SDA cisco: Troubleshooting Operation

Home » Blog » SDN » SDA Software Defined Access » SDA cisco: Troubleshooting Operation

SDA cisco: Troubleshooting Operation

16.02 2024 | by massimiliano

Fabric Edge DHCP BINDING È necessario verificare se vi è una corrispondenza tra il DHCP binding ed il Fabric Edge […]



Fabric Edge

DHCP BINDING

È necessario verificare se vi è una corrispondenza tra il DHCP binding ed il Fabric Edge eppoi verificare quali host sono collegati associati alle loro interfacce e vlans.

Fabric Edge# show ip dhcp snooping binding

Fabric-Edge# show device-tracking database

LISP INSTANCE-ID

Come indicato sopra, il traffico intra-subnet è layer 2 switched encapuslated in VXLAN; si rende necessario verificare gli indirizzi MAC address nella Fabric Edge LISP table direttamente connessi e quelli imparati da altri Fabric Edge.

Fabric Edge# show lisp instance-id <instance-id> ethernet database

Fabric-Edge# show lisp instance-id <instance-id> ethernet map-cache

Per il traffico inter-subnet, invece, è da attenzionare la tabella Layer 3 LISP EID sia per EID direttamente collegati al Fabric Edge, sia per quelli appresi dal Fabric CP (control-plane)

Fabric Edge# show lisp instance-id <instance-id> ipv4 database

Fabric-Edge# show lisp instance-id <instance-id> ipv4 map-cache

WIRELESS LISP INSTANCE-ID

Verificare i MAC address di endpoint wireless collegati attraverso il Fabric Edge (e registrati mediante WLC secondo il processo illustrato al capitolo precedente).

Fabric Edge# show lisp instance-id 8188 ethernet data wlc

Fabric-Edge# show lisp instance-id <instance-id> ipv4 map-cache

Quando un AP è collegato ad un Fabric Edge e la sessione è stabilita con il WLC, un VXLAN tunnel è creato tra l’AP ed il Fabric Edge utilizzato per l’endpoint wireless traffic. Per verificare il tunnel:

Fabric Edge# show access-tunnel summary

LISP INTERNET GROPER (LIG)

È possibile fare delle query verso il Fabric CP (control-plane) direttamente senza l’impiego di un endpoint.

Fabric Edge# lig instance-id <instance-id> <EID ip-address>

CONFIGURATION PETR DESTINATION OUTSIDE

Fabric Edge# show running-config | include use-petr

Fabric Control Plane

LAYER 2 AND LAYER 3 CONNECTIVITY

Verificare la Fabric CP layer 2 EID table come pure layer 3 EID table attraverso i seguenti comandi:

Fabric-CP# show lisp instance-id <instance-id> ethernet server

Fabric-CP# show lisp instance-id <instance-id> ipv4 server

LISP ARP TABLE

È possibile verificare la LISP ARP table utilizzata per il processo di ARP request degli endpoint attraverso questo comando:

Fabric-CP# show lisp instance-id <instance-id> ethernet server address-resolution

Authenticaton

Molto delle verifiche sono fatte via ISE, ma ci sono comandi utili anche a livello SDA Fabric per verificare che un endpoint sia stato autenticato e che le policies siano state applicate correttamente.

Durante l’onboarding di un host mediante DNAC, un default authentication template viene selezionata ed applicata all’intera Fabric, ma può essere sovrascritta con per-port basis.

Questo authentication template specifica i ruoli assegnati agli endpoint collegati ad un Fabric Edge e possono essere verificati attraverso lo show run interface:

Fabric Edge# show running-config interface <interface>

Una volta verificato il template assegnato a quella porta, è possibile verificarne il contenuto:

Fabric Edge# show running-config | begin template <nome-template>

Inoltre è possibile verificare le sessioni di autenticazione degli endpoint collegati ad un fabric Edge, come pure maggiori dettagli dell’endpoint collegato ad una determinata porta:

Fabric-Edge# show authentication sessions

Fabric-Edge# show authentication session interface <interface> details

Attraverso il WLC è possibile verificare poi il dettaglio degli endpoint wireless autenticati attraverso il loro MAC address, che include username, IP address, SSID, RLOC e SGT:

WLC (Cisco Controller) > show client detail <mac-address>

Policy

Le policy in SDA sono indicate in egress, il che significa dal Fabric Edge verso l’endpoint di destinazione.

Alcune informazioni che si possono verificare a livello Fabric Edge includono SGACL (security group acl) name e summary con la corrispondenza SGT applicata.

Fabric-Edge# show cts role-based permissions

Fabric-Edge# show cts rbacl <name-acl>

ISE è responsabile di immettere (push) le SGTs e policies verso il Fabric Edge ed è possibile verificarne i contenuti a livello di Fabric Edge attraverso questo comando:

Fabric-Edge# show cts enviroment-data

Torna in alto