通過AAEP靜態關聯瞭解簡化的EPG部署

簡介

本檔案介紹ACI軟體版本6.1(3f)中引入的新功能，該功能可簡化AAEP的組態。

必要條件

需求

每個終端組(EPG)必須先與物理域明確關聯，然後才能在物理埠上部署。如果沒有此關聯，EPG將無法使用任何物理基礎設施，即使已正確配置底層訪問策略也是如此。

附註：可連線訪問實體配置檔案(AAEP)仍必須正確配置有域和VLAN池關聯，以避免故障F0467，並確保在物理交換機介面上成功調配VLAN。

採用元件

要使用此功能，您的Cisco ACI軟體必須運行6.1(3f)版或更高版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

優勢

AAEP直接與EPG的關聯簡化了部署，因為它允許在一個配置步驟中將應用EPG應用於連結到AAEP的所有埠。此方法可跨多個介面最佳化策略應用，這在擁有大量伺服器或集群的大型環境中尤為有益，可增強整個交換矩陣中的操作效率和一致性。

AAEP將VLAN池連結到AAEP，確保所有關聯埠的VLAN使用一致並減少手動錯誤，從而自動執行虛擬區域網(VLAN)分配。

組態選項

EPG到關聯的靜態AAEP

在APIC GUI中，此設定位於：

Tenant > tenant_name > Application Profiles > [EPG_Name] > Static AAEP

直接從EPG配置策略時，會在APIC級別建立fvRsAepAtt類的新例項。此對象是EPG的直接子對象，並建立對AAEP的直接引用。

fvRsAepAtt的MOQUERY輸出（EPG啟動的關聯）：

Site1-apic1# moquery -c fvRsAepAtt
dn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG/rsaepAtt-CL2026_AEP
encap : vlan-506
primaryEncap : unknown

當從EPG建立此關聯時，相應的infraRsFuncToEpg對象（表示從可附加實體配置檔案到EPG的關係）會將其建立者屬性設定為SYSTEM。這表示系統根據EPG配置自動建立此關係。

在APIC GUI中，此設定位於：

Fabric > Access Policies > Policies > Global > Attachable Access Entity Profiles > [AAEP_Name] > Application EPG

infraRsFuncToEpg的MOQUERY輸出（系統維護）：

Site1-Leaf106# moquery -c infraRsFuncToEpg
creator      : SYSTEM
dn           : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
encap        : vlan-506
primaryEncap : unknown

Cisco ACI類infraRsFuncToEpg和fvRsAepAtt to fvAEPg之間的關係:

+----------------------+          +---------------------+
|  infraRsFuncToEpg    |          |     fvRsAepAtt      |
|  (Relation from      |          |  (Relation from     |
|   Attachable Entity  |          |   EPG to Attachable |
|   Profile to EPG)    |          |   Entity Profile)   |
+-----------+----------+          +----------+----------+
           |                               |
           |                               |
           +-----------+   +---------------+
                       |   |
                       v   v
                +---------------------+
                |      EPG (fvAEPg)   |
                +---------------------+

EPG啟動關聯的一個關鍵特徵是infraRsFuncToEpg對象在引用AAEP時，不能直接從AAEP配置中刪除。嘗試執行此操作預期會導致驗證錯誤：

「未能刪除對象。驗證失敗：無法修改所建立的系統mo Dn0=uni/infra/attentp-AAEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]"

此行為可確保關聯與EPG配置保持一致。對於兩個配置選項（EPG啟動或AAEP啟動），只能在初始配置點進行修改。

AAEP到關聯EPG

必須注意的是，通過AAEP的此EPG關聯功能在ACI中已存在多個版本，並不是新引入的功能。但是，許多客戶和管理人員都沒有利用此功能，因為大多數入門指南和培訓材料都專注於傳統的EPG到域關聯方法，這使得基於AAEP的方法不易看到。

在此方案中，infraRsFuncToEpg object creator屬性設定為USER，表示此關聯是由AAEP級別的使用者顯式配置的。

在APIC GUI中，此設定位於：

Fabric > Access Policies > Policies > Global > Attachable Access Entity Profiles > [AAEP_Name] > Application EPG

infraRsFuncToEpg的MOQUERY輸出(使用者已建立):

Site1-Leaf106# moquery -c infraRsFuncToEpg
creator : USER
dn : uni/infra/attentp-CL2026_AEP/gen-default/rsfuncToEpg-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]
encap : vlan-506
primaryEncap : unknown

此配置選項的一個顯著區別是EPG靜態AAEP配置不反映在AAEP級別配置的策略。這意味著，在建立infraRsFuncToEpg類時，將creator屬性設定為USER，但不會在EPG級別自動生成相應的fvRsAepAtt對象，以便以可視方式向使用者表示此關聯。

+----------------------+
|  infraRsFuncToEpg    |
|  (Relation from      |
|   Attachable Entity  |
|   Profile to EPG)    |
+----------+-----------+
           |
           |
           v
+---------------------+
|      EPG (fvAEPg)   |
+---------------------+

驗證

在APIC級別：

Site1-apic1# moquery -c vlanCktEp -x 'query-target-filter=wcard(vlanCktEp.encap,"vlan-506")' | egrep "dn|epgDn|name"
dn : topology/pod-1/node-106/sys/ctx-[vxlan-2392066]/bd-[vxlan-16121790]/vlan-[vlan-506]
epgDn : uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG
name : CL2026_TNT:LAB_APP:WEB_EPG

在枝葉級別：

Site1-Leaf106# show vlan encap-id 506
VLAN Name Status Ports 
---- -------------------------------- --------- -------- 
 14     CL2026_TNT:LAB_APP:WEB_EPG     active    Eth1/20 

疑難排解

訪問策略配置錯誤

如果EPG使用的VLAN封裝沒有與AAEP中的域正確關聯，將引發故障F0467，從而阻止在交換機級別部署VLAN。這需要在租戶配置（EPG/域）和交換矩陣訪問策略（AAEP/VLAN池）之間進行仔細協調。

配置EPG到AAEP靜態關聯並且缺少相應的域關聯以完成訪問策略對映。

這會導致APIC上由F0467故障標識的無效路徑關聯，而根據「強制域驗證」配置，該關聯可能會導致中斷。

Site1-apic1# moquery -c faultInst -f 'fault.Inst.code=="F0467"' 
code : F0467
changeSet : configQual:invalid-path, configSt:failed-to-apply, debugMessage:invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;, temporaryError:no
descr : Configuration failed for node 106 due to Invalid Path Configuration, debug message: invalid-path: vlan-506 :There is no domain, associated with both EPG and Port, that has required VLAN;
dn : topology/pod-1/node-106/local/svc-policyelem-id-0/uni/epp/fv-[uni/tn-CL2026_TNT/ap-LAB_APP/epg-WEB_EPG]/node-106/attEntitypathatt-[CL2026_AEP]/rsstPathAtt-[sys/conng/path-[eth1/20]]/nwissues/fault-F0467
lastTransition : 2025-10-21T05:33:12.868+00:00
severity : critical

VLAN覆寫 

相關資訊

使用APIC GUI通過AEP將EPG部署到多個介面

思科以應用為中心的基礎設施(ACI)設計手冊

Cisco On Demand Library - ACI對象：如何避免配置電線被穿過 — BRKDCN-2647
瞭解ACI強制域驗證