SD-Access troubleshooting operation

Home » Blog » Switching » Software-Defined » SD-Access and DNAC Cisco » SD-Access troubleshooting operation

SD-Access troubleshooting operation

20.06 2023 | by massimiliano

SD-Access troubleshooting operation Questo post ha come obiettivo quello di esaminare in dettaglio le operazioni eseguite attraverso opportuni output sulla […]



SD-Access troubleshooting operation

Questo post ha come obiettivo quello di esaminare in dettaglio le operazioni eseguite attraverso opportuni output sulla base di comandi impiegati per scopi di troubleshooting.

 

FABRIC EDGE 

 

DHCP BINDING

 

È necessario verificare se vi è una corrispondenza tra il DHCP binding ed il Fabric Edge eppoi verificare quali host sono collegati associati alle loro interfacce e vlans.

 

Fabric Edge# show ip dhcp snooping binding

Fabric-Edge# show device-tracking database

 

LISP INSTANCE-ID

 

il traffico intra-subnet è layer 2 switched encapuslated in VXLAN; si rende necessario verificare gli indirizzi MAC address nella Fabric Edge LISP table direttamente connessi e quelli imparati da altri Fabric Edge.

 

Fabric Edge# show lisp instance-id <instance-id> ethernet database

Fabric-Edge# show lisp instance-id <instance-id> ethernet map-cache

 

Per il traffico inter-subnet, invece, è da attenzionare la tabella Layer 3 LISP EID sia per EID direttamente collegati al Fabric Edge, sia per quelli appresi dal Fabric CP (control-plane)

 

Fabric Edge# show lisp instance-id <instance-id> ipv4 database

Fabric-Edge# show lisp instance-id <instance-id> ipv4 map-cache

 

WIRELESS LISP INSTANCE-ID

 

Verificare i MAC address di endpoint wireless collegati attraverso il Fabric Edge (e registrati mediante WLC secondo il processo illustrato al capitolo precedente).

 

Fabric Edge# show lisp instance-id 8188 ethernet data wlc

Fabric-Edge# show lisp instance-id <instance-id> ipv4 map-cache

 

Quando un AP è collegato ad un Fabric Edge e la sessione è stabilita con il WLC, un VXLAN tunnel è creato tra l’AP ed il Fabric Edge utilizzato per l’endpoint wireless traffic. Per verificare il tunnel:

 

Fabric Edge# show access-tunnel summary

 

 

LISP INTERNET GROPER (LIG)

 

È possibile fare delle query verso il Fabric CP (control-plane) direttamente senza l’impiego di un endpoint.

 

Fabric Edge# lig instance-id <instance-id> <EID ip-address>

 

 

FABRIC CONTROL PLANE

 

LAYER 2 and LAYER 3 CONNECTIVITY

 

Verificare la Fabric CP layer 2 EID table come pure layer 3 EID table attraverso i seguenti comandi:

 

Fabric-CP# show lisp instance-id <instance-id> ethernet server

Fabric-CP# show lisp instance-id <instance-id> ipv4 server

 

LISP ARP TABLE

 

È possibile verificare la LISP ARP table utilizzata per il processo di ARP request degli endpoint attraverso questo comando:

 

Fabric-CP# show lisp instance-id <instance-id> ethernet server address-resolution

 

 

AUTHENTICATION

 

Molto delle verifiche sono fatte via ISE, ma ci sono comandi utili anche a livello SDA Fabric per verificare che un endpoint sia stato autenticato e che le policies siano state applicate correttamente.

Durante l’onboarding di un host mediante DNAC, un default authentication template viene selezionata ed applicata all’intera Fabric, ma può essere sovrascritta con per-port basis.

Questo authentication template specifica i ruoli assegnati agli endpoint collegati ad un Fabric Edge e possono essere verificati attraverso lo show run interface:

 

Fabric Edge# show running-config interface <interface>

 

Una volta verificato il template assegnato a quella porta, è possibile verificarne il contenuto:

 

Fabric Edge# show running-config | begin template <nome-template>

 

Inoltre è possibile verificare le sessioni di autenticazione degli endpoint collegati ad un fabric Edge, come pure maggiori dettagli dell’endpoint collegato ad una determinata porta:

 

Fabric-Edge# show authentication sessions

Fabric-Edge# show authentication session interface <interface> details

 

Attraverso il WLC è possibile verificare poi il dettaglio degli endpoint wireless autenticati attraverso il loro MAC address, che include username, IP address, SSID, RLOC e SGT:

 

WLC (Cisco Controller) > show client detail <mac-address>

 

POLICY

 

Le policy in SDA sono indicate in egress, il che significa dal Fabric Edge verso l’endpoint di destinazione.

Alcune informazioni che si possono verificare a livello Fabric Edge includono SGACL (security group acl) name e summary con la corrispondenza SGT applicata.

 

Fabric-Edge# show cts role-based permissions

Fabric-Edge# show cts rbacl <name-acl>

 

ISE è responsabile di immettere (push) le SGTs e policies verso il Fabric Edge ed è possibile verificarne i contenuti a livello di Fabric Edge attraverso questo comando:

 

Fabric-Edge# show cts enviroment-data

Torna in alto