El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe los siguientes pasos para la remediación del fallo de ACI F0467: invalid-vlan, invalid-path o encap-already-in-use.
ACI Fault F0467 se marca en diferentes escenarios, pero muestra una causa distinta para cada uno.
Los valores de causa más comunes observados con Fault F0467 de ACI son:
Todas las causas de la falla ACI F0467 pueden afectar la implementación de vlan en las interfaces de nodo del switch.
Este fallo se supervisa activamente como parte de los compromisos proactivos de ACI.
Si tiene un fabric ACI conectado a Intersight, se generó una solicitud de servicio en su nombre para indicar que se encontraron instancias de este error en el fabric ACI conectado a Intersight.
La descripción del fallo indica explícitamente "El EpG no está asociado con un dominio o el dominio no tiene esta vlan asignada".
APIC# moquery -c faultInst -f 'fault.Inst.code=="F0467"' | grep lc_EPG
descr : Configuration failed for uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG node 103 eth1/13 due to Invalid VLAN Configuration, debug message: invalid-vlan: vlan-421 :Either the EpG is not associated with a domain or the domain does not have this vlan assigned to it;
dn : topology/pod-1/node-103/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/nwissues/fault-F0467
Access Encap VLAN 421 no está implementado en el nodo de hoja:
Node-103# show vlan encap-id 421 extended
<<< Empty >>>
No se ha creado la ruta estática a la asociación de EPG:
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
<<< Empty >>>
El dominio lc_phys_dom está asociado al EPG lc_EPG:
APIC# moquery -c fvRsDomAtt | grep -A 25 lc_EPG | grep rn
rn : rsdomAtt-[uni/phys-lc_phys_dom]
La asociación de dominio a conjunto de VLAN existe:
APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
tDn : uni/infra/vlanns-[lc_vlan_pool]-static
El conjunto de VLAN lc_vlan_pool se clasifica para incluir solamente VLAN 420.
APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]
vlan 421 no está en el conjunto anterior, de ahí el error "invalid-vlan: vlan-421 :El EpG no está asociado con un dominio o el dominio no tiene esta vlan asignada."
En el diagrama de bloques al que se hizo referencia anteriormente, esta referencia específica al conjunto de VLAN está resaltada:
Agregue el vlan 421 que falta al rango de vlan específico.
Conjunto de VLAN para encapsular y asociaciones de dominio (Fabric > Políticas de acceso > Conjunto > VLAN > lc_vlan_pool):
Verificación del rango del conjunto de VLAN después de agregar vlan 421:
APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-421]-to-[vlan-421]
Fabric > Políticas de acceso > Dominios físicos y externos > Dominios físicos > lc_phys_dom:
[+] Asociación de dominio a conjunto de VLAN:
APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
<< EMPTY >>
Corregir: Incluir asociación de VLAN faltante
Fabric > Políticas de acceso > Dominios físicos y externos > Dominios físicos > lc_phys_dom:
Este fallo se produce cuando se realiza una declaración de switch/puerto/VLAN sin las políticas de acceso correspondientes en vigor para permitir que esa configuración se aplique correctamente.
Dependiendo de la descripción de este fallo, es posible que falte un elemento diferente de la relación de la política de acceso.
EPG - lc_EPG a asociación de fallos en Arrendatarios > lc_TN > lc_AP > lc_EPG > Fallos > Fallo:
El EPG, el ID de nodo de switch y el número de puerto afectados se encuentran en la descripción y el DN del fallo:
APIC# moquery -c faultInst -f 'fault.Inst.code=="F0467"' | grep lc_EPG
descr : Configuration failed for uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG node 103 eth1/13 due to Invalid Path Configuration, debug message: invalid-path: Either the EpG/L3Out is not associated with a domain or the domain does not have this interface assigned to it;
dn : topology/pod-1/node-103/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/nwissues/fault-F0467
Confirme si la vlan está implementada. Si no es así, estos comandos se pueden ejecutar para aislar el error de configuración.
En estos comandos, lc_EPG es el nombre de EPG utilizado para el filtrado de salida.
Encap-vlan NO está implementado en el nodo de hoja:
Node-103# show vlan encap-id 420 extended
<<< Empty >>>
[1] La ruta estática a la política de asociación de EPG está vacía:
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
<< Vacío >>>
[2] Asociación de dominio a EPG:
APIC# moquery -c fvRsDomAtt | grep -A 25 lc_EPG | grep rn
rn : rsdomAtt-[uni/phys-lc_phys_dom]
[3] Asociación de dominio a conjunto de VLAN:
APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
tDn : uni/infra/vlanns-[lc_vlan_pool]-static
[4] Verificación del rango del conjunto de VLAN:
APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]
[5] Asociación de dominio a AAEP:
APIC# moquery -c infraRtDomP | grep lc_phys_dom
dn : uni/phys-lc_phys_dom/rtdomP-[uni/infra/attentp-lc_AAEP]
[6] AAEP a la asociación de grupos de políticas de interfaz (IPG):
rtp-aci08-apic1# moquery -c infraRtAttEntP | grep lc_AAEP
dn : uni/infra/attentp-lc_AAEP/rtattEntP-[uni/infra/funcprof/accportgrp-lc_IPG]
[7] Asociación de IPG a selector de interfaz:
APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
dn : uni/infra/accportprof-lead103_IP/hports-lc_Interface_Selector-typ-range/rsaccBaseGrp
[8] Asociación de perfil de interfaz a perfil de switch:
APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
dn : uni/infra/nprof-leaf103_SP/rsaccPortP-[uni/infra/accportprof-leaf103_IP]
La causa de la ruta no válida se observa si falta alguna de las directivas de acceso asociadas necesarias dada la configuración de la ruta estática. Examine las posibles causas en este orden para verificar las políticas de acceso salto a salto:
Fabric > Políticas de acceso > Políticas > Global > AAEP > lc_AAEP:
[+] La ruta estática a la política de asociación de EPG está vacía:
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
<< EMPTY >>
[+] Asociación de dominio a AAEP:
APIC# moquery -c infraRtDomP | grep lc_phys_dom
<< EMPTY >>
Corregir: Conjunto de VLAN para encapsular y asociaciones de dominio (Fabric > Políticas de acceso > Conjunto > VLAN > lc_vlan_pool)
Fabric > Políticas de acceso > Dominios físicos y externos > Dominios físicos > lc_phys_dom:
Fabric > Access Policies > Interfaces > Leaf Interfaces > Policy Groups > Leaf Access Port > lc_IPG:
[+] La ruta estática a la política de asociación de EPG está vacía:
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
<< EMPTY >>
[+] La asociación IPG a AAEP está vacía:
APIC# moquery -c infraRsAttEntP | grep -A 15 lc_IPG | grep tDn
<< EMPTY >>
Corregir: Falta la asociación de AAEP a IPG
Fabric > Access Policies > Interfaces > Leaf Interfaces > Policy Groups > Leaf Access Port > lc_IPG:
[+] Asociación IPG a AAEP
APIC# moquery -c infraRsAttEntP | grep -A 15 lc_IPG | grep tDn
tDn : uni/infra/attentp-lc_AAEP
Fabric > Access Policies > Interfaces > Leaf Interfaces > Profiles > leaf103_IP > lc_Interface_Selector:
[+] IPG a la asociación del Selector de interfaz
APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
<< EMPTY >>
Corregir: Asociación del Selector de Interfaz al Grupo de Políticas de Interfaz
[+] IPG a la asociación del Selector de interfaz:
APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
dn : uni/infra/accportprof-lead103_IP/hports-lc_Interface_Selector-typ-range/rsaccBaseGrp
Fabric > Access Policies > Interfaces > Leaf Interfaces > Profiles > leaf103_IP:
Resolución de problemas:
APIC# moquery -c infraHPortS | grep leaf103_IP
<< EMPTY >>
Corregir: Asociación de Perfil de Interfaz a Selector de Interfaz
APIC# moquery -c infraHPortS | grep leaf103_IP
dn : uni/infra/accportprof-leaf103_IP/hports-lc_Interface_Selector-typ-range
Fabric > Access Policies > Switches > Leaf Switches > Profiles > leaf103_SP
APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
<< EMPTY >>
Corregir: Asociación de perfil de hoja a perfiles de selector de interfaz
[+] Asociación de perfil de interfaz a perfil de switch:
APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
dn : uni/infra/nprof-leaf103_SP/rsaccPortP-[uni/infra/accportprof-leaf103_IP]
De forma predeterminada, las VLAN tienen un alcance global. Un ID de VLAN determinado solo se puede utilizar para un único EPG en un switch de hoja determinado.
Cualquier intento de reutilizar la misma VLAN en varios EPG dentro de un switch de hoja determinado resulta en un error F0467 de encapsulamiento que ya está en uso.
EPG a asociación de fallas en Arrendatarios > lc_TN > lc_AP > lc_EPG > Fallas > Fallo:
APIC# moquery -c faultInst -f 'fault.Inst.code=="F0467"' | grep lc_EPG
changeSet : configQual:encap-already-in-use, configSt:failed-to-apply, debugMessage:encap-already-in-use: Encap (vlan-420) is already in use by lc_TN_Dup:lc_APP:lc_EPG;, temporaryError:no
descr : Configuration failed for uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG node 103 eth1/13 due to Encap Already Used in Another EPG, debug message: encap-already-in-use: Encap (vlan-420) is already in use by lc_TN_Dup:lc_APP:lc_EPG;
dn : topology/pod-1/node-103/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/nwissues/fault-F0467
[+] Puede confirmar que la encapsulación ya está en uso en otro arrendatario lc_TN_Dup:
Node-103# show vlan extended | egrep "Encap|----|vlan-420"
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
3 lc_TN_Dup:lc_APP:lc_EPG vlan-420 Eth1/13
A partir de la versión v1.1, puede implementar varios EPG con la misma encapsulación VLAN en un switch de hoja (o FEX) determinado, en la guía de configuración de VLAN por puerto:
Esta sección se puede utilizar como guía de referencia para conocer el aspecto de una configuración completa con una configuración funcional.
Arrendatarios > lc_TN > lc_AP > lc_EPG > Puertos estáticos:
[+] Política de asociación de puerto estático a EPG:
APIC# moquery -c l2RtDomIfConn | grep lc_EPG | grep dn
dn : topology/pod-1/node-103/sys/ctx-[vxlan-2195458]/bd-[vxlan-16416666]/vlan-[vlan-420]/rtfvDomIfConn-[uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/conndef/conn-[vlan-420]-[0.0.0.0]]
Fabric > Políticas de acceso > Políticas > Global > AAEP > lc_AAEP:
APIC# moquery -c fvIfConn -f 'fv.IfConn.encap=="vlan-420"' | grep dn
dn : uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/attEntitypathatt-[lc_AAEP]/conndef/conn-[vlan-420]-[0.0.0.0]
Arrendatarios > lc_TN > lc_AP > lc_EPG > Dominios:
[+] El dominio lc_phys_dom se ha asociado a EPG.
APIC# moquery -c fvRsDomAtt | grep -A 25 lc_EPG | grep rn
rn : rsdomAtt-[uni/phys-lc_phys_dom]
Fabric > Políticas de acceso > Dominios físicos y externos > Dominios físicos > lc_phys_dom:
[+] Asociación de dominio a AAEP:
APIC# moquery -c infraRtDomP | grep lc_phys_dom
dn : uni/phys-lc_phys_dom/rtdomP-[uni/infra/attentp-lc_AAEP]
[+] Asociación de dominio a conjunto de VLAN
APIC# moquery -c infraRsVlanNs | grep -A 15 lc_phys_dom | grep tDn
tDn : uni/infra/vlanns-[lc_vlan_pool]-static
Fabric > Access Policies > Pool > VLAN > lc_vlan_pool:
[+] Verificación del rango del conjunto de VLAN:
APIC# moquery -c fvnsEncapBlk | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_vlan_pool]-static/from-[vlan-420]-to-[vlan-420]
[+] Dominios donde se ha utilizado lc_vlan_pool:
APIC# moquery -c fvnsRtVlanNs | grep lc_vlan_pool
dn : uni/infra/vlanns-[lc_pool]-dynamic/rtinfraVlanNs-[uni/phys-lc_phys_dom]
Fabric > Políticas de acceso > Políticas > Global > AAEP > lc_AAEP:
APIC# moquery -c infraRsDomP | grep lc_AAEP
dn : uni/infra/attentp-lc_AAEP/rsdomP-[uni/phys-lc_phys_dom]
Fabric > Access Policies > Interfaces > Leaf Interfaces > Policy Groups > Leaf Access Port > lc_IPG:
[+] Asociación IPG a AAEP:
APIC# moquery -c infraRsAttEntP | grep -A 15 lc_IPG | grep tDn
tDn : uni/infra/attentp-lc_AAEP
Fabric > Access Policies > Interfaces > Leaf Interfaces > Profiles > leaf103_IP:
APIC# moquery -c infraHPortS | grep leaf103_IP
dn : uni/infra/accportprof-leaf103_IP/hports-lc_Interface_Selector-typ-range
Fabric > Access Policies > Interfaces > Leaf Interfaces > Profiles > leaf103_IP > lc_Interface_Selector:
[+] IPG a la asociación del Selector de interfaz:
APIC# moquery -c infraRsAccBaseGrp | grep -B 15 lc_IPG | grep dn
dn : uni/infra/accportprof-lead103_IP/hports-lc_Interface_Selector-typ-range/rsaccBaseGrp
Fabric > Access Policies > Switches > Leaf Switches > Profiles > leaf103_SP:
[+] Asociación de perfil de interfaz de hoja a perfil de switch:
APIC# moquery -c infraRsAccPortP | grep leaf103_IP | grep dn
dn : uni/infra/nprof-leaf103_SP/rsaccPortP-[uni/infra/accportprof-leaf103_IP]
[+] Asociación de perfil de switch a grupo de políticas de switch:
APIC# moquery -c infraRsAccNodePGrp | grep -A 8 leaf103_SP | grep tDn
tDn : uni/infra/funcprof/accnodepgrp-leaf103_SPG
Una moquery contra la clase fvIcConn se puede filtrar en los encapsulados de VLAN de interés para mostrar cada combinación de EPG/Switch/Interfaz donde se ha implementado la VLAN.
APIC# moquery -c fvIfConn -f 'fv.IfConn.encap=="vlan-420"' | grep dn
dn : uni/epp/fv-[uni/tn-lc_TN/ap-lc_APP/epg-lc_EPG]/node-103/stpathatt-[eth1/13]/conndef/conn-[vlan-420]-[0.0.0.0]
Ejecute show vlan extended en cualquier switch para verificar qué VLAN están implementadas actualmente en un switch, junto con qué EPG e interfaz está vinculada la VLAN.
El filtro encap-id xx está disponible en ACI versión 4.2 y posteriores.
Node-103# show vlan encap-id 420 extended
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
2 lc_TN:lc_APP:lc_EPG vlan-420 Eth1/13
Cada VLAN de un nodo de switch ACI se asigna a una VLAN independiente de la plataforma (PI), que es un valor local de cada nodo de switch.
Las encapsulaciones de acceso se asignan a una VLAN IP denominada "VLAN FD", mientras que los dominios de puente se asignan a una VLAN PI denominada "VLAN BD".
Ejecute show system internal epm vlan all en un switch para mostrar la lista de vlan implementadas en la hoja.
Node-103# show vlan extended | egrep "Encap|----|1/13"
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
2 lc_TN:lc_APP:lc_EPG vlan-420 Eth1/13 --> FD vlan 2
18 lc_TN:lc_BD vxlan-16416666 Eth1/13 --> BD vlan 18
La VLAN FD y la VLAN BD para la programación de la interfaz se pueden validar con un comando show interface:
Node-103# show interface eth 1/13 trunk | grep -A 2 Allowed
Port Vlans Allowed on Trunk
-----------------------------------------------------------------------------------
Eth1/13 2,18
Si se valida una vlan de capa 3 con una BD SVI, moquery class fvSubnet para obtener la dirección IP de la subred:
APIC# moquery -c fvSubnet | grep lc_BD
dn : uni/tn-lc_TN/BD-lc_BD/subnet-[10.10.10.254/24]
Luego verifique show ip interface brief nuevamente y verifique si la dirección ip coincidente valida la vlan y el VRF esperado.
En este ejemplo, la validación es para "BD VLan 18" del ejemplo de salida CLI anterior:
Node-103# show ip interface brief
...
IP Interface Status for VRF "lc_TN:lc_VRF"(16)
Interface Address Interface Status
vlan18 10.10.10.254/24 protocol-up/link-up/admin-up
Esta secuencia de alto nivel resume los pasos involucrados desde la llamada a la API de ruta estática de VLAN hasta la implementación de VLAN de nodo de switch.
Este diagrama de bloques muestra la relación entre las políticas de acceso para garantizar una implementación exitosa de VLAN de nodo de switch.
Todos los ingenieros de redes han estado trabajando con la idea de las políticas de acceso; sólo se han definido como texto en un archivo a través de una interfaz CLI de un dispositivo independiente.
Cuando se observa un error F0467, es importante comprender primero las políticas de acceso y asegurarse de que estén configuradas correctamente.
Cada resultado de comando proporciona una variable que se utiliza para el siguiente comando de la lista.
En este documento se hace referencia a estos comandos para resolver problemas en los diferentes escenarios.
Nodo | Comandos | Propósito |
APIC | moquery -c faultInst -f 'fault.Inst.code=="F0467"' | Enumera todos los errores F0467 activos actualmente en el fabric |
moquery -c l2RtDomIfConn | grep <epg_name> | grep dn | Muestra las rutas estáticas/dinámicas asociadas con el epg específico. | |
moquery -c fvRsDomAtt | grep -A 25<epg_name> | grep rn | Muestra los dominios asociados al EPG | |
moquery -c infraRsVlanNs | grep -A 15 <dom_name> | grep tDn | Muestra el nombre del conjunto de VLAN asociado con el dominio. El nombre de dominio se extrae del comando anterior | |
moquery -c fvnsEncapBlk | grep <vlan_pool_name> | Muestra los números de vlan asociados al conjunto de vlan específico | |
moquery -c infraRtDomP | grep <dom_name> | Muestra el AEP asociado con el dominio | |
moquery -c infraRtAttEntP | grep <AEP_name> | Muestra el grupo de perfiles de interfaz (IPG) asociado al dominio | |
moquery -c infraRsAccBaseGrp | grep -B 15 <IPG_name> | grep dn | Muestra la asociación del grupo de perfiles de interfaz (IPG) al selector de interfaz | |
moquery -c infraRsAccPortP | grep <Interface_Sector> | grep dn | Muestra la asociación del perfil de interfaz al perfil del switch | |
moquery -c fvIfConn -f 'fv.IfConn.encap=="<encap_vlan>"' | grep dn | Muestra todas las interfaces donde se implementa la vlan encap específica en el fabric | |
moquery -c fvnsRtVlanNs | grep <vlan_pool_name> | | grep dn | Muestra el dominio asociado con el conjunto de VLAN | |
moquery -c fvSubnet | grep <BD_name> | Muestra la IP svi asociada al dominio | |
Switch | show vlan encap-id <encap_vlan> extended | Muestra detalles de las VLAN IP y el arrendatario, el perfil de la aplicación y el nombre de EPG |
show vlan extended | egrep "Encap|----|<port:example 1/13>" | Muestra detalles de la VLAN en el puerto específico. | |
show int eth <port> trunk | grep -A 2 Allowed | Muestra las VLAN que se reenvían en un puerto específico. Tenga en cuenta que los números vlan son números vlan internos. | |
show ip int bri vrf <vrf> | Mostrar las interfaces de capa 3 implementadas para el vrf específico | |
show vpc brief | Muestra la información relacionada con vpc si este switch forma parte de un par VPC. |
Revisión | Fecha de publicación | Comentarios |
---|---|---|
3.0 |
30-Nov-2024 |
Título corregido. |
2.0 |
21-Nov-2024 |
Texto alternativo, formato, algunos errores ortográficos, errores de encabezado, título abreviado |
1.0 |
14-Sep-2023 |
Versión inicial |