SD-Access Silent Host configureren met IP Directed Broadcast-functie
Inhoud
Inleiding
Dit document beschrijft het beheer van stille hosts in SD-Access, het aanpakken van connectiviteitsuitdagingen met behulp van L2-overstromingen en IP-gerichte uitzending.
Beschrijving
De meeste eindpunten en hun netwerkinterfaces verzenden periodiek verkeer, met name besturingsgerelateerde berichten zoals ARP of DHCP. Bepaalde eindpunten reageren echter alleen wanneer daarom wordt gevraagd, in plaats van pakketten met regelmatige tussenpozen te verzenden. Deze apparaten verzenden besturingspakketten uitsluitend op on-demand basis. In netwerken zijn dergelijke eindpunten algemeen bekend als Silent Hosts. In het kader van SD-Access moeten Silent Hosts al het verkeer staken of hun communicatie beperken door pakketten met besturingsvliegtuigen achter te houden.
In de SDA-structuur worden uitzendingen ofwel onderdrukt bij elke Edge-node of doorgestuurd naar alle randen met behulp van L2-overstromingen, een proces dat meestal beperkt is tot Edge-knooppunten en L2-randen. Het doorsturen van uitzendingen naar elke poort op een VLAN bootst het gedrag na van een traditioneel Layer 2-netwerk, wat Silent Hosts aanzienlijk helpt actief te blijven. Het beheren van stille hosts in een fabric-omgeving brengt echter uitdagingen met zich mee, omdat hun gebrek aan regelmatige communicatie de authenticatiemechanismen, registraties van besturingsvlakken en doorsturen kan verstoren.
Het inschakelen van L2-overstromingen lost slechts een deel van het probleem op. Stille hosts kunnen alleen broadcast-pakketten ontvangen wanneer een ander apparaat deze genereert, hetzij vanuit hetzelfde VLAN binnen de fabric of vanuit een Fabric Border. Een IP Directed Broadcast verwijst naar een IP-pakket met een bestemmingsadres dat is ingesteld op het uitzendadres van een subnet, afkomstig van een host buiten dat subnet. Deze functie vereist multicast-ondersteuning in de onderlaag. Wanneer IP-gestuurde uitzending is ingeschakeld in de fabric, bereiken alle subnetuitzendpakketten elke host binnen dat subnet. Deze functie kan ook apparaten wakker maken met behulp van standaard unicast-pakketten, waardoor het "onbekende unicast" -gedrag in traditionele netwerken effectief wordt gesimuleerd.
Topologie
Hardware en software
-
Catalyst 9000 Series switches
-
Catalyst Center versie 2.3.7.9
-
Cisco IOS® XE 17.15.03 en hoger (Border/CP & Edge)
Topologie:
Netwerkdiagram
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Internet Protocol (IP) Forwarding
- Locator/ID Separation Protocol (LISP)
- Protocol Independent Multicast (PIM)
- Layer 2-overstromingen in SD-Access
Vereisten
- Voor deze functie is Cisco Catalyst Center 1.3 of hoger vereist
- Cisco IOS XE 17.3 en Cisco DNA Advantage-licenties*
- Voor ASR- en ISR-grenzen is Cisco IOS XE 17.3.1 of hoger vereist
- Catalyst 3000, 4000, 6000 serie Switches of Nexus 7000 worden niet ondersteund
Let op: als u de functie IP Directed Broadcast inschakelt, wordt L2 Flooding automatisch geactiveerd. Zorg ervoor dat de multicast-functionaliteit in de onderlaag correct werkt voordat u deze functie inschakelt.
U kunt IP Directed Broadcast in- of uitschakelen na het maken van de IP-pool, vergelijkbaar met het beheren van draadloze pools of L2 Flooding-instellingen.
Configuratie Catalyst Center
Wanneer IP Directed Broadcast is ingeschakeld, start Catalyst Center een fabrieksbrede provisioningtaak. Alle Edge-knooppunten, L2-randen en Randen met L3-overdracht zijn opgenomen in dit provisioningproces.
Om de IP Directed Broadcast-workflow in de gebruikersinterface te activeren:
- Ga naar Voorzieningen.
- Selecteer Fabric Sites.
- Kies de gewenste site.
- Navigeer naar Anycast Gateways.
Vanaf daar kunt u de vereiste instellingen configureren voor IP Directed Broadcast.
Anycast-gateways maken
Selecteer het gewenste L3 Virtual Network en klik vervolgens op Volgende om verder te gaan.
Selecteer L3 Virtual Networks
Selecteer de IP-pool, schakel IP Directed Broadcast in en voer de VLAN-naam in.
Tip: Als u IP Directed Broadcast inschakelt, wordt automatisch L2-overstromingen geactiveerd.
IP-gerichte uitzending inschakelen
Als er Fabric Zones bestaan, kunt u optioneel Anycast Gateways beschikbaar stellen voor een of meer Fabric Zones binnen de site.
Fabric Zones selecteren
Controleer de samenvatting van de geconfigureerde instellingen om de nauwkeurigheid te bevestigen voordat u doorgaat met de implementatie.
Samenvatting
Bekijk een voorbeeld van de gegenereerde configuraties. Klik op Implementeren om de configuratie toe te passen op de fabric.
Configuratievoorbeeld
Configuratie netwerkapparaat
Grensconfiguratie - IP-doorvoer
Fabric Borders with IP Transit hebben hun BGP-peering-interfaces geconfigureerd met "ip network-broadcast" om het doorsturen van IP-subnetuitzendingen mogelijk te maken. De Anycast Gateway IP voor de Fabric Pool (Endpoint VLAN) verandert van een loopback-interface naar een SVI, die "ip-directed-broadcast" heeft ingeschakeld. Beide configuraties zijn vereist voor de Fabric Border om IP-subnetuitzendpakketten om te zetten in volledige uitzendingen, zodat het proces kan functioneren zoals bedoeld.
Configuratie IP Network Broadcast & IP Network Broadcast:
vlan 1062
name IPDB_POOL_1
interface TenGigabitEthernet1/0/44 -- L3 Handoff Interface
switchport mode trunk
switchport trunk allowed vlan all
interface Vlan1062 -- Anycast Gateway interface, now converted to an SVI
no lisp mobility liveness test
no ip redirects
mac-address 0000.0c9f.fe63
description Configured from Catalyst Center
vrf forwarding VN1
ip address 172.16.56.254 255.255.255.0
ip helper-address 192.168.254.39
ip route-cache same-interface
lisp mobility IPDB_POOL_1-IPV4
ip directed-broadcast-- Subnet broadcasts can be translated into full broadcasts
no autostate -- Required to keep the SVI in up/up in absence of ports assigned to the VLAN
interface Vlan3002 -- BGP Peering interface, from IP Transit configuration
description vrf interface to External router
vrf forwarding VN1
ip address 192.168.10.5 255.255.255.252
no ip redirects
ip network-broadcast -- Enabled on all L3 handoff SVIs on the VRF where the target VLAN belongs to
ip pim sparse-mode
ip route-cache same-interface
Dit tweede deel van de configuratie maakt het mogelijk dat de IP Directed-Broadcast-functie stille hosts wakker maakt met behulp van een ARP-verzoek (broadcast), vergelijkbaar met het gedrag van traditionele netwerken bij het verwerken van onbekend unicast-verkeer. Met deze installatie kunnen bronnen buiten de fabric eindpunten wekken met behulp van standaard unicast-verkeer, zonder afhankelijk te zijn van subnetuitzendingen of Wake-on-LAN ("magic packet")-mechanismen.
router lisp
prefix-list SITE_LOCAL_EIDS_V4
172.16.56.0/24
instance-id 4099
dynamic-eid IPDB_POOL_1-IPV4
database-mapping 172.16.56.0/24 locator-set rloc_0f43c5d8-f48d-48a5-a5a8-094b87f3a5f7
instance-id 8257
service ethernet
eid-table vlan 1062
broadcast-underlay 239.0.17.1 -- Enables Layer 2 Flooding to use BUM group 239.0.17.1
flood arp-nd -- Enables the flooding of ARP requests with Layer 2 Flooding
flood unknown-unicast
database-mapping mac locator-set rloc_0f43c5d8-f48d-48a5-a5a8-094b87f3a5f7
ip dhcp snooping vlan 1062
randconfiguratie
De configuratie van de fabric edge node komt overeen met die van een standaard bekabelde pool met Layer 2 Flooding ingeschakeld. De CLI-opdracht "ip directed-broadcast" wordt niet weergegeven op Edge-nodes.
cts role-based enforcement vlan-list 1062
vlan 1062
name IPDB_POOL_1
interface Vlan1062
no lisp mobility liveness test
no ip redirects
mac-address 0000.0c9f.fe63
description Configured from Catalyst Center
vrf forwarding VN1
ip igmp explicit-tracking
ip address 172.16.56.254 255.255.255.0
ip pim passive
ip helper-address 192.168.254.39
ip route-cache same-interface
lisp mobility IPDB_POOL_1-IPV4
ip igmp version 3
router lisp
instance-id 4099
dynamic-eid IPDB_POOL_1-IPV4
database-mapping 172.16.56.0/24 locator-set rloc_91947dad-3621-42bd-ab6b-379ecebb5a2b
instance-id 8257
service ethernet
eid-table vlan 1062
broadcast-underlay 239.0.17.1
flood arp-nd
flood unknown-unicast
remote-rloc-probe on-route-change
instance-id-range 8240 , 8245 , 8249 , 8254 , 8256 - 8257 override
remote-rloc-probe on-route-change
service ethernet
eid-table vlan 1041 , 1048 , 1053 , 1059 , 1061 - 1062
database-mapping mac locator-set rloc_91947dad-3621-42bd-ab6b-379ecebb5a2b
ip dhcp snooping vlan 1062
IP Directed Broadcast Forwarding
IPDB Forwarding
Kader - Ingress CPU Punt- en Subnet Broadcast-conversie
In dit voorbeeld wordt een IP-subnetuitzending met een IP-bestemming van 172.16.56.255 (het uitzendadres voor de pool 172.16.56.0/24) van het externe netwerk geleid en voor het eerst bij de Fabric Border aangekomen. De interface voor de ingangslaag 3 is de IP Transit SVI (VLAN 3002). Omdat "ip network-broadcast" is ingeschakeld op deze interface, wordt het pakket geaccepteerd voor volledige broadcast-conversie; zonder deze configuratie zou het pakket worden weggelaten.
Het pakket komt aan op SVI 3002 en wordt, als een broadcast-pakket, gepunteerd op de switch-CPU. Als IP-netwerk-uitzending is geconfigureerd, is het pakket toegestaan en omgezet in een volledige uitzending.
BorderCP-1#show run interfave Vlan3002
interface Vlan3002
vrf forwarding VN1
ip address 192.168.10.5 255.255.255.252
ip network-broadcast
BorderCP-1#show ip cef vrf VN1 172.16.56.255
172.16.56.255/32
receive for Vlan1062 --- The routing result is "receive", indicating that the packet undergoes CPU processing.
Tijdens CPU-verwerking converteert VLAN 1062, de doelinterface, het pakket naar een volledige uitzending, omdat het is geconfigureerd met "ip-directed-broadcast".
BorderCP-1#show ip interface vlan 1062 | i Directed
Directed broadcast forwarding is enabled
U kunt deze gebeurtenis oplossen met de opdracht IP-pakket voor foutopsporing. Om overmatige uitvoer en een hoog bronnengebruik te voorkomen, moet u altijd een toegangslijst als filter toepassen bij het uitvoeren van dit foutopsporingsonderzoek.
ip access-list standard 10
10 permit 192.168.10.6 --- Directed Broadcast source IP
BorderCP-1#debug ip packet detail 10
IP: s=192.168.10.6 (Vlan3002), d=172.16.56.255 (nil), len 100, input feature
ICMP type=8, code=0, MCI Check(110), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
IP: s=192.168.10.6 (Vlan3002), d=172.16.56.255 (nil), len 100, input feature
ICMP type=8, code=0, Role-based Proxy(116), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
FIBipv4-packet-proc: route packet from Vlan3002 src 192.168.10.6 dst 172.16.56.255
FIBfwd-proc: VN1:172.16.56.255/32 receive entry
FIBipv4-packet-proc: packet routing failed
IP: tableid=3, s=192.168.10.6 (Vlan3002), d=172.16.56.255 (Vlan1062) nexthop=172.16.56.255, routed via RIB
IP: s=192.168.10.6 (Vlan3002), d=172.16.56.255 (Vlan1062), len 100, output feature
ICMP type=8, code=0, feature skipped, Role-based Access List(53), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
IP: s=192.168.10.6 (Vlan3002), d=172.16.56.255 (Vlan1062), g=255.255.255.255, len 100, forward directed broadcast
De ingangsrand fungeert als de multicast-bron (S) en -groep (G) voor BUM-inkapseling, met behulp van de Loopback 0 als het bronadres en de geconfigureerde BUM-groep als de bestemming.
Zorg er in het PIM-besturingsvlak voor dat er een downlink naar de Fabric Edges wordt weergegeven in de lijst Uitgaande interface voor de multicast-route. Gebruik voor het gegevensvlak de opdracht ip mfib count tonen om te controleren of de tellers voor het doorsturen van hardware toenemen voor de S, G-vermelding op de rand.
BorderCP-1#show ip mroute 239.0.17.1 192.168.0.201 | be \(
(192.168.0.201, 239.0.17.1), 5w0d/00:02:33, flags: FTA
Incoming interface: Null0, RPF nbr 0.0.0.0
Outgoing interface list:
TenGigabitEthernet1/0/42, Forward/Sparse, 2d09h/00:03:23, flags: -- Downlink to Fabric Edge or Intermediate Node
BorderCP-1#show ip mfib 239.0.17.1 192.168.0.201 count
Forwarding Counts: Pkt Count/Pkts per second/Avg Pkt Size/Kilobits per second
Other counts: Total/RPF failed/Other drops(OIF-null, rate-limit etc)
Default
16 routes, 6 (*,G)s, 3 (*,G/m)s
Group: 239.0.17.1
Source: 192.168.0.201,
SW Forwarding: 1/0/130/0, Other: 0/0/0
HW Forwarding: 2124804/0/116/0, Other: 0/0/0
Totals - Source count: 1, Packet count: 2124805
Groups: 1, 1.00 average sources per group
Dit document biedt geen gedetailleerde uitleg over de onderliggende multicast-boomvorming of Layer 2-overstromingen. In het geval van ontbrekende, onvolledige of verkeerde S, G-toestanden, vereist het onderliggende multicast-gedeelte van het netwerk onafhankelijke probleemoplossing.
Edge - Ingress Broadcast
Op Fabric Edges wordt de inkomende uitzending die is ingekapseld in VXLAN op multicast gede-encapsuleerd en doorgestuurd naar het VLAN dat is gekoppeld aan de VNI (8257), waarbij alle poorten in een doorstuurstatus in Spanning-Tree worden bereikt.
Controleer eerst of de S, G-invoer vanaf de grens (met de Border loopback als bron) voor de BUM-groep aanwezig is en doorstuurverkeer. Gebruik dezelfde mroute- en mfib-opdrachten om dit te controleren. Controleer of de L2LISP-subinterface die overeenkomt met het VLAN (1062) wordt vermeld als uitgaande interface.
Edge-1#show ip mroute 239.0.17.1 192.168.0.201 | be \(
(192.168.0.201, 239.0.17.1), 2d09h/00:01:10, flags: JT
Incoming interface: TenGigabitEthernet1/1/2, RPF nbr 192.168.98.2
Outgoing interface list:
L2LISP0.8257, Forward/Sparse-Dense, 2d09h/00:02:21, flags:
Edge-1#show ip mfib 239.0.17.1 192.168.0.201 verbose | be Forwarding
Forwarding Counts: Pkt Count/Pkts per second/Avg Pkt Size/Kbits per second
Other counts: Total/RPF failed/Other drops
I/O Item Counts: HW Pkt Count/FS Pkt Count/PS Pkt Count Egress Rate in pps
Default
(192.168.0.201,239.0.17.1) Flags: K HW DDE
0x12C OIF-IC count: 0, OIF-A count: 1
SW Forwarding: 2/0/402/0, Other: 0/0/0
HW Forwarding: 145023/0/128/0, Other: 0/0/0
TenGigabitEthernet1/1/2 Flags: RA A MA
L2LISP0.8257, L2LISP Decap Flags: RF F NS
CEF: OCE (lisp decap)
Pkts: 0/0/2 Rate: 0 pps
Na de-inkapseling wordt het pakket op VLAN 1062 doorgestuurd naar alle poorten die aan dat VLAN zijn toegewezen.
Edge-1#show spanning-tree vlan 1062
VLAN1062
Spanning tree enabled protocol rstp
Root ID Priority 33830
Address 00b1.e331.d580
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 33830 (priority 32768 sys-id-ext 1062)
Address 00b1.e331.d580
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Te1/0/2 Desg FWD 20000 128.3 P2p Edge
Po1 Desg FWD 20000 128.3049 P2p
Nadat het eindpunt het broadcast-pakket heeft ontvangen, moet het het pakket als relevant herkennen en reageren. Als gevolg hiervan kon het eindpunt een ARP-pakket verzenden, dat de apparaatvolgtabel op de switch bijwerkt.
Edge-1#show device-tracking database interface Te1/0/2 | be Network
Network Layer Address Link Layer Address Interface vlan prlvl age state Time left
ARP 172.16.56.12 aaaa.dddd.bbbb Te1/0/2 1062 0005 0s REACHABLE 241 s
Nadat het eindpunt opnieuw is geregistreerd in apparaattracking, wordt het geïmporteerd in de LISP-database van de Edge-node en vervolgens geregistreerd bij het controlevlak.
Voor LISP Pub-Sub-implementaties publiceert het Configuratiescherm de nieuw geregistreerde eindpuntinformatie naar de grenzen en maakt direct een LISP-cachevermelding met een map om het verkeer door te sturen naar de juiste Edge-node.
BorderCP-1#show lisp instance-id 4099 ipv4 map 172.16.56.12/32
LISP IPv4 Mapping Cache for LISP 0 EID-table vrf VN1 (IID 4099), 1 entries
172.16.56.12/32, uptime: 5w0d, expires: never, via pub-sub, complete, local-to-site
SGT: 2
Sources: pub-sub
State: complete, last modified: 5w0d, map-source: local
Exempt, Packets out: 6(2432 bytes), counters are not accurate (~ 5w0d ago)
Configured as EID address space
Locator Uptime State Pri/Wgt Encap-IID
192.168.0.101 5w0d up 10/10 -
Last up-down state change: 5w0d, state change count: 1
Last route reachability change: 5w0d, state change count: 1
Last priority / weight change: never/never
RLOC-probing loc-status algorithm:
Last RLOC-probe sent: 00:22:19 (rtt 4ms)
Voor LISP/BGP (SDA 1.0)-implementaties kan het bijwerken van de LISP-kaartcache voor een onbekend eindpunt tot één minuut duren als de implementatie is gedistribueerd (niet-gecolloceerd), omdat de NMR's (Negative Map Replies) eerst moeten verlopen.
Een stille host moet pakketten zoals subnetuitzendingen negeren als deze niet is geprogrammeerd om erop te reageren. Sommige eindpunten vereisen een "magic packet" (zoals een UDP Echo), terwijl anderen alleen reageren op een ARP-uitzending. De stille host bepaalt zelf welk type pakket het activeert om wakker te worden. Een van de meest voorkomende opties is meestal een ARP-verzoek, zoals uitgelegd in de sectie Unicast Forwarding.
Onbekende Unicast Forwarding
Onbekende Unicast-forwarding
Wanneer een pool is ingeschakeld voor IP Directed Broadcast, staat deze niet alleen de afhandeling van subnetuitzendingen toe, maar kan Fabric Borders ook fungeren als gateways voor het doorsturen van onbekend unicastverkeer. In dit verband verwijst onbekend unicastverkeer naar pakketten die zijn bestemd voor eindpunten die momenteel niet zijn geregistreerd in het controlevlak.
Net als bij een traditionele netwerkgateway die een ARP-verzoek verzendt wanneer deze een onvolledige ARP-invoer tegenkomt, genereert de Border een ARP-verzoek en wordt deze naar alle Fabric Nodes overgezet. Dit zorgt ervoor dat de stille host het verzoek ontvangt, wakker wordt en een ARP-antwoord verzendt, waardoor hij zichzelf opnieuw registreert in het controlevlak.
Deze functionaliteit is mogelijk omdat het endpoint VLAN (1062) is geconfigureerd als zowel een SVI- als een L2LISP-instantie op de Fabric Border. Met "flood arp-nd" ingeschakeld in de L2 IID, kan de Border ARP-verzoeken die door de SVI worden gegenereerd, overspoelen wanneer er verkeer wordt geleid naar een onbekende LISP EID, zodat stille hosts het ARP-verzoek ontvangen en de mogelijkheid hebben om te reageren en hun registratie in het controlevlak bij te werken.
BorderCP-1#show vlan id 1062
VLAN Name Status Ports
---- -----------------------------------------
1062 IPDB_POOL_1 active L2LI0:8257, Te1/0/44
BorderCP-1#show run | se 8257
instance-id 8257
remote-rloc-probe on-route-change
service ethernet
eid-table vlan 1062
broadcast-underlay 239.0.17.1
flood arp-nd
flood unknown-unicast
database-mapping mac locator-set rloc_0f43c5d8-f48d-48a5-a5a8-094b87f3a5f7
Wanneer de Fabric Border een pakket ontvangt dat is bestemd voor 172.16.56.12 op SVI 3002 - dat deel uitmaakt van het eindpunt VN/VRF - probeert het LISP-resolutie, omdat de CEF-uitvoer is ingesteld op "glean" (wat betekent dat het apparaat probeert de bestemmingsnabijheid op te lossen met behulp van het downstream-laagprotocol). Dit proces activeert zowel een LISP Map-Request als een ARP-resolutie voor de niet-geregistreerde (stille) host tegelijkertijd.
BorderCP-1#show lisp instance-id 4099 ipv4 map-cache 172.16.56.12
LISP IPv4 Mapping Cache for LISP 0 EID-table vrf VN1 (IID 4099), 1 entries
172.16.56.0/24, uptime: 00:00:30, expires: never, via dynamic-EID, send-map-request, local-to-site
Sources: NONE
State: send-map-request, last modified: 00:00:30, map-source: local
Exempt, Packets out: 2(1152 bytes), counters are not accurate (~ 2d15h ago)
Configured as EID address space
Configured as dynamic-EID address space
Encapsulating dynamic-EID traffic
Negative cache entry, action: send-map-request -- LISP Resolution attempted
BorderCP-1#show ip cef vrf VN1 172.16.56.12
172.16.56.0/24
attached to LISP0.4099
BorderCP-1#show ip cef vrf VN1 172.16.56.12 internal | se output chain:
output chain:
PushCounter(LISP:172.16.56.0/24) 766CBD050CF0
glean for LISP0.4099
Er wordt een onvolledige ARP-vermelding gemaakt, waardoor de Border een ARP-verzoek naar het onbekende eindpunt 172.16.56.12 stuurt. Dit ARP-verzoek, als uitzendpakket, wordt downstream doorgestuurd met behulp van Layer 2 Flooding en de Flood ARP-ND-functie.
Om te controleren of Layer 2 overstromingen operationeel is, controleert u de MFIB tellers voor de lokale S, G van de grens.
BorderCP-1#show ip mroute 239.0.17.1 192.168.0.201 | be \(
(192.168.0.201, 239.0.17.1), 5w0d/00:02:33, flags: FTA
Incoming interface: Null0, RPF nbr 0.0.0.0
Outgoing interface list:
TenGigabitEthernet1/0/42, Forward/Sparse, 2d09h/00:03:23, flags: -- Downlink to Fabric Edge or Intermediate Node
BorderCP-1#show ip mfib 239.0.17.1 192.168.0.201 count
Forwarding Counts: Pkt Count/Pkts per second/Avg Pkt Size/Kilobits per second
Other counts: Total/RPF failed/Other drops(OIF-null, rate-limit etc)
Default
16 routes, 6 (*,G)s, 3 (*,G/m)s
Group: 239.0.17.1
Source: 192.168.0.201,
SW Forwarding: 1/0/130/0, Other: 0/0/0
HW Forwarding: 2124804/0/116/0, Other: 0/0/0
Totals - Source count: 1, Packet count: 2124805
Groups: 1, 1.00 average sources per group
Het overstroomde ARP-pakket bereikt de stille host, maakt deze wakker en vraagt om een ARP-antwoord. Met deze reactie wordt de SISF-tabel (Device Tracking) op de Fabric Edge bijgewerkt en wordt een LISP-databasevermelding gemaakt. Als gevolg hiervan initieert de Fabric Edge een registratie voor het besturingsvlak.
Edge-1#show device-tracking database interface Te1/0/2 | be Network
Network Layer Address Link Layer Address Interface vlan prlvl age state Time left
ARP 172.16.56.12 aaaa.dddd.bbbb Te1/0/2 1062 0005 0s REACHABLE 241 s
Nadat het eindpunt opnieuw is geregistreerd in apparaattracking, wordt het geïmporteerd in de LISP-database van de Edge-node en vervolgens geregistreerd bij het controlevlak.
Voor LISP Pub-Sub-implementaties publiceert het Configuratiescherm de nieuw geregistreerde eindpuntinformatie naar de grenzen en maakt direct een LISP-cachevermelding met een map om het verkeer door te sturen naar de juiste Edge-node.
BorderCP-1#show lisp instance-id 4099 ipv4 map 172.16.56.12/32
LISP IPv4 Mapping Cache for LISP 0 EID-table vrf VN1 (IID 4099), 1 entries
172.16.56.12/32, uptime: 5w0d, expires: never, via pub-sub, complete, local-to-site
SGT: 2
Sources: pub-sub
State: complete, last modified: 5w0d, map-source: local
Exempt, Packets out: 6(2432 bytes), counters are not accurate (~ 5w0d ago)
Configured as EID address space
Locator Uptime State Pri/Wgt Encap-IID
192.168.0.101 5w0d up 10/10 -
Last up-down state change: 5w0d, state change count: 1
Last route reachability change: 5w0d, state change count: 1
Last priority / weight change: never/never
RLOC-probing loc-status algorithm:
Last RLOC-probe sent: 00:22:19 (rtt 4ms)
Voor LISP/BGP (SDA 1.0)-implementaties kan het bijwerken van de LISP-kaartcache voor een onbekend eindpunt tot één minuut duren als de implementatie is gedistribueerd (niet-gecolloceerd), omdat de NMR's (Negative Map Replies) eerst moeten verlopen.
Tip: De rand lost ARP nooit op voor de stille host; alleen de eindpuntregistratie is vereist. Wanneer de stille host antwoordt, wordt het ARP-pakket verzonden als een Layer 2-unicast, zodat het niet naar de grens wordt overstroomd. Verwacht daarom niet dat u een ARP-vermelding of een apparaatvolgvermelding op de grens ziet.
Wake-on-LAN inschakelen in verificatiesjablonen
Wanneer Fabric-gebruikers Geen verificatie hebben ingeschakeld, bereiken overstroomde pakketten van de Border stille hosts zolang de poort deel uitmaakt van het VLAN waar overstromingen is ingeschakeld; met Gesloten verificatie (in het bijzonder) worden echter twee belangrijke factoren belangrijk.
Handmatige VLAN-toewijzing voor de host vóór verificatie
Als er geen VLAN is toegewezen, ontvangt de poort geen overstroomde pakketten van het toegewezen VLAN. Wanneer een VLAN naar verwachting zal worden toegewezen door RADIUS, creëert dit een "Chicken or the Egg?" -dilemma: het overstroomde pakket kan niet worden doorgestuurd naar een ander VLAN (gewoonlijk aangeduid als VLAN-hopping) om gebruikersverificatie te activeren en een VLAN-toewijzing van RADIUS te verkrijgen.
Als bij het configureren van de poort in Host-Onboarding het apparaat wordt geïdentificeerd als "silent", wijst u het VLAN handmatig toe via het vervolgkeuzemenu voor de GEGEVENSpools.
Het probleem van stille hosts die niet kunnen worden geverifieerd voordat VLAN-toewijzing is niet uniek voor SD-Access; het is een veel voorkomende ontwerpuitdaging die te vinden is in een traditioneel beveiligd netwerk.
interface TenGigabitEthernet1/0/2
switchport access vlan 1062
switchport mode access
device-tracking attach-policy IPDT_POLICY
dot1x timeout tx-period 7
dot1x max-reauth-req 3
source template DefaultWiredDot1xClosedAuth
spanning-tree portfast
spanning-tree bpduguard enable
toegangsbesturingsrichting
Als Wake-on-LAN niet is ingeschakeld in de instellingen van de verificatiesjabloon in Host-Onboarding, gebruiken de verificatiesjablonen standaard "access-session control-direction both". Deze configuratie zorgt ervoor dat de poort zowel inkomende pakketten als pakketten laat vallen die uit de poort worden doorgestuurd. Wanneer Wake-on-LAN is ingeschakeld, verandert de instelling in "access-session control-direction in", waardoor alleen het toegangsverkeer wordt beperkt. Met deze aanpassing kunnen pakketten de stille host bereiken en wekken, waardoor deze MAB-verificatie kan starten.
Wake on LAN
Zonder Wake-on-LAN:
Edge-1#show run all | se template DefaultWiredDot1xClosedAuth
template DefaultWiredDot1xClosedAuth
dot1x pae authenticator
dot1x timeout supp-timeout 7
dot1x max-req 3
switchport mode access
switchport voice vlan 2046
mab radius
access-session host-mode multi-auth
access-session control-direction both
access-session closed
access-session port-control auto
Edge-1#show authentication session interface Te1/0/2 detail | i Oper
Oper host mode: multi-auth
Oper control dir: both
Oper host mode: multi-auth
Oper control dir: both
Voordat het eindpunt wordt geverifieerd, wordt de interface die eraan is toegewezen, niet vermeld als voor overstromingen ingeschakeld in de status Spanning Tree.
Edge-1#show spanning-tree interface Te1/0/2
no spanning tree info available for TenGigabitEthernet1/0/2
Met Wake-on-LAN ingeschakeld:
Edge-1#show run | se template DefaultWiredDot1xClosedAuth
template DefaultWiredDot1xClosedAuth
dot1x pae authenticator
dot1x timeout supp-timeout 7
dot1x max-req 3
switchport mode access
switchport voice vlan 2046
mab
access-session control-direction in
access-session closed
access-session port-control auto
Edge-1#show authen session interface Te1/0/2 de | i Oper
Oper host mode: multi-auth
Oper control dir: in
Oper host mode: multi-auth
Oper control dir: in
Nog vóór de verificatie is de poort ingeschakeld voor het uitgaand verkeer, waardoor pakketten de stille host kunnen bereiken en wekken.
Edge-1#show spanning-tree interface TenGigabitEthernet 1/0/2
Vlan Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
VLAN1062 Desg FWD 19 128.2 P2p Edge
Alternatieve scenario's
Edge-knooppunten en hetzelfde VLAN - Layer 2-overstromingen
Als het doel is om een stille host te wekken vanaf een apparaat binnen de verbinding op hetzelfde VLAN als de host, is de functie IP Directed Broadcast niet vereist. In plaats daarvan is het inschakelen van Layer 2 Flooding (in een niet-draadloze pool) voldoende om de uitwisseling van broadcast-pakketten, subnetuitzendingen of ARP-verzoeken mogelijk te maken. Voor gesloten verificatie blijven de vereisten voor Wake-on-LAN behouden.
Zelfde VLAN - stille hostverwerking
Edge-knooppunten en verschillende VLAN's - Onbekende Unicast
Wanneer een eindpunt in de verbinding unicastverkeer verzendt naar een stille host die is verbonden met een Fabric Edge-node, is het pad voor het doorsturen van Unicast Unicast niet beschikbaar. In tegenstelling tot Fabric Borders hebben Fabric Edge-nodes Borders gedefinieerd als LISP Proxy-ETR's, die automatisch een doorstuurfunctie inschakelen met de naam "Signal & Forward" wanneer een onbekend eindpunt wordt gedetecteerd. De Fabric Edge moet het vereiste ARP-verzoek activeren bij de eerste poging om het adres op te lossen. Zodra LISP het eindpunt echter identificeert als een onbekende EID, leiden volgende pakketten geen extra ARP-verzoeken in. Dit scenario wordt als niet-ondersteund beschouwd.
Onbekende Unicast Inter-VLAN
Doorvoer voor SD-toegang - Onbekende Unicast
In het geval van SD-Access Transit wordt onbekend unicast-verkeer standaard ondersteund zonder speciale vereisten. Verkeer dat afkomstig is van een afgelegen grens wordt via het SD-Access Transit-netwerk geleid, waarbij subnetuitzendingen worden behandeld als regulier gerouteerd verkeer. Wanneer het verkeer de grens van de lokale site bereikt, worden standaardbewerkingen uitgevoerd, waaronder Traffic Glean, ARP Request flooding en LISP-resolutie.
SD-Access Transit Unknown Unicast
SD-Access Transit - IP-gestuurde uitzending
Wanneer SD-Access Transit in gebruik is, ontvangt de lokale site Border de IP Directed Broadcast op de LISP-subinterface voor de VN (bijvoorbeeld interface 4099), in plaats van op een SVI. Om ervoor te zorgen dat de uitzending wordt geaccepteerd en omgezet in een subnetuitzending door de functie IP Directed Broadcast, moet u de parameter "ip network-broadcast" handmatig configureren op de LISP-subinterface.
SD-Access Transit IPDB
Op BorderCP-1 (Local-Site Border):
interface LISP0.4099
ip network-broadcast
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
04-May-2026
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)