Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit ce qu'est un tunnel d'accès dans SD-Access, son but, et comment vous pouvez trier la formation du tunnel d'accès.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Topologie utilisée dans cet article
Un tunnel d'accès dans Cisco SD-Access est un tunnel de réseau local virtuel extensible (VXLAN) établi entre les noeuds de périphérie de fabric et les points d'accès (AP). Ce tunnel encapsule le trafic client dans VXLAN, permettant une communication transparente au sein du fabric SD-Access. Le tunnel d'accès sert de superposition de plan de données qui achemine le trafic des clients sans fil connectés au point d'accès jusqu'à la périphérie du fabric, assurant ainsi une application et une segmentation cohérentes des politiques sur l'ensemble du réseau.
Lisez ces étapes pour assurer une formation de tunnel d'accès réussie pour l'intégration d'AP dans SD-Access. Toute défaillance dans ces vérifications peut empêcher la création de tunnels. Si une étape ne produit pas les résultats attendus, concentrez les efforts de dépannage sur le composant associé à cette étape.
Pour vérifier que le point d'accès reçoit une adresse IP, exécutez cette commande sur le noeud de périphérie :
Edge#show device-tracking database interface gigabitEthernet 1/0/10
...
Network Layer Address Link Layer Address Interface vlan prlvl age state Time left
DH4 172.13.99.9 345d.a8b2.48d4 Gi1/0/10 99 0024 15s REACHABLE 237 s try 0(47302 s)
D'après le résultat précédent, il peut être confirmé que le point d'accès connecté à l'interface GigabitEthernet 1/0/10 a l'adresse IP 172.13.99.9 sur le VLAN 99, avec l'adresse MAC Ethernet 345d.a8b2.48d4.
Si le résultat est vide, le point d'accès n'a pas réussi à obtenir une adresse IP ou Power over Ethernet (PoE) ne fonctionne pas. Pour vérifier que la technologie PoE est opérationnelle, vérifiez que l'adresse MAC du point d'accès est affichée dans la table d'adresses MAC en exécutant la commande suivante :
Edge#show mac address-table interface gigabitEthernet 1/0/10
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
99 345d.a8b2.48d4 DYNAMIC Gi1/0/10
Pour vérifier que l'alimentation en ligne pour PoE est opérationnelle, exécutez cette commande :
Edge#show power inline gigabitEthernet 1/0/10
Interface Admin Oper Power Device Class Max
(Watts)
--------- ------ ---------- ------- ------------------- ----- ----
Gi1/0/10 auto on 30.0 C9130AXI-A 4 30.0
La technologie PoE est opérationnelle et fonctionne à 30 watts.
Remarque : Après avoir obtenu une adresse IP, le point d'accès tente de se connecter au contrôleur de réseau local sans fil (WLC), comme dans le cas d'un réseau traditionnel. Si le point d'accès n'est pas répertorié lors de l'exécution de la commande show ap summary, dépannez la jonction AP.
Pour identifier le plan de contrôle, également appelé serveur de mappage, pour l'arête du fabric, exécutez la commande suivante :
Edge#show lisp session
Sessions for VRF default, total: 1, established: 1
Peer State Up/Down In/Out Users
172.13.233.11:4342 Up 1d02h 326/324 12
Le plan de contrôle est 172.13.233.11, qui serait le loopback0 de ce périphérique.
Pour identifier le plan de contrôle du site de fabric, vous pouvez également exécuter cette commande :
Edge#show running-config | section map-server
etr map-server 172.13.233.11 key 7 050F020C734848514D514117595853732F
etr map-server 172.13.233.11 proxy-reply
etr map-server 172.13.233.11 key 7 050F020C734848514D514117595853732F
etr map-server 172.13.233.11 proxy-reply
Sur le WLC, vous pouvez également vérifier que la session LISP avec le plan de contrôle est dans l'état UP :
WLC#show wireless fabric summary
Fabric Status : Enabled
Control-plane:
Name IP-address Key Status
--------------------------------------------------------------------------------------------
default-control-plane 172.13.233.11 ddc2df8446e2479d Up
Utilisez cette commande pour rechercher l'adresse IP de l'AP enregistrée sur le plan de contrôle :
Border#show lisp instance-id 4097 ipv4 server 172.13.99.9
LISP Site Registration Information
...
EID-prefix: 172.13.99.9/32 instance-id 4097
First registered: 22:14:34
Last registered: 22:14:34
Routing table tag: 0
Origin: Dynamic, more specific of 172.13.99.0/24
...
TTL: 1d00h
State: complete
Extranet IID: Unspecified
Registration errors:
Authentication failures: 0
Allowed locators mismatch: 0
ETR 172.13.111.65:21839, last registered 22:14:34, proxy-reply, map-notify <-- Last registration
TTL 1d00h, no merge, hash-function sha1
state complete, no security-capability
...
Domain-ID 1559520338
Multihoming-ID unspecified
sourced by reliable transport
Locator Local State Pri/Wgt Scope
172.13.111.65 yes up 10/10 IPv4 none
Remarque : Les points d'accès utilisent toujours l'INFRA_VN pour la couche 3, et cet INFRA_VN est toujours mappé à l'ID d'instance 4097.
L'enregistrement est terminé pour le point d'accès avec l'adresse IP 172.13.99.9. Il n'y a aucun échec d'authentification et il est connecté au noeud de périphérie 172.13.111.65 (localisateur).
Pour vérifier si l'adresse MAC est enregistrée sur le plan de contrôle, identifiez d'abord l'ID d'instance de couche 2 pour le VLAN auquel le point d'accès est connecté. Utilisez les commandes suivantes :
Edge#show vlan id 99
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
99 AP_VLAN active L2LI0:8188, Gi1/0/10, Ac0
...
Le VLAN 99 est mappé à l'ID d'instance 8188. À l'aide de cet ID d'instance, exécutez cette commande pour confirmer si l'adresse MAC Ethernet est enregistrée sur le plan de contrôle :
Border#show lisp instance-id 8188 ethernet server 345d.a8b2.48d4
LISP Site Registration Information
...
EID-prefix: 345d.a8b2.48d4/48 instance-id 8188
First registered: 22:57:39
Last registered: 22:57:39
Routing table tag: 0
Origin: Dynamic, more specific of any-mac
...
State: complete
Extranet IID: Unspecified
Registration errors:
Authentication failures: 0
Allowed locators mismatch: 0
ETR 172.13.111.65:21839, last registered 22:57:39, proxy-reply, map-notify
TTL 1d00h, no merge, hash-function sha1
state complete, no security-capability
...
Domain-ID 1559520338
Multihoming-ID unspecified
sourced by reliable transport
Locator Local State Pri/Wgt Scope
172.13.111.65 yes up 10/10 IPv4 none
L'enregistrement de l'adresse MAC Ethernet du point d'accès 345d.a8b2.48d4 est terminé sans échec d'authentification et est connecté au noeud de périphérie 172.13.111.65 (localisateur).
WLC#show fabric ap summary
Number of Fabric AP : 1
AP Name Slots AP Model Ethernet MAC Radio MAC Location Country IP Address State
----------------------------------------------------------------------------------------------------------------------------------------------------------------
AP345D.A8B2.48D4 3 C9130AXI-A 345d.a8b2.48d4 4891.d56b.9f00 default location MX 172.13.99.9 Registered
Le point d'accès avec l'adresse IP 172.13.99.9 est correctement marqué comme point d'accès de fabric. Si le point d'accès n'est pas répertorié, cela indique que le WLC n'a pas pu recevoir de réponse du plan de contrôle LISP. Dans ce résultat, l'adresse MAC radio pour le point d'accès est 4891.d56b.9f00.
Remarque : Si le point d'accès est enregistré sur le plan de contrôle mais n'est pas marqué comme Fabric-enabled, assurez-vous qu'aucun pare-feu ne bloque le trafic LISP sur le port UDP 4342.
Utilisez la même commande que celle utilisée pour vérifier l'enregistrement de l'adresse MAC Ethernet, mais remplacez l'adresse MAC Ethernet par l'adresse MAC radio :
Border#show lisp instance-id 8188 ethernet server 4891.d56b.9f00
LISP Site Registration Information
...
EID-prefix: 4891.d56b.9f00/48 instance-id 8188
First registered: 22:49:43
Last registered: 22:49:43
Routing table tag: 0
Origin: Dynamic, more specific of any-mac
...
State: complete
Extranet IID: Unspecified
Registration errors:
Authentication failures: 0
Allowed locators mismatch: 0
ETR 192.163.33.88:59019, last registered 22:49:43, no proxy-reply, no map-notify
TTL 1d00h, no merge, hash-function sha2
state complete, no security-capability
...
sourced by reliable transport
Affinity-id: 0 , 0
WLC AP bit: Set
Locator Local State Pri/Wgt Scope
172.13.111.65 yes up 0/0 IPv4 none
L'adresse MAC radio est entièrement enregistrée sans échec d'authentification et est connectée au noeud de périphérie 172.13.111.65 (localisateur). Le résultat montre également le bit d'AP WLC : Set, indicateur utilisé par le plan de contrôle LISP pour indiquer au noeud d'extrémité que cet enregistrement appartient à un point d'accès sur son RLOC 172.13.111.65.
La dernière étape consiste à vérifier la création du tunnel d'accès sur la périphérie du fabric. Comme indiqué précédemment, c'est l'objectif ultime de l'intégration des points d'accès dans SD-Access. Pour vérifier la création du tunnel d'accès, exécutez cette commande :
Edge#show access-tunnel summary
Access Tunnels General Statistics:
Number of AccessTunnel Data Tunnels = 1
Name RLOC IP(Source) AP IP(Destination) VRF ID Source Port Destination Port
------ --------------- ------------------ ------ ----------- ----------------
Ac0 172.13.111.65 172.13.99.9 0 N/A 4789
Name IfId Uptime
------ ---------- --------------------
Ac0 0x00000058 0 day, 00:00:51
Le tunnel d'accès 0 connecte le point d'accès 172.13.99.9 au localisateur de noeud de périphérie 172.13.111.65 et est actif depuis 51 secondes. Le minuteur est défini sur 0 après chaque réinitialisation.
Vous pouvez également confirmer que le tunnel est programmé au niveau de la couche d'abstraction FED (Forwarding Engine Driver), qui assure l'interface directe avec le matériel du commutateur :
Edge#show platform software fed switch active ifm interfaces access-tunnel
Interface IF_ID State
----------------------------------------------------------------------
Ac0 0x00000058 READY
À l'aide de IF_ID, vous pouvez trouver plus d'informations sur ce tunnel :
Edge#show platform software fed switch active ifm if-id 0x00000058
Interface IF_ID : 0x0000000000000058
Interface Name : Ac0
Interface Block Pointer : 0x73d6c83dc6f8
Interface Block State : READY
Interface State : Enabled
...
Interface Type : ACCESS_TUNNEL
...
Tunnel Type : L2Lisp
Encap Type : VxLan
...
Il s'agit d'un tunnel lisp de couche 2 utilisant l'encapsulation VXLAN et le type d'interface est access-tunnel.
Remarque : Il est important que le nombre de tunnels d'accès corresponde dans le résultat de la commande show access-tunnel summary et de la commande FED. Une non-correspondance peut indiquer une erreur de programmation.
Sur l'AP, vous pouvez vérifier la création du tunnel d'accès avec cette commande :
AP#show ip tunnel fabric
Fabric GWs Information:
Tunnel-Id GW-IP GW-MAC Adj-Status Encap-Type Packet-In
Bytes-In Packet-Out Bytes-out
1 172.13.111.65 00:00:0C:9F:F2:80 Forward VXLAN 121
17096 239 35041
AP APP Fabric Information:
GW_ADDR ENCAP_TYPE VNID SGT FEATURE_FLAG GW_SRC_MAC GW_DST_MAC
Le point d'accès a un tunnel d'accès pointant vers le localisateur du noeud de périphérie 172.13.111.65. L'adresse MAC 00:00:0C:9F:F2:80 appartient à l'interface virtuelle de commutateur (SVI) 99, qui est le VLAN où le point d'accès est connecté. Le type d’encapsulation est VXLAN.
Conseil : Le tunnel n'apparaît sur le point d'accès que lorsqu'un client actif est connecté. Sinon, la commande renvoie une sortie vide.
Pour un débogage plus avancé de la création du tunnel d'accès, activez ces traces sur la périphérie du fabric :
set platformsoftware trace forwarding-manager switch active R0 access-tunnel debug
set platform software trace forwarding-manager switch active F0 access-tunnel debug
set platform software trace forwarding-manager switch active access-tunnel noise
request plat sof trace rotate all
show pla sof trace message forwarding-manager switch active R0 reverse
show pla sof trace message forwarding-manager switch active F0 reverse
show pla sof trace message fed sw active reverse
Commandes dépendant de la plate-forme du tunnel d’accès du Catalyst 9000 pour vérifier la programmation du tunnel d’accès à la périphérie du fabric :
show platform software fed switch active ifm interfaces access-tunnel
show platform software access-tunnel switch active R0
show platform software access-tunnel switch active R0 statistics
show platform software access-tunnel switch active F0
show platform software access-tunnel switch active F0 statistics
show platform software fed switch active ifm if-id <if-id>
Pour déboguer le processus du tunnel d'accès sur le WLC, activez ces commandes :
set platform software trace wncd chassis active r0 lisp-agent-api
set platform software trace wncd chassis active r0 lisp-agent-db
set platform software trace wncd chassis active r0 lisp-agent-fsm
set platform software trace wncd chassis active r0 lisp-agent-ha
set platform software trace wncd chassis active r0 lisp-agent-internal g
set platform software trace wncd chassis active r0 lisp-agent-lib
set platform software trace wncd chassis active r0 lisp-agent-lispmsg
set platform software trace wncd chassis active r0 lisp-agent-shim
set platform software trace wncd chassis active r0 lisp-agent-transport
Débogages pour le processus d'enregistrement. Ces commandes peuvent être exécutées sur le noeud de périphérie pour vérifier s'il tente d'enregistrer l'adresse IP et l'adresse MAC Ethernet du point d'accès, et sur le plan de contrôle pour confirmer si l'enregistrement s'effectue correctement.
debug lisp filter eid <mac-or-ip>
debug lisp control-plane all
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
07-Oct-2025
|
Première publication |