Informazioni sull'installazione EPG semplificata tramite l'associazione statica AEP

Opzioni per il download

  • PDF     (960.7 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (800.1 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (582.8 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:18 dicembre 2025
ID documento:225402

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive una nuova funzionalità introdotta nel software ACI versione 6.1(3f) che semplifica la configurazione di un AEP.

    Prerequisiti

    Requisiti

    Ogni gruppo di endpoint (EPG, Endpoint Group) deve essere associato in modo esplicito a un dominio fisico prima di poter essere distribuito sulle porte fisiche. Senza questa associazione, l'EPG non potrebbe utilizzare alcuna infrastruttura fisica, anche se le politiche di accesso sottostanti sono state configurate correttamente.

    note-icon

    Nota: Il Attachable Access Entity Profile (AEP) deve essere ancora configurato correttamente con le associazioni di domini e pool VLAN per evitare l'errore F0467 e assicurare il corretto provisioning della VLAN sulle interfacce dello switch fisico.

    Componenti usati

    Per utilizzare questa funzione, il software Cisco ACI deve eseguire la versione 6.1(3f) o successive.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Vantaggi


    L'associazione AAEP diretto a EPG semplifica la distribuzione consentendo l'applicazione EPG a tutte le porte collegate a un AAEP in un unico passaggio di configurazione. Questo approccio semplifica l'applicazione delle regole su più interfacce, il che risulta particolarmente vantaggioso in ambienti di grandi dimensioni con numerosi server o cluster, migliorando l'efficienza operativa e la coerenza in tutta la struttura.

    AEP automatizza l'assegnazione della VLAN (Virtual Local Area Network) collegando i pool VLAN all'AEP, garantendo un utilizzo coerente della VLAN su tutte le porte associate e riducendo gli errori manuali.


    Opzioni di configurazione

    EPG su AEP statica associata

    Nell'interfaccia utente di APIC, questa impostazione si trova in:

    Tenant > nome_tenant > Profili applicazione > [Nome_EPG] > AEP statico


    EPG to Associated Static AAEP - Configure Option 1

    Quando si configura il criterio direttamente dall'EPG, viene creata una nuova istanza della classe fvRsAepAtt a livello APIC. Questo oggetto è un figlio diretto dell'EPG e stabilisce un riferimento diretto all'AAEP.

    Output di moquery per fvRsAepAtt (associazione avviata da EPG):

    Site1-apic1# moquery -c fvRsAepAtt
    dn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG/rsaepAtt-CL2026_AEP
    encap : vlan-506
    primaryEncap : unknown

    Quando questa associazione viene effettuata da EPG, l'oggetto infraRsFuncToEpg corrispondente (che rappresenta la relazione tra il Profilo entità collegabile e EPG) ha l'attributo creator impostato su SYSTEM. Ciò indica che il sistema ha creato automaticamente questa relazione in base alla configurazione EPG.


    Nell'interfaccia utente di APIC, questa impostazione si trova in:

    Fabric > Criteri di accesso > Criteri > Globale > Profili entità di accesso collegabili > [Nome_AEP] > EPG applicazione

    EPG to Associated Static AAEP - Configure Option 2

    Output di moquery per infraRsFuncToEpg (sistema gestito):

    Site1-Leaf106# moquery -c infraRsFuncToEpg
    creator      : SYSTEM
    dn           : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
    encap        : vlan-506
    primaryEncap : unknown

    Relazione tra Cisco ACI Classes infraRsFuncToEpg e fvRsAepAtt e fvAEPg:

    +----------------------+          +---------------------+
    |  infraRsFuncToEpg    |          |     fvRsAepAtt      |
    |  (Relation from      |          |  (Relation from     |
    |   Attachable Entity  |          |   EPG to Attachable |
    |   Profile to EPG)    |          |   Entity Profile)   |
    +-----------+----------+          +----------+----------+
               |                               |
               |                               |
               +-----------+   +---------------+
                           |   |
                           v   v
                    +---------------------+
                    |      EPG (fvAEPg)   |
                    +---------------------+

    Una caratteristica fondamentale delle associazioni avviate da EPG è che l'oggetto infraRsFuncToEpg, pur facendo riferimento all'AAEP, non può essere eliminato direttamente dalla configurazione AAEP. Se si tenta di eseguire questa operazione, si verificherà un errore di convalida:

    "Impossibile eliminare l'oggetto. Convalida non riuscita: Impossibile modificare il sistema creato mo Dn0=uni/infra/attentp-AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]"

    Validation Failed Error

    Questo comportamento garantisce che l'associazione rimanga coerente con la configurazione EPG. Per entrambe le opzioni di configurazione (EPG o AEP), le modifiche possono essere apportate solo nel punto della configurazione iniziale.

    AEP per associare EPG

    È importante notare che questa funzionalità di associazione EPG tramite AAEP è presente in ACI per più versioni e non è una funzionalità introdotta di recente. Tuttavia, molti clienti e amministratori non sfruttano questa funzionalità perché la maggior parte delle guide introduttive e dei materiali di formazione si focalizzano sul metodo di associazione EPG-to-domain tradizionale, rendendo l'approccio basato su AEP meno visibile.

    In questo scenario, l'attributo infraRsFuncToEpg object creator è impostato su USER, a indicare che questa associazione è stata configurata in modo esplicito da un utente a livello AEP.

    Nell'interfaccia utente di APIC, questa impostazione si trova in:

    Fabric > Criteri di accesso > Criteri > Globale > Profili entità di accesso collegabili > [Nome_AEP] > EPG applicazione

    AAEP to Associate EPG

    Output di moquery per infraRsFuncToEpg (creato dall'utente):

    Site1-Leaf106# moquery -c infraRsFuncToEpg
    creator : USER
    dn : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
    encap : vlan-506
    primaryEncap : unknown

    Una differenza notevole con questa opzione di configurazione è che la configurazione AEP statica EPG non riflette il criterio configurato a livello AEP. Ciò significa che mentre la classe infraRsFuncToEpg viene creata con l'attributo creator impostato su USER, un oggetto fvRsAepAtt corrispondente non viene generato automaticamente a livello EPG per rappresentare visivamente questa associazione all'utente.

    +----------------------+
    |  infraRsFuncToEpg    |
    |  (Relation from      |
    |   Attachable Entity  |
    |   Profile to EPG)    |
    +----------+-----------+
               |
               |
               v
    +---------------------+
    |      EPG (fvAEPg)   |
    +---------------------+

    Static AEEP

    Verifica

    A livello APIC:

    Site1-apic1# moquery -c vlanCktEp -x 'query-target-filter=wcard(vlanCktEp.encap,"vlan-506")' | egrep "dn|epgDn|name"
    dn : topology/pod-1/node-106/sys/ctx-[vxlan-2392066]/bd-[vxlan-16121790]/vlan-[vlan-506]
    epgDn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG
    name : CL2026_TNT:LAB_APP:WEB_EPG

    Al livello foglia:

    Site1-Leaf106# show vlan encap-id 506
    VLAN Name Status Ports 
    ---- -------------------------------- --------- -------- 
     14     CL2026_TNT:LAB_APP:WEB_EPG     active    Eth1/20

    Risoluzione dei problemi


    Configurazione errata dei criteri di accesso


    Se l'incapsulamento VLAN usato da un EPG non è associato correttamente al dominio nell'AEP, l'errore F0467 viene generato, impedendo la distribuzione della VLAN a livello di switch. Ciò richiede un attento coordinamento tra la configurazione del tenant (EPG/Domain) e i criteri di accesso all'infrastruttura (AEP/pool VLAN).

    Configurazione dell'associazione statica tra EPG e AEP e associazione di dominio mancante per completare il mapping dei criteri di accesso.

    Access Policy Misconfiguration

    Ciò provoca un'associazione di percorso non valida identificata da un errore F0467 nell'APIC che, a seconda della configurazione di applicazione della convalida del dominio, potrebbe causare un'interruzione.

    Site1-apic1# moquery -c faultInst -f 'fault.Inst.code=="F0467"' 
    code : F0467
    changeSet : configQual:invalid-path, configSt:failed-to-apply, debugMessage:invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;, temporaryError:no
    descr : Configuration failed for node 106 due to Invalid Path Configuration, debug message: invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;
    dn : topology/pod-1/node-106/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]/node-106/attEntitypathatt-[CL2026_AEP]/rsstPathAtt-[sys/conng/path-[eth1/20]]/nwissues/fault-F0467
    lastTransition : 2025-10-21T05:33:12.868+00:00
    severity : critical

    Override della VLAN 

    VLAN Override

    Informazioni correlate

    Distribuzione di un EPG tramite AEP su più interfacce tramite l'interfaccia GUI APIC

    Guida alla progettazione di Cisco Application Centric Infrastructure (ACI)

    Libreria Cisco On Demand - Oggetti ACI: Come evitare che i cavi di configurazione vengano attraversati - BRKDCN-2647
    Informazioni su ACI Enforce Domain Validation

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    18-Dec-2025
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Luis Contreras
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti