IP SLA oplossen op meerdere poorts PBR
Inhoud
Inleiding
Dit document beschrijft de stappen om een IP SLA-gevolgd apparaat op een externe POD te identificeren en problemen op te lossen met behulp van ACI PBR Multipod-omgeving.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Meerpoorts oplossing
- Servicegrafieken met PBR
Opmerking: voor meer informatie over de ACI IP SLA-configuratie, raadpleegt u de handleiding PBR en traceringsserviceknooppunten.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco ACI versie 4.2(7l)
- Cisco Leaf switch N9K-C93180YC-EX
- Cisco Spine switch N9K-C936PQ switch
- Nexus 7k versie 8.2(2)
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Netwerktopologie
Topologie
Achtergrondinformatie
AchtergrondinformatieMet behulp van een servicegrafiek kan Cisco ACI verkeer tussen beveiligingszones omleiden naar een firewall of taakverdeling, zonder dat de firewall of taakverdeling de standaardgateway voor de servers hoeft te zijn.
Met de functie IP SLA bij PBR-installatie kan de ACI-fabric dat serviceknooppunt (L4-L7-apparaat) in uw omgeving bewaken en kan de fabric geen verkeer tussen bron en bestemming omleiden naar een serviceknooppunt dat niet bereikbaar is.
Opmerking: ACI IPSLA is afhankelijk van het fabric systeem GIPO (multicast adres 239.255.255.240/28) om de sondes te verzenden en de tracking status te distribueren.
Scenario
ScenarioIn dit voorbeeld, kan de oost-west connectiviteit niet tussen broneindpunt 192.168.150.1 op POD-1 aan bestemmingsserver 192.168.151.1 op POD-2 worden voltooid. Het verkeer wordt omgeleid naar PBR-knooppunt 172.16.1.1 van serviceblad 103 op POD-1. PBR maakt gebruik van IP SLA-bewaking en omleiding van het beleid van de Gezondheidsgroep.
Stappen voor probleemoplossing
Stappen voor probleemoplossingStap 1. IP SLA-status identificeren
Stap 1. IP SLA-status identificeren- Op APIC UI navigeer naar Tenants > Your_Tenant > Faults.
- Zoek naar fouten F2911, F2833, F2992.
IP SLA-fouten
Stap 2. Identificeer knooppunt-ID met gezondheidsgroep in omgekeerde toestand
Stap 2. Identificeer knooppunt-ID met gezondheidsgroep in omgekeerde toestand- Voer op APIC CLI de opdracht moquery uit met behulp van fout F2911, F2833, F2992.
- Je ziet dat gezondheidsgroep lb1::lb-healthGrp niet beschikbaar is voor Leaf 202 in POD-2.
MXS2-AP002# moquery -c faultInst -f 'fault.Inst.code == "F2911"'
# fault.Inst
code : F2911
ack : no
alert : no
annotation :
cause : svcredir-healthgrp-down
changeSet : operSt (New: disabled), operStQual (New: healthgrp-service-down)
childAction :
created : 2024-01-31T19:07:31.505-06:00
delegated : yes
descr : PBR service health grp lb1::lb-healthGrp on nodeid 202 fabric hostname MXS2-LF202 is in failed state, reason Health grp service is down.
dn : topology/pod-2/node-202/sys/svcredir/inst/healthgrp-lb1::lb-healthGrp/fault-F2911 <<<
domain : infra
extMngdBy : undefined
highestSeverity : majorStap 3. Het PBR-apparaat valideren is aangeleerd als eindpunt en kan worden bereikt via servicelaag
Stap 3. Het PBR-apparaat valideren is aangeleerd als eindpunt en kan worden bereikt via servicelaagMXS2-LF103# show system internal epm endpoint ip 172.16.1.1
MAC : 40ce.2490.5743 ::: Num IPs : 1
IP# 0 : 172.16.1.1 ::: IP# 0 flags : ::: l3-sw-hit: No
Vlan id : 22 ::: Vlan vnid : 13192 ::: VRF name : lb1:vrf1
BD vnid : 15958043 ::: VRF vnid : 2162693
Phy If : 0x1a00b000 ::: Tunnel If : 0
Interface : Ethernet1/12
Flags : 0x80004c04 ::: sclass : 16391 ::: Ref count : 5
EP Create Timestamp : 02/01/2024 00:36:23.229262
EP Update Timestamp : 02/02/2024 01:43:38.767306
EP Flags : local|IP|MAC|sclass|timer|
MXS2-LF103# iping 172.16.1.1 -V lb1:vrf1
PING 172.16.1.1 (172.16.1.1) from 172.16.1.254: 56 data bytes
64 bytes from 172.16.1.1: icmp_seq=0 ttl=255 time=1.046 ms
64 bytes from 172.16.1.1: icmp_seq=1 ttl=255 time=1.074 ms
64 bytes from 172.16.1.1: icmp_seq=2 ttl=255 time=1.024 ms
64 bytes from 172.16.1.1: icmp_seq=3 ttl=255 time=0.842 ms
64 bytes from 172.16.1.1: icmp_seq=4 ttl=255 time=1.189 ms
--- 172.16.1.1 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.842/1.034/1.189 msStap 4. Controleer de PBR-gezondheidsgroep in lokale POD en externe POD
Stap 4. Controleer de PBR-gezondheidsgroep in lokale POD en externe POD
Opmerking: Overweeg Local POD degene die het PBR apparaat geconfigureerd krijgt.
Leaf 103 is de Service Leaf op POD-1. Daarom beschouwen we POD-1 als de lokale POD en POD-2 als de externe POD.
De gezondheidsgroep is alleen geprogrammeerd op bladcontracten waar bron- en bestemmings-EPG’s de inzet ervan vereisen. switches
1. De bron EPG bevindt zich op Bladknooppunt 102 POD-1. U kunt zien dat het PBR-apparaat wordt bijgehouden als UP van Service Leaf 103 POD-1.
=======================================================================================================================================
LEGEND
TL: Threshold(Low) | TH: Threshold(High) | HP: HashProfile | HG: HealthGrp | BAC: Backup-Dest | TRA: Tracking | RES: Resiliency
=======================================================================================================================================
HG-Name HG-OperSt HG-Dest HG-Dest-OperSt
======= ========= ======= ==============
lb1::lb-healthGrp enabled dest-[172.16.1.1]-[vxlan-2162693]] up2. Bestemming EPG bevindt zich op Leaf Node 202 POD-2. U kunt zien dat het PBR-apparaat wordt bijgehouden zoals NAT op Serviceblad 103 POD-1.
MXS2-LF202# show service redir info health-group lb1::lb-healthGrp
=======================================================================================================================================
LEGEND
TL: Threshold(Low) | TH: Threshold(High) | HP: HashProfile | HG: HealthGrp | BAC: Backup-Dest | TRA: Tracking | RES: Resiliency
=======================================================================================================================================
HG-Name HG-OperSt HG-Dest HG-Dest-OperSt
======= ========= ======= ==============
lb1::lb-healthGrp disabled dest-[172.16.1.1]-[vxlan-2162693]] down <<<<< Health Group is down. Stap 5. Leg IP SLA-sondes met ELAM-tool vast
Stap 5. Leg IP SLA-sondes met ELAM-tool vast
Opmerking: u kunt Embedded Logic Analyzer Module (ELAM), een ingebouwd opnamegereedschap, gebruiken om het inkomende pakket op te nemen. De ELAM syntaxis is afhankelijk van het type hardware. Een andere benadering is om de ELAM Assistant app te gebruiken.
Om de IP SLA sondes op te nemen, moet u deze waarden op de syntaxis gebruiken ELAM om te begrijpen waar het pakket bereikt of wordt gelaten vallen.
ELAM Inner L2-header
Bron-MAC = 00-00-00-00-00-01
BestemmingsMAC = 01-00-00-00-00-00
Opmerking: Source MAC en Bestemming Mac (eerder getoond) zijn vaste waarden op Inner header voor IP SLA-pakketten.
ELAM Buiten L3-header
IP-bron = TEP van uw servicelaag ( 103 TEP in LAB = 172.30.200.64 )
Bestemming IP = 239.255.255.240 (Fabricsysteem GIPO moet altijd hetzelfde zijn)
trigger reset
trigger init in-select 14 out-select 0
set inner l2 dst_mac 01-00-00-00-00-00 src_mac 00-00-00-00-00-01
set outer ipv4 src_ip 172.30.200.64 dst_ip 239.255.255.240
start
stat
ereport
...
------------------------------------------------------------------------------------------------------------------------------------------------------
Inner L2 Header
------------------------------------------------------------------------------------------------------------------------------------------------------
Inner Destination MAC : 0100.0000.0000
Source MAC : 0000.0000.0001
802.1Q tag is valid : no
CoS : 0
Access Encap VLAN : 0
------------------------------------------------------------------------------------------------------------------------------------------------------
Outer L3 Header
------------------------------------------------------------------------------------------------------------------------------------------------------
L3 Type : IPv4
DSCP : 0
Don't Fragment Bit : 0x0
TTL : 27
IP Protocol Number : UDP
Destination IP : 239.255.255.240
Source IP : 172.30.200.64
Stap 6. Check Fabric-systeem GIPO ( 239.255.255.240 ) is geprogrammeerd op lokale en externe centrifuges
Opmerking: voor elke GIPO wordt slechts één wervelknooppunt van elke POD geselecteerd als het gezaghebbende apparaat om multicastframes door te sturen en IGMP-verbindingen naar het IPN te verzenden.
1. Spine 1001 POD-1 is de gezaghebbende switch om multicast frames door te sturen en IGMP-verbindingen naar het IPN te verzenden.
Interface Eth1/3 is gericht op het N7K IPN.
MXS2-SP1001# show isis internal mcast routes gipo | more
IS-IS process: isis_infra
VRF : default
GIPo Routes
====================================
System GIPo - Configured: 0.0.0.0
Operational: 239.255.255.240
====================================
<OUTPUT CUT> ...
GIPo: 239.255.255.240 [LOCAL]
OIF List:
Ethernet1/35.36
Ethernet1/3.3(External) <<< Interface must point out to IPN on elected Spine
Ethernet1/16.40
Ethernet1/17.45
Ethernet1/2.37
Ethernet1/36.42
Ethernet1/1.43
MXS2-SP1001# show ip igmp gipo joins | grep 239.255.255.240
239.255.255.240 0.0.0.0 Join Eth1/3.3 43 Enabled
2. Spine 2001 POD-2 is de gezaghebbende switch om multicast frames door te sturen en IGMP-verbindingen naar het IPN te verzenden.
Interface Eth1/36 is gericht op het N7K IPN.
MXS2-SP2001# show isis internal mcast routes gipo | more
IS-IS process: isis_infra
VRF : default
GIPo Routes
====================================
System GIPo - Configured: 0.0.0.0
Operational: 239.255.255.240
====================================
<OUTPUT CUT> ...
GIPo: 239.255.255.240 [LOCAL]
OIF List:
Ethernet1/2.40
Ethernet1/1.44
Ethernet1/36.36(External) <<< Interface must point out to IPN on elected Spine
MXS2-SP2001# show ip igmp gipo joins | grep 239.255.255.240
239.255.255.240 0.0.0.0 Join Eth1/36.36 76 Enabled
3. Zorg ervoor dat de vertreklijst van de interfacelijst gipo voor beide stekels niet leeg is van VSH.
MXS2-SP1001# vsh
MXS2-SP1001# show forwarding distribution multicast outgoing-interface-list gipo | more
....
Outgoing Interface List Index: 1
Reference Count: 1
Number of Outgoing Interfaces: 5
Ethernet1/35.36
Ethernet1/3.3
Ethernet1/2.37
Ethernet1/36.42
Ethernet1/1.43
External GIPO OIFList
Ext OIFL: 8001
Ref Count: 393
No OIFs: 1
Ethernet1/3.3
Stap 7. Validate GIPO ( 239.255.255.240 ) is geconfigureerd op de IPN
1. GIPO 239.255.255.240 ontbreekt op de IPN-configuratie.
N7K-ACI_ADMIN-VDC-ACI-IPN-MPOD# show run pim
...
ip pim rp-address 192.168.100.2 group-list 225.0.0.0/15 bidir
ip pim ssm range 232.0.0.0/8
N7K-ACI_ADMIN-VDC-ACI-IPN-MPOD# show ip mroute 239.255.255.240
IP Multicast Routing Table for VRF "default"
(*, 239.255.255.240/32), uptime: 1d01h, igmp ip pim
Incoming interface: Null, RPF nbr: 0.0.0.0 <<< Incoming interface and RPF are MISSING
Outgoing interface list: (count: 2)
Ethernet3/3.4, uptime: 1d01h, igmp
Ethernet3/1.4, uptime: 1d01h, igmp
2. GIPO 239.255.255.240 is nu op IPN geconfigureerd.
N7K-ACI_ADMIN-VDC-ACI-IPN-MPOD# show run pim
...
ip pim rp-address 192.168.100.2 group-list 225.0.0.0/15 bidir
ip pim rp-address 192.168.100.2 group-list 239.255.255.240/28 bidir <<< GIPO is configured
ip pim ssm range 232.0.0.0/8
N7K-ACI_ADMIN-VDC-ACI-IPN-MPOD# show ip mroute 225.0.42.16
IP Multicast Routing Table for VRF "default"
(*, 225.0.42.16/32), bidir, uptime: 1w6d, ip pim igmp
Incoming interface: loopback1, RPF nbr: 192.168.100.2
Outgoing interface list: (count: 2)
Ethernet3/1.4, uptime: 1d02h, igmp
loopback1, uptime: 1d03h, pim, (RPF)
Stap 8. Bevestig dat IP SLA-tracering is ingeschakeld op externe POD
MXS2-LF202# show service redir info health-group lb1::lb-healthGrp
=======================================================================================================================================
LEGEND
TL: Threshold(Low) | TH: Threshold(High) | HP: HashProfile | HG: HealthGrp | BAC: Backup-Dest | TRA: Tracking | RES: Resiliency
=======================================================================================================================================
HG-Name HG-OperSt HG-Dest HG-Dest-OperSt
======= ========= ======= ==============
lb1::lb-healthGrp enabled dest-[172.16.1.1]-[vxlan-2162693]] up
Gerelateerde informatie
Cisco bug-ID
Bug title
Versie herstellen
Cisco bug-id CSCwi75331
Herhaaldelijk herladen van FM en LC in het chassis kan leiden tot een misprogrammering van de GIPO IP OIFlist.
Geen vaste versie. Gebruik tijdelijke oplossing.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
08-Feb-2024 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)