Comprendre le déploiement EPG simplifié via l'association statique AAEP

Options de téléchargement

  • PDF     (960.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (799.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (581.8 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:18 décembre 2025
ID du document:225402

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit une nouvelle fonctionnalité introduite dans le logiciel ACI version 6.1(3f) qui simplifie la configuration d'un AAEP.

    Conditions préalables

    Exigences

    Chaque groupe de terminaux (EPG) doit être explicitement associé à un domaine physique avant de pouvoir être déployé sur des ports physiques. Sans cette association, l'EPG ne pouvait pas utiliser d'infrastructure physique, même si les politiques d'accès sous-jacentes étaient correctement configurées.

    note-icon

    Remarque : Le profil d'entité d'accès attachable (AAEP) doit toujours être correctement configuré avec des associations de domaine et de pool de VLAN pour éviter la panne F0467 et assurer le provisionnement de VLAN réussi au niveau des interfaces de commutation physiques.

    Composants utilisés

    Pour utiliser cette fonctionnalité, votre logiciel Cisco ACI doit exécuter la version 6.1(3f) ou ultérieure.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Avantages


    L'association d'AAEP direct à EPG simplifie le déploiement en permettant l'application d'un EPG d'application à tous les ports liés à un AAEP en une seule étape de configuration. Cette approche rationalise l'application des politiques sur plusieurs interfaces, ce qui est particulièrement avantageux dans les grands environnements comportant de nombreux serveurs ou clusters, améliorant ainsi l'efficacité opérationnelle et la cohérence sur l'ensemble du fabric.

    L'AAEP automatise l'affectation des VLAN en reliant les pools de VLAN à l'AAEP, assurant ainsi une utilisation cohérente des VLAN sur tous les ports associés et réduisant les erreurs manuelles.


    Options de configuration

    EPG vers AAEP statique associé

    Dans l'interface graphique du contrôleur APIC, ce paramètre se trouve sous :

    Locataire > nom_locataire > Profils d'application > [EPG_Name] > AAEP statique


    EPG to Associated Static AAEP - Configure Option 1

    Lors de la configuration de la politique directement à partir de l'EPG, une nouvelle instance de la classe fvRsAepAtt est créée au niveau APIC. Cet objet est un enfant direct de l'EPG et établit une référence directe vers l'AAEP.

    Moquery Output for fvRsAepAtt (EPG-Initiated Association) :

    Site1-apic1# moquery -c fvRsAepAtt
    dn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG/rsaepAtt-CL2026_AEP
    encap : vlan-506
    primaryEncap : unknown

    Lorsque cette association est faite à partir de l'EPG, l'objet infraRsFuncToEpg correspondant (qui représente la relation du profil d'entité attachable à l'EPG) a son attribut creator défini sur SYSTEM. Cela indique que le système a automatiquement créé cette relation en fonction de la configuration EPG.


    Dans l'interface graphique du contrôleur APIC, ce paramètre se trouve sous :

    Fabric > Stratégies d'accès > Stratégies > Globales > Profils d'entité d'accès attachables > [AAEP_Name] > EPG d'application

    EPG to Associated Static AAEP - Configure Option 2

    Résultat de moquery pour infraRsFuncToEpg (système mis à jour) :

    Site1-Leaf106# moquery -c infraRsFuncToEpg
    creator      : SYSTEM
    dn           : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
    encap        : vlan-506
    primaryEncap : unknown

    Relation entre les classes Cisco ACI infraRsFuncToEpg et fvRsAepAtt à fvAEPg :

    +----------------------+          +---------------------+
    |  infraRsFuncToEpg    |          |     fvRsAepAtt      |
    |  (Relation from      |          |  (Relation from     |
    |   Attachable Entity  |          |   EPG to Attachable |
    |   Profile to EPG)    |          |   Entity Profile)   |
    +-----------+----------+          +----------+----------+
               |                               |
               |                               |
               +-----------+   +---------------+
                           |   |
                           v   v
                    +---------------------+
                    |      EPG (fvAEPg)   |
                    +---------------------+

    Une caractéristique clé des associations initiées par EPG est que l'objet infraRsFuncToEpg, tout en référençant l'AAEP, ne peut pas être directement supprimé de la configuration AAEP. Toute tentative de ce type devrait entraîner une erreur de validation :

    "Impossible de supprimer l'objet. Échec de la validation : Impossible de modifier le système créé mo Dn0=uni/infra/attenp-AAEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]"

    Validation Failed Error

    Ce comportement garantit que l'association reste cohérente avec la configuration EPG. Pour les deux options de configuration (EPG ou AAEP), les modifications ne peuvent être apportées qu'au point de la configuration initiale.

    AAEP à associer EPG

    Il est important de noter que cette fonctionnalité d'association EPG via AAEP existe dans l'ACI pour plusieurs versions et n'est pas une fonctionnalité nouvellement introduite. Cependant, de nombreux clients et administrateurs n'exploitent pas cette fonctionnalité, car la plupart des guides de mise en route et des supports de formation se concentrent sur la méthode d'association traditionnelle EPG-domaine, ce qui rend l'approche basée sur AAEP moins visible.

    Dans ce scénario, l'attribut infraRsFuncToEpg object creator est défini sur USER, ce qui indique que cette association a été explicitement configurée par un utilisateur au niveau AAEP.

    Dans l'interface graphique du contrôleur APIC, ce paramètre se trouve sous :

    Fabric > Stratégies d'accès > Stratégies > Globales > Profils d'entité d'accès attachables > [AAEP_Name] > EPG d'application

    AAEP to Associate EPG

    Résultat de moquery pour infraRsFuncToEpg (créé par l'utilisateur) :

    Site1-Leaf106# moquery -c infraRsFuncToEpg
    creator : USER
    dn : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
    encap : vlan-506
    primaryEncap : unknown

    Une différence notable avec cette option de configuration est que la configuration AAEP statique EPG ne reflète pas la stratégie configurée au niveau AAEP. Cela signifie que pendant que la classe infraRsFuncToEpg est créée avec l'attribut creator défini sur USER, un objet fvRsAepAtt correspondant n'est pas généré automatiquement au niveau EPG pour représenter visuellement cette association à l'utilisateur.

    +----------------------+
    |  infraRsFuncToEpg    |
    |  (Relation from      |
    |   Attachable Entity  |
    |   Profile to EPG)    |
    +----------+-----------+
               |
               |
               v
    +---------------------+
    |      EPG (fvAEPg)   |
    +---------------------+

    Static AEEP

    Vérifier

    Au niveau du contrôleur APIC :

    Site1-apic1# moquery -c vlanCktEp -x 'query-target-filter=wcard(vlanCktEp.encap,"vlan-506")' | egrep "dn|epgDn|name"
    dn : topology/pod-1/node-106/sys/ctx-[vxlan-2392066]/bd-[vxlan-16121790]/vlan-[vlan-506]
    epgDn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG
    name : CL2026_TNT:LAB_APP:WEB_EPG

    Au niveau de la feuille :

    Site1-Leaf106# show vlan encap-id 506
    VLAN Name Status Ports 
    ---- -------------------------------- --------- -------- 
     14     CL2026_TNT:LAB_APP:WEB_EPG     active    Eth1/20

    Dépannage


    Mauvaise configuration de la politique d'accès


    Si l'encapsulation VLAN utilisée par un EPG n'était pas correctement associée au domaine dans l'AAEP, le problème F0467 serait soulevé, empêchant le déploiement VLAN au niveau du commutateur. Cela nécessite une coordination étroite entre la configuration du locataire (EPG/Domaine) et les politiques d'accès au fabric (AAEP/Pool VLAN).

    Configuration de l'association statique EPG à AAEP et absence de l'association de domaine respective pour terminer le mappage des stratégies d'accès.

    Access Policy Misconfiguration

    Cela entraîne une association de chemin non valide identifiée par une erreur F0467 au niveau du contrôleur APIC qui, selon la configuration d'application de la validation de domaine, est susceptible de provoquer une panne.

    Site1-apic1# moquery -c faultInst -f 'fault.Inst.code=="F0467"' 
    code : F0467
    changeSet : configQual:invalid-path, configSt:failed-to-apply, debugMessage:invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;, temporaryError:no
    descr : Configuration failed for node 106 due to Invalid Path Configuration, debug message: invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;
    dn : topology/pod-1/node-106/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]/node-106/attEntitypathatt-[CL2026_AEP]/rsstPathAtt-[sys/conng/path-[eth1/20]]/nwissues/fault-F0467
    lastTransition : 2025-10-21T05:33:12.868+00:00
    severity : critical

    Remplacement VLAN 

    VLAN Override

    Informations connexes

    Déploiement d'un EPG via un AEP vers plusieurs interfaces à l'aide de l'interface graphique APIC

    Guide de conception de l'infrastructure axée sur les applications (ACI)

    Bibliothèque Cisco On Demand - Objets ACI : Comment éviter de croiser vos fils de configuration - BRKDCN-2647
    Comprendre l'ACI Appliquer la validation de domaine

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    18-Dec-2025
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Luis Contreras
      Ingénieur-conseil technique

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits