瞭解SD-Access中的訪問隧道建立
簡介
本檔案將說明存取通道在SD-Access中的含義、用途,以及您可以如何對存取通道的形成進行分類。
必要條件
需求
思科建議您瞭解以下主題:
- 定位器ID分隔通訊協定(LISP)
- 無線
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco無線LAN控制器(WLC)- C9800-CL、Cisco IOS® XE 17.12.04
- SDA邊緣節點 — C9300-48P,Cisco IOS® XE 17.12.05
- SDA邊界節點/控制平面 — C9500-48P,Cisco IOS® XE 17.12.05
- 思科存取點 — C9130AXI-A,版本17.9.5.47
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
拓撲
本文中使用的拓撲
概觀
Cisco SD-Access中的接入隧道是在交換矩陣邊緣節點和接入點(AP)之間建立的虛擬可擴展LAN(VXLAN)隧道。 此隧道將客戶端流量封裝在VXLAN中,實現SD-Access交換矩陣內的無縫通訊。接入隧道用作資料平面重疊,用於將流量從連線到接入點的無線客戶端傳輸到交換矩陣邊緣,從而確保在整個網路中一致的策略實施和分段。
存取通道建立流程
- AP已插入並通過乙太網供電(PoE)通電。
- AP通過重疊中的DHCP獲取IP地址。在此過程中,AP還會從DHCP伺服器接收用於無線LAN控制器的選項43。
- 交換矩陣邊緣註冊AP的IP地址和乙太網MAC並更新LISP控制平面。
- WLC查詢LISP CP以瞭解AP是否連線到交換矩陣裝置。
- LISP控制平面使用連線AP的交換矩陣裝置的定位器(Loopback 0 IP)回覆WLC。如果有答案,則表示AP已連線到交換矩陣並標籤為已啟用交換矩陣。
- WLC在LISP控制平面中對AP無線電MAC以及從WLC到FE的後設資料資訊執行L2 LISP註冊。
- LISP控制平面通知交換矩陣邊緣並傳送從WLC接收的後設資料。此後設資料包含一個標誌,指示它是AP和AP IP地址。
- 交換矩陣邊緣處理該資訊。它得知自己是AP,並在AP和交換矩陣邊緣之間建立一個VXLAN隧道,也稱為接入隧道。
通讀這些步驟,確保在SD-Access內成功形成AP自註冊訪問隧道。這些檢查中的任何失敗都可能阻止隧道建立。如果某個步驟沒有產生預期結果,請將故障排除工作重點放在與該步驟相關的元件上。
驗證進程
驗證AP是否獲得IP地址
要驗證AP是否收到IP地址,請在邊緣節點上運行以下命令:
Edge#show device-tracking database interface gigabitEthernet 1/0/10
...
Network Layer Address Link Layer Address Interface vlan prlvl age state Time left
DH4 172.16.99.9 345d.a8b2.48d4 Gi1/0/10 99 0024 15s REACHABLE 237 s try 0(47302 s)
從先前的輸出可以確認,連線到介面GigabitEthernet 1/0/10的AP的VLAN 99上的IP地址為172.16.99.9,乙太網MAC地址為345d.a8b2.48d4。
如果輸出為空,則AP無法獲取IP地址或乙太網供電(PoE)無法正常工作。要確認PoE工作正常,請通過運行以下命令驗證接入點的MAC地址是否顯示在MAC地址表中:
Edge#show mac address-table interface gigabitEthernet 1/0/10
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
99 345d.a8b2.48d4 DYNAMIC Gi1/0/10
要確認PoE的內聯電源工作正常,請運行以下命令:
Edge#show power inline gigabitEthernet 1/0/10
Interface Admin Oper Power Device Class Max
(Watts)
--------- ------ ---------- ------- ------------------- ----- ----
Gi1/0/10 auto on 30.0 C9130AXI-A 4 30.0
PoE工作正常且工作功率為30.0瓦。
附註:取得IP位址後,存取點會嘗試加入無線LAN控制器(WLC),與傳統網路類似。如果在運行show ap summary命令時未列出AP,請排除AP連線故障。
檢驗AP在LISP控制平面上的IP和乙太網MAC註冊
要標識交換矩陣邊緣的控制平面(也稱為對映伺服器),請運行命令:
Edge#show lisp session
Sessions for VRF default, total: 1, established: 1
Peer State Up/Down In/Out Users
172.16.233.11:4342 Up 1d02h 326/324 12
控制平面是172.16.233.11,它將是該裝置的環回0。
標識交換矩陣站點的控制平面的另一種方法是運行以下命令:
Edge#show running-config | section map-server
etr map-server 172.16.233.11 key 7 050F020C734848514D514117595853732F
etr map-server 172.16.233.11 proxy-reply
etr map-server 172.16.233.11 key 7 050F020C734848514D514117595853732F
etr map-server 172.16.233.11 proxy-reply
在WLC上,您還可以驗證與控制平面的LISP作業階段是否處於UP狀態:
WLC#show wireless fabric summary
Fabric Status : Enabled
Control-plane:
Name IP-address Key Status
--------------------------------------------------------------------------------------------
default-control-plane 172.16.233.11 ddc2df8446e2479d Up
使用以下命令查詢在控制平面上註冊的AP的IP:
Border#show lisp instance-id 4097 ipv4 server 172.16.99.9
LISP Site Registration Information
...
EID-prefix: 172.16.99.9/32 instance-id 4097
First registered: 22:14:34
Last registered: 22:14:34
Routing table tag: 0
Origin: Dynamic, more specific of 172.16.99.0/24
...
TTL: 1d00h
State: complete
Extranet IID: Unspecified
Registration errors:
Authentication failures: 0
Allowed locators mismatch: 0
ETR 172.16.111.65:21839, last registered 22:14:34, proxy-reply, map-notify <-- Last registration
TTL 1d00h, no merge, hash-function sha1
state complete, no security-capability
...
Domain-ID 1559520338
Multihoming-ID unspecified
sourced by reliable transport
Locator Local State Pri/Wgt Scope
172.16.111.65 yes up 10/10 IPv4 none
附註:AP始終使用第3層的INFRA_VN,此INFRA_VN始終對映到例項ID 4097。
IP地址為172.16.99.9的AP已完成註冊。沒有身份驗證失敗,並且已連線到邊緣節點172.13.111.65(定位器)。
要驗證MAC地址是否已在控制平面上註冊,首先識別AP所連線的VLAN的第2層例項ID。使用以下命令:
Edge#show vlan id 99
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
99 AP_VLAN active L2LI0:8188, Gi1/0/10, Ac0
...
VLAN 99對映到例項ID 8188。使用此例項ID,運行以下命令以確認是否已在控制平面上註冊乙太網MAC地址:
Border#show lisp instance-id 8188 ethernet server 345d.a8b2.48d4
LISP Site Registration Information
...
EID-prefix: 345d.a8b2.48d4/48 instance-id 8188
First registered: 22:57:39
Last registered: 22:57:39
Routing table tag: 0
Origin: Dynamic, more specific of any-mac
...
State: complete
Extranet IID: Unspecified
Registration errors:
Authentication failures: 0
Allowed locators mismatch: 0
ETR 172.16.111.65:21839, last registered 22:57:39, proxy-reply, map-notify
TTL 1d00h, no merge, hash-function sha1
state complete, no security-capability
...
Domain-ID 1559520338
Multihoming-ID unspecified
sourced by reliable transport
Locator Local State Pri/Wgt Scope
172.16.111.65 yes up 10/10 IPv4 none
AP的乙太網MAC 345d.a8b2.48d4的註冊已完成,沒有任何身份驗證失敗,並且已連線到邊緣節點172.13.111.65(定位器)。
驗證WLC是否將裝置標籤為支援光纖
WLC#show fabric ap summary
Number of Fabric AP : 1
AP Name Slots AP Model Ethernet MAC Radio MAC Location Country IP Address State
----------------------------------------------------------------------------------------------------------------------------------------------------------------
AP345D.A8B2.48D4 3 C9130AXI-A 345d.a8b2.48d4 4891.d56b.9f00 default location MX 172.16.99.9 Registered
IP地址為172.16.99.9的AP已正確標籤為交換矩陣AP。如果未列出AP,則表示WLC無法從LISP控制平面接收響應。在此輸出中,AP的無線電MAC地址為4891.d56b.9f00。
附註:如果AP已在控制平面上註冊,但未標籤為啟用交換矩陣,請確保沒有防火牆阻止UDP埠4342上的LISP流量。
檢驗LISP控制平面上的無線電MAC註冊
使用用於驗證乙太網MAC地址註冊的相同命令,但用無線電MAC地址替換乙太網MAC地址:
Border#show lisp instance-id 8188 ethernet server 4891.d56b.9f00
LISP Site Registration Information
...
EID-prefix: 4891.d56b.9f00/48 instance-id 8188
First registered: 22:49:43
Last registered: 22:49:43
Routing table tag: 0
Origin: Dynamic, more specific of any-mac
...
State: complete
Extranet IID: Unspecified
Registration errors:
Authentication failures: 0
Allowed locators mismatch: 0
ETR 192.168.33.88:59019, last registered 22:49:43, no proxy-reply, no map-notify
TTL 1d00h, no merge, hash-function sha2
state complete, no security-capability
...
sourced by reliable transport
Affinity-id: 0 , 0
WLC AP bit: Set
Locator Local State Pri/Wgt Scope
172.16.111.65 yes up 0/0 IPv4 none
無線電MAC地址已完全註冊,沒有任何身份驗證失敗,並且已連線到邊緣節點172.16.111.65(定位器)。 輸出還顯示WLC AP位元:設定LISP控制平面使用的標誌,以向邊緣節點指示此註冊屬於其RLOC 172.16.111.65上的AP。
驗證存取通道建立
最後一步是驗證在光纖邊緣上建立存取通道。如前所述,這是SD-Access中AP自註冊的最終目標。要驗證訪問隧道的建立,請運行以下命令:
Edge#show access-tunnel summary
Access Tunnels General Statistics:
Number of AccessTunnel Data Tunnels = 1
Name RLOC IP(Source) AP IP(Destination) VRF ID Source Port Destination Port
------ --------------- ------------------ ------ ----------- ----------------
Ac0 172.16.111.65 172.16.99.9 0 N/A 4789
Name IfId Uptime
------ ---------- --------------------
Ac0 0x00000058 0 day, 00:00:51
接入隧道0將AP 172.16.99.9連線到邊緣節點定位器172.16.111.65,並且已運行51秒。每次重置後,計時器都設定為0。
您還可以確認通道在轉送引擎驅動程式(FED)抽象層進行程式設計,該抽象層直接與交換器硬體介面:
Edge#show platform software fed switch active ifm interfaces access-tunnel
Interface IF_ID State
----------------------------------------------------------------------
Ac0 0x00000058 READY
使用IF_ID可以找到有關此隧道的更多資訊:
Edge#show platform software fed switch active ifm if-id 0x00000058
Interface IF_ID : 0x0000000000000058
Interface Name : Ac0
Interface Block Pointer : 0x73d6c83dc6f8
Interface Block State : READY
Interface State : Enabled
...
Interface Type : ACCESS_TUNNEL
...
Tunnel Type : L2Lisp
Encap Type : VxLan
...
這是使用VXLAN封裝的L2 lisp通道,介面型別為存取通道。
附註:在show access-tunnel summary命令和FED命令的輸出中,接入隧道的數量必須匹配,這一點很重要。不匹配可能表示程式設計錯誤。
在AP上,您可以使用以下命令驗證存取通道的建立:
AP#show ip tunnel fabric
Fabric GWs Information:
Tunnel-Id GW-IP GW-MAC Adj-Status Encap-Type Packet-In
Bytes-In Packet-Out Bytes-out
1 172.16.111.65 00:00:0C:9F:F2:80 Forward VXLAN 121
17096 239 35041
AP APP Fabric Information:
GW_ADDR ENCAP_TYPE VNID SGT FEATURE_FLAG GW_SRC_MAC GW_DST_MAC
AP具有指向邊緣節點定位器172.16.111.65的訪問隧道。MAC地址00:00:0C:9F:F2:80屬於交換機虛擬介面(SVI)99,即AP所連線的VLAN。封裝型別是VXLAN。
提示:僅當連線了活動客戶端時,隧道才會出現在AP上。否則,該命令將返回空輸出。
調試和跟蹤
如需存取通道建立的更進階偵錯,請在網狀架構邊緣上啟用以下追蹤:
set platformsoftware trace forwarding-manager switch active R0 access-tunnel debug
set platform software trace forwarding-manager switch active F0 access-tunnel debug
set platform software trace forwarding-manager switch active access-tunnel noise
request plat sof trace rotate all
show pla sof trace message forwarding-manager switch active R0 reverse
show pla sof trace message forwarding-manager switch active F0 reverse
show pla sof trace message fed sw active reverse
Catalyst 9000 access-tunnel platform-dependent命令,用於驗證交換矩陣邊緣上的接入隧道程式設計:
show platform software fed switch active ifm interfaces access-tunnel
show platform software access-tunnel switch active R0
show platform software access-tunnel switch active R0 statistics
show platform software access-tunnel switch active F0
show platform software access-tunnel switch active F0 statistics
show platform software fed switch active ifm if-id <if-id>
要進行調試,在WLC上建立存取通道的過程,請啟用以下命令:
set platform software trace wncd chassis active r0 lisp-agent-api
set platform software trace wncd chassis active r0 lisp-agent-db
set platform software trace wncd chassis active r0 lisp-agent-fsm
set platform software trace wncd chassis active r0 lisp-agent-ha
set platform software trace wncd chassis active r0 lisp-agent-internal g
set platform software trace wncd chassis active r0 lisp-agent-lib
set platform software trace wncd chassis active r0 lisp-agent-lispmsg
set platform software trace wncd chassis active r0 lisp-agent-shim
set platform software trace wncd chassis active r0 lisp-agent-transport
註冊流程的調試。這些命令可以在邊緣節點上運行,以驗證它是否嘗試註冊AP的IP地址和乙太網MAC,也可以在控制平面上運行以確認是否成功註冊。
debug lisp filter eid <mac-or-ip>
debug lisp control-plane all
摘要
- SD-Access中的接入隧道是交換矩陣邊緣節點和接入點之間的VXLAN隧道,在VXLAN中封裝的交換矩陣內傳輸客戶端流量。
- 它們支援統一無線資料平面和一致的策略實施,因為安全組標籤(SGT)在無線終端的接入點級別進行標籤。
- 驗證和分類涉及檢查交換矩陣控制平面上的註冊、確認在交換矩陣邊緣節點上建立,以及使用特定的show命令驗證WLC上AP的交換矩陣狀態。
- 故障排除的重點是確保正確建立隧道並在配置更改後保持穩定。
- 將新AP註冊到SD-Access時,訪問隧道是最終目標。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
2.0 |
23-Oct-2025
|
初始版本 |
1.0 |
07-Oct-2025
|
初始版本 |
意見