Comprender la implementación simplificada de EPG mediante asociación estática de AAEP

Opciones de descarga

  • PDF     (960.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (801.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (584.3 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:18 de diciembre de 2025
ID del documento:225402

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe una nueva función introducida en la versión 6.1(3f) del software ACI que simplifica la configuración de un AAEP.

    Prerequisites

    Requirements

    Cada grupo de terminales (EPG) debe asociarse explícitamente a un dominio físico antes de poder implementarse en puertos físicos. Sin esta asociación, el EPG no podría consumir ninguna infraestructura física, incluso si las políticas de acceso subyacentes estuvieran configuradas correctamente.

    note-icon

    Nota: El perfil de entidad de acceso adjuntable (AAEP) debe configurarse correctamente con asociaciones de grupos de VLAN y dominios para evitar la falla F0467 y garantizar el aprovisionamiento de VLAN exitoso en las interfaces de switch físicas.

    Componentes Utilizados

    Para utilizar esta función, el software de Cisco ACI debe ejecutar la versión 6.1(3f) o posterior.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Beneficios


    La asociación directa de AAEP a EPG simplifica la implementación al permitir que un EPG de aplicación se aplique a todos los puertos vinculados a un AAEP en un único paso de configuración. Este enfoque simplifica la aplicación de políticas en varias interfaces, lo que resulta especialmente beneficioso en entornos de gran tamaño con numerosos servidores o clústeres, lo que mejora la eficacia operativa y la coherencia en todo el fabric.

    AAEP automatiza la asignación de red de área local virtual (VLAN) vinculando los grupos de VLAN al AAEP, lo que garantiza un uso uniforme de VLAN en todos los puertos asociados y reduce los errores manuales.


    Opciones de Configuración

    EPG a AAEP estático asociado

    En la GUI de APIC, esta configuración se encuentra en:

    Arrendatario > nombre_arrendatario > Perfiles de aplicación > [EPG_Name] > AAEP estática


    EPG to Associated Static AAEP - Configure Option 1

    Al configurar la política directamente desde el EPG, se crea una nueva instancia de la clase fvRsAepAtt en el nivel APIC. Este objeto es un hijo directo del EPG y establece una referencia directa al AAEP.

    Moquery Salida para fvRsAepAtt (Asociación Iniciada por EPG):

    Site1-apic1# moquery -c fvRsAepAtt
    dn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG/rsaepAtt-CL2026_AEP
    encap : vlan-506
    primaryEncap : unknown

    Cuando esta asociación se realiza desde el EPG, el objeto infraRsFuncToEpg correspondiente (que representa la relación del perfil de entidad adjuntable al EPG) tiene su atributo creator establecido en SYSTEM. Esto indica que el sistema creó automáticamente esta relación basándose en la configuración de EPG.


    En la GUI de APIC, esta configuración se encuentra en:

    Fabric > Políticas de acceso > Políticas > Global > Perfiles de entidad de acceso adjuntables > [AAEP_Name] > EPG de aplicación

    EPG to Associated Static AAEP - Configure Option 2

    Moquery Salida para infraRsFuncToEpg (Sistema mantenido):

    Site1-Leaf106# moquery -c infraRsFuncToEpg
    creator      : SYSTEM
    dn           : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
    encap        : vlan-506
    primaryEncap : unknown

    Relación entre las clases de Cisco ACI infraRsFuncToEpg y fvRsAepAtt y fvAEPg:

    +----------------------+          +---------------------+
    |  infraRsFuncToEpg    |          |     fvRsAepAtt      |
    |  (Relation from      |          |  (Relation from     |
    |   Attachable Entity  |          |   EPG to Attachable |
    |   Profile to EPG)    |          |   Entity Profile)   |
    +-----------+----------+          +----------+----------+
               |                               |
               |                               |
               +-----------+   +---------------+
                           |   |
                           v   v
                    +---------------------+
                    |      EPG (fvAEPg)   |
                    +---------------------+

    Una característica clave de las asociaciones iniciadas por EPG es que el objeto infraRsFuncToEpg, al hacer referencia al AAEP, no se puede eliminar directamente de la configuración AAEP. Se espera que al intentar hacerlo se produzca un error de validación:

    "Error al eliminar el objeto. Error de validación: No se puede modificar el sistema creado mo Dn0=uni/infra/attentp-AAEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]"

    Validation Failed Error

    Este comportamiento garantiza que la asociación siga siendo coherente con la configuración de EPG. En el caso de ambas opciones de configuración (iniciadas mediante EPG o AAEP), las modificaciones solo se pueden realizar en el punto de configuración inicial.

    AAEP para asociar EPG

    Es importante tener en cuenta que esta capacidad de asociación de EPG a través de AAEP ha existido en ACI para varias versiones y no es una función que se haya introducido recientemente. Sin embargo, muchos clientes y administradores no aprovechan esta funcionalidad porque la mayoría de las guías de introducción y los materiales de formación se centran en el método tradicional de asociación de EPG a dominio, lo que hace que el enfoque basado en AAEP sea menos visible.

    En este escenario, el atributo infraRsFuncToEpg object creator se establece en USER, lo que indica que esta asociación fue configurada explícitamente por un usuario en el nivel AAEP.

    En la GUI de APIC, esta configuración se encuentra en:

    Fabric > Políticas de acceso > Políticas > Global > Perfiles de entidad de acceso adjuntables > [AAEP_Name] > EPG de aplicación

    AAEP to Associate EPG

    Moquery Salida para infraRsFuncToEpg (Creado por el Usuario):

    Site1-Leaf106# moquery -c infraRsFuncToEpg
    creator : USER
    dn : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
    encap : vlan-506
    primaryEncap : unknown

    Una diferencia notable con esta opción de configuración es que la configuración AAEP estática de EPG no refleja la política configurada en el nivel AAEP. Esto significa que mientras que la clase infraRsFuncToEpg se crea con el atributo creator establecido en USER, un objeto fvRsAepAtt correspondiente no se genera automáticamente en el nivel EPG para representar visualmente esta asociación al usuario.

    +----------------------+
    |  infraRsFuncToEpg    |
    |  (Relation from      |
    |   Attachable Entity  |
    |   Profile to EPG)    |
    +----------+-----------+
               |
               |
               v
    +---------------------+
    |      EPG (fvAEPg)   |
    +---------------------+

    Static AEEP

    Verificación

    En el nivel APIC:

    Site1-apic1# moquery -c vlanCktEp -x 'query-target-filter=wcard(vlanCktEp.encap,"vlan-506")' | egrep "dn|epgDn|name"
    dn : topology/pod-1/node-106/sys/ctx-[vxlan-2392066]/bd-[vxlan-16121790]/vlan-[vlan-506]
    epgDn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG
    name : CL2026_TNT:LAB_APP:WEB_EPG

    En el nivel de hoja:

    Site1-Leaf106# show vlan encap-id 506
    VLAN Name Status Ports 
    ---- -------------------------------- --------- -------- 
     14     CL2026_TNT:LAB_APP:WEB_EPG     active    Eth1/20

    Troubleshoot


    Error de configuración de política de acceso


    Si la encapsulación VLAN utilizada por un EPG no se asoció correctamente con el dominio en el AAEP, se generaría el error F0467, lo que impediría la implementación de VLAN en el nivel del switch. Esto requiere una coordinación cuidadosa entre la configuración del arrendatario (EPG/dominio) y las políticas de acceso al fabric (AAEP/VLAN Pool).

    Configuración de la asociación estática de EPG a AAEP y ausencia de la asociación de dominio respectiva para completar la asignación de políticas de acceso.

    Access Policy Misconfiguration

    Esto causa una asociación de trayectoria no válida identificada por un error F0467 en el APIC que, según la configuración de Enforce Domain Validation, es probable que cause una interrupción.

    Site1-apic1# moquery -c faultInst -f 'fault.Inst.code=="F0467"' 
    code : F0467
    changeSet : configQual:invalid-path, configSt:failed-to-apply, debugMessage:invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;, temporaryError:no
    descr : Configuration failed for node 106 due to Invalid Path Configuration, debug message: invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;
    dn : topology/pod-1/node-106/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]/node-106/attEntitypathatt-[CL2026_AEP]/rsstPathAtt-[sys/conng/path-[eth1/20]]/nwissues/fault-F0467
    lastTransition : 2025-10-21T05:33:12.868+00:00
    severity : critical

    Anulación de VLAN 

    VLAN Override

    Información Relacionada

    Implementación de un EPG a través de un AEP en varias interfaces mediante la GUI de APIC

    Guía de diseño de Cisco Application Centric Infrastructure (ACI)

    Biblioteca a demanda de Cisco - Objetos de ACI: Cómo evitar que se crucen los cables de configuración - BRKDCN-2647
    Comprensión de ACI Exigir validación de dominio

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    18-Dec-2025
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Luis Contreras
      Ingeniero de consultoría técnica

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos