Risoluzione dei problemi relativi allo SLA IP su PBR multipiattaforma

Opzioni per il download

  • PDF     (551.6 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (377.2 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (246.0 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:8 febbraio 2024
ID documento:221654

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come identificare e risolvere i problemi relativi a un dispositivo con rilevamento SLA IP su un POD remoto utilizzando l'ambiente multipod ACI PBR ACI.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Soluzione Multipod
    • Grafici dei servizi con PBR
    note-icon

    Nota: per ulteriori informazioni sulla configurazione di ACI IP SLA, vedere la guida PBR and Tracking Service Nodes.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco ACI versione 4.2(7l)
    • Cisco Leaf switch N9K-C93180YC-EX
    • Cisco Spine switch N9K-C9336PQ
    • Nexus 7k versione 8.2(2)

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Topologia della rete

    TopologiaTopologia

    Premesse

    Utilizzando un grafico dei servizi, Cisco ACI può reindirizzare il traffico tra le aree di sicurezza a un firewall o a un bilanciamento del carico, senza che il firewall o il bilanciamento del carico diventino il gateway predefinito per i server.

    La funzionalità SLA IP nella configurazione PBR consente all'infrastruttura ACI di monitorare il nodo di servizio (dispositivo L4-L7) nell'ambiente e consente all'infrastruttura di non reindirizzare il traffico tra origine e destinazione a un nodo di servizio inattivo se non raggiungibile.

    note-icon

    Nota: ACI IPSLA dipende dall'indirizzo GIPO (multicast 239.255.255.240/28) del sistema fabric per inviare le richieste e distribuire lo stato di rilevamento.

    Scenario

    Nell'esempio, non è possibile completare la connettività est-ovest tra l'endpoint di origine 192.168.150.1 su POD-1 e il server di destinazione 192.168.151.1 su POD-2. Il traffico viene reindirizzato al nodo PBR 172.16.1.1 dalla foglia di servizio 103 sul POD-1. PBR utilizza il monitoraggio degli SLA IP e i criteri di reindirizzamento del gruppo di integrità.

    Procedura di risoluzione dei problemi

    Passaggio 1. Individuazione stato SLA IP

    1. Nell'interfaccia utente di APIC passare a Tenants > Your_Tenant > Faults.
    2. Individuare gli errori F2911, F2833, F2992.
      3.

    Errori SLA IPErrori SLA IP

    Passaggio 2. Identificare l'ID del nodo con il gruppo di integrità nello stato Inattivo

    1. Dalla CLI di APIC, eseguire il comando moquery usando gli errori F2911, F2833, F2992.
    2. Potete vedere che il gruppo di integrità lb1::lb-healthGrp è inattivo per Leaf 202 in POD-2.
      3.  
    MXS2-AP002# moquery -c faultInst -f 'fault.Inst.code == "F2911"'
    # fault.Inst
    code : F2911
    ack : no
    alert : no
    annotation : 
    cause : svcredir-healthgrp-down
    changeSet : operSt (New: disabled), operStQual (New: healthgrp-service-down)
    childAction : 
    created : 2024-01-31T19:07:31.505-06:00
    delegated : yes
    descr : PBR service health grp lb1::lb-healthGrp on nodeid 202 fabric hostname MXS2-LF202 is in failed state, reason Health grp service is down.
    dn : topology/pod-2/node-202/sys/svcredir/inst/healthgrp-lb1::lb-healthGrp/fault-F2911 <<<
    domain : infra
    extMngdBy : undefined
    highestSeverity : major

    Passaggio 3. La convalida del dispositivo PBR viene appresa come endpoint e raggiungibile dal foglia di servizio

    MXS2-LF103# show system internal epm endpoint ip 172.16.1.1

    MAC : 40ce.2490.5743 ::: Num IPs : 1
    IP# 0 : 172.16.1.1 ::: IP# 0 flags : ::: l3-sw-hit: No
    Vlan id : 22 ::: Vlan vnid : 13192 ::: VRF name : lb1:vrf1
    BD vnid : 15958043 ::: VRF vnid : 2162693
    Phy If : 0x1a00b000 ::: Tunnel If : 0
    Interface : Ethernet1/12
    Flags : 0x80004c04 ::: sclass : 16391 ::: Ref count : 5
    EP Create Timestamp : 02/01/2024 00:36:23.229262
    EP Update Timestamp : 02/02/2024 01:43:38.767306
    EP Flags : local|IP|MAC|sclass|timer|

    MXS2-LF103# iping 172.16.1.1 -V lb1:vrf1
    PING 172.16.1.1 (172.16.1.1) from 172.16.1.254: 56 data bytes
    64 bytes from 172.16.1.1: icmp_seq=0 ttl=255 time=1.046 ms
    64 bytes from 172.16.1.1: icmp_seq=1 ttl=255 time=1.074 ms
    64 bytes from 172.16.1.1: icmp_seq=2 ttl=255 time=1.024 ms
    64 bytes from 172.16.1.1: icmp_seq=3 ttl=255 time=0.842 ms
    64 bytes from 172.16.1.1: icmp_seq=4 ttl=255 time=1.189 ms

    --- 172.16.1.1 ping statistics ---
    5 packets transmitted, 5 packets received, 0.00% packet loss
    round-trip min/avg/max = 0.842/1.034/1.189 ms

    Passaggio 4. Controllare il gruppo di integrità PBR in POD locale e POD remoto

    note-icon

    Nota: si consideri il POD locale quello che consente di configurare il dispositivo PBR.

    La foglia 103 è la foglia di servizio sul POD-1. Pertanto, il POD-1 viene considerato come POD locale e il POD-2 come POD remoto.

    Il gruppo di integrità è programmato solo su switch foglia in cui gli EPG di origine e di destinazione ne richiedono l'installazione.

    1. L'origine EPG si trova sul nodo foglia 102 POD-1. Si può vedere che il dispositivo PBR è tracciato come UP da Service Leaf 103 POD-1.

    MXS2-LF102# show service redir info health-group lb1::lb-healthGrp 
    =======================================================================================================================================
    LEGEND
    TL: Threshold(Low) | TH: Threshold(High) | HP: HashProfile | HG: HealthGrp | BAC: Backup-Dest | TRA: Tracking | RES: Resiliency
    =======================================================================================================================================
    HG-Name HG-OperSt HG-Dest HG-Dest-OperSt
    ======= ========= ======= ==============
    lb1::lb-healthGrp enabled dest-[172.16.1.1]-[vxlan-2162693]] up

    2. La destinazione EPG si trova sul nodo foglia 202 POD-2. Si può vedere che il dispositivo PBR è tracciato come GIÙ da Service Leaf 103 POD-1.

    MXS2-LF202# show service redir info health-group lb1::lb-healthGrp
    =======================================================================================================================================
    LEGEND
    TL: Threshold(Low) | TH: Threshold(High) | HP: HashProfile | HG: HealthGrp | BAC: Backup-Dest | TRA: Tracking | RES: Resiliency
    =======================================================================================================================================
    HG-Name HG-OperSt HG-Dest HG-Dest-OperSt
    ======= ========= ======= ==============
    lb1::lb-healthGrp disabled dest-[172.16.1.1]-[vxlan-2162693]] down <<<<< Health Group is down.

    Passaggio 5. Acquisire sonde SLA IP con lo strumento ELAM

    note-icon

    Nota: per acquisire il pacchetto in ingresso, è possibile utilizzare Embedded Logic Analyzer Module (ELAM), uno strumento di acquisizione incorporato. La sintassi ELAM dipende dal tipo di hardware. Un altro approccio consiste nell'utilizzare l'app ELAM Assistant.

    Per acquisire le richieste SLA IP, è necessario utilizzare questi valori sulla sintassi ELAM per capire dove il pacchetto raggiunge o viene scartato.

    Intestazione L2 interna ELAM

    MAC di origine = 00-00-00-00-00-01

    MAC destinazione = 01-00-00-00-00-00

    note-icon

    Nota: MAC di origine e Mac di destinazione (mostrati in precedenza) sono valori fissi nell'intestazione interna per i pacchetti IP SLA.

    Intestazione L3 esterna ELAM

    Origine IP = TEP dal service leaf (TEP 103 in LAB = 172.30.200.64 )

    IP destinazione = 239.255.255.240 (l'oggetto Criteri di gruppo del sistema fabric deve essere sempre lo stesso)

    trigger reset 
    trigger init in-select 14 out-select 0
    set inner l2 dst_mac 01-00-00-00-00-00 src_mac 00-00-00-00-00-01
    set outer ipv4 src_ip 172.30.200.64 dst_ip 239.255.255.240
    start
    stat
    ereport

    ...

    ------------------------------------------------------------------------------------------------------------------------------------------------------
    Inner L2 Header
    ------------------------------------------------------------------------------------------------------------------------------------------------------
    Inner Destination MAC : 0100.0000.0000 
    Source MAC : 0000.0000.0001 
    802.1Q tag is valid : no 
    CoS : 0 
    Access Encap VLAN : 0 

    ------------------------------------------------------------------------------------------------------------------------------------------------------
    Outer L3 Header
    ------------------------------------------------------------------------------------------------------------------------------------------------------
    L3 Type : IPv4 
    DSCP : 0 
    Don't Fragment Bit : 0x0 
    TTL : 27 
    IP Protocol Number : UDP 
    Destination IP : 239.255.255.240 
    Source IP : 172.30.200.64

    Passaggio 6. Verificare che l'oggetto Criteri di gruppo del sistema fabric ( 239.255.255.240 ) sia programmato su spine locali e remote

    note-icon

    Nota: per ogni GIPO, viene selezionato un solo nodo dorso da ogni POD come dispositivo autorevole per l'inoltro di frame multicast e l'invio di join IGMP verso l'IPN.

    1. Spine 1001 POD-1 è lo switch autorevole per inoltrare frame multicast e inviare join IGMP verso l'IPN.

    L'interfaccia Eth1/3 è rivolta verso l'IPN N7K.

    MXS2-SP1001# show isis internal mcast routes gipo | more 
    IS-IS process: isis_infra
    VRF : default 

    GIPo Routes
    ====================================
    System GIPo - Configured: 0.0.0.0
    Operational: 239.255.255.240
    ====================================

    <OUTPUT CUT> ...

    GIPo: 239.255.255.240 [LOCAL]
    OIF List:
    Ethernet1/35.36
    Ethernet1/3.3(External)     <<< Interface must point out to IPN on elected Spine
    Ethernet1/16.40
    Ethernet1/17.45
    Ethernet1/2.37
    Ethernet1/36.42
    Ethernet1/1.43


    MXS2-SP1001# show ip igmp gipo joins | grep 239.255.255.240
    239.255.255.240 0.0.0.0 Join Eth1/3.3 43 Enabled

    2. Spine 2001 POD-2 è lo switch autorevole per inoltrare frame multicast e inviare join IGMP verso l'IPN.

    L'interfaccia Eth1/36 è rivolta verso l'IPN N N7K.

    MXS2-SP2001# show isis internal mcast routes gipo | more
    IS-IS process: isis_infra
    VRF : default 

    GIPo Routes
    ====================================
    System GIPo - Configured: 0.0.0.0
    Operational: 239.255.255.240
    ====================================

    <OUTPUT CUT> ...

    GIPo: 239.255.255.240 [LOCAL]
    OIF List:
    Ethernet1/2.40
    Ethernet1/1.44
    Ethernet1/36.36(External)     <<< Interface must point out to IPN on elected Spine


    MXS2-SP2001# show ip igmp gipo joins | grep 239.255.255.240
    239.255.255.240 0.0.0.0 Join Eth1/36.36 76 Enabled

    3. Verificare che il comando interface-list in uscita non sia vuoto da SSH per entrambi gli aculei.

    MXS2-SP1001# vsh
    MXS2-SP1001# show forwarding distribution multicast outgoing-interface-list gipo | more
    ....
    Outgoing Interface List Index: 1
    Reference Count: 1 
    Number of Outgoing Interfaces: 5 
    Ethernet1/35.36 
    Ethernet1/3.3 
    Ethernet1/2.37 
    Ethernet1/36.42 
    Ethernet1/1.43 
    External GIPO OIFList
    Ext OIFL: 8001
    Ref Count: 393 
    No OIFs: 1 
    Ethernet1/3.3

    Passaggio 7. Convalida dell'oggetto Criteri di gruppo ( 239.255.255.240 ) configurata sull'IPN

    1. Nella configurazione IPN manca la GIPO 239.255.255.240.

    N7K-ACI_ADMIN-VDC-ACI-IPN-MPOD# show run pim
      ...
      ip pim rp-address 192.168.100.2 group-list 225.0.0.0/15 bidir
      ip pim ssm range 232.0.0.0/8

    N7K-ACI_ADMIN-VDC-ACI-IPN-MPOD# show ip mroute 239.255.255.240
    IP Multicast Routing Table for VRF "default"

    (*, 239.255.255.240/32), uptime: 1d01h, igmp ip pim 
    Incoming interface: Null, RPF nbr: 0.0.0.0     <<< Incoming interface and RPF are MISSING
    Outgoing interface list: (count: 2)
    Ethernet3/3.4, uptime: 1d01h, igmp
    Ethernet3/1.4, uptime: 1d01h, igmp

    2. L'indirizzo IP 239.255.255.240 è ora configurato sull'indirizzo IP.

    N7K-ACI_ADMIN-VDC-ACI-IPN-MPOD# show run pim
      ...
      ip pim rp-address 192.168.100.2 group-list 225.0.0.0/15 bidir
      ip pim rp-address 192.168.100.2 group-list 239.255.255.240/28 bidir     <<< GIPO is configured
      ip pim ssm range 232.0.0.0/8

    N7K-ACI_ADMIN-VDC-ACI-IPN-MPOD# show ip mroute 225.0.42.16
    IP Multicast Routing Table for VRF "default"

    (*, 225.0.42.16/32), bidir, uptime: 1w6d, ip pim igmp 
    Incoming interface: loopback1, RPF nbr: 192.168.100.2
    Outgoing interface list: (count: 2)
    Ethernet3/1.4, uptime: 1d02h, igmp
    loopback1, uptime: 1d03h, pim, (RPF)

    Passaggio 8. Confermare che il rilevamento dello SLA IP è attivo sul POD remoto

    MXS2-LF202# show service redir info health-group lb1::lb-healthGrp
    =======================================================================================================================================
    LEGEND
    TL: Threshold(Low) | TH: Threshold(High) | HP: HashProfile | HG: HealthGrp | BAC: Backup-Dest | TRA: Tracking | RES: Resiliency
    =======================================================================================================================================
    HG-Name HG-OperSt HG-Dest HG-Dest-OperSt
    ======= ========= ======= ==============
    lb1::lb-healthGrp enabled dest-[172.16.1.1]-[vxlan-2162693]] up

    Informazioni correlate

    ID bug Cisco  Titolo bug Correggi versione
    ID bug Cisco CSCwi75331 Ricaricare ripetutamente FM e LC nello chassis può causare una programmazione errata dell'elenco di oggetti IP GIPO. Nessuna versione fissa. Utilizzare la soluzione alternativa.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    08-Feb-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Luis Guillermo Beristain Gomez
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti