فهم إنشاء نفق الوصول في SD-Access

المقدمة

يوضح هذا المستند ما هو نفق الوصول في SD-Access، والغرض منه، وكيف يمكنك فرز تكوين نفق الوصول.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• بروتوكول فصل معرف محدد الموقع (LISP)
• لاسلكي

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• وحدة التحكم في شبكة LAN اللاسلكية (WLC) من Cisco - C9800-CL، Cisco IOS® XE 17.12.04
• عقدة SDA Edge - C9300-48P، Cisco IOS® XE 17.12.05
• عقدة حد/مستوى التحكم عبر SDA - C9500-48P، Cisco IOS® XE 17.12.05
• نقطة وصول Cisco - C9130AXI-A، الإصدار 17.9.5.47

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

المخطط

الطبولوجيا المستخدمة في هذه المقالة

نظرة عامة

يعد نفق الوصول في Cisco SD-Access بمثابة نفق شبكة LAN الموسعة الظاهرية (VXLAN) الذي تم إنشاؤه بين عقد حافة البنية ونقاط الوصول (APs). يقوم هذا النفق بتضمين حركة مرور العميل في شبكة VXLAN، مما يتيح إمكانية الاتصال بسلاسة داخل بنية SD-Access. يعمل نفق الوصول كغطاء لمستوى البيانات يحمل حركة مرور البيانات من العملاء اللاسلكيين المتصلين بنقطة الوصول إلى حافة البنية، مما يضمن تنفيذ السياسات بشكل متناسق وتجزئتها عبر الشبكة.

عملية إنشاء نفق الوصول

1. يتم توصيل نقطة الوصول وتشغيلها عبر تقنية التزويد بالطاقة عبر شبكة إيثرنت (PoE).
2. تحصل نقطة الوصول على عنوان IP عبر DHCP في التغشية. أثناء هذه العملية، ال ap أيضا يستلم الخيار 43 من ال DHCP نادل ل ال لاسلكي lan جهاز تحكم.
3. يقوم Fabric Edge بتسجيل عنوان IP لنقطة الوصول و Ethernet MAC وتحديث مستوى التحكم في LISP.
4. WLC يستعلم ال LISP cp أن يعرف إن ال ap يكون ربطت إلى بناء أداة .
5. ردود مستوى التحكم في LISP على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) باستخدام محدد موقع (Loopback 0 IP) لجهاز البنية الذي تحتوي على نقطة الوصول المتصلة. في حالة وجود إجابة، فهذا يعني أن نقطة الوصول (AP) متصلة بقناة ليفية ويتم تمييزها على أنها ممكنة ل Fabric.
6. تقوم WLC بالتسجيل L2 LISP ل AP Radio MAC في مستوى التحكم LISP مع معلومات بيانات التعريف من WLC إلى FE.
7. يعلم مستوى التحكم في LISP حافة البنية ويرسل بيانات التعريف التي تم تلقيها من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). تحتوي بيانات التعريف هذه على علامة تشير إلى أنها نقطة وصول وعنوان IP لنقطة الوصول.
8. يقوم Fabric Edge بمعالجة المعلومات. فيعلم أنه نقطة وصول وينشئ نفق VXLAN المعروف أيضا باسم نفق الوصول بين نقطة الوصول وحافة البنية.

اقرأ من خلال هذه الخطوات لضمان تكوين نفق الوصول بنجاح لضم نقطة الوصول داخل SD-Access. يمكن أن يؤدي أي فشل في هذه التحققات إلى منع إنشاء نفق. إذا لم تسفر الخطوة عن النتائج المتوقعة، فركز جهود أستكشاف الأخطاء وإصلاحها على المكون المرتبط بتلك الخطوة.

التحقق من العملية

التحقق من حصول نقطة الوصول على عنوان IP

للتحقق من أن نقطة الوصول تتلقى عنوان IP، قم بتشغيل هذا الأمر على عقدة الحافة:

Edge#show device-tracking database interface gigabitEthernet 1/0/10
...
     Network Layer Address   Link Layer Address  Interface  vlan prlvl age state     Time left 
DH4  172.16.99.9             345d.a8b2.48d4      Gi1/0/10   99   0024  15s REACHABLE 237 s try 0(47302 s)

من الإخراج السابق، يمكن التأكد من أن نقطة الوصول المتصلة بواجهة GigabitEthernet 1/0/10 لها عنوان IP 172.16.99.9 على VLAN 99، مع عنوان MAC للإيثرنت 345d.a8b2.48d4.

إذا كان الإخراج فارغا، فإن نقطة الوصول إما فشلت في الحصول على عنوان IP أو أن Power over Ethernet (PoE) لا يعمل. لتأكيد تشغيل تقنية التزويد بالطاقة عبر شبكة إيثرنت، تحقق من عرض عنوان MAC لنقطة الوصول في جدول عنوان MAC بتشغيل هذا الأمر:

Edge#show mac address-table interface gigabitEthernet 1/0/10
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
99 345d.a8b2.48d4 DYNAMIC Gi1/0/10

لتأكيد تشغيل الطاقة المضمنة ل PoE، قم بتشغيل هذا الأمر:

Edge#show power inline gigabitEthernet 1/0/10 
Interface  Admin   Oper   Power   Device      Class  Max
                         (Watts) 
--------- ------ ---------- ------- ------------------- ----- ----
Gi1/0/10    auto    on     30.0   C9130AXI-A   4    30.0 

تعمل تقنية التزويد بالطاقة عبر شبكة إيثرنت (PoE) بقدرة 30. 0 وات.

ملاحظة: بعد الحصول على عنوان IP، تحاول نقطة الوصول الانضمام إلى وحدة التحكم في الشبكة المحلية اللاسلكية (WLC)، على غرار الشبكات التقليدية. إذا لم تكن نقطة الوصول مدرجة عند تشغيل الأمر show ap summary، فقم باستكشاف أخطاء ربط نقطة الوصول وإصلاحها.

التحقق من تسجيل AP IP و Ethernet MAC على مستوى التحكم في LISP

لتحديد مستوى التحكم، المعروف أيضا بخادم الخريطة، لحافة البنية، قم بتشغيل الأمر:

Edge#show lisp session
Sessions for VRF default, total: 1, established: 1
Peer State Up/Down In/Out Users
172.16.233.11:4342 Up 1d02h 326/324 12

مستوى التحكم هو 172.16.233.11 والذي سيكون الاسترجاع0 لذلك الجهاز.

طريقة أخرى لتحديد مستوى التحكم لموقع البنية هي تشغيل هذا الأمر:

Edge#show running-config | section map-server
etr map-server 172.16.233.11 key 7 050F020C734848514D514117595853732F
etr map-server 172.16.233.11 proxy-reply
etr map-server 172.16.233.11 key 7 050F020C734848514D514117595853732F
etr map-server 172.16.233.11 proxy-reply

على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، يمكنك أيضا التحقق من أن جلسة LISP مع مستوى التحكم في حالة UP:

WLC#show wireless fabric summary
Fabric Status : Enabled

Control-plane: 
Name                    IP-address       Key                Status
--------------------------------------------------------------------------------------------
default-control-plane   172.16.233.11    ddc2df8446e2479d    Up

أستخدم هذا الأمر للعثور على IP لنقطة الوصول المسجلة على مستوى التحكم:

Border#show lisp instance-id 4097 ipv4 server 172.16.99.9 
LISP Site Registration Information
...
EID-prefix: 172.16.99.9/32 instance-id 4097 
First registered: 22:14:34
Last registered: 22:14:34
Routing table tag: 0
Origin: Dynamic, more specific of 172.16.99.0/24
...
TTL: 1d00h
State: complete
Extranet IID: Unspecified
Registration errors: 
Authentication failures: 0
Allowed locators mismatch: 0
ETR 172.16.111.65:21839, last registered 22:14:34, proxy-reply, map-notify <-- Last registration
     TTL 1d00h, no merge, hash-function sha1
     state complete, no security-capability
    ...
     Domain-ID 1559520338
     Multihoming-ID unspecified
     sourced by reliable transport
Locator       Local State Pri/Wgt Scope
172.16.111.65 yes   up    10/10   IPv4 none

ملاحظة: تستخدم نقاط الوصول (APs) دائما شبكة INFRA_VN للطبقة 3، ويتم دائما تعيين شبكة INFRA_VN هذه على معرف المثيل 4097.

اكتمل التسجيل لنقطة الوصول ذات عنوان IP 172.16.99.9. لا توجد حالات فشل في المصادقة، وهي متصلة بعقدة الحافة 172.13.111.65 (محدد الموقع).

للتحقق من تسجيل عنوان MAC على مستوى التحكم، أولا، قم بتعريف معرف مثيل الطبقة 2 للشبكة المحلية الظاهرية (VLAN) التي يتم توصيل نقطة الوصول بها. استعملت هذا أمر:

Edge#show vlan id 99
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
99 AP_VLAN active L2LI0:8188, Gi1/0/10, Ac0
...

VLAN 99 خططت إلى المثيل id 8188. باستخدام معرف المثيل هذا، قم بتشغيل هذا الأمر لتأكيد ما إذا كان عنوان MAC لشبكة الإيثرنت مسجلا على مستوى التحكم:

Border#show lisp instance-id 8188 ethernet server 345d.a8b2.48d4
LISP Site Registration Information
...
EID-prefix: 345d.a8b2.48d4/48 instance-id 8188 
First registered: 22:57:39
Last registered: 22:57:39
Routing table tag: 0
Origin: Dynamic, more specific of any-mac
...
State: complete
Extranet IID: Unspecified
Registration errors: 
Authentication failures: 0
Allowed locators mismatch: 0
ETR 172.16.111.65:21839, last registered 22:57:39, proxy-reply, map-notify
   TTL 1d00h, no merge, hash-function sha1
   state complete, no security-capability
   ...
   Domain-ID 1559520338
   Multihoming-ID unspecified
   sourced by reliable transport
Locator       Local State Pri/Wgt Scope
172.16.111.65 yes   up    10/10   IPv4 none

يتم تسجيل MAC 345d.a8b2.48d4 لشبكة إيثرنت لنقطة الوصول دون أي حالات فشل للمصادقة ويتم توصيله على عقدة الحافة 172.13.111.65 (محدد الموقع).

تحقق من أن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يضع علامة على الجهاز على أنه تم تمكين البنية

WLC#show fabric ap summary
Number of Fabric AP : 1

AP Name           Slots  AP Model    Ethernet MAC    Radio MAC        Location Country     IP Address  State 
----------------------------------------------------------------------------------------------------------------------------------------------------------------
AP345D.A8B2.48D4  3      C9130AXI-A  345d.a8b2.48d4  4891.d56b.9f00   default location MX  172.16.99.9 Registered

تم تمييز نقطة الوصول ذات عنوان IP 172.16.99.9 بشكل صحيح على أنها نقطة وصول (AP) بنيوية. إذا لم تكن نقطة الوصول مدرجة، فإنها تشير إلى أن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) فشل في تلقي إستجابة من مستوى التحكم في LISP. في هذا المخرج، يكون عنوان MAC اللاسلكي لنقطة الوصول هو 4891.d56b.9f00.

ملاحظة: إذا تم تسجيل نقطة الوصول على مستوى التحكم، ولكن لم يتم تمييزها على أنها ممكنة ل Fabric، فتأكد من عدم حظر أي جدار حماية حركة مرور LISP على منفذ UDP 4342.

التحقق من تسجيل MAC للراديو على مستوى التحكم في LISP

أستخدم نفس الأمر الذي تم إستخدامه للتحقق من تسجيل عنوان MAC لشبكة الإيثرنت، ولكن استبدل عنوان MAC لشبكة الإيثرنت بعنوان MAC للراديو:

Border#show lisp instance-id 8188 ethernet server 4891.d56b.9f00
LISP Site Registration Information
...
EID-prefix: 4891.d56b.9f00/48 instance-id 8188 
First registered: 22:49:43
Last registered: 22:49:43
Routing table tag: 0
Origin: Dynamic, more specific of any-mac
...
State: complete
Extranet IID: Unspecified
Registration errors: 
Authentication failures: 0
Allowed locators mismatch: 0
ETR 192.168.33.88:59019, last registered 22:49:43, no proxy-reply, no map-notify
   TTL 1d00h, no merge, hash-function sha2
   state complete, no security-capability
   ...
   sourced by reliable transport
   Affinity-id: 0 , 0
   WLC AP bit: Set
Locator       Local State Pri/Wgt Scope
172.16.111.65 yes   up    0/0     IPv4 none

يتم تسجيل عنوان MAC للراديو بالكامل بدون أي حالات فشل للمصادقة ويتم توصيله بعقدة الحافة 172.16.111.65 (محدد الموقع). يبدي الإنتاج أيضا WLC ap بت: قم بتعيين علامة يستخدمها مستوى التحكم في LISP للإشارة إلى عقدة الحافة إلى أن هذا التسجيل ينتمي إلى نقطة وصول على RLOC 172.16.111.65 الخاص بها.

التحقق من إنشاء نفق الوصول

تتمثل الخطوة الأخيرة في التحقق من إنشاء نفق الوصول على حافة البنية. وكما ذكر سابقا، فإن هذا هو الهدف النهائي لضم نقطة الولوج إلى نظام الوصول الآمن. للتحقق من إنشاء نفق الوصول، قم بتشغيل هذا الأمر:

Edge#show access-tunnel summary
Access Tunnels General Statistics:
Number of AccessTunnel Data Tunnels = 1
Name   RLOC IP(Source)   AP IP(Destination) VRF ID Source Port Destination Port 
------ --------------- ------------------ ------ ----------- ----------------
Ac0    172.16.111.65     172.16.99.9        0      N/A         4789

Name IfId Uptime 
------ ---------- --------------------
Ac0 0x00000058 0 day, 00:00:51

يربط نفق الوصول 0 نقطة الوصول 172.16.99.9 بمحدد عقدة الحافة 172.16.111.65 وقد ظل قيد التشغيل لمدة 51 ثانية. يتم تعيين المؤقت إلى 0 بعد كل إعادة تعيين.

كما يمكنك تأكيد أن النفق مبرمج في طبقة تجريد برنامج تشغيل محرك إعادة التوجيه (FED)، والتي تتداخل مباشرة مع أجهزة المحول:

Edge#show platform software fed switch active ifm interfaces access-tunnel 
Interface    IF_ID        State 
----------------------------------------------------------------------
Ac0          0x00000058   READY 

باستخدام IF_ID، يمكنك العثور على مزيد من المعلومات حول هذا النفق:

Edge#show platform software fed switch active ifm if-id 0x00000058 
Interface IF_ID : 0x0000000000000058
Interface Name : Ac0
Interface Block Pointer : 0x73d6c83dc6f8
Interface Block State : READY
Interface State : Enabled
...
Interface Type : ACCESS_TUNNEL
...
Tunnel Type : L2Lisp
Encap Type : VxLan
...

هذا هو نفق L2 lisp باستخدام تضمين VXLAN ونوع الواجهة هو access-tunnel.

ملاحظة: من المهم أن يتوافق عدد أنفاق الوصول في إخراج كل من الأمر show access-tunnel summary وأمر FED. عدم التطابق يمكن أن يشير إلى سوء برمجة.

على نقطة الوصول، يمكنك التحقق من إنشاء نفق الوصول باستخدام هذا الأمر:

AP#show ip tunnel fabric 
Fabric GWs Information:
Tunnel-Id GW-IP         GW-MAC            Adj-Status Encap-Type Packet-In
  Bytes-In Packet-Out Bytes-out
        1 172.16.111.65 00:00:0C:9F:F2:80 Forward    VXLAN      121
   17096    239       35041
AP APP Fabric Information:
GW_ADDR ENCAP_TYPE VNID SGT FEATURE_FLAG GW_SRC_MAC GW_DST_MAC

تحتوي نقطة الوصول على نفق وصول يشير إلى محدد موقع عقدة الحافة 172.16.111.65. عنوان MAC 00:00:0c:9f:2:80 ينتمي إلى واجهة المحول الظاهرية (SVI) 99، وهي شبكة VLAN حيث تكون نقطة الوصول متصلة. التضمين نوع VXLAN.

تلميح: يظهر النفق على نقطة الوصول فقط عندما يكون العميل النشط متصلا. وإلا، فإن الأمر يرجع مخرجات فارغة.

تتبع الأخطاء والتبعات

لتصحيح أكثر تقدما لإنشاء نفق الوصول، قم بتمكين هذه المسارات على حافة البنية:

set platformsoftware trace forwarding-manager switch active R0 access-tunnel debug
set platform software trace forwarding-manager switch active F0 access-tunnel debug
set platform software trace forwarding-manager switch active access-tunnel noise
request plat sof trace rotate all
show pla sof trace message forwarding-manager switch active R0 reverse
show pla sof trace message forwarding-manager switch active F0 reverse
show pla sof trace message fed sw active reverse

أوامر معتمدة على النظام الأساسي Catalyst 9000 access-tunnel للتحقق من برمجة نفق الوصول على حافة البنية:

show platform software fed switch active ifm interfaces access-tunnel
show platform software access-tunnel switch active R0
show platform software access-tunnel switch active R0 statistics
show platform software access-tunnel switch active F0
show platform software access-tunnel switch active F0 statistics
show platform software fed switch active ifm if-id <if-id>

للتصحيح، العملية ل المنفذ نفق على ال WLC، مكنت هذا أمر:

set platform software trace wncd chassis active r0 lisp-agent-api
set platform software trace wncd chassis active r0 lisp-agent-db
set platform software trace wncd chassis active r0 lisp-agent-fsm
set platform software trace wncd chassis active r0 lisp-agent-ha
set platform software trace wncd chassis active r0 lisp-agent-internal g
set platform software trace wncd chassis active r0 lisp-agent-lib
set platform software trace wncd chassis active r0 lisp-agent-lispmsg
set platform software trace wncd chassis active r0 lisp-agent-shim
set platform software trace wncd chassis active r0 lisp-agent-transport

تصحيح الأخطاء لعملية التسجيل. يمكن تشغيل هذه الأوامر على عقدة الحافة للتحقق مما إذا كانت تحاول تسجيل عنوان IP لنقطة الوصول و Ethernet MAC، وعلى مستوى التحكم لتأكيد ما إذا كان التسجيل يحدث بنجاح.

debug lisp filter eid <mac-or-ip>
debug lisp control-plane all

ملخص

• أنفاق الوصول في SD-Access هي أنفاق شبكة VXLAN بين عقد حافة البنية ونقاط الوصول التي تنقل حركة مرور العميل داخل البنية المضمنة في شبكة VXLAN.
• فهي تتيح مستويات موحدة للبيانات اللاسلكية وتنفيذ السياسات بشكل متناسق لأن علامة مجموعة الأمان (SGT) يتم تمييزها عند مستوى نقطة الوصول لنقاط النهاية اللاسلكية.
• يتضمن التحقق والفرز التحقق من التسجيل على مستوى التحكم في البنية، وتأكيد الإنشاء على عقد حافة البنية، والتحقق من حالة البنية لنقطة الوصول على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) باستخدام أوامر show معينة.
• يركز أستكشاف الأخطاء وإصلاحها على ضمان إنشاء الأنفاق بشكل صحيح والحفاظ على استقرارها بعد تغييرات التكوين.
• يمثل "نفق الوصول" الهدف النهائي عند ضم نقطة وصول جديدة إلى بطاقة SD-Access.