AEP静的関連付けによる簡素化されたEPGの導入の理解

はじめに

このドキュメントでは、AAEPの設定を簡素化するACIソフトウェアバージョン6.1(3f)で導入された新機能について説明します。

前提条件

要件

各エンドポイントグループ(EPG)を物理ポートに展開するには、物理ドメインに明示的に関連付ける必要があります。この関連付けがなければ、基盤となるアクセスポリシーが正しく設定されていたとしても、EPGは物理インフラストラクチャを消費できませんでした。

注:Attachable Access Entity Profile(AAEP)は、障害F0467を回避し、物理スイッチインターフェイスでVLANプロビジョニングが正常に行われるように、ドメインとVLANプールの関連付けを使用して適切に設定する必要があります。

使用するコンポーネント

この機能を使用するには、Cisco ACIソフトウェアがバージョン6.1(3f)以降を実行している必要があります。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

利点

AAEPとEPGの直接関連付けにより、アプリケーションEPGを1回の設定手順でAAEPにリンクされたすべてのポートに適用できるため、導入が簡素化されます。このアプローチにより、複数のインターフェイス間でポリシーの適用が合理化されます。これは、多数のサーバまたはクラスタが存在する大規模な環境では特に有効で、ファブリック全体の運用効率と一貫性を向上させます。

AAEPは、VLANプールをAAEPにリンクすることで、仮想ローカルエリアネットワーク(VLAN)の割り当てを自動化します。これにより、関連付けられたすべてのポートでVLANの使用の一貫性が確保され、手動のエラーが減少します。

設定オプション

関連付けられたスタティックAEPへのEPG

APIC GUIでは、この設定は次の下にあります。

テナント> tenant_name >アプリケーションプロファイル> [EPG_Name] >スタティックAAEP

ポリシーをEPGから直接設定すると、fvRsAepAttクラスの新しいインスタンスがAPICレベルで作成されます。このオブジェクトはEPGの直接の子であり、AAEPへの直接参照を確立します。

fvRsAepAtt(EPG-Initiated Association)のmoquery出力：

Site1-apic1# moquery -c fvRsAepAtt
dn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG/rsaepAtt-CL2026_AEP
encap : vlan-506
primaryEncap : unknown

この関連付けがEPGから行われる場合、対応するinfraRsFuncToEpgオブジェクト（アタッチ可能エンティティプロファイルからEPGへのリレーションシップを表す）のcreator属性がSYSTEMに設定されます。これは、システムがEPG設定に基づいてこの関係を自動的に作成したことを示します。

APIC GUIでは、この設定は次の下にあります。

Fabric > Access Policies > Policies > Global > Attachable Access Entity Profiles > [AAEP_Name] > Application EPGs

infraRsFuncToEpgのmoquery出力（システムによって保持）:

Site1-Leaf106# moquery -c infraRsFuncToEpg
creator      : SYSTEM
dn           : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
encap        : vlan-506
primaryEncap : unknown

Cisco ACIクラスinfraRsFuncToEpgとfvRsAepAtt to fvAEPgの関係：

+----------------------+          +---------------------+
|  infraRsFuncToEpg    |          |     fvRsAepAtt      |
|  (Relation from      |          |  (Relation from     |
|   Attachable Entity  |          |   EPG to Attachable |
|   Profile to EPG)    |          |   Entity Profile)   |
+-----------+----------+          +----------+----------+
           |                               |
           |                               |
           +-----------+   +---------------+
                       |   |
                       v   v
                +---------------------+
                |      EPG (fvAEPg)   |
                +---------------------+

EPGが開始したアソシエーションの主な特性は、AAEPを参照しているinfraRsFuncToEpgオブジェクトをAAEP設定から直接削除できないことです。この操作を行うと、検証エラーが発生します。

“オブジェクトを削除できませんでした。検証に失敗しました：システムで作成されたmo Dn0=uni/infra/attentp-AAEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]"を変更できません

この動作により、関連付けがEPG設定と一貫していることが確認されます。両方の設定オプション（EPG開始またはAAEP開始）について、変更は初期設定時にのみ行うことができます。

EPGを関連付けるAAEP

AAEPを介したこのEPG関連付け機能は複数のリリースでACIに存在しており、新しく導入された機能ではないことに注意してください。ただし、ほとんどの入門ガイドとトレーニング教材は従来のEPGとドメインの関連付け方法に重点を置いており、AAEPベースのアプローチが見えにくくなっているため、多くのお客様と管理者はこの機能を活用していません。

このシナリオでは、infraRsFuncToEpgオブジェクトのcreator属性がUSERに設定されます。これは、この関連付けがAAEPレベルでユーザによって明示的に設定されたことを示します。

APIC GUIでは、この設定は次の下にあります。

Fabric > Access Policies > Policies > Global > Attachable Access Entity Profiles > [AAEP_Name] > Application EPGs

infraRsFuncToEpg（ユーザ作成）のmoquery出力：

Site1-Leaf106# moquery -c infraRsFuncToEpg
creator : USER
dn : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
encap : vlan-506
primaryEncap : unknown

この設定オプションの顕著な違いは、EPG静的AAEP設定にAAEPレベルで設定されたポリシーが反映されないことです。つまり、infraRsFuncToEpgクラスがcreator属性をUSERに設定して作成されている一方で、対応するfvRsAepAttオブジェクトがEPGレベルで自動的に生成されることはなく、ユーザに対するこの関連付けを視覚的に表現します。

+----------------------+
|  infraRsFuncToEpg    |
|  (Relation from      |
|   Attachable Entity  |
|   Profile to EPG)    |
+----------+-----------+
           |
           |
           v
+---------------------+
|      EPG (fvAEPg)   |
+---------------------+

確認

APICレベル：

Site1-apic1# moquery -c vlanCktEp -x 'query-target-filter=wcard(vlanCktEp.encap,"vlan-506")' | egrep "dn|epgDn|name"
dn : topology/pod-1/node-106/sys/ctx-[vxlan-2392066]/bd-[vxlan-16121790]/vlan-[vlan-506]
epgDn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG
name : CL2026_TNT:LAB_APP:WEB_EPG

リーフレベルで、次の手順を実行します。

Site1-Leaf106# show vlan encap-id 506
VLAN Name Status Ports 
---- -------------------------------- --------- -------- 
 14     CL2026_TNT:LAB_APP:WEB_EPG     active    Eth1/20 

トラブルシュート

アクセスポリシーの設定ミス

EPGで使用されるVLANカプセル化がAAEPのドメインに正しく関連付けられていなかった場合、障害F0467が発生し、スイッチレベルでのVLAN展開ができなくなります。これには、テナント設定（EPG/ドメイン）とファブリックアクセスポリシー（AAEP/VLANプール）の間の慎重な調整が必要です。

EPGをAAEPに静的に関連付けるように設定し、アクセスポリシーのマッピングを完了するための対応するドメインアソシエーションを欠落させる。

これにより、APICでF0467障害によって識別される無効なパスの関連付けが発生し、Enforce Domain Validation設定によっては停止が発生する可能性があります。

Site1-apic1# moquery -c faultInst -f 'fault.Inst.code=="F0467"' 
code : F0467
changeSet : configQual:invalid-path, configSt:failed-to-apply, debugMessage:invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;, temporaryError:no
descr : Configuration failed for node 106 due to Invalid Path Configuration, debug message: invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;
dn : topology/pod-1/node-106/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]/node-106/attEntitypathatt-[CL2026_AEP]/rsstPathAtt-[sys/conng/path-[eth1/20]]/nwissues/fault-F0467
lastTransition : 2025-10-21T05:33:12.868+00:00
severity : critical

VLANオーバーライド 

関連情報

APIC GUIを使用してAEPから複数のインターフェイスへのEPGを展開する

シスコアプリケーションセントリックインフラストラクチャ(ACI)設計ガイド

Cisco On Demand Library - ACIオブジェクト：設定ワイヤの交差を回避する方法 – BRKDCN-2647
ACI Enforce Domain Validationについて