はじめに
このドキュメントでは、オーバーライドルールなど、リーフの暗黙のコントラクトを特定するためのガイドラインについて説明します。
前提条件
要件
- ACIの基礎知識
- エンドポイントグループと契約
- ELAMの設定
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
使用デバイス:
- バージョン5.3(2)を実行しているCisco ACI
- ELAMアシスタント/CLI ELAM
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
pcTagは、ACIのエンドポイントポリシーグループ(EPG)の内部表現に使用される数値IDです。送信元EPGに割り当てられたpcTagはSCLASSと呼ばれ、宛先EPGに割り当てられたpcTagはDCLASSと呼ばれます。
Shared Services Consumerは予約済みPcTagの14を使用しました。
System:これらは1 ~ 15の範囲の内部システムタグです。
グローバル:16 ~ 16385の範囲はグローバル用に予約されています。
ドロップEPGは予約済みのPcTag 13を使用します。
Shared Servicesコンシューマは、予約済みのPcTag 14を使用します。
0.0.0.0/0のl3outは、15の予約済みPcTagを使用します。
Local:pcTagのデフォルトの範囲はVRFに対してローカルであり、VRF間で再利用できます。値の範囲は16386 ~ 65535です。
契約を解決する手順
ELAMは、これらのシナリオで使用されます。次のコマンドはCLI ELAM用であり、参照用として使用できます。
vsh_lc
debug platform internal elam asic
trigger reset
trigger init in-select out-select 0
set outer ipv4 src_ip dst_ip < destination ip address>
start
status
ステップ 1:ELAMトリガー
まず、ELAMからソースクラス11060、宛先クラス14、統計インデックス51983のいくつかの側面を収集します。
プロバイダーの共有サービス>コンシューマサブネットの場合、クラスID 14が使用されます。
これは、これらのサブネットと通信できないローカルクラスを持つプロバイダーVRF内のEPGに使用されます。
IP Protocol : ICMP( 0x1 )
L4 Src Port : 2048( 0x800 )
L4 Dst Port : 56951( 0xDE77 )
sclass (src pcTag) : 11060( 0x2B34 )
dclass (dst pcTag) : 14( 0xE )
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Result
------------------------------------------------------------------------------------------------------------------------------------------------------
Contract Drop : no
Contract Logging : no
Contract Applied : no
Contract Hit : yes
Contract Aclqos Stats Index : 51983
( show sys int aclqos zoning-rules | grep -B 9 "Idx: 51983 )
ステップ 2:ハードウェア・ルールの一致に基づくゾーニング・ルールの検証
ルールIDを解決するには、match contract 51983のハードウェアインデックスを使用します。
module-1# show sys int aclqos zoning-rules | grep -B 9 "Idx: 51983"
===========================================
Rule ID: 8640 Scope 20 Src EPG: 11060 Dst EPG: 14 Filter 65534
unit_id: 0
=== Region priority: 2466 (rule prio: 9 entry: 162)===
sw_index = 13310 | hw_index = 29937 | stats_idx = 51983
Curr TCAM resource:
=============================
=== SDK Info ===
Result/Stats Idx: 51983
注:バージョン4.Xでは、ルールは表示されません。契約を特定するには、show system internal aclqos zoning-rules implicitコマンドを使用します。
ルールIDは、契約を確認するためにゾーニングルールで使用できます。上書きルールの場合、契約名は空になります。
S2-LF101# show zoning-rule rule-id 8640
Config State
============
| Rule ID | SrcEPG | DstEPG | FilterID | Dir | operSt | Scope | Name | Action | Priority | Intent |
|---------|--------|--------|----------|-----|--------|-------|------|--------|---------|--------|
| 8640 | 11060 | 14 | implicit | uni-dir | enabled | 2424832 | | permit_override | src_dst_any(9) | install |
Install State
==============
| Rule ID | SrcEPG | DstEPG | FilterID | Dir | Scope | Name | Action | Priority |
|---------|--------|--------|----------|-----|-------|------|--------|---------|
| 8640 | 11060 | 14 | implicit | uni-dir | 2424832 | | permit_override | src_dst_any(9) |
ステップ 3a:オブジェクトactrlRuleを使用したコントラクト名の確認
actrlRule moqueryは、フィルタを使用してリーフで使用できます。
moquery -c actrlRule -f 'actrl.Rule.rn*"s--d-"' | grep ctrctName
たとえば、上書きポリシーを作成する契約は次のようになります。
moquery -c actrlRule -f 'actrl.Rule.rn*"s-11060-d-14"' | grep ctrctName
ctrctName : common:Common-Global
このフィールドctrctNameは空白にすることができます。その場合は、別のオブジェクトを使用できます。
ステップ 3b:オブジェクトactrlRuleを使用したコントラクト名の確認
vzRuleOwnerクエリは、リーフで使用できます。
moquery -c vzRuleOwner -f 'vz.RuleOwner.dn*"11060.*14"'
vzRuleOwnerの例では、これは上書きポリシーを作成するコントラクトです。
MXS2-LF101# moquery -c vzRuleOwner -f 'vz.RuleOwner.dn*"11060.*14"'
Total Objects shown: 1
# vz.RuleOwner
creatorDn : cdef-[uni/tn-common/brc-Common-Global]/epgCont-[uni/tn-common/out-L3OUT-External/instP-External/]-fr-[uni/tn-common/brc-Common-Global/dirass/prov-[uni/tn-common/out-L3OUT-External/instP-External-]-any-no]/to-[uni/tn-common/brc-Common-Global/dirass/cons-[uni/tn-test/ap-ap-test/epg-epg-test]-any-no]
tag : to-epg
action : permit_override
childAction :
ctrctName :
direction : uni-dir
dn : sys/actrl/scope-2424832/rule-2424832-s-11060-d-14-f-implicit/own-[cdef-[uni/tn-common/brc-Common-contract]/epgCont-[uni/tn-common/out-L3OUT/instP-External]/fr-[uni/tn-common/brc-Common-contract/dirass/prov-[uni/tn-common/out-L3OUT/instP-External]-any-no]/to-[uni/tn-common/brc-Common-contract/dirass/cons-[uni/tn-test/ap-ap-test/epg-epg-test]-any-no]]-tag-to-epg
intent : install
lcOwn : local
markDscp : unspecified
modTs : 2024-08-07T06:16:42.241+00:00
monitorDn : uni/tn-common/monepg-default
name :
nameAlias :
prio : src_dst_any
qosGrp : unspecified
rn : own-[cdef-[uni/tn-common/brc-Common-Global]/epgCont-[uni/tn-common/out-L3OUT-External/instP-External-]/fr-[uni/tn-common/brc-Common-Global/dirass/prov-[uni/tn-common/out-L3OUT-External/instP-External-]-any-no]/to-[uni/tn-common/brc-Common-Global/dirass/cons-[uni/tn-test/ap-ap-test/epg-epg-test]-any-no]]-tag-to-epg
status :
type : tenant
DNでは、brcの後にコントラクト名になります。
RN/DN:brc-<契約名>
例:
brc – 共通契約
参考
Cisco Bug ID |
バグタイトル |
拡張機能のバージョンの追加 |
Cisco Bug ID CSCwk84663 |
ルールの表示が追加されました。この上書きルールは、構成が正しく設定されている場合にゾーニング・ルールに表示されますが、ゾーニング・ルールに名前が明示的に記載されません。 |
バージョン5.X |
関連情報
ACI Shared Servicesの確認 – Shared Service Consumer PcTag 14