Entender a implantação simplificada do EPG por meio da associação estática AAEP
Introdução
Este documento descreve um novo recurso introduzido no software ACI versão 6.1(3f) que simplifica a configuração de um AAEP.
Pré-requisitos
Requisitos
Cada grupo de endpoint (EPG) deve ser explicitamente associado a um domínio físico antes de ser implantado em portas físicas. Sem essa associação, o EPG não poderia consumir nenhuma infraestrutura física, mesmo que as políticas de acesso subjacentes estivessem configuradas corretamente.
Note: O Perfil de entidade de acesso anexável (AAEP) ainda deve ser configurado corretamente com as associações de domínio e pool de VLAN para evitar a falha F0467 e garantir o provisionamento bem-sucedido de VLAN nas interfaces físicas do switch.
Componentes Utilizados
Para utilizar esse recurso, o software Cisco ACI deve estar executando a versão 6.1(3f) ou posterior.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Benefícios
O AAEP direto à associação de EPG simplifica a implantação, permitindo que um EPG de aplicativo seja aplicado a todas as portas vinculadas a um AAEP em uma única etapa de configuração. Essa abordagem simplifica a aplicação de políticas em várias interfaces, o que é especialmente vantajoso em grandes ambientes com vários servidores ou clusters, melhorando a eficiência operacional e a consistência em toda a malha.
O AAEP automatiza a atribuição de VLAN (Virtual Local Area Network, rede local virtual) vinculando pools de VLAN ao AAEP, garantindo o uso consistente da VLAN em todas as portas associadas e reduzindo erros manuais.
Opções de configuração
EPG para AAEP estático associado
Na GUI do APIC, essa configuração é encontrada em:
Locatário > nome_do_locatário > Perfis de Aplicativo > [Nome_do_EPG] > AAEP Estático
Ao configurar a política diretamente do EPG, uma nova instância da classe fvRsAepAtt é criada no nível APIC. Esse objeto é filho direto do EPG e estabelece uma referência direta de volta ao AAEP.
Saída moquery para fvRsAepAtt (Associação Iniciada por EPG):
Site1-apic1# moquery -c fvRsAepAtt
dn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG/rsaepAtt-CL2026_AEP
encap : vlan-506
primaryEncap : unknown
Quando essa associação é feita a partir do EPG, o objeto infraRsFuncToEpg correspondente (que representa o relacionamento do Perfil de entidade anexável com o EPG) tem o atributo creator definido como SYSTEM. Isso indica que o sistema criou automaticamente esse relacionamento com base na configuração do EPG.
Na GUI do APIC, essa configuração é encontrada em:
Fabric > Access Policies > Policies > Global > Attachable Access Entity Profiles > [AAEP_Name] > Application EPGs
Saída moquery para infraRsFuncToEpg (Sistema Mantido):
Site1-Leaf106# moquery -c infraRsFuncToEpg
creator : SYSTEM
dn : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
encap : vlan-506
primaryEncap : unknown
Relacionamento entre as classes da Cisco ACI infraRsFuncToEpg e fvRsAepAtt para fvAEPg:
+----------------------+ +---------------------+
| infraRsFuncToEpg | | fvRsAepAtt |
| (Relation from | | (Relation from |
| Attachable Entity | | EPG to Attachable |
| Profile to EPG) | | Entity Profile) |
+-----------+----------+ +----------+----------+
| |
| |
+-----------+ +---------------+
| |
v v
+---------------------+
| EPG (fvAEPg) |
+---------------------+
Uma característica importante das associações iniciadas pelo EPG é que o objeto infraRsFuncToEpg, ao fazer referência ao AAEP, não pode ser excluído diretamente da configuração do AAEP. Espera-se que a tentativa de fazer isso resulte em um erro de validação:
"Falha ao excluir objeto. Falha na validação: Não é possível modificar o sistema criado mo Dn0=uni/infra/attentp-AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]"
Esse comportamento garante que a associação permaneça consistente com a configuração do EPG. Para ambas as opções de configuração (iniciada por EPG ou por AAEP), as modificações só podem ser feitas no ponto de configuração inicial.
AAEP para associar EPG
É importante observar que esse recurso de associação de EPG por meio do AAEP já existe na ACI para várias versões e não é um recurso recém-introduzido. No entanto, muitos clientes e administradores não estão aproveitando essa funcionalidade porque a maioria dos guias de introdução e materiais de treinamento se concentram no método tradicional de associação EPG a domínio, tornando a abordagem baseada em AAEP menos visível.
Neste cenário, o atributo do objeto infraRsFuncToEpg creator é definido como USER, indicando que essa associação foi configurada explicitamente por um usuário no nível AAEP.
Na GUI do APIC, essa configuração é encontrada em:
Fabric > Access Policies > Policies > Global > Attachable Access Entity Profiles > [AAEP_Name] > Application EPGs
Saída moquery para infraRsFuncToEpg (Criado pelo Usuário):
Site1-Leaf106# moquery -c infraRsFuncToEpg
creator : USER
dn : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
encap : vlan-506
primaryEncap : unknown
Uma diferença notável com essa opção de configuração é que a configuração AAEP estática do EPG não reflete a política configurada no nível AAEP. Isso significa que enquanto a classe infraRsFuncToEpg é criada com o atributo creator definido como USER, um objeto fvRsAepAtt correspondente é gerado automaticamente no nível do EPG para representar visualmente essa associação ao usuário.
+----------------------+
| infraRsFuncToEpg |
| (Relation from |
| Attachable Entity |
| Profile to EPG) |
+----------+-----------+
|
|
v
+---------------------+
| EPG (fvAEPg) |
+---------------------+
Verificar
No nível APIC:
Site1-apic1# moquery -c vlanCktEp -x 'query-target-filter=wcard(vlanCktEp.encap,"vlan-506")' | egrep "dn|epgDn|name"
dn : topology/pod-1/node-106/sys/ctx-[vxlan-2392066]/bd-[vxlan-16121790]/vlan-[vlan-506]
epgDn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG
name : CL2026_TNT:LAB_APP:WEB_EPG
No nível da folha:
Site1-Leaf106# show vlan encap-id 506
VLAN Name Status Ports
---- -------------------------------- --------- --------
14 CL2026_TNT:LAB_APP:WEB_EPG active Eth1/20
Troubleshooting
Erro de configuração da política de acesso
Se o encapsulamento de VLAN usado por um EPG não estivesse corretamente associado ao domínio no AAEP, a falha F0467 seria elevada, impedindo a implantação de VLAN no nível do switch. Isso exige uma coordenação cuidadosa entre a configuração do usuário (EPG/Domínio) e as políticas de acesso à estrutura (AAEP/Pool de VLAN).
Configuração do EPG para associação estática AAEP e ausência da respectiva associação de domínio para concluir o mapeamento de políticas de acesso.
Isso causa uma associação de caminho inválido identificada por uma falha F0467 no APIC que, dependendo da configuração de Aplicar validação de domínio, provavelmente causará uma interrupção.
Site1-apic1# moquery -c faultInst -f 'fault.Inst.code=="F0467"'
code : F0467
changeSet : configQual:invalid-path, configSt:failed-to-apply, debugMessage:invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;, temporaryError:no
descr : Configuration failed for node 106 due to Invalid Path Configuration, debug message: invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;
dn : topology/pod-1/node-106/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]/node-106/attEntitypathatt-[CL2026_AEP]/rsstPathAtt-[sys/conng/path-[eth1/20]]/nwissues/fault-F0467
lastTransition : 2025-10-21T05:33:12.868+00:00
severity : critical
Substituição de VLAN
Informações Relacionadas
Implantação de um EPG por meio de um AEP em várias interfaces usando a GUI do APIC
Guia de design da Cisco Application Centric Infrastructure (ACI)
Biblioteca sob demanda da Cisco - Objetos da ACI: Como evitar que os fios da configuração sejam cruzados - BRKDCN-2647
Entender a ACI Aplicar validação de domínio
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
18-Dec-2025
|
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)