فهم عملية نشر EPG المبسطة عبر اقتران AEP الثابت
المقدمة
يصف هذا المستند ميزة جديدة تم تقديمها في الإصدار 6.1(3f) من برنامج واجهة التحكم في الوصول (ACI) من شأنها تبسيط تكوين المصادقة والتفويض والمحاسبة (AEP).
المتطلبات الأساسية
المتطلبات
يجب أن تكون كل مجموعة نقطة نهاية (EPG) مرتبطة بشكل صريح بمجال فعلي قبل أن يمكن نشرها على المنافذ الفعلية. وبدون هذا الاقتران، لم يتمكن EPG من إستهلاك أي بنية أساسية مادية، حتى في حالة تكوين سياسات الوصول الأساسية بشكل صحيح.
ملاحظة: يجب أن يظل ملف تعريف كيان الوصول القابل الملحق (AEP) مكونا بشكل صحيح مع اقترانات المجال وتجميع شبكات VLAN لتجنب الخطأ F0467 وضمان توفير شبكة VLAN بنجاح في واجهات المحول المادية.
المكونات المستخدمة
لاستخدام هذه الميزة، يجب أن يكون برنامج Cisco ACI لديك الإصدار 6.1(3f) أو إصدار أحدث.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الفوائد
تعمل المصادقة والتفويض والمحاسبة (AEP) المباشرة إلى اقتران EPG على تبسيط عملية النشر من خلال السماح بتطبيق مجموعة إدارة تطبيقات على جميع المنافذ المرتبطة بإحدى وحدات التحكم في الوصول المتقدمة (AEP) في خطوة تكوين واحدة. ويعمل هذا النهج على تبسيط تطبيق السياسات عبر واجهات متعددة، وهو ما يعود بالنفع بشكل خاص على البيئات الكبيرة التي تحتوي على العديد من الخوادم أو المجموعات، مما يحسن الكفاءة التشغيلية والاتساق عبر البنية.
تقوم المصادقة والتفويض والمحاسبة (AEP) بأتمتة تعيين شبكة المنطقة المحلية الظاهرية (VLAN) من خلال ربط مجموعات شبكات VLAN ب AEP، مما يضمن الاستخدام المتناسق لشبكة VLAN عبر جميع المنافذ المقترنة وتقليل الأخطاء اليدوية.
خيارات التكوين
EPG إلى AAEP الثابت المرتبط
في واجهة المستخدم الرسومية (GUI) ل APIC، يوجد هذا الإعداد ضمن:
مستأجر > tenant_name > ملفات تعريف التطبيق > [EPG_NAME] > AAEP الثابتة
عند تكوين السياسة مباشرة من EPG، يتم إنشاء مثيل جديد لفئة FVrsAepAtt عند مستوى APIC. هذا الكائن هو فرع مباشر ل EPG وينشئ مرجع مباشر مرة أخرى إلى AEP.
إخراج moquery ل FVrsAepAtt (الاقتران الذي بدأه EPG):
Site1-apic1# moquery -c fvRsAepAtt
dn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG/rsaepAtt-CL2026_AEP
encap : vlan-506
primaryEncap : unknown
عندما يتم عمل هذا الاقتران من EPG، يكون للكائن infraRsFuncToEpg المتوافق (الذي يمثل العلاقة من ملف تعريف الوحدة القابل الملحق إلى EPG) الخاص به سمة المنشئ الخاصة به معينة إلى SYSTEM. وهذا يشير إلى أن النظام أنشأ هذه العلاقة تلقائيا استنادا إلى تكوين EPG.
في واجهة المستخدم الرسومية (GUI) ل APIC، يوجد هذا الإعداد ضمن:
بناء > سياسات الوصول > سياسات > عمومية > ملفات تخصيص وحدة الوصول الملحقة > [AAEP_NAME] > وحدات EPG للتطبيق
إخراج moquery ل infraRsFuncToEpg (صيانة النظام):
Site1-Leaf106# moquery -c infraRsFuncToEpg
creator : SYSTEM
dn : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
encap : vlan-506
primaryEncap : unknown
العلاقة بين فئات Cisco ACI infraRsFuncToEPG وfvRsAepAtt إلى fvAEPg:
+----------------------+ +---------------------+
| infraRsFuncToEpg | | fvRsAepAtt |
| (Relation from | | (Relation from |
| Attachable Entity | | EPG to Attachable |
| Profile to EPG) | | Entity Profile) |
+-----------+----------+ +----------+----------+
| |
| |
+-----------+ +---------------+
| |
v v
+---------------------+
| EPG (fvAEPg) |
+---------------------+
إحدى الميزات الأساسية للاقترانات التي بدأها EPG هي أنه لا يمكن حذف كائن infraRsFuncToEpg مباشرة من تكوين AEP، بينما يشير إلى AEP. من المتوقع أن تؤدي محاولة القيام بذلك إلى حدوث خطأ في التحقق من الصحة:
"فشل حذف الكائن. فشل التحقق من الصحة: لا يمكن تعديل النظام الذي تم إنشاؤه mo dn0=uni/infra/attentp-aep/gen-default/rsfuncToEpg-[uni/tn-cl2026_tnt/ap-lab_app/epg-web_epg]
يضمن هذا السلوك أن يظل الاقتران متسقا مع تكوين EPG. لكل من خيارات التكوين (التي تم بدؤها في EPG أو AEP)، يمكن إجراء التعديلات فقط عند نقطة التكوين الأولي.
AAEP إلى EPG المقترن
من المهم ملاحظة أن قدرة اقتران EPG هذه من خلال AAEP موجودة في واجهة برمجة التطبيقات (ACI) للإصدارات المتعددة، وليست ميزة تم تقديمها حديثا. ومع ذلك، لا يستفيد العديد من العملاء والمسؤولين من هذه الوظيفة نظرا لأن معظم أدلة ومواد التدريب على بدء التشغيل تركز على الطريقة التقليدية للاقتران بين مجموعة إدارة البرامج (EPG) والمجال، مما يجعل النهج القائم على بروتوكول المصادقة والتفويض والمحاسبة (AEP) أقل وضوحا.
في هذا السيناريو، يتم تعيين السمة infraRsFuncToEpg object creator على المستخدم، مما يشير إلى أن هذا الاقتران تم تكوينه بشكل صريح بواسطة مستخدم على مستوى AAEP.
في واجهة المستخدم الرسومية (GUI) ل APIC، يوجد هذا الإعداد ضمن:
بناء > سياسات الوصول > سياسات > عمومية > ملفات تخصيص وحدة الوصول الملحقة > [AAEP_NAME] > وحدات EPG للتطبيق
إخراج MOQUERY ل infraRsFuncToEpg (User Created):
Site1-Leaf106# moquery -c infraRsFuncToEpg
creator : USER
dn : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
encap : vlan-506
primaryEncap : unknown
هناك أختلاف ملحوظ مع خيار التكوين هذا وهو أن تكوين EPG الثابت AAEP لا يعكس السياسة التي تم تكوينها على مستوى AAEP. وهذا يعني أنه بينما يتم إنشاء فئة infraRsFuncToEpg باستخدام سمة المنشئ المعينة إلى المستخدم، فإن كائن fvRsAepAtt المقابل لا يتم إنشاؤه تلقائيا على مستوى EPG لتمثيل هذه الاقتران للمستخدم بشكل مرئي.
+----------------------+
| infraRsFuncToEpg |
| (Relation from |
| Attachable Entity |
| Profile to EPG) |
+----------+-----------+
|
|
v
+---------------------+
| EPG (fvAEPg) |
+---------------------+
التحقق من الصحة
على مستوى APIC:
Site1-apic1# moquery -c vlanCktEp -x 'query-target-filter=wcard(vlanCktEp.encap,"vlan-506")' | egrep "dn|epgDn|name"
dn : topology/pod-1/node-106/sys/ctx-[vxlan-2392066]/bd-[vxlan-16121790]/vlan-[vlan-506]
epgDn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG
name : CL2026_TNT:LAB_APP:WEB_EPG
على مستوى الورق:
Site1-Leaf106# show vlan encap-id 506
VLAN Name Status Ports
---- -------------------------------- --------- --------
14 CL2026_TNT:LAB_APP:WEB_EPG active Eth1/20
استكشاف الأخطاء وإصلاحها
التكوين الخاطئ لنهج الوصول
إذا لم يتم ربط تضمين شبكة VLAN الذي يتم إستخدامه بواسطة EPG بشكل صحيح بالمجال في AEP، فسيتم رفع خطأ F0467، مما يمنع نشر شبكة VLAN على مستوى المحول. يتطلب هذا تنسيق دقيق بين تكوين المستأجر (EPG/المجال) وسياسات الوصول إلى البنية (AAEP/تجمع VLAN).
تكوين EPG إلى اقتران AEP الثابت وتفتقد اقتران المجال ذي الصلة لإكمال تعيين نهج الوصول.
يؤدي ذلك إلى اقتران مسار غير صالح تم تعريفه بواسطة خطأ F0467 في APIC والذي من المحتمل أن يؤدي إلى انقطاع وفقا لتكوين "فرض التحقق من صحة المجال".
Site1-apic1# moquery -c faultInst -f 'fault.Inst.code=="F0467"'
code : F0467
changeSet : configQual:invalid-path, configSt:failed-to-apply, debugMessage:invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;, temporaryError:no
descr : Configuration failed for node 106 due to Invalid Path Configuration, debug message: invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;
dn : topology/pod-1/node-106/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]/node-106/attEntitypathatt-[CL2026_AEP]/rsstPathAtt-[sys/conng/path-[eth1/20]]/nwissues/fault-F0467
lastTransition : 2025-10-21T05:33:12.868+00:00
severity : critical
تجاوز VLAN
معلومات ذات صلة
نشر EPG من خلال AEP إلى واجهات متعددة باستخدام واجهة المستخدم الرسومية (GUI) ل APIC
دليل تصميم البنية الأساسية المرتكزة على التطبيقات (ACI) من Cisco
مكتبة Cisco On Demand - كائنات واجهة التحكم في الوصول (ACI): كيفية تجنب تجاوز أسلاك التكوين - BRKDCN-2647
فهم التحقق من صحة مجال فرض قائمة التحكم في الوصول (ACI)
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
18-Dec-2025
|
الإصدار الأولي |
التعليقات