Infraestructura centrada en aplicaciones: Todo sobre PolicyClassTag (pcTag)

Opciones de descarga

  • PDF     (470.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (336.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (205.7 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:17 de agosto de 2021
ID del documento:217302

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Iintroducción

    Este documento describe el concepto de etiqueta de clase de política (pcTag) / clase en Cisco Application Centric Infrastructure (ACI). La información de este documento se basa en la versión 4.2(3n) del software.

    Prerequisites 

    Para comprender mejor el diseño presentado en este documento, el lector debe tener un conocimiento básico de Cisco ACI.

    ¿Qué es pcTag?

    En pocas palabras, pcTag es un identificador numérico utilizado para la representación interna de Endpoint Policy Group (epg) en ACI, también denominado clase de origen (sclass) o clase de destino (dclass). Se utiliza para la clasificación del tráfico y para la aplicación de políticas (aplicación de contratos). Cuando el tráfico entra en una hoja de ACI, en función de la dirección configurada de aplicación de políticas (Predeterminado - Entrada) y de la información de prefijos disponible localmente, la hoja de ACI clasificará y marcará el tráfico de origen y destino en los EPG asignándole un valor de pcTag. El pcTag asignado al epg de origen se denomina SCLASS, mientras que el pcTag asignado al EPG de destino se denomina DCLASS.

    El valor de pcTag varía entre 1 y 65535. Además, se puede subdividir en tres categorías.

    Sistema: son etiquetas internas del sistema del rango 1-15. Por ejemplo, 13 es para descartar EPG y 15 se utiliza para l3out con subred 0.0.0.0/0 en EPG.

    Global: de forma predeterminada, el alcance de pcTag es local para VRF (Virtual Routing and Forwarding). Sin embargo, en el caso de los contratos inter VRF, pcTag debe tener un ámbito global y ser único en todo el fabric de API.  El intervalo 16-16385 está reservado para uso global.

    Local: el alcance predeterminado de pcTag es local para VRF y se puede reutilizar en VRF. Su valor varía entre 16386 y 65535.

    ¿Cómo se obtiene el valor de pctag de un EPG?

    • Uso de la interfaz gráfica de usuario (GUI) del Application Policy Infrastructure Controller (APIC)

       
    En la GUI de APIC, seleccione el EPG para el que desea obtener la pctag y pcTag se puede ver en Política -> General

       
            Arrendatarios —> Perfiles de aplicación (AP) (Seleccione el AP) —> EPG de aplicación (Seleccione el EPG)—> Política —>General

    EPG

    Del mismo modo, para el EPG de salida de capa 3 (L3Out), seleccione L3out EPG y la pcTag se puede encontrar justo debajo de Policy -> General tab

          Arrendatarios —> Redes —> L3Outs—>Seleccione L3out —> EPG externos ( Select the EPG) —>Política —>General

    L3Out

    • Uso de la interfaz de línea de comandos (CLI) de APIC

    Con APIC CLI, se puede obtener pcTag de un EPGutilizando el comando givenshow o utilizando una consulta de objetos administrados(Consulta MO).

    apic# show epg EPG1 detail
Application EPg Data:
Tenant              : Prod
Application         : AP01
AEPg                : EPG1
BD                  : BD1
uSeg EPG            : no
Intra EPG Isolation : unenforced
Proxy ARP           : none
Policy Tag          : 49155
Vlan Domains        : prod-phy-dom
Consumed Contracts  : default
Provided Contracts  : 
Denied Contracts    : 
Qos Class           : unspecified
Tag List            :

    apic# moquery -c fvAEPg -f 'fv.AEPg.name=="EPG1"' | egrep "^name|^dn|^pcTag|^scope"

name                 : EPG1
dn                   : uni/tn-Prod/ap-AP01/epg-EPG1
nameAlias            : 
pcTag                : 49155
scope                : 2326533

    Consulta para obtener el valor pcTag de una página L3Out:

    apic# moquery -c l3extInstP -f 'l3ext.InstP.name=="ext_EPG"' | egrep "^name|^dn|^pcTag"
name                 : ext_EPG
dn                   : uni/tn-Prod/out-L3out_BGP/instP-ext_EPG
nameAlias            : 
pcTag                : 16386

    • Uso de Leaf CLI

    •  Cuando el terminal se ha aprendido en unEPG normal, puede obtener pcTag/SCLASS desde EndPoint Manager (EPM).
    bgl-aci05-leaf5# show system internal epm endpoint ip 192.168.10.10

MAC : 002c.c80a.7ca9 ::: Num IPs : 1
IP# 0 : 192.168.10.10 ::: IP# 0 flags :  ::: l3-sw-hit: No
Vlan id : 74 ::: Vlan vnid : 13894 ::: VRF name : Prod:vrfA
BD vnid : 15826927 ::: VRF vnid : 2326533
Phy If : 0x1a011000 ::: Tunnel If : 0
Interface : Ethernet1/18
Flags : 0x80000c04 ::: sclass : 49155 ::: Ref count : 5  <<<<<<<

    AgetthepcTagvalorparaL3Out EPG,se utiliza la tabla de prefijos del Administrador de políticas (Policy-mgr):

    INoutput,16386 es la pcTag para la subred 10.20.20.0/24.

    bgl-aci05-leaf5# vsh -c 'show system internal policy-mgr prefix' | egrep "Vrf-Vni|==|2326533"  
Vrf-Vni VRF-Id Table-Id Table-State  VRF-Name                    Addr                                Class Shared Remote Complete
======= ======  =========== =======  ============================ ================================= ====== ====== ====== ========
2326533 5      0x5           Up     Prod:vrfA                                         0.0.0.0/0   15      True   True   False   
2326533 5      0x80000005    Up     Prod:vrfA                                              ::/0   15      True   True   False   
2326533 5      0x5           Up     Prod:vrfA                                      10.20.20.0/24  16386   True   True   False

    ¿Cómo obtener el nombre EPG cuando conoce el valor de pcTag? 


    La forma más sencilla de    recupereel nombre EPG de la CLI APIC cuando conozcael pcTag es utilizarla consulta MO siguiente

    Para un EPG normal,

    apic# moquery -c fvAEPg -f 'fv.AEPg.pcTag=="16387"' | egrep "name|^dn"  

name                 : EPG1
dn                   : uni/tn-mgmt/ap-AP/epg-EPG1
nameAlias            : 
scope                : 2621440

    Para un EPG L3out:

    apic# moquery -c l3extInstP -f 'l3ext.InstP.pcTag=="16386"'| egrep "name|^dn|scope"

name                 : ext_EPG
dn                   : uni/tn-Prod/out-L3out_BGP/instP-ext_EPG
nameAlias            : 
scope                : 2326533

    Nota: Existen oportunidades cuando se pueden obtener múltiples EPGs contra un valor de pcTag, ya que el pcTag local tiene un alcance local al VRF. Un filtro adicional con ID de segmento de VRF puede proporcionarle la coincidencia exacta.

    Reglas para controlar el pcTag de origen y el pcTag de destino SCLASS/DCLASS de un flujo

    Estosse pueden utilizar para determinarla clase y la dclass de un flujo intra-VRFflow y realizar una búsqueda de regla de zonificación 

    Sclass Dclass

    SCLASS = Pctag Epg de origen, si el EPG de entrada es un EPG normal.

    SCLASS = vrf pctag, si ingresa en un L3Out bajo la subred 0.0.0.0/0 en el EPG L3Out.

    SCLASS = Ext. EPG pcTag, si llega a cualquier otra subred no predeterminada en el EPG externo L3Out.

    DCLASS= PcTag de EPG de destino, si el terminal de destino ha aprendido en la hoja de ingreso.

    DCLASS =1, si el terminal de destino no se detecta y enviamos el paquete al fabric (proxy de hardware o inundación). La aplicación de políticas estaría en la hoja de destino. 

    DCLASS = 15, si el resultado está en 0.0.0.0/0 subred bajo L3Out EPG externo.

    DCLASS = External EPG pcTag, cuando un resultado se encuentra en una subred más específica o no predeterminada.

    Nota: La subred mencionada anteriormente es la subred que configura en EPG externo y no la subred en una tabla de ruteo. 


    Obtención de SCLASS/DCLASS mediante Embedded Logic Analysis Module (ELAM)

    ELAM es una de las herramientas preferidas para obtener los valores de pcTag de origen y destino de un flujo. En el ELAM, bajo "pkt rw vector", podemos obtener la SCLASS y DCLASS de un flujo utilizando los campos dados. Los valores se expresarán en hexadecimales y deberán convertirse en decimales para obtener la etiqueta de PC de EPG.

    sug_lurw_vec.info.nsh_special.dclass: <val>

    sug_lurw_vec.info.nsh_special.sclass: <val>

    Ejemplo:

    sug_lurw_vec.info.nsh_special.dclass: 0x8004 << dst epg pctag is 32772
sug_lurw_vec.info.nsh_special.sclass: 0x8002. << src epg pctag is 32769

    Con los valores de pcTag de origen y destino, podemos verificar las reglas de zonificación en los switches de hoja de ingreso y egreso. 

    Para obtener más información sobre las reglas de zonificación, haga clic aquí.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    17-Aug-2021
    Formato agregado
    1.0
    15-Aug-2021
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Rohit Agrawal
      ACI TAC

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos