  | 49157  | default  |     bi-dir     | enabled | 2228224  |                                                   |           redir(destgrp-7)          |       src_dst_any(9)       |
    |   4231  | 49157  | 32771  | default  | uni-dir-ignore | enabled | 2228224  |                                                   |           redir(destgrp-8)          |       src_dst_any(9)       |
    |   4230  | 32771  |   15   | default  |    uni-dir     | enabled | 2228224  |                                                   |           redir(destgrp-7)          |       src_dst_any(9)       |
    |   4229  | 16386  | 32771  | default  |    uni-dir     | enabled | 2228224  |                                                   |           redir(destgrp-8)          |       src_dst_any(9)       |

    ++ Redirect Policy on Provider Node
    bgl-aci07-apic100# fabric 104 show service redir info
    ----------------------------------------------------------------
    Node 104 (bgl-aci07-leaf4)
    ----------------------------------------------------------------
    ===============================================================================================================================================================
    LEGEND
    TL: Threshold(Low)  |  TH: Threshold(High) |  HP: HashProfile  |  HG: HealthGrp  | BAC: Backup-Dest |  TRA: Tracking | RES: Resiliency | W: Weight
    ===============================================================================================================================================================
    List of Dest Groups
    GrpID Name            destination                                                    HG-name                          BAC W   operSt   operStQual      TL  TH  HP  TRA RES
    ===== ====            ===========                                                    ==============                   === === =======  ============    === === === === ===
    3     destgrp-3       dest-[3d49:a399:3d4b:4ea1:8829:5991:b554:e94a]-[vxlan-2228224] l3_out_pk_tn::HG1                N   1   enabled  no-oper-grp     0   0   sym yes no
    4     destgrp-4       dest-[143a:41d1:9c75:4973:8501:bcf:d12b:28c0]-[vxlan-2228224]  l3_out_pk_tn::HG2                N   1   enabled  no-oper-grp     0   0   sym yes no

    List of destinations
    Name                                                           bdVnid          vMac                 vrf                       operSt     operStQual      HG-name                         
    ====                                                           ======          ====                 ====                      =====      =========       =======                                         
    dest-[3d49:a399:3d4b:4ea1:8829:5991:b554:e94a]-[vxlan-2228224] vxlan-16744328  02:4A:E9:54:B5:91    l3_out_pk_tn:l3_out_vrf_pk_1 enabled    no-oper-dest    l3_out_pk_tn::HG1               
    dest-[143a:41d1:9c75:4973:8501:bcf:d12b:28c0]-[vxlan-2228224]  vxlan-16056296  02:C0:28:2B:D1:CF    l3_out_pk_tn:l3_out_vrf_pk_1 enabled    no-oper-dest    l3_out_pk_tn::HG2               

    List of Health Groups
    HG-Name                                    HG-OperSt  HG-Dest                                                                HG-Dest-OperSt
    =======                                    =========  =======                                                                ==============
    l3_out_pk_tn::HG1                          enabled    dest-[3d49:a399:3d4b:4ea1:8829:5991:b554:e94a]-[vxlan-2228224]]        up        
    l3_out_pk_tn::HG2                          enabled    dest-[143a:41d1:9c75:4973:8501:bcf:d12b:28c0]-[vxlan-2228224]]         up        
    List of Backup Destinations
    Name                                                           primaryDestName                                                DestGroup                                                     
    ====                                                           ==============                                                 =========                                                     

    ++ Zoning rule on provider node
    bgl-aci07-apic100# fabric 104 show zoning-rule | grep redir
    |   4220  | 32771  | 49157  | default  |     bi-dir     | enabled | 2228224  |                                 | redir(destgrp-3) |       src_dst_any(9)       |
    |   4221  | 49157  | 32771  | default  | uni-dir-ignore | enabled | 2228224  |                                 | redir(destgrp-4) |       src_dst_any(9)       |

    الأخطاء التي تم رؤيتها في حالة فشل إختبار الاتصال L2Ping

    في حالة فشل إختبارات اتصال L2Pings عبر جهاز PBR، ستلاحظ أن PBR لا يزال في حالة النشر وأن الأخطاء F4203 و F2833 و F2911 التي تم تربيتها تشير إلى وجود تتبع/مجموعة صحية معطلة.

    التقاط إختبارات اتصال L2

    يمكنك التقاط إختبارات اتصال L2Pings باستخدام tcpdump على واجهة المرور لمعرفة ما إذا تم إرسالها واستقبالها بشكل صحيح. إذا رأيت فقط إرسال وحدة المعالجة المركزية (CPU) مرسلة وغير مستلمة، فمن المتوقع حدوث الأخطاء المذكورة مسبقا ويجب عليك أستكشاف أخطاء ASA وإصلاحها أكثر لسبب إسقاطها (ارجع إلى قسم تكوين ASA).

    Capturing L2Pings using tcpdump on PBR Node 102

    bgl-aci07-leaf2# tcpdump -i tahoe0 -w /data/techsupport/l2_pbr1.pcap
    tcpdump: listening on tahoe0, link-type EN10MB (Ethernet), capture size 262144 bytes
    ^C4858 packets captured
    4875 packets received by filter
    0 packets dropped by kernel

    In order to deocde the tcpdump
    cat /data/techsupport/l2_pbr1.pcap | knet_parser.py --decode tahoe --pcap | less
    ** Search for mac 00ab.8752.3100

    ++ CPU transmit packets
    Frame 505
    Time: 2024-10-29T05:55:28.707136+00:00
    Header: ieth CPU Transmit
    sup_tx:1, ttl_bypass:0, opcode:0x0, bd:0x207, outer_bd:0x0, dl:0, span:0, traceroute:0, tclass:5
    src_idx:0x0, src_chip:0x0, src_port:0x0, src_is_tunnel:0, src_is_peer:0
    dst_idx:0x0, dst_chip:0x0, dst_port:0x0, dst_is_tunnel:0
    Len: 72
    Eth: 00ab.8752.3100 > 024a.e954.b591, len/ethertype:0x721
    Frame 506
    Time: 2024-10-29T05:55:28.707297+00:00
    Header: ieth CPU Transmit
    sup_tx:1, ttl_bypass:0, opcode:0x0, bd:0x208, outer_bd:0x0, dl:0, span:0, traceroute:0, tclass:5
    src_idx:0x0, src_chip:0x0, src_port:0x0, src_is_tunnel:0, src_is_peer:0
    dst_idx:0x0, dst_chip:0x0, dst_port:0x0, dst_is_tunnel:0
    Len: 72
    Eth: 00ab.8752.3100 > 02c0.282b.d1cf, len/ethertype:0x721

    ++CPU recived packets

    Frame 509
    Time: 2024-10-10T20:16:37.580855+00:00
    Header: ieth_extn CPU Receive
    sup_qnum:0x33, sup_code:0x4d, istack:ISTACK_SUP_CODE_PBR_TRACK_REFRESH(0x4d)
    Header: ieth
    sup_tx:0, ttl_bypass:0, opcode:0x0, bd:0x209, outer_bd:0x2, dl:0, span:0, traceroute:0, tclass:0
    src_idx:0x32, src_chip:0x0, src_port:0x6, src_is_tunnel:0, src_is_peer:0
    dst_idx:0x1, dst_chip:0x0, dst_port:0x3d, dst_is_tunnel:0
    Len: 76
    Eth: 00ab.8752.3100 > 024a.e954.b591, len/ethertype:0x8100(802.1q)
    802.1q: vlan:2526, cos:0, len/ethertype:0x721
    Frame 510
    Time: 2024-10-10T20:16:37.580891+00:00
    Header: ieth_extn CPU Receive
    sup_qnum:0x33, sup_code:0x4d, istack:ISTACK_SUP_CODE_PBR_TRACK_REFRESH(0x4d)
    Header: ieth
    sup_tx:0, ttl_bypass:0, opcode:0x0, bd:0x20a, outer_bd:0x2, dl:0, span:0, traceroute:0, tclass:0
    src_idx:0x32, src_chip:0x0, src_port:0x6, src_is_tunnel:0, src_is_peer:0
    dst_idx:0x1, dst_chip:0x0, dst_port:0x3d, dst_is_tunnel:0
    Len: 76
    Eth: 00ab.8752.3100 > 02c0.282b.d1cf, len/ethertype:0x8100(802.1q)
    802.1q: vlan:2525, cos:0, len/ethertype:0x721

    تدفق حركة المرور من نقطة نهاية SRC إلى DST

    ++ Endpoint X.1.1.10 want to send traffic to X.1.2.15
    ++ If destination is not learned on consumer/source leaf, PBR will be performed on destination leaf
    ++ For this case we are assuming endpoint X.1.2.15 is learned on Leaf 101 so PBR/Redirection will be performed on Leaf101 ( consumer Leaf)

    bgl-aci07-apic100# fabric 101 show endpoint
    ----------------------------------------------------------------
    Node 101 (bgl-aci07-leaf1)
    ----------------------------------------------------------------
    Legend:
    S - static           s - arp              L - local            O - peer-attached   
    V - vpc-attached     a - local-aged       p - peer-aged        M - span            
    B - bounce           H - vtep             R - peer-attached-rl D - bounce-to-proxy
    E - shared-service   m - svc-mgr         
    +-----------------------------------+---------------+-----------------+--------------+-------------+
          VLAN/                           Encap           MAC Address       MAC Info/       Interface
          Domain                          VLAN            IP Address        IP Info
    +-----------------------------------+---------------+-----------------+--------------+-------------+
    l3_out_pk_tn:l3_out_vrf_pk_1                               X.1.2.15                       tunnel6 ===> Remote EP Entry
    17                                        vlan-3516    10b3.d514.3516 L                      eth1/5 ===> Local EP Entry
    l3_out_pk_tn:l3_out_vrf_pk_1              vlan-3516        X.1.1.10 L                      eth1/5

    ++ EPM entry to get the PC TAG
    bgl-aci07-apic100# fabric 101 show system internal epm endpoint ip X.1.1.10
    ----------------------------------------------------------------
    Node 101 (bgl-aci07-leaf1)
    ---------------------------------------------------------------
    MAC : 10b3.d514.3516 ::: Num IPs : 1
    IP# 0 : X.1.1.10 ::: IP# 0 flags :  ::: l3-sw-hit: No
    Vlan id : 17 ::: Vlan vnid : 11792 ::: VRF name : l3_out_pk_tn:l3_out_vrf_pk_1
    BD vnid : 16744307 ::: VRF vnid : 2228224
    Phy If : 0x1a004000 ::: Tunnel If : 0
    Interface : Ethernet1/5
    Flags : 0x80005c04 ::: sclass : 32771 ::: Ref count : 5 ==> sclass
    EP Create Timestamp : 10/11/2024 09:15:44.430334
    EP Update Timestamp : 10/29/2024 10:45:35.458416
    EP Flags : local|IP|MAC|host-tracked|sclass|timer|

    bgl-aci07-apic100# fabric 101 show system internal epm endpoint ip X.1.2.15
    ----------------------------------------------------------------
    Node 101 (bgl-aci07-leaf1)
    ----------------------------------------------------------------
    MAC : 0000.0000.0000 ::: Num IPs : 1
    IP# 0 : X.1.2.15 ::: IP# 0 flags :  ::: l3-sw-hit: No
    Vlan id : 0 ::: Vlan vnid : 0 ::: VRF name : l3_out_pk_tn:l3_out_vrf_pk_1
    BD vnid : 0 ::: VRF vnid : 2228224
    Phy If : 0 ::: Tunnel If : 0x18010006
    Interface : Tunnel6
    Flags : 0x80004400 ::: sclass : 49157 ::: Ref count : 3 ==> sclass
    EP Create Timestamp : 10/29/2024 10:38:34.949150
    EP Update Timestamp : 10/29/2024 10:45:55.571786
    EP Flags : IP|sclass|timer|

    ++ Traffic will be redirected based on redir(destgrp-7)
    bgl-aci07-apic100# fabric 101 show zoning-rule src-epg 32771 dst-epg  49157
    ----------------------------------------------------------------
    Node 101 (bgl-aci07-leaf1)
    ----------------------------------------------------------------
    +---------+--------+--------+----------+--------+---------+---------+------+------------------+----------------+
    | Rule ID | SrcEPG | DstEPG | FilterID |  Dir   |  operSt |  Scope  | Name |      Action      |    Priority    |
    +---------+--------+--------+----------+--------+---------+---------+------+------------------+----------------+
    |   4228  | 32771  | 49157  | default  | bi-dir | enabled | 2228224 |      | redir(destgrp-7) | src_dst_any(9) |
    +---------+--------+--------+----------+--------+---------+---------+------+------------------+----------------+

    ++ Based on redirect policy traffic will be redirected to mac 02:4A:E9:54:B5:91

    bgl-aci07-apic100# fabric 101 show service redir info
    ----------------------------------------------------------------
    Node 101 (bgl-aci07-leaf1)
    ----------------------------------------------------------------
    ===============================================================================================================================================================
    LEGEND
    TL: Threshold(Low)  |  TH: Threshold(High) |  HP: HashProfile  |  HG: HealthGrp  | BAC: Backup-Dest |  TRA: Tracking | RES: Resiliency | W: Weight
    ===============================================================================================================================================================
    List of Dest Groups
    GrpID Name            destination                                                    HG-name                          BAC W   operSt   operStQual      TL  TH  HP  TRA RES
    ===== ====            ===========                                                    ==============                   === === =======  ============    === === === === ===
    7     destgrp-7       dest-[3d49:a399:3d4b:4ea1:8829:5991:b554:e94a]-[vxlan-2228224] l3_out_pk_tn::HG1                N   1   enabled  no-oper-grp     0   0   sym yes no
    List of destinations
    Name                                                           bdVnid          vMac                 vrf                       operSt     operStQual      HG-name            
    ====                                                           ======          ====                 ====                      =====      =========       =======            
    dest-[3d49:a399:3d4b:4ea1:8829:5991:b554:e94a]-[vxlan-2228224] vxlan-16744328  02:4A:E9:54:B5:91    l3_out_pk_tn:l3_out_vrf_pk_1 enabled    no-oper-dest    l3_out_pk_tn::HG
    1               

    ++ PBR mac addresses are never learnt remotely as IP/MAC learning is disabled for PBR BD
    ++ PBR mac addresses are statically binded to interfaces where L4/L7 device is connected and reported to Spine COOP
    ++ Traffic will be forwarded to SPINE PROXY
    ++ Spine has an COOP entry for 02:4A:E9:54:B5:91

    bgl-aci07-apic100# fabric 201 show coop internal info repo ep key 16744328 02:4A:E9:54:B5:91
    ----------------------------------------------------------------
    Node 201 (bgl-aci07-spine1)
    ----------------------------------------------------------------
    Repo Hdr Checksum : 49503
    Repo Hdr record timestamp : 10 29 2024 10:15:07 658496921
    Repo Hdr last pub timestamp : 10 29 2024 10:15:07 661679296
    Repo Hdr last dampen timestamp : 01 01 1970 00:00:00 0
    Repo Hdr dampen penalty : 0
    Repo Hdr flags : IN_OBJ ACTIVE
    EP bd vnid : 16744328
    EP mac :  02:4A:E9:54:B5:91 <<<<========== ASA MAC
    flags : 0x480
    repo flags : 0x102
    Vrf vnid : 2228224
    PcTag : 0x100c006
    EVPN Seq no : 0
    Remote publish timestamp: 01 01 1970 00:00:00 0
    Snapshot timestamp: 10 29 2024 10:15:07 658496921
    Tunnel nh : 10.0.144.66
    MAC Tunnel  : 10.0.144.66
    IPv4 Tunnel : 10.0.144.66
    IPv6 Tunnel : 10.0.144.66
    ETEP Tunnel : 0.0.0.0
    num of active ipv4 addresses : 0
    num of anycast ipv4 addresses : 0
    num of ipv4 addresses : 0
    num of active ipv6 addresses : 0
    num of anycast ipv6 addresses : 0
    num of ipv6 addresses : 0
    Primary Path:
    Current published TEP : 10.0.144.66
    Backup Path:
    BackupTunnel nh : 0.0.0.0
    Current Backup (publisher_id): 0.0.0.0
    Anycast_flags : 0
    Current citizen (publisher_id): 10.0.144.66
    Previous citizen : 10.0.144.66
    Prev to Previous citizen : 10.0.144.66
    Synthetic Flags : 0x5
    Synthetic Vrf : 411
    Synthetic IP : X.X.83.223
    Tunnel EP entry: 0x7f20900167a8
    Backup Tunnel EP entry: (nil)
    TX Status: COOP_TX_DONE\
    Damp penalty: 0
    Damp status: NORMAL
    Exp status: 0
    Exp timestamp: 01 01 1970 00:00:00 0
    Hash: 3209430840 owner: 10.0.144.65

    ++ Spine will forward this to PBR Leaf Node 102 based on COOP entry
    ++ PBR Leaf Node will forward this to ASA FW on interface E1/14
    ++ ASA FW will forward the traffic based on mac address table and send it back to PBR Leaf Node 102
    ++ PBR Leaf Node will look for Dst IP in the traffic and route it to Leaf 104 if remote endpoint entry exist else will do spine proxy
    ++ Leaf 104 will get this traffic forwarded to actual EP X.1.2.15 (Leaf4 does not learn the client IP address from this traffic because Endpoint Dataplane Learning is disabled for the PBR node bridge domain)

    تكوين ASA

    خطوة 1. قارن تشكيل.

    ASA(config)# show running-config interface
    !
    interface GigabitEthernet0/0
     bridge-group 1
     nameif inside 
     security-level 100
    !
    interface GigabitEthernet0/1
     bridge-group 1
     nameif outside 
     security-level 0
    !
    interface BVI1
    ip address 192.168.100.1 255.255.255.0 ==> In case BVI IP is not defined ASA will not switch the packets
    !

    خطوة 2. ماك يعلم ينبغي كنت معأق.

    ASA(config)# show run mac-learn
    mac-learn inside disable
    mac-learn outside disable

    بي بي آر:

    الخطوة 3. جدول عناوين MAC الثابتة ل PBR MAC.

    The mac statically binded to inside interface is the PBR mac generated by provider and vice versa
    ASA(config)# show run mac-address-table
    mac-address-table static outside 024a.e954.b591
    mac-address-table static inside 02c0.282b.d1cf

    الخطوة 4. تكوين قائمة التحكم في الوصول (ACL) لتمرير إختبارات اتصال L2.

    ASA(config)# show access-list
    access-list L2_PBR ethertype permit 721

    ASA(config)# show run access-group
    access-group L2_PBR in interface inside
    access-group L2_PBR in interface outside

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    07-Apr-2025
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • بييوش كاتاريا
      مهندس TAC من Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات