Campus的leaf下行接口,看不到业务vlan到业务vxlan的映射
- 0关注
- 0收藏,49浏览
问题描述:
请教一下,在leaf的下行接口,看不到业务vlan到业务vxlan的映射关系,这个是因为动态AC吗,动态AC哪个字段标识啊,请大神指点一下
--------------------
leaf下行口的命令
#
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 101 to 3000 4094
stp tc-restriction
mac-based ac
mac-authentication
mac-authentication domain adcampus
mac-authentication parallel-with-dot1x
port-security free-vlan 1 4094
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
---------------------------------------
display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: XXX-XXX-XXXX
Access interface: GigabitEthernet1/0/1
Username: 0cda411db448
User access state: Successful
Authentication domain: XXXXX
IPv4 address: X.X.X.X
IPv4 address source: IP Source Guard
Initial VLAN: 101
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization VSI: vsi3
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Authorization redirect match terminal rule: N/A
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: 86400 sec
Offline detection: 300 sec (command-configured)
Online from: 2021/01/07 06:14:15
Online duration: 9h 6m 42s
Port-down keep online: Disabled (offline)
一、核心原因:动态 VSI 分配替代了静态映射
mac-authentication(MAC 认证),并通过mac-based ac(基于 MAC 的动态接入控制)实现 “终端接入后动态分配网络资源”—— 这正是动态 AC 的核心逻辑。- 静态映射场景:若业务 VLAN 与 VXLAN 是静态绑定,会在接口下通过
service-instance配置(如encapsulation s-vid 101 xconnect vsi vxlan101),此时display interface能直接看到 VLAN 与 VSI(VXLAN)的对应关系。 - 动态 AC 场景:终端通过 MAC 认证后,认证服务器(如 iMC 或 Campus 控制器)会动态下发 “业务 VLAN→VSI” 的映射(而非提前在接口静态配置),因此静态接口视图(
dis cu interface)中看不到业务 VLAN 的映射,只能从动态认证会话中查询。
二、动态 AC 的关键标识字段:从 MAC 认证会话中找映射
display mac-authentication connection输出中,已有明确的映射字段:| 字段名称 | 含义 | 你的环境中对应的值 | 作用(动态映射关键) |
|---|---|---|---|
| Initial VLAN | 终端接入的业务 VLAN(用户实际使用的 VLAN) | 101 | 动态映射的 “业务 VLAN 端” |
| Authorization VSI | 认证后动态分配的 VSI(VXLAN 的二层载体) | vsi3 | 动态映射的 “VXLAN 端”(VSI 绑定 VNID) |
VLAN 101 → VSI 3 → 对应的VXLAN(VSI 与 VXLAN 的绑定需进一步查询,见下文)。这两个字段就是动态 AC 标识 “VLAN-VXLAN 映射” 的核心 —— 静态配置的映射在接口下,动态配置的映射在认证会话中。三、完整查看:从 “VLAN→VSI→VXLAN” 的全链路映射
1. 第一步:确认动态分配的 VSI(已从认证会话中获取:vsi3)
display mac-authentication connection已明确终端被分配到vsi3,这是动态映射的关键中间载体。2. 第二步:查看 VSI 绑定的 VXLAN 信息(完成 “VSI→VXLAN” 映射)
vsi3对应的 VXLAN VNID 和封装信息,即可完整得到 “VLAN 101→vsi3→VXLAN(某 VNID)” 的映射:# 查看指定VSI的详细配置(包括绑定的VXLAN)
display vsi vsi3 detail
# 或查看所有VSI与VXLAN的绑定关系(批量排查)
display vxlan vsi mapping
VSI Name: vsi3
VSI ID: 3
State: Up
Bind Mode: Dynamic (from Campus Controller) # 动态分配的VSI(非静态)
VXLAN Information:
VNID: 10003 # VSI3对应的VXLAN VNID(核心,标识VXLAN)
Source IP: 10.0.0.10 # Leaf的VXLAN隧道源IP
Encapsulation: VXLAN
业务VLAN 101(Initial VLAN) → VSI 3(Authorization VSI) → VXLAN VNID 10003这就是动态 AC 场景下 “业务 VLAN 到 VXLAN” 的完整映射 —— 静态接口下看不到,需通过 “认证会话 + VSI 配置” 组合查询。四、补充:为什么静态接口下只有 VLAN 4094 的映射?
service-instance 4094是静态配置的管理 / 控制 VLAN 映射(通常用于 MAC 认证的控制报文传输,如 EAPOL 报文),而非业务 VLAN 的映射:service-instance 4094
encapsulation s-vid 4094 # 控制VLAN 4094
xconnect vsi vxlan4094 # 控制VLAN对应的VXLAN(用于认证信令)
service-instance中。暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论