SDA cisco: Troubleshooting Operation
16.02 2024 | by massimilianoFabric Edge DHCP BINDING È necessario verificare se vi è una corrispondenza tra il DHCP binding ed il Fabric Edge […]
Fabric Edge
DHCP BINDING
È necessario verificare se vi è una corrispondenza tra il DHCP binding ed il Fabric Edge eppoi verificare quali host sono collegati associati alle loro interfacce e vlans.
Fabric Edge# show ip dhcp snooping binding
Fabric-Edge# show device-tracking database
LISP INSTANCE-ID
Come indicato sopra, il traffico intra-subnet è layer 2 switched encapuslated in VXLAN; si rende necessario verificare gli indirizzi MAC address nella Fabric Edge LISP table direttamente connessi e quelli imparati da altri Fabric Edge.
Fabric Edge# show lisp instance-id <instance-id> ethernet database
Fabric-Edge# show lisp instance-id <instance-id> ethernet map-cache
Per il traffico inter-subnet, invece, è da attenzionare la tabella Layer 3 LISP EID sia per EID direttamente collegati al Fabric Edge, sia per quelli appresi dal Fabric CP (control-plane)
Fabric Edge# show lisp instance-id <instance-id> ipv4 database
Fabric-Edge# show lisp instance-id <instance-id> ipv4 map-cache
WIRELESS LISP INSTANCE-ID
Verificare i MAC address di endpoint wireless collegati attraverso il Fabric Edge (e registrati mediante WLC secondo il processo illustrato al capitolo precedente).
Fabric Edge# show lisp instance-id 8188 ethernet data wlc
Fabric-Edge# show lisp instance-id <instance-id> ipv4 map-cache
Quando un AP è collegato ad un Fabric Edge e la sessione è stabilita con il WLC, un VXLAN tunnel è creato tra l’AP ed il Fabric Edge utilizzato per l’endpoint wireless traffic. Per verificare il tunnel:
Fabric Edge# show access-tunnel summary
LISP INTERNET GROPER (LIG)
È possibile fare delle query verso il Fabric CP (control-plane) direttamente senza l’impiego di un endpoint.
Fabric Edge# lig instance-id <instance-id> <EID ip-address>
CONFIGURATION PETR DESTINATION OUTSIDE
Fabric Edge# show running-config | include use-petr
Fabric Control Plane
LAYER 2 AND LAYER 3 CONNECTIVITY
Verificare la Fabric CP layer 2 EID table come pure layer 3 EID table attraverso i seguenti comandi:
Fabric-CP# show lisp instance-id <instance-id> ethernet server
Fabric-CP# show lisp instance-id <instance-id> ipv4 server
LISP ARP TABLE
È possibile verificare la LISP ARP table utilizzata per il processo di ARP request degli endpoint attraverso questo comando:
Fabric-CP# show lisp instance-id <instance-id> ethernet server address-resolution
Authenticaton
Molto delle verifiche sono fatte via ISE, ma ci sono comandi utili anche a livello SDA Fabric per verificare che un endpoint sia stato autenticato e che le policies siano state applicate correttamente.
Durante l’onboarding di un host mediante DNAC, un default authentication template viene selezionata ed applicata all’intera Fabric, ma può essere sovrascritta con per-port basis.
Questo authentication template specifica i ruoli assegnati agli endpoint collegati ad un Fabric Edge e possono essere verificati attraverso lo show run interface:
Fabric Edge# show running-config interface <interface>
Una volta verificato il template assegnato a quella porta, è possibile verificarne il contenuto:
Fabric Edge# show running-config | begin template <nome-template>
Inoltre è possibile verificare le sessioni di autenticazione degli endpoint collegati ad un fabric Edge, come pure maggiori dettagli dell’endpoint collegato ad una determinata porta:
Fabric-Edge# show authentication sessions
Fabric-Edge# show authentication session interface <interface> details
Attraverso il WLC è possibile verificare poi il dettaglio degli endpoint wireless autenticati attraverso il loro MAC address, che include username, IP address, SSID, RLOC e SGT:
WLC (Cisco Controller) > show client detail <mac-address>
Policy
Le policy in SDA sono indicate in egress, il che significa dal Fabric Edge verso l’endpoint di destinazione.
Alcune informazioni che si possono verificare a livello Fabric Edge includono SGACL (security group acl) name e summary con la corrispondenza SGT applicata.
Fabric-Edge# show cts role-based permissions
Fabric-Edge# show cts rbacl <name-acl>
ISE è responsabile di immettere (push) le SGTs e policies verso il Fabric Edge ed è possibile verificarne i contenuti a livello di Fabric Edge attraverso questo comando:
Fabric-Edge# show cts enviroment-data