SD-Access troubleshooting operation
20.06 2023 | by massimilianoSD-Access troubleshooting operation Questo post ha come obiettivo quello di esaminare in dettaglio le operazioni eseguite attraverso opportuni output sulla […]
SD-Access troubleshooting operation
Questo post ha come obiettivo quello di esaminare in dettaglio le operazioni eseguite attraverso opportuni output sulla base di comandi impiegati per scopi di troubleshooting.
FABRIC EDGE
DHCP BINDING
È necessario verificare se vi è una corrispondenza tra il DHCP binding ed il Fabric Edge eppoi verificare quali host sono collegati associati alle loro interfacce e vlans.
Fabric Edge# show ip dhcp snooping binding
Fabric-Edge# show device-tracking database
LISP INSTANCE-ID
il traffico intra-subnet è layer 2 switched encapuslated in VXLAN; si rende necessario verificare gli indirizzi MAC address nella Fabric Edge LISP table direttamente connessi e quelli imparati da altri Fabric Edge.
Fabric Edge# show lisp instance-id <instance-id> ethernet database
Fabric-Edge# show lisp instance-id <instance-id> ethernet map-cache
Per il traffico inter-subnet, invece, è da attenzionare la tabella Layer 3 LISP EID sia per EID direttamente collegati al Fabric Edge, sia per quelli appresi dal Fabric CP (control-plane)
Fabric Edge# show lisp instance-id <instance-id> ipv4 database
Fabric-Edge# show lisp instance-id <instance-id> ipv4 map-cache
WIRELESS LISP INSTANCE-ID
Verificare i MAC address di endpoint wireless collegati attraverso il Fabric Edge (e registrati mediante WLC secondo il processo illustrato al capitolo precedente).
Fabric Edge# show lisp instance-id 8188 ethernet data wlc
Fabric-Edge# show lisp instance-id <instance-id> ipv4 map-cache
Quando un AP è collegato ad un Fabric Edge e la sessione è stabilita con il WLC, un VXLAN tunnel è creato tra l’AP ed il Fabric Edge utilizzato per l’endpoint wireless traffic. Per verificare il tunnel:
Fabric Edge# show access-tunnel summary
LISP INTERNET GROPER (LIG)
È possibile fare delle query verso il Fabric CP (control-plane) direttamente senza l’impiego di un endpoint.
Fabric Edge# lig instance-id <instance-id> <EID ip-address>
FABRIC CONTROL PLANE
LAYER 2 and LAYER 3 CONNECTIVITY
Verificare la Fabric CP layer 2 EID table come pure layer 3 EID table attraverso i seguenti comandi:
Fabric-CP# show lisp instance-id <instance-id> ethernet server
Fabric-CP# show lisp instance-id <instance-id> ipv4 server
LISP ARP TABLE
È possibile verificare la LISP ARP table utilizzata per il processo di ARP request degli endpoint attraverso questo comando:
Fabric-CP# show lisp instance-id <instance-id> ethernet server address-resolution
AUTHENTICATION
Molto delle verifiche sono fatte via ISE, ma ci sono comandi utili anche a livello SDA Fabric per verificare che un endpoint sia stato autenticato e che le policies siano state applicate correttamente.
Durante l’onboarding di un host mediante DNAC, un default authentication template viene selezionata ed applicata all’intera Fabric, ma può essere sovrascritta con per-port basis.
Questo authentication template specifica i ruoli assegnati agli endpoint collegati ad un Fabric Edge e possono essere verificati attraverso lo show run interface:
Fabric Edge# show running-config interface <interface>
Una volta verificato il template assegnato a quella porta, è possibile verificarne il contenuto:
Fabric Edge# show running-config | begin template <nome-template>
Inoltre è possibile verificare le sessioni di autenticazione degli endpoint collegati ad un fabric Edge, come pure maggiori dettagli dell’endpoint collegato ad una determinata porta:
Fabric-Edge# show authentication sessions
Fabric-Edge# show authentication session interface <interface> details
Attraverso il WLC è possibile verificare poi il dettaglio degli endpoint wireless autenticati attraverso il loro MAC address, che include username, IP address, SSID, RLOC e SGT:
WLC (Cisco Controller) > show client detail <mac-address>
POLICY
Le policy in SDA sono indicate in egress, il che significa dal Fabric Edge verso l’endpoint di destinazione.
Alcune informazioni che si possono verificare a livello Fabric Edge includono SGACL (security group acl) name e summary con la corrispondenza SGT applicata.
Fabric-Edge# show cts role-based permissions
Fabric-Edge# show cts rbacl <name-acl>
ISE è responsabile di immettere (push) le SGTs e policies verso il Fabric Edge ed è possibile verificarne i contenuti a livello di Fabric Edge attraverso questo comando:
Fabric-Edge# show cts enviroment-data