AAEP 정적 연결을 통한 간소화된 EPG 구축 이해

소개

이 문서에서는 AAEP의 컨피그레이션을 간소화하는 ACI 소프트웨어 버전 6.1(3f)에 도입된 새로운 기능에 대해 설명합니다.

사전 요구 사항

요구 사항

각 엔드포인트 그룹(EPG)은 물리적 포트에 구축되기 전에 물리적 도메인과 명시적으로 연결되어야 합니다. 이 연결이 없으면 기본 액세스 정책이 올바르게 구성되었더라도 EPG에서 물리적 인프라를 사용할 수 없습니다.

참고: AAEP(Attachable Access Entity Profile)는 F0467 오류를 방지하고 물리적 스위치 인터페이스에서 성공적인 VLAN 프로비저닝을 보장하려면 도메인 및 VLAN 풀 연결로 올바르게 구성해야 합니다.

사용되는 구성 요소

이 기능을 사용하려면 Cisco ACI 소프트웨어에서 버전 6.1(3f) 이상을 실행해야 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

혜택

AAEP와 EPG 간 연결은 단일 컨피그레이션 단계에서 애플리케이션 EPG를 AAEP에 연결된 모든 포트에 적용할 수 있게 하여 구축을 간소화합니다. 이러한 접근 방식은 여러 인터페이스 전반에 걸쳐 정책 애플리케이션을 간소화하며, 이는 수많은 서버 또는 클러스터가 있는 대규모 환경에서 특히 유용합니다. 이를 통해 패브릭 전반의 운영 효율성과 일관성이 향상됩니다.

AAEP는 VLAN 풀을 AAEP에 연결하여 VLAN(Virtual Local Area Network) 할당을 자동화하므로 연결된 모든 포트에서 일관된 VLAN 사용을 보장하고 수동 오류를 줄일 수 있습니다.

컨피그레이션 옵션

연결된 고정 AAEP에 대한 EPG

APIC GUI에서 이 설정은 다음 위치에 있습니다.

Tenant(테넌트) > tenant_name > Application Profiles(애플리케이션 프로파일) > [EPG_Name] > Static AAEP

EPG에서 직접 정책을 구성하는 경우 APIC 레벨에서 fvRsAepAtt 클래스의 새 인스턴스가 생성됩니다. 이 객체는 EPG의 직접 하위 객체이며 AAEP에 대한 직접 참조를 설정합니다.

fvRsAepAtt에 대한 moquery 출력(EPG 개시 연결):

Site1-apic1# moquery -c fvRsAepAtt
dn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG/rsaepAtt-CL2026_AEP
encap : vlan-506
primaryEncap : unknown

이 연결이 EPG에서 이루어지면 해당 infraRsFuncToEpg 객체(EPG와의 연결 가능 엔터티 프로필의 관계를 나타냄)에서 이 객체의 creator 특성이 SYSTEM으로 설정됩니다. 이는 시스템이 EPG 컨피그레이션을 기반으로 이 관계를 자동으로 생성했음을 나타냅니다.

APIC GUI에서 이 설정은 다음 위치에 있습니다.

Fabric(패브릭) > Access Policies(액세스 정책) > Policies(정책) > Global(전역) > Attachable Access Entity Profiles(AAEP_Name) > Application EPGs(애플리케이션 EPG)

infraRsFuncToEpg에 대한 moquery 출력(시스템 유지 관리):

Site1-Leaf106# moquery -c infraRsFuncToEpg
creator      : SYSTEM
dn           : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
encap        : vlan-506
primaryEncap : unknown

Cisco ACI Classes infraRsFuncToEpg 및 fvRsAepAtt와 fvAEPg 간의 관계:

+----------------------+          +---------------------+
|  infraRsFuncToEpg    |          |     fvRsAepAtt      |
|  (Relation from      |          |  (Relation from     |
|   Attachable Entity  |          |   EPG to Attachable |
|   Profile to EPG)    |          |   Entity Profile)   |
+-----------+----------+          +----------+----------+
           |                               |
           |                               |
           +-----------+   +---------------+
                       |   |
                       v   v
                +---------------------+
                |      EPG (fvAEPg)   |
                +---------------------+

EPG 개시 연결의 주요 특징은 infraRsFuncToEpg 객체가 AAEP를 참조하는 동안 AAEP 컨피그레이션에서 직접 삭제할 수 없다는 것입니다. 이렇게 하면 유효성 검사 오류가 발생합니다.

"개체를 삭제하지 못했습니다. 유효성 검사 실패: Dn0=uni/infra/attentp-AAEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG] 시스템을 수정할 수 없습니다."

이러한 동작을 통해 연결이 EPG 컨피그레이션과 일관되게 유지됩니다. 두 컨피그레이션 옵션(EPG 개시 또는 AAEP 개시) 모두 초기 컨피그레이션 지점에서만 수정할 수 있습니다.

AAEP - EPG 연결

AAEP를 통한 이 EPG 연결 기능은 여러 릴리스의 ACI에 존재했으며 새로 도입된 기능이 아닙니다. 그러나 대부분의 시작 가이드 및 교육 자료가 기존의 EPG-도메인 연계 방식에 초점을 맞추고 있어 AAEP 기반 접근 방식이 눈에 잘 띄지 않기 때문에 많은 고객과 관리자가 이 기능을 활용하지 못하고 있습니다.

이 시나리오에서 infraRsFuncToEpg 객체 생성자 속성이 USER로 설정되어 이 연결이 AAEP 레벨의 사용자에 의해 명시적으로 구성되었음을 나타냅니다.

APIC GUI에서 이 설정은 다음 위치에 있습니다.

Fabric(패브릭) > Access Policies(액세스 정책) > Policies(정책) > Global(전역) > Attachable Access Entity Profiles(AAEP_Name) > Application EPGs(애플리케이션 EPG)

infraRsFuncToEpg에 대한 moquery 출력(사용자 생성):

Site1-Leaf106# moquery -c infraRsFuncToEpg
creator : USER
dn : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
encap : vlan-506
primaryEncap : unknown

이 컨피그레이션 옵션의 두드러진 차이점은 EPG 고정 AAEP 컨피그레이션이 AAEP 레벨에서 구성된 정책을 반영하지 않는다는 것입니다. 즉, creator 특성이 USER로 설정된 상태로 infraRsFuncToEpg 클래스가 생성되는 동안 해당 fvRsAepAtt 객체가 EPG 레벨에서 자동으로 생성되지 않아 이러한 연결을 사용자에게 시각적으로 나타냅니다.

+----------------------+
|  infraRsFuncToEpg    |
|  (Relation from      |
|   Attachable Entity  |
|   Profile to EPG)    |
+----------+-----------+
           |
           |
           v
+---------------------+
|      EPG (fvAEPg)   |
+---------------------+

다음을 확인합니다.

APIC 레벨:

Site1-apic1# moquery -c vlanCktEp -x 'query-target-filter=wcard(vlanCktEp.encap,"vlan-506")' | egrep "dn|epgDn|name"
dn : topology/pod-1/node-106/sys/ctx-[vxlan-2392066]/bd-[vxlan-16121790]/vlan-[vlan-506]
epgDn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG
name : CL2026_TNT:LAB_APP:WEB_EPG

리프 레벨:

Site1-Leaf106# show vlan encap-id 506
VLAN Name Status Ports 
---- -------------------------------- --------- -------- 
 14     CL2026_TNT:LAB_APP:WEB_EPG     active    Eth1/20 

문제 해결

잘못된 컨피그레이션 액세스 정책

EPG에서 사용하는 VLAN 캡슐화가 AAEP의 도메인과 제대로 연결되지 않은 경우 Fault F0467이 제기되어 스위치 레벨에서 VLAN을 구축할 수 없게 됩니다. 이를 위해서는 테넌트 컨피그레이션(EPG/Domain)과 패브릭 액세스 정책(AAEP/VLAN 풀) 간의 세심한 조율이 필요합니다.

AAEP 고정 연결에 EPG를 구성하고 액세스 정책 매핑을 완료하기 위한 개별 도메인 연결을 누락합니다.

이로 인해 APIC에서 F0467 결함으로 식별되는 잘못된 경로 연결이 발생하며, 이는 Enforce Domain Validation 컨피그레이션에 따라 중단될 가능성이 높습니다.

Site1-apic1# moquery -c faultInst -f 'fault.Inst.code=="F0467"' 
code : F0467
changeSet : configQual:invalid-path, configSt:failed-to-apply, debugMessage:invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;, temporaryError:no
descr : Configuration failed for node 106 due to Invalid Path Configuration, debug message: invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;
dn : topology/pod-1/node-106/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]/node-106/attEntitypathatt-[CL2026_AEP]/rsstPathAtt-[sys/conng/path-[eth1/20]]/nwissues/fault-F0467
lastTransition : 2025-10-21T05:33:12.868+00:00
severity : critical

VLAN 재정의 

관련 정보

APIC GUI를 사용하여 AEP를 통해 여러 인터페이스에 EPG 구축

Cisco ACI(Application Centric Infrastructure) 설계 가이드

Cisco On Demand Library - ACI 객체: 구성 와이어를 교차하지 않는 방법 - BRKDCN-2647
ACI Enforce Domain Validation 이해