ACI durchsetzen Domänenvalidierung

Download-Optionen

  • PDF     (530.7 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (379.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (350.8 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:3. Dezember 2023
Dokument-ID:221206

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Einstellung zur Domänenvalidierung erzwingen und ihre Vorteile beschrieben. 

    Domänenvalidierung erzwingen erklärt

    Standardmäßig ist die Domänenvalidierung erzwingen nicht aktiviert. Wenn also eine EPG mit einem statischen {port, VLAN} konfiguriert ist, in dem keine Domäne mit diesem VLAN vorhanden ist, geschieht Folgendes: 

    • Die Application Centric Infrastructure (ACI) löst den Fehler F0467 aus: "Die Konfiguration für <path> ist aufgrund der ungültigen Pfadkonfiguration fehlgeschlagen."
    • VLAN wird auf der Schnittstelle bereitgestellt.
    • Der Datenverkehr wird über die spezifische Schnittstelle weitergeleitet.

    Diese Fehlkonfiguration kann durch Erzwingen der Domänenvalidierung verhindert werden.

    Warnsymbol

    Vorsicht: AKTIVIEREN SIE DIESE FUNKTION NICHT OHNE ANGEMESSENE SORGFALT AUF EINER VORHANDENEN FABRIC.

    Diese Funktion kann nicht deaktiviert werden, nachdem sie aktiviert wurde. Bestehende Konfigurationen können funktionsfähig sein, selbst wenn sie falsch waren. Überprüfen Sie vor der Aktivierung die Domänenzuweisung zu den EPGs und den zugehörigen AEPs.

    Domänenvalidierung erzwingen: Deaktiviert (Standardverhalten)

    APIC CLI erzwingt Überprüfung der Domänenvalidierung. Der Standardstatus gibt an, dass die Domänenvalidierung deaktiviert ist.

    APIC# moquery -c infraSetPol | egrep"domainValidation"
    domainValidation               : no

    Angenommen, das encap-VLAN 420 ist nicht an die Domäne/den AEP gebunden, die/der mit der EPG verknüpft ist. VLAN 420 wird weiterhin auf der erwarteten Schnittstelle bereitgestellt. 

    leaf# show vlan encap-id 420 extended
     VLAN Name                             Encap            Ports                    
     ---- -------------------------------- ---------------- ------------------------ 
    1    lc_TN:lc_APP:lc_EPG              vlan-420         Eth1/13 

    Platform Independent (PI) VLANs (1, 19) für EPG und BD werden bereitgestellt und dürfen an der erwarteten Schnittstelle Trunks senden.

    "
     VLAN Name                             Encap            Ports                    
     ---- -------------------------------- ---------------- ------------------------ 
    1    lc_TN:lc_APP:lc_EPG              vlan-420         Eth1/13                  
    19   lc_TN:lc_BD                      vxlan-16416666   Eth1/13                  

    VLANs für BD und EPG werden auf der erwarteten Schnittstelle bereitgestellt.

    leaf# show int eth 1/13 trunk | grep -A Allowed          
     Port           Vlans Allowed on Trunk                                             
    -----------------------------------------------------------------------------------
    Eth1/13        1,19

    Domänenvalidierung durchsetzen: Aktiviert

    Wenn die Domänenvalidierung erzwingen aktiviert ist, können Sie einen statischen Pfad auf einer EPG mit einer VLAN-ID erstellen, die nicht mit dem entsprechenden Zugriffsrichtlinienpfad verknüpft ist. Die Fabric löst einen Fehler aus, und das VLAN ist auf der Schnittstelle NICHT programmiert.

    APIC-GUI - Überprüfen der Domänenvalidierung System > Systemeinstellungen > Domänenvalidierung erzwingen.

    Domänenvalidierung erzwingenDomänenvalidierung erzwingen

    Bestätigung der Verifizierung

    Nach der Erzwingung kann die Domänenvalidierung nicht mehr rückgängig gemacht werden.Nach der Erzwingung kann die Domänenvalidierung nicht mehr rückgängig gemacht werden.

    Wenn die Einstellung aktiviert ist, ist die Option ausgegraut, sodass Sie die Aktion nicht rückgängig machen können.

    APIC CLI: Überprüfung der Domänenvalidierung erzwingen

    APIC# moquery -c infraSetPol | egrep "domainValidation"
    domainValidation               : yes

    Diese Validierung tritt NUR dann für die bestehende Konfiguration in Kraft, wenn die Richtlinie auf den Switch heruntergeladen werden muss.

    In der Regel kann dies bei einem Switch-Upgrade, einem sauberen Neuladen oder einer Snapshot-/Backup-Wiederherstellung der Konfiguration der Fall sein.

    Beispiel für einen sauberen Neuladeschritt:

    leaf# acidiag  touch clean 
    This command can wipe out this device, Proceed? [y/N] y
    leaf# reload
    This command can reload the chassis, Proceed (y/n)? [n]: y

    VLAN 420, das ursprünglich bereitgestellt wurde, befindet sich derzeit NICHT auf der erwarteten Schnittstelle.

    leaf# show int eth 1/13 trunk | grep -A 2 Allowed           
     Port           Vlans Allowed on Trunk                                             
    -----------------------------------------------------------------------------------
     Eth1/13        none

    Die Aktivierung der Domänenvalidierung wird als Best Practice erachtet. Nach der Aktivierung gibt es keine Option zum Zurücksetzen der Änderung.

    Eine POSTMAN-API zeigt an, dass der Beitrag zum Ändern der Einstellung nicht erfolgreich ist.

    Die Domänenvalidierung ist nur einmal erforderlich. Weitere Änderungen sind nicht zulässig.Die Domänenvalidierung ist nur einmal erforderlich. Weitere Änderungen sind nicht zulässig.

    Da diese Einstellung in der ersten Version keine Standardeinstellung war, kann jede erzwungene Änderung in der Standardeinstellung dazu führen, dass eine falsche Konfiguration fehlschlägt, was zu Ausfällen führt. 

    Aus diesem Grund ist die Einstellung vom Benutzer konfigurierbar.

    Fehlerbehebung

    Der Fehler F0467 wird für betroffene EPGs mit fehlenden Zugriffsrichtlinienzuordnungen ausgelöst.

    Schnellstartisolierung zur Fehlerbehebung in diesem Artikel.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    03-Dec-2023
    VLAN 420 aktualisiert
    1.0
    01-Dec-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Luis Contreras
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.