De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document worden stappen beschreven voor het oplossen van problemen met ACI out-of-band (OOB)- en in-band (INB)-beheer.
Het materiaal van dit document is afgeleid uit het hoofdstuk Problemen oplossen van Cisco Application Centric Infrastructure, Second Edition en met name het hoofdstuk Management en Core Services - In-band en out-of-band Management.
ACI-fabricknooppunten hebben twee opties voor beheerconnectiviteit; out-of-band (OOB), die de specifieke fysieke beheerpoort aan de achterkant van het apparaat regelt, of in-band (INB), die wordt geleverd met behulp van een specifieke EPG/BD/VRF in de beheerhuurder met een mate van configureerbare parameters. Er is een OOB EPG aanwezig in het management ('mgmt') huurder, maar het is er standaard en kan niet worden aangepast. Het maakt alleen configuratie van geleverde OOB-contracten mogelijk. In de APIC wordt de OOB-interface in de 'ifconfig'-opdrachtoutput gezien als 'obmgmt' en de in-band interface wordt weergegeven door de 'bond.x'-interface, waar het encap VLAN is geconfigureerd voor de in-band EPG.
apic1# ifconfig oobmgmt oobmgmt: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.4.20 netmask 255.255.255.0 broadcast 192.168.4.255 inet6 fe80::7269:5aff:feca:2986 prefixlen 64 scopeid 0x20 ether 70:69:5a:ca:29:86 txqueuelen 1000 (Ethernet) RX packets 495815 bytes 852703636 (813.2 MiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 432927 bytes 110333594 (105.2 MiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
apic1# ifconfig bond0.300 bond0.300: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1496 inet 10.30.30.254 netmask 255.255.255.0 broadcast 10.30.30.255 inet6 fe80::25d:73ff:fec1:8d9e prefixlen 64 scopeid 0x20 ether 00:5d:73:c1:8d:9e txqueuelen 1000 (Ethernet) RX packets 545 bytes 25298 (24.7 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 6996 bytes 535314 (522.7 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Op het blad wordt de OOB interface gezien als 'eth0' in de 'ifconfig' opdrachtoutput en de INB wordt gezien als een speciale SVI. De gebruiker kan de interface bekijken met 'ifconfig' of met 'show ip interface vrf mgmt:' waarbij de naam geselecteerd is voor de in-band VRF.
leaf101# show interface mgmt 0 mgmt0 is up admin state is up, Hardware: GigabitEthernet, address: 00fc.baa8.2760 (bia 00fc.baa8.2760) Internet Address is 192.168.4.23/24 MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, medium is broadcast Port mode is routed full-duplex, 1000 Mb/s Beacon is turned off Auto-Negotiation is turned on Input flow-control is off, output flow-control is off Auto-mdix is turned off EtherType is 0x0000 30 seconds input rate 3664 bits/sec, 4 packets/sec 30 seconds output rate 4192 bits/sec, 4 packets/sec Rx 14114 input packets 8580 unicast packets 5058 multicast packets 476 broadcast packets 2494768 bytes Tx 9701 output packets 9686 unicast packets 8 multicast packets 7 broadcast packets 1648081 bytes
leaf101# show ip interface vrf mgmt:inb IP Interface Status for VRF "mgmt:inb-vrf" vlan16, Interface status: protocol-up/link-up/admin-up, iod: 4, mode: pervasive IP address: 10.30.30.1, IP subnet: 10.30.30.0/24 secondary IP address: 10.30.30.3, IP subnet: 10.30.30.0/24 IP broadcast address: 255.255.255.255 IP primary address route-preference: 0, tag: 0
De 'show ip interface vrf mgmt:' zal het in-band beheer BD subnetp IP als het secundaire IP adres tonen; dit is de verwachte output.
Op wervelkolom switches wordt het in-band beheer IP-adres toegevoegd als een speciale loopback interface in het 'mgmt:' VRF. Deze implementatie verschilt dus van de in-band IP-implementatie voor het beheer van switches. Neem de 'show ip int vrf mgmt:' opdrachtoutput hieronder op een wervelkolom switch waar
spine201# show ip interface vrf mgmt:inb IP Interface Status for VRF "mgmt:inb" lo10, Interface status: protocol-up/link-up/admin-up, iod: 98, mode: pervasive IP address: 10.30.30.12, IP subnet: 10.30.30.12/32 IP broadcast address: 255.255.255.255 IP primary address route-preference: 0, tag: 0
Onder de systeeminstellingen is er een instelling om de voorkeur voor in-band of out-of-band connectiviteit voor de APIC's te selecteren.
Alleen het verkeer dat via de APIC wordt verzonden, gebruikt de beheervoorkeur die is geselecteerd in de 'APIC Connectivity Preferences'. APIC kan nog steeds verkeer ontvangen op in-band of out-of-band, ervan uitgaande dat een van beide is geconfigureerd. APIC gebruikt de volgende voorwaartse logica:
APIC-routeringstabel met OBB geselecteerd. Neem de metrische waarde van 16 voor de interface van het beheer van de band waar die lager is dan de metriek van de interface van het beheer in band van de band van Obbmgmt van 32. Het betekenen van de out-of-band beheersinterface van Obmgmt zal voor uitgaand beheersverkeer worden gebruikt.
apic1# bash admin@apic1:~> route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.4.1 0.0.0.0 UG 16 0 0 oobmgmt 0.0.0.0 10.30.30.1 0.0.0.0 UG 32 0 0 bond0.300
APIC-routeringstabel met in-band geselecteerd. Neem de obligatie 0.300 in-band beheersinterface metriek als 8 waar die nu lager is dan de mbmgmt interfacemetriek van 16. Betekenis de obligatie 0.300 in-band beheersinterface zal voor uitgaand beheersverkeer worden gebruikt.
admin@apic1:~> route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10.30.30.1 0.0.0.0 UG 8 0 0 bond0.300 0.0.0.0 192.168.4.1 0.0.0.0 UG 16 0 0 oobmgmt
Deze instelling is niet van invloed op de voorkeuren voor het beheer van blad- en wervelknooppunten. Deze verbindingsvoorkeuren zijn geselecteerd onder het protocolbeleid. Hieronder is een voorbeeld voor NTP.
Als in-band is geselecteerd onder de APIC-connectiviteitsvoorkeuren, maar out-of-band is geselecteerd onder het protocol, welke interface heeft de interface met het protocolpakketgebruik?
Als de gebruiker niet in staat is om het beheernetwerk te bereiken, kan dit te wijten zijn aan een aantal verschillende problemen, maar ze kunnen altijd dezelfde methodologie gebruiken om het probleem te isoleren. De veronderstelling in dit scenario is dat de gebruiker geen apparaten in het beheernetwerk van achter hun L3Out kan bereiken.
Vergeet niet op fouten in elke sectie van de configuratie in de GUI te controleren. Sommige configuratiefouten kunnen zich echter in onverwachte toestanden manifesteren, maar er kan een fout worden gegenereerd in een andere sectie dan de sectie die de gebruiker aanvankelijk zou overwegen.
Voor out-of-band configuratie zijn er vier mappen te verifiëren onder een speciale huurder genaamd 'mgmt':
De Adressen van het Beheer van het knooppunt kunnen statisch of van een pool worden toegewezen. Hieronder staat een voorbeeld van statische adrestoewijzing. Controleer dat het type out-of-band IP-adressen is toegewezen en dat de standaardgateway juist is.
De out-of-band EPG moet aanwezig zijn onder de map Node Management EPG’s.
De contracten die bepalen welke beheersdiensten worden verleend vanuit de out-of-band EPG zijn speciale contracten die zijn geconfigureerd in de map out-of-band contracten.
Controleer vervolgens of het externe beheernetwerkinstallatieprofiel is gemaakt en dat het juiste out-of-band contract is geconfigureerd als het 'Consumed Out-of-Band Contract'.
De volgende te verifiëren punten zijn de interfacestatus en de aanleg van kabelnetten, en toen de connectiviteit aan de gateway.
apic1# ifconfig oobmgmt oobmgmt: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.4.20 netmask 255.255.255.0 broadcast 192.168.4.255 inet6 fe80::7269:5aff:feca:2986 prefixlen 64 scopeid 0x20 ether 70:69:5a:ca:29:86 txqueuelen 1000 (Ethernet) RX packets 295605 bytes 766226440 (730.7 MiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 253310 bytes 38954978 (37.1 MiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
apic1# ping 192.168.4.1 PING 192.168.4.1 (192.168.4.1) 56(84) bytes of data. 64 bytes from 192.168.4.1: icmp_seq=1 ttl=255 time=0.409 ms 64 bytes from 192.168.4.1: icmp_seq=2 ttl=255 time=0.393 ms 64 bytes from 192.168.4.1: icmp_seq=3 ttl=255 time=0.354 ms
Met behulp van traceroute in de bash shell op de APIC, traceer de verbinding met de eindgebruiker. Als traceroute onvolledig is, login aan dit apparaat (indien toegankelijk) en pingel de wilsbeheerinterface en pingel de gastheer. Afhankelijk van welke richting mislukt, lost u de kwestie op als een traditioneel netwerkprobleem.
Traceroute werkt door UDP-pakketten met een stijgend TTL te verzenden, te beginnen met 1. Als een router het pakket met TTL 1 ontvangt en het moet routeren, laat het het frame vallen en stuurt een ICMP onbereikbaar bericht terug naar de afzender. Elke hop wordt verzonden 3 UDP-pakketten bij het huidige TTL, en asterisks vertegenwoordigen pogingen waarbij een ICMP-onbereikbaar / TTL-overschreden pakket niet werd ontvangen. Deze 3 asterisk blokken worden verwacht in de meeste netwerken als sommige routing apparaten ICMP onbereikbaar / TTL Overtroffen berichten uitgeschakeld, dus wanneer ze TTL 1 pakketten ontvangen die ze moeten leiden, ze laten het pakket gewoon vallen en versturen het bericht niet terug naar de afzender.
apic1# bash admin@apic1:~> traceroute 10.55.0.16 traceroute to 10.55.0.16 (10.55.0.16), 30 hops max, 60 byte packets 1 192.168.4.1 (192.168.4.1) 0.368 ms 0.355 ms 0.396 ms 2 * * * 3 * * * 4 10.0.255.221 (10.0.255.221) 6.419 ms 10.0.255.225 (10.0.255.225) 6.447 ms * 5 * * * 6 * * * 7 10.55.0.16 (10.55.0.16) 8.652 ms 8.676 ms 8.694 ms
De switches hebben toegang tot de opdracht tcpdump, waarmee kan worden geverifieerd welke pakketten de doelinterface passeren. In het onderstaande voorbeeld wordt 'eth0' weergegeven, dat is de boogmgmt-interface die op de switches van het blad en de wervelkolom wordt gebruikt, en wordt '-n' als optie gebruikt om de IP-adressen te geven die worden gebruikt in plaats van de DNS-namen, en vervolgens specifiek te filteren op NTP-pakketten (UDP-poort 123). Denk eraan dat in het vorige voorbeeld het blad NTP-server 172.18.108.14. Hieronder kan de gebruiker verifiëren dat NTP-pakketten worden verzonden via de out-of-band interface en ook dat het blad een reactie van de server ontvangt.
fab1-leaf101# tcpdump -n -i eth0 dst port 123 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 16:49:01.431624 IP 192.168.4.23.123 > 172.18.108.14.123: NTPv4, Client, length 48 16:49:01.440303 IP 172.18.108.14.123 > 192.168.4.23.123: NTPv4, Server, length 48
De in-band beheerconfiguratie vereist specifieke overwegingen voor Layer 2- of Layer 3-implementaties. Dit voorbeeld zal alleen Layer 3-implementatie en probleemoplossing omvatten.
Controleer of er een BD in de mgmt-huurder is met een subnetverbinding van waaruit in-band knooppunt-mgmt-adressen worden toegewezen aan de fabric-knooppunten voor in-band connectiviteit en zorg ervoor dat de L3Out wordt geassocieerd onder de in-band beheer BD.
Controleer of er een EPG voor in-band nodembeheer aanwezig is. Zoals bij screenshot hieronder, worden de in-band EPG-namen in de GUI aangegeven met het prefix 'inb-'. Controleer of de in-band EPG-encryptie VLAN correct aan een VLAN-pool is gekoppeld.
De inkapseling VLAN die in het in-band beheer EPG wordt gevormd moet door Toegangsbeleid worden toegestaan: 'Inb Management EPG encap VLAN > VLAN-pool > Domain > AEP > Interface Policy Group > Blade-interfaceprofiel > Switch Profile'. Als het ondersteunend toegangsbeleid niet is geconfigureerd, wordt een fout met code F0467 hersteld volgens de onderstaande screenshot.
Controleer dat het brugdomein hetzelfde is als het domein dat hierboven voor het in-band subnetnet is gemaakt. Ten slotte moet u controleren of er een beschikbaar contract is geconfigureerd op de in-band beheer EPG, die wordt gebruikt door de externe EPG.
Net als out-of-band kunnen de in-band IP-adressen van fabric nodes statisch worden toegewezen of dynamisch worden toegewezen uit een vooraf geselecteerd bereik. Controleer welke adressen zijn toegepast voor type in-band overeenkomst met de vorige BD-subnetverbinding die is geconfigureerd. Controleer ook of de standaardgateway juist is.
Als alles correct is geconfigureerd en er geen fouten zijn in een van de bovengenoemde secties, is de volgende stap om tussen de switches en/of APIC's te pingen om te verifiëren dat in-band connectiviteit correct werkt binnen ACI.
De wervelkolomknooppunten zullen niet reageren op ping op de in-band aangezien zij loopback interfaces voor connectiviteit gebruiken die niet op ARP reageren.
De in-band interface die gebruikt wordt op de switches is kpm_inb. Gebruik een vergelijkbare tcpdump-opname om te controleren of het pakket de in-band CPU-interface egresseert.
fab2-leaf101# tcpdump -n -i kpm_inb dst port 123 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on kpm_inb, link-type EN10MB (Ethernet), capture size 65535 bytes 16:46:50.431647 IP 10.30.30.3.123 > 172.18.108.14.123: NTPv4, Client, length 48 16:47:19.431650 IP 10.30.30.3.123 > 172.18.108.15.123: NTPv4, Client, length 48
Controleer of de SVI voor in-band 'protocol-up/link-up/admin-up' wordt gebruikt.
fab1-leaf101# show ip interface vrf mgmt:inb-vrf IP Interface Status for VRF "mgmt:inb-vrf" vlan16, Interface status: protocol-up/link-up/admin-up, iod: 4, mode: pervasive IP address: 10.30.30.1, IP subnet: 10.30.30.0/24 secondary IP address: 10.30.30.3, IP subnet: 10.30.30.0/24 IP broadcast address: 255.255.255.255 IP primary address route-preference: 0, tag: 0
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
05-Aug-2022 |
Eerste vrijgave |