在测试环境当中,经常会使用对接的 switch 作为 EP,测试 EP 和 ACI 之间的流量,或者 EP 到 EP 的流量可达性,验证 ACI 的配置是否正确。
一个简单可参考的拓扑图,插图失败,放到附件里面了
Cisco Nexus7000 对接 ACI 的多台 Leaf,在 Nexus7000 的业务 VDC 配置 SVI 来模拟 EP,通过 EP ping ACI BD Subnet/Gateway 来验证流量是否可达。
准备环境
一些基本配置,比如
- Nexus7000 配置 SVI100,IP 10.0.0.100/24
- ACI 配置 BD Subnet/Gateway,IP 10.0.0.254/24,scope 保持默认即可
- ACI 在 Access Policy 配置 AAEP, Vlan pool, Physical Domain 关联关系,以及 Interface Policy Group/Profile, switch Profile 等,参考 上链接
- ACI 在 EPG 配置 static binding,将 path (eg. leaf101 e1/10) 和 vlan(eg. vlan-id 100) 绑定
测试
通过 Nexus7000 业务 VDC ping ACI BD Subnet/Gateway
N7K-test# ping 10.0.0.254
网络工程师的头号大敌: ping 不通
排查
一些基本的思路,包括但不限于:
- 首先确认基本配置正确,可以先看一下 EPG 有没有 F0467 报错
- 然后看一下 Nexus7000 的 SVI 是否 up
- Nexus7000 和 ACI Leaf 的物理接口是否 up
- Nexus7000 有没有解析 ACI BD Subnet/Gateway 的 ARP
- ACI Leaf 有没有学习到 Nexus7000 SVI 的 EP
- 从 ACI Leaf 使用 iping 上链接 反向 ping Nexus7000
如果到这一步还没有发现问题,不能解决问题,就可以给思科 TAC 开个 case 了。
喜欢自己研究的,建议再看一下拓扑图,Nexus7000 和 Leaf101 有两条线连接,和 Leaf102 可以有一条或者多条连接,你大概猜到了,应该去看一下 Nexus7000 的 STP summary
N7K-test# show spanning-tree vlan 100 summary
你可能忽然发现你期望使用的 e1/10 是 BLK 状态,而另一条不想关的 e1/20 是 FWD,到这里,破案了,只需要在 Nexus7000 修改下面的配置,问题解决。
int e1/20
switchport trunk vlan allow vlan remove 100
总结
其实网络拓扑和需求并不复杂,不过一个简单的 ping 不通网关的问题竟然也能让人大费周章的去解决。
另外,规范的网络配置(比如 STP, vlan on trunk port)能很大程度上避免一些不必要的麻烦。
