通过AAEP静态关联了解简化的EPG部署

简介

本文档介绍ACI软件版本6.1(3f)中引入的一项新功能，该功能可简化AAEP的配置。

先决条件

要求

每个终端组(EPG)必须明确与物理域关联，然后才能在物理端口上部署。如果没有此关联，EPG将无法使用任何物理基础设施，即使已正确配置基础访问策略也是如此。

注意：可连接访问实体配置文件(AAEP)仍然必须正确配置有域和VLAN池关联，以避免故障F0467，并确保在物理交换机接口上成功调配VLAN。

使用的组件

要使用此功能，您的思科ACI软件必须运行版本6.1(3f)或更高版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

好处

AAEP直接与EPG的关联通过允许应用EPG在单个配置步骤中应用于链接到AAEP的所有端口简化了部署。此方法可跨多个接口简化策略应用，这在拥有大量服务器或集群的大型环境中尤其有用，可增强交换矩阵之间的运营效率和一致性。

AAEP通过将VLAN池链接到AAEP来自动分配虚拟局域网(VLAN)，确保所有关联端口的VLAN使用保持一致，并减少手动错误。

配置选项

EPG到关联的静态AAEP

在APIC GUI中，此设置位于：

租户> tenant_name >应用配置文件> [EPG_Name] >静态AAEP

直接从EPG配置策略时，会在APIC级别创建fvRsAepAtt类的新实例。此对象是EPG的直接子对象，并建立对AAEP的直接引用。

fvRsAepAtt(EPG发起的关联)的MOQUERY输出：

Site1-apic1# moquery -c fvRsAepAtt
dn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG/rsaepAtt-CL2026_AEP
encap : vlan-506
primaryEncap : unknown

从EPG进行此关联时，相应的infraRsFuncToEpg对象（表示从可附加实体配置文件到EPG的关系）会将其创建者属性设置为SYSTEM。这表示系统根据EPG配置自动创建此关系。

在APIC GUI中，此设置位于：

交换矩阵>访问策略>策略>全局>可附加访问实体配置文件> [AAEP_Name] >应用EPG

infraRsFuncToEpg的moquery输出（系统维护）：

Site1-Leaf106# moquery -c infraRsFuncToEpg
creator      : SYSTEM
dn           : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
encap        : vlan-506
primaryEncap : unknown

思科ACI类infraRsFuncToEpg与fvRsAepAtt to fvAEPg之间的关系:

+----------------------+          +---------------------+
|  infraRsFuncToEpg    |          |     fvRsAepAtt      |
|  (Relation from      |          |  (Relation from     |
|   Attachable Entity  |          |   EPG to Attachable |
|   Profile to EPG)    |          |   Entity Profile)   |
+-----------+----------+          +----------+----------+
           |                               |
           |                               |
           +-----------+   +---------------+
                       |   |
                       v   v
                +---------------------+
                |      EPG (fvAEPg)   |
                +---------------------+

EPG发起关联的关键特征是infraRsFuncToEpg对象在引用AAEP时不能直接从AAEP配置中删除。尝试这样做预期会导致验证错误：

“未能删除对象。验证失败：无法修改所创建的系统的mo Dn0=uni/infra/attentp-AAEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]"

此行为可确保关联与EPG配置保持一致。对于两个配置选项（EPG启动或AAEP启动），只能在初始配置点进行修改。

AAEP到关联EPG

请注意，通过AAEP实现的EPG关联功能在ACI中已存在多个版本，并非新引入的功能。但是，许多客户和管理员没有利用此功能，因为大多数入门指南和培训材料都侧重于传统的EPG到域关联方法，这使得基于AAEP的方法不那么明显。

在此方案中，infraRsFuncToEpg对象创建者属性设置为USER，表示此关联是由AAEP级别的用户显式配置的。

在APIC GUI中，此设置位于：

交换矩阵>访问策略>策略>全局>可附加访问实体配置文件> [AAEP_Name] >应用EPG

infraRsFuncToEpg的moquery输出（用户已创建）：

Site1-Leaf106# moquery -c infraRsFuncToEpg
creator : USER
dn : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
encap : vlan-506
primaryEncap : unknown

此配置选项的一个显着区别是，EPG静态AAEP配置不反映在AAEP级别配置的策略。这意味着，在创建infraRsFuncToEpg类并将creator属性设置为USER时，不会在EPG级别自动生成相应的fvRsAepAtt对象，以便以可视方式向用户表示此关联。

+----------------------+
|  infraRsFuncToEpg    |
|  (Relation from      |
|   Attachable Entity  |
|   Profile to EPG)    |
+----------+-----------+
           |
           |
           v
+---------------------+
|      EPG (fvAEPg)   |
+---------------------+

验证

在APIC级别：

Site1-apic1# moquery -c vlanCktEp -x 'query-target-filter=wcard(vlanCktEp.encap,"vlan-506")' | egrep "dn|epgDn|name"
dn : topology/pod-1/node-106/sys/ctx-[vxlan-2392066]/bd-[vxlan-16121790]/vlan-[vlan-506]
epgDn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG
name : CL2026_TNT:LAB_APP:WEB_EPG

在枝叶级别：

Site1-Leaf106# show vlan encap-id 506
VLAN Name Status Ports 
---- -------------------------------- --------- -------- 
 14     CL2026_TNT:LAB_APP:WEB_EPG     active    Eth1/20 

故障排除

访问策略配置错误

如果EPG使用的VLAN封装未与AAEP中的域正确关联，将引发故障F0467，从而阻止在交换机级别部署VLAN。这需要在租户配置（EPG/域）和交换矩阵访问策略（AAEP/VLAN池）之间进行仔细协调。

配置EPG到AAEP静态关联并缺少相应的域关联以完成访问策略映射。

这会导致APIC上由F0467故障标识的无效路径关联，而根据强制域验证配置，该关联可能会导致中断。

Site1-apic1# moquery -c faultInst -f 'fault.Inst.code=="F0467"' 
code : F0467
changeSet : configQual:invalid-path, configSt:failed-to-apply, debugMessage:invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;, temporaryError:no
descr : Configuration failed for node 106 due to Invalid Path Configuration, debug message: invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;
dn : topology/pod-1/node-106/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]/node-106/attEntitypathatt-[CL2026_AEP]/rsstPathAtt-[sys/conng/path-[eth1/20]]/nwissues/fault-F0467
lastTransition : 2025-10-21T05:33:12.868+00:00
severity : critical

VLAN覆盖 

相关信息

使用APIC GUI通过AEP将EPG部署到多个接口

思科以应用为中心的基础设施(ACI)设计指南

Cisco On Demand Library - ACI对象：如何避免配置电线被穿过 — BRKDCN-2647
了解ACI实施域验证