Vereenvoudigde EPG-implementatie begrijpen via AEP Static Association

Downloadopties

  • PDF     (960.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (799.5 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (581.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:18 december 2025
Document-id:225402

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt een nieuwe functie beschreven die in ACI-softwareversie 6.1(3f) is geïntroduceerd en die de configuratie van een AAEP vereenvoudigt.

    Voorwaarden

    Vereisten

    Elke Endpoint Group (EPG) moet expliciet worden gekoppeld aan een fysiek domein voordat het kan worden geïmplementeerd op fysieke poorten. Zonder deze koppeling kon de EPG geen fysieke infrastructuur verbruiken, zelfs als het onderliggende toegangsbeleid correct was geconfigureerd.

    note-icon

    Opmerking: het Attachable Access Entity Profile (AAEP) moet nog steeds correct zijn geconfigureerd met domein- en VLAN-poolassociaties om Fout F0467 te voorkomen en een geslaagde VLAN-provisioning op de interfaces van de fysieke switch te garanderen.

    Gebruikte componenten

    Als u deze functie wilt gebruiken, moet de Cisco ACI-software versie 6.1(3f) of hoger uitvoeren.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Voordelen


    De AAEP Direct to EPG-koppeling vereenvoudigt de implementatie door toe te staan dat een EPG-toepassing wordt toegepast op alle poorten die zijn gekoppeld aan een AAEP in één configuratiestap. Deze aanpak stroomlijnt beleidstoepassingen over meerdere interfaces, wat vooral gunstig is in grote omgevingen met talrijke servers of clusters, waardoor de operationele efficiëntie en consistentie in de hele fabric wordt verbeterd.

    AAEP automatiseert de toewijzing van Virtual Local Area Network (VLAN) door VLAN-pools te koppelen aan de AAEP, waardoor consistent VLAN-gebruik over alle bijbehorende poorten wordt gewaarborgd en handmatige fouten worden verminderd.


    Configuratieopties

    EPG naar geassocieerde statische AAEP

    In de APIC GUI is deze instelling te vinden onder:

    Huurder > tenant_name > Toepassingsprofielen > [EPG_Name] > Statische AAEP


    EPG to Associated Static AAEP - Configure Option 1

    Wanneer u het beleid rechtstreeks vanuit de EPG configureert, wordt op APIC-niveau een nieuwe instantie van de klasse fvRsAepAtt gemaakt. Dit object is een direct kind van de EPG en vestigt een directe verwijzing terug naar de AAEP.

    moquery-uitvoer voor fvRsAepAtt (EPG-Initiated Association):

    Site1-apic1# moquery -c fvRsAepAtt
    dn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG/rsaepAtt-CL2026_AEP
    encap : vlan-506
    primaryEncap : unknown

    Wanneer deze koppeling wordt gemaakt van de EPG, het corresponderende infraRsFuncToEpg object (dat de relatie van het Attachable Entity Profile naar de EPG vertegenwoordigt) heeft dit zijn maker attribuut ingesteld op SYSTEM. Dit geeft aan dat het systeem deze relatie automatisch heeft gemaakt op basis van de EPG-configuratie.


    In de APIC GUI is deze instelling te vinden onder:

    Fabric > Toegangsbeleid > Beleid > Globaal > Attachable Access Entity Profiles > [AAEP_Name] > Toepassings-EPG's

    EPG to Associated Static AAEP - Configure Option 2

    moquery-uitvoer voor infraRsFuncToEpg (systeem onderhouden):

    Site1-Leaf106# moquery -c infraRsFuncToEpg
    creator      : SYSTEM
    dn           : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
    encap        : vlan-506
    primaryEncap : unknown

    Relatie tussen Cisco ACI-klassen infraRsFuncToEpg en fvRsAepAtt tot fvAEPg:

    +----------------------+          +---------------------+
    |  infraRsFuncToEpg    |          |     fvRsAepAtt      |
    |  (Relation from      |          |  (Relation from     |
    |   Attachable Entity  |          |   EPG to Attachable |
    |   Profile to EPG)    |          |   Entity Profile)   |
    +-----------+----------+          +----------+----------+
               |                               |
               |                               |
               +-----------+   +---------------+
                           |   |
                           v   v
                    +---------------------+
                    |      EPG (fvAEPg)   |
                    +---------------------+

    Een belangrijk kenmerk van EPG-geïnitieerde associaties is dat het object infraRsFuncToEpg, terwijl het verwijst naar de AAEP, niet rechtstreeks uit de AAEP-configuratie kan worden verwijderd. Als u dit probeert te doen, wordt verwacht dat dit resulteert in een validatiefout:

    "Object is niet verwijderd. Validatie mislukt: Kan systeem gemaakt mo Dn0=uni/infra/attentp-AAEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG] niet wijzigen"

    Validation Failed Error

    Dit gedrag zorgt ervoor dat de associatie consistent blijft met de EPG-configuratie. Voor beide configuratieopties (EPG-geïnitieerd of AAEP-geïnitieerd) kunnen wijzigingen alleen worden aangebracht op het punt van de eerste configuratie.

    AAEP associeert EPG

    Het is belangrijk om op te merken dat deze EPG-associatiecapaciteit via AAEP in ACI voor meerdere releases heeft bestaan en geen nieuw geïntroduceerde functie is. Veel klanten en beheerders maken echter geen gebruik van deze functionaliteit, omdat de meeste gidsen en trainingsmaterialen die aan de slag gaan zich richten op de traditionele EPG-naar-domeinassociatiemethode, waardoor de op AAEP gebaseerde aanpak minder zichtbaar wordt.

    In dit scenario is het attribuut infraRsFuncToEpg object creator ingesteld op USER, wat aangeeft dat deze koppeling expliciet is geconfigureerd door een gebruiker op AAEP-niveau.

    In de APIC GUI is deze instelling te vinden onder:

    Fabric > Toegangsbeleid > Beleid > Globaal > Attachable Access Entity Profiles > [AAEP_Name] > Toepassings-EPG's

    AAEP to Associate EPG

    moquery-uitvoer voor infraRsFuncToEpg (door gebruiker gemaakt):

    Site1-Leaf106# moquery -c infraRsFuncToEpg
    creator : USER
    dn : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
    encap : vlan-506
    primaryEncap : unknown

    Een opmerkelijk verschil met deze configuratieoptie is dat de statische AAEP-configuratie van de EPG niet overeenkomt met het beleid dat op AAEP-niveau is geconfigureerd. Dit betekent dat terwijl de klasse infraRsFuncToEpg wordt gemaakt met het attribuut maker ingesteld op USER, een corresponderend fvRsAepAtt-object niet automatisch wordt gegenereerd op EPG-niveau om deze koppeling visueel weer te geven aan de gebruiker.

    +----------------------+
    |  infraRsFuncToEpg    |
    |  (Relation from      |
    |   Attachable Entity  |
    |   Profile to EPG)    |
    +----------+-----------+
               |
               |
               v
    +---------------------+
    |      EPG (fvAEPg)   |
    +---------------------+

    Static AEEP

    Verifiëren

    Op APIC-niveau:

    Site1-apic1# moquery -c vlanCktEp -x 'query-target-filter=wcard(vlanCktEp.encap,"vlan-506")' | egrep "dn|epgDn|name"
    dn : topology/pod-1/node-106/sys/ctx-[vxlan-2392066]/bd-[vxlan-16121790]/vlan-[vlan-506]
    epgDn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG
    name : CL2026_TNT:LAB_APP:WEB_EPG

    Op bladniveau:

    Site1-Leaf106# show vlan encap-id 506
    VLAN Name Status Ports 
    ---- -------------------------------- --------- -------- 
     14     CL2026_TNT:LAB_APP:WEB_EPG     active    Eth1/20

    Problemen oplossen


    Misconfiguratie van toegangsbeleid


    Als de VLAN-inkapseling die door een EPG wordt gebruikt, niet goed is gekoppeld aan het domein in de AAEP, wordt Fout F0467 verhoogd, waardoor VLAN-implementatie op het niveau van de switch wordt voorkomen. Dit vereist een zorgvuldige coördinatie tussen de tenant-configuratie (EPG/domein) en het toegangsbeleid voor de fabric (AAEP/VLAN-pool).

    De statische koppeling EPG naar AAEP configureren en de betreffende domeinkoppeling missen om de toewijzing van toegangsbeleid te voltooien.

    Access Policy Misconfiguration

    Dit veroorzaakt een ongeldige padassociatie die wordt geïdentificeerd door een F0467-fout bij de APIC die, afhankelijk van de Enforce Domain Validation-configuratie, waarschijnlijk een storing veroorzaakt.

    Site1-apic1# moquery -c faultInst -f 'fault.Inst.code=="F0467"' 
    code : F0467
    changeSet : configQual:invalid-path, configSt:failed-to-apply, debugMessage:invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;, temporaryError:no
    descr : Configuration failed for node 106 due to Invalid Path Configuration, debug message: invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;
    dn : topology/pod-1/node-106/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]/node-106/attEntitypathatt-[CL2026_AEP]/rsstPathAtt-[sys/conng/path-[eth1/20]]/nwissues/fault-F0467
    lastTransition : 2025-10-21T05:33:12.868+00:00
    severity : critical

    VLAN-overschrijving 

    VLAN Override

    Gerelateerde informatie

    Een EPG implementeren via een AEP naar meerdere interfaces met behulp van de APIC GUI

    Ontwerphandleiding Cisco Application Centric Infrastructure (ACI)

    Cisco On Demand Library - ACI-objecten: voorkomen dat uw configuratiedraden worden gekruist - BRKDCN-2647
    ACI-domeinvalidatie afdwingen

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    18-Dec-2025
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Luis Contreras
      technisch adviseur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten