Application Centric Infrastructure: Alles über PolicyClassTag (pcTag)

Download-Optionen

  • PDF     (473.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (335.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (204.9 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:17. August 2021
Dokument-ID:217302

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    IEinführung

    In diesem Dokument wird das Konzept von Policy Class Tag(pcTag)/Class in der Cisco Application Centric Infrastructure (ACI) beschrieben. Die Informationen in diesem Dokument basieren auf der Softwareversion 4.2(3n).

    Voraussetzungen 

    Um das in diesem Dokument beschriebene Design zu verstehen, muss der Leser über grundlegende Kenntnisse der Cisco ACI verfügen.

    Was ist pcTag?

    Mit einfachen Worten: pcTag ist eine numerische ID für die interne Darstellung der Endpoint Policy Group (epg) in der ACI, die auch als Source Class (Klasse) oder Destination Class (dclass) bezeichnet wird. Es wird für die Klassifizierung des Datenverkehrs und für die Durchsetzung von Richtlinien (Vertragsdurchsetzung) verwendet. Wenn Datenverkehr in einen ACI-Leaf eingeht, klassifiziert und markiert der ACI-Leaf basierend auf der konfigurierten Richtung der Richtliniendurchsetzung (Standard - Eingang) und den lokal verfügbaren Präfixinformationen den Quell- und Zieldatenverkehr in EPGs, indem er ihm einen pcTag-Wert zuweist. Das dem Quell-EPG zugewiesene pcTag wird SCLASS genannt, während das dem Ziel-EPG zugewiesene pcTag DCLASS heißt.

    Der pcTag-Wert liegt zwischen 1 und 65535. Er kann weiter in drei Kategorien unterteilt werden.

    System - Dies sind interne System-Tags im Bereich von 1-15. Beispiel: 13 steht für Drop-EPG und 15 ist für l3out mit dem Subnetz 0.0.0.0/0 in der EPG verwendet.

    Global - Der Umfang von pcTag ist standardmäßig lokal für VRF (Virtual Routing and Forwarding). Bei Inter-VRF-Verträgen muss der pcTag jedoch einen globalen Umfang haben und in der API-Fabric eindeutig sein.  Der Bereich 16-16385 ist für den weltweiten Einsatz reserviert.

    Local (Lokal): Der Standardbereich von pcTag ist für VRF lokal und kann für VRFs wiederverwendet werden. Sein Wert reicht von 16386-65535.

    Wie erhalte ich den pctag-Wert einer EPG?

    • Verwenden der grafischen Benutzeroberfläche (GUI) des Application Policy Infrastructure Controller (APIC)

       
    Wählen Sie auf der APIC-GUI die EPG aus, für die Sie den pctag abrufen möchten, und pcTag wird unter Richtlinie -> Allgemein angezeigt.

       
            Tenants —> Application Profiles(AP) (AP auswählen) —> Application EPGs (EPG auswählen)—> Policy —>General (Allgemein)

    EPG

    Ebenso wählen Sie für Layer 3 Out (L3Out) EPG L3Out EPG aus, und das pcTag finden Sie unter Richtlinie -> Allgemein.

          Tenants —> Networking —> L3Outs—>L3Out auswählen —> Externe EPGs ("EPG auswählen") —>Richtlinie —>Allgemein

    L3Out

    • Verwenden der APIC-Befehlszeilenschnittstelle (Command Line Interface, CLI)

    Über die APIC-CLI kann der pcTag einer EPG abgerufen werden.entwederVerwenden des angegebenen BefehlsShow oder Verwenden einer verwalteten Objektabfrage(MO-Abfrage).

    apic# show epg EPG1 detail
Application EPg Data:
Tenant              : Prod
Application         : AP01
AEPg                : EPG1
BD                  : BD1
uSeg EPG            : no
Intra EPG Isolation : unenforced
Proxy ARP           : none
Policy Tag          : 49155
Vlan Domains        : prod-phy-dom
Consumed Contracts  : default
Provided Contracts  : 
Denied Contracts    : 
Qos Class           : unspecified
Tag List            :

    apic# moquery -c fvAEPg -f 'fv.AEPg.name=="EPG1"' | egrep "^name|^dn|^pcTag|^scope"

name                 : EPG1
dn                   : uni/tn-Prod/ap-AP01/epg-EPG1
nameAlias            : 
pcTag                : 49155
scope                : 2326533

    Moquery, um den pcTag-Wert eines L3Out epg zu erhalten:

    apic# moquery -c l3extInstP -f 'l3ext.InstP.name=="ext_EPG"' | egrep "^name|^dn|^pcTag"
name                 : ext_EPG
dn                   : uni/tn-Prod/out-L3out_BGP/instP-ext_EPG
nameAlias            : 
pcTag                : 16386

    • Verwenden der Leaf-CLI

    •  Wenn das Endgerät in einemregulären EPGs können Sie pcTag/SCLASS von EndPoint Manager (EPM) abrufen.
    bgl-aci05-leaf5# show system internal epm endpoint ip 192.168.10.10

MAC : 002c.c80a.7ca9 ::: Num IPs : 1
IP# 0 : 192.168.10.10 ::: IP# 0 flags :  ::: l3-sw-hit: No
Vlan id : 74 ::: Vlan vnid : 13894 ::: VRF name : Prod:vrfA
BD vnid : 15826927 ::: VRF vnid : 2326533
Phy If : 0x1a011000 ::: Tunnel If : 0
Interface : Ethernet1/18
Flags : 0x80000c04 ::: sclass : 49155 ::: Ref count : 5  <<<<<<<

    ZugetthepcTagwertFür die L3Out-EPG wird die Policy Manager-Präfixtabelle (Policy-mgr) verwendet:

    Inoutput,16386 ist der pcTag für Subnetz 10.20.20.0/24.

    bgl-aci05-leaf5# vsh -c 'show system internal policy-mgr prefix' | egrep "Vrf-Vni|==|2326533"  
Vrf-Vni VRF-Id Table-Id Table-State  VRF-Name                    Addr                                Class Shared Remote Complete
======= ======  =========== =======  ============================ ================================= ====== ====== ====== ========
2326533 5      0x5           Up     Prod:vrfA                                         0.0.0.0/0   15      True   True   False   
2326533 5      0x80000005    Up     Prod:vrfA                                              ::/0   15      True   True   False   
2326533 5      0x5           Up     Prod:vrfA                                      10.20.20.0/24  16386   True   True   False

    Wie erhalte ich den EPG-Namen, wenn ich den pcTag-Wert kenne? 


    Der einfachste Weg,    Abrufen des EPG-Namens aus der APIC-CLIwenn Siewissen, dass pcTagis unter MO-Abfrage verwendet werden soll

    Bei einer regulären EPG

    apic# moquery -c fvAEPg -f 'fv.AEPg.pcTag=="16387"' | egrep "name|^dn"  

name                 : EPG1
dn                   : uni/tn-mgmt/ap-AP/epg-EPG1
nameAlias            : 
scope                : 2621440

    Für eine L3out-EPG:

    apic# moquery -c l3extInstP -f 'l3ext.InstP.pcTag=="16386"'| egrep "name|^dn|scope"

name                 : ext_EPG
dn                   : uni/tn-Prod/out-L3out_BGP/instP-ext_EPG
nameAlias            : 
scope                : 2326533

    Anmerkung: Es besteht die Möglichkeit, dass Sie mehrere EPGs für einen pcTag-Wert abrufen können, da das lokale pcTag einen Bereich hat, der lokal für die VRF-Instanz ist. Ein zusätzlicher Filter mit VRF-Segment-ID kann Ihnen die genaue Übereinstimmung liefern.

    Regeln zur Steuerung von Quell-pcTag und Ziel-pcTag SCLASS/DCLASS eines Flusses

    DieseRegeln können verwendet werden, um die Klasse und die Klasse eines Intra-VRFflow zu bestimmen und eine Suche nach Zoning-Regeln 

    Sclass Dclass

    SCLASS = Source Epg pctag, wenn die Eingangs-EPG eine reguläre EPG ist.

    SCLASS = vrf pctag, wenn der Eingang in ein L3Out unter dem Subnetz 0.0.0.0/0 in der L3Out-EPG erfolgt.

    SCLASS = Erw. EPG pcTag, wenn Sie ein anderes Subnetz als das Standardsubnetz in der externen L3Out-EPG wählen.

    DCLASS= Ziel-EPG pcTag, wenn der Ziel-Endpunkt auf dem Eingangs-Leaf gelernt hat.

    DCLASS =1, wenn der Zielendpunkt nicht erkannt wird und das Paket an die Fabric gesendet wird (Hardware-Proxy oder Flood). Die Richtliniendurchsetzung erfolgt auf dem Ziel-Leaf. 

    DCLASS = 15, wenn Treffer auf 0.0.0.0/0 Subnetz unter L3Out externer EPG ist.

    DCLASS = External EPG pcTag, wenn ein Treffer in einem spezifischeren oder nicht standardmäßigen Subnetz stattfindet.

    Anmerkung: Das oben erwähnte Subnetz ist das Subnetz, das Sie unter Externe EPG konfigurieren, und nicht das Subnetz in einer Routing-Tabelle. 


    SCLASS/DCLASS mit Embedded Logic Analysis Module (ELAM) abrufen

    ELAM ist eines der bevorzugten Tools zum Abrufen von Quell- und Ziel-pcTag-Werten eines Flows. In der ELAM, unter "pkt rw-Vektor", können wir die SCLASS und DCLASS eines Flusses mit den gegebenen Feldern abrufen. Die Werte sind hexadezimal und müssen in dezimal konvertiert werden, um das EPG pcTag zu erhalten.

    sug_lurw_vec.info.nsh_special.dclass: <Wert>

    sug_lurw_vec.info.nsh_special.sclass: <Wert>

    Beispiel:

    sug_lurw_vec.info.nsh_special.dclass: 0x8004 << dst epg pctag is 32772
sug_lurw_vec.info.nsh_special.sclass: 0x8002. << src epg pctag is 32769

    Mit den pcTag-Werten für Quelle und Ziel können wir die Zoning-Regeln für Eingangs- und Ausgangs-Leaf-Switches überprüfen. 

    Für weitere Informationen zu Zoning-Regeln, klicken Sie hier.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    17-Aug-2021
    Formatierung hinzugefügt
    1.0
    15-Aug-2021
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Rohit Agrawal
      ACI TAC

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.