Einleitung
In diesem Dokument werden die Einstellung zur Domänenvalidierung erzwingen und ihre Vorteile beschrieben.
Domänenvalidierung erzwingen erklärt
Standardmäßig ist die Domänenvalidierung erzwingen nicht aktiviert. Wenn also eine EPG mit einem statischen {port, VLAN} konfiguriert ist, in dem keine Domäne mit diesem VLAN vorhanden ist, geschieht Folgendes:
- Die Application Centric Infrastructure (ACI) löst den Fehler F0467 aus: "Die Konfiguration für <path> ist aufgrund der ungültigen Pfadkonfiguration fehlgeschlagen."
- VLAN wird auf der Schnittstelle bereitgestellt.
- Der Datenverkehr wird über die spezifische Schnittstelle weitergeleitet.
Diese Fehlkonfiguration kann durch Erzwingen der Domänenvalidierung verhindert werden.
Vorsicht: AKTIVIEREN SIE DIESE FUNKTION NICHT OHNE ANGEMESSENE SORGFALT AUF EINER VORHANDENEN FABRIC.
Diese Funktion kann nicht deaktiviert werden, nachdem sie aktiviert wurde. Bestehende Konfigurationen können funktionsfähig sein, selbst wenn sie falsch waren. Überprüfen Sie vor der Aktivierung die Domänenzuweisung zu den EPGs und den zugehörigen AEPs.
Domänenvalidierung erzwingen: Deaktiviert (Standardverhalten)
APIC CLI erzwingt Überprüfung der Domänenvalidierung. Der Standardstatus gibt an, dass die Domänenvalidierung deaktiviert ist.
APIC# moquery -c infraSetPol | egrep"domainValidation"
domainValidation : no
Angenommen, das encap-VLAN 420 ist nicht an die Domäne/den AEP gebunden, die/der mit der EPG verknüpft ist. VLAN 420 wird weiterhin auf der erwarteten Schnittstelle bereitgestellt.
leaf# show vlan encap-id 420 extended
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
1 lc_TN:lc_APP:lc_EPG vlan-420 Eth1/13
Platform Independent (PI) VLANs (1, 19) für EPG und BD werden bereitgestellt und dürfen an der erwarteten Schnittstelle Trunks senden.
"
VLAN Name Encap Ports
---- -------------------------------- ---------------- ------------------------
1 lc_TN:lc_APP:lc_EPG vlan-420 Eth1/13
19 lc_TN:lc_BD vxlan-16416666 Eth1/13
VLANs für BD und EPG werden auf der erwarteten Schnittstelle bereitgestellt.
leaf# show int eth 1/13 trunk | grep -A Allowed
Port Vlans Allowed on Trunk
-----------------------------------------------------------------------------------
Eth1/13 1,19
Domänenvalidierung durchsetzen: Aktiviert
Wenn die Domänenvalidierung erzwingen aktiviert ist, können Sie einen statischen Pfad auf einer EPG mit einer VLAN-ID erstellen, die nicht mit dem entsprechenden Zugriffsrichtlinienpfad verknüpft ist. Die Fabric löst einen Fehler aus, und das VLAN ist auf der Schnittstelle NICHT programmiert.
APIC-GUI - Überprüfen der Domänenvalidierung System > Systemeinstellungen > Domänenvalidierung erzwingen.
Domänenvalidierung erzwingen
Bestätigung der Verifizierung
Nach der Erzwingung kann die Domänenvalidierung nicht mehr rückgängig gemacht werden.
Wenn die Einstellung aktiviert ist, ist die Option ausgegraut, sodass Sie die Aktion nicht rückgängig machen können.
APIC CLI: Überprüfung der Domänenvalidierung erzwingen
APIC# moquery -c infraSetPol | egrep "domainValidation"
domainValidation : yes
Diese Validierung tritt NUR dann für die bestehende Konfiguration in Kraft, wenn die Richtlinie auf den Switch heruntergeladen werden muss.
In der Regel kann dies bei einem Switch-Upgrade, einem sauberen Neuladen oder einer Snapshot-/Backup-Wiederherstellung der Konfiguration der Fall sein.
Beispiel für einen sauberen Neuladeschritt:
leaf# acidiag touch clean
This command can wipe out this device, Proceed? [y/N] y
leaf# reload
This command can reload the chassis, Proceed (y/n)? [n]: y
VLAN 420, das ursprünglich bereitgestellt wurde, befindet sich derzeit NICHT auf der erwarteten Schnittstelle.
leaf# show int eth 1/13 trunk | grep -A 2 Allowed
Port Vlans Allowed on Trunk
-----------------------------------------------------------------------------------
Eth1/13 none
Die Aktivierung der Domänenvalidierung wird als Best Practice erachtet. Nach der Aktivierung gibt es keine Option zum Zurücksetzen der Änderung.
Eine POSTMAN-API zeigt an, dass der Beitrag zum Ändern der Einstellung nicht erfolgreich ist.
Die Domänenvalidierung ist nur einmal erforderlich. Weitere Änderungen sind nicht zulässig.
Da diese Einstellung in der ersten Version keine Standardeinstellung war, kann jede erzwungene Änderung in der Standardeinstellung dazu führen, dass eine falsche Konfiguration fehlschlägt, was zu Ausfällen führt.
Aus diesem Grund ist die Einstellung vom Benutzer konfigurierbar.
Fehlerbehebung
Der Fehler F0467 wird für betroffene EPGs mit fehlenden Zugriffsrichtlinienzuordnungen ausgelöst.
Schnellstartisolierung zur Fehlerbehebung in diesem Artikel.
Zugehörige Informationen