отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
288
Просмотры
0
Полезный материал
10
Ответы
Translator
Community Manager

EPG без физической ассоциации доменов

Здравствуйте, сообщество,

Требуется ли назначить физический домен EPG? Недостаточно ли назначения статического пути? В таком случае какова цель присвоения физического домена EPG?

Как я понял, когда я просмотрел некоторую документацию, домен необходим, потому что он предоставляет диапазон VLAN, которые нам разрешено использовать в назначении статических путей, то есть, если наш домен включает vlan от 300-350, мы просто не можем назначить vlan 250 EP в этой EPG.

Мое замешательство возникло из-за того, что в онлайн-курсе ACI инженер забыл включить домен в EPG, и он все еще мог назначить vlan под статическим назначением портов для обоих EP, и EP также могли общаться друг с другом без каких-либо проблем, и в этот момент домен не был определен для EPG!!!

Так ли это должно быть? Мне здесь чего-то не хватает?

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения
Translator
Community Manager

[Отредактировано: Исправлено утверждение о названии функции по улову Криса]

Да, он будет работать без назначения домена EPG. Я поднял вопрос об улучшении, чтобы исправить это поведение много лет назад, и мы представили функцию «Принудительное подтверждение домена» в разделе «Системные настройки — Настройки структуры — Принудительное подтверждение домена». Если это включено (рекомендуется включить это), он НЕ будет программировать VLAN на интерфейсе. Вместо этого он вызовет ошибку. Даже работая с конфигурацией, которую вы имеете, ACI все равно вызовет ошибку на EPG, но программирование будет применяться к интерфейсу. Очевидно, что это не очень хорошая идея, поскольку домен становится контрольной точкой RBAC, где администратор инфраструктуры/ политики доступа может ограничить администраторов клиентов от ошибочного назначения VLAN интерфейсам, которыми они не должны быть.

Роберт

Просмотреть решение в исходном сообщении

10 ОТВЕТ 10
Translator
Community Manager

[Отредактировано: Исправлено утверждение о названии функции по улову Криса]

Да, он будет работать без назначения домена EPG. Я поднял вопрос об улучшении, чтобы исправить это поведение много лет назад, и мы представили функцию «Принудительное подтверждение домена» в разделе «Системные настройки — Настройки структуры — Принудительное подтверждение домена». Если это включено (рекомендуется включить это), он НЕ будет программировать VLAN на интерфейсе. Вместо этого он вызовет ошибку. Даже работая с конфигурацией, которую вы имеете, ACI все равно вызовет ошибку на EPG, но программирование будет применяться к интерфейсу. Очевидно, что это не очень хорошая идея, поскольку домен становится контрольной точкой RBAC, где администратор инфраструктуры/ политики доступа может ограничить администраторов клиентов от ошибочного назначения VLAN интерфейсам, которыми они не должны быть.

Роберт

Спасибо, Роберт! Я не знал о опции «Принудительное выполнение проверки EPG VLAN», теперь все это имеет смысл!

Кстати, включена ли эта функция по умолчанию для ACI? Или нам на самом деле нужно иметь в виду, чтобы включить это как лучшую практику, как вы упомянули?

Еще раз спасибо!

Поскольку это не была функция первого дня, ее необходимо включить вручную. По умолчанию эта функция отключена.

Роберт

Понял, большое спасибо Роберт!

Я действительно боролся с этим, так как заметил это по ошибке.

Случайно это или нет, это хороший улов, чтобы заметить такое поведение. Он показывает, что вы проверяете развертывание политики, а затем ставите под сомнение ее работу, что мне очень нравится видеть. Каждый раз, когда ваша команда настраивает политики клиента, всегда проверяйте сам настроенный объект (EPG/BD и т. д.) или родительский клиент (в который они все входят) на наличие каких-либо сбоев. Быстрый и простой способ найти и избежать проблем.

Дайте нам знать, если у вас есть какие-либо другие вопросы.

Роберт

Спасибо большое, я очень ценю это!!

Translator
Community Manager

Там @glezJos91986,

Всего три момента, которые можно добавить к объяснениям Роберта.

Во-первых, @robert не совсем прав, когда говорит:

Функция "Принудительное выполнение проверки домена" в разделе "Системные настройки" - Параметры для всей структуры - Принудительное выполнение проверки подлинности VLAN EPG (ранее называвшемся проверкой домена)

потому что он по-прежнему называется Принудительной проверкой домена - И есть ДРУГОЙ вариант для Принудительной проверки EPG VLAN.

image.png

Итак, @glezJos91986 - функция, которая вам действительно нужна, - это действительно Принудительная проверка домена, а не Принудительная проверка EPG VLAN.

Во-вторых, вы должны понимать, что ЕСЛИ вы сделали резервные копии или моментальные снимки APIC Fabric ДО того, как включите опцию ACI Enforce Domain Validation , вы НЕ сможете восстановить их после переключения параметра. Это связано с тем, что как только он включен, вы не можете его выключить. И если бы вы восстановили резервную копию Fabric, это была бы попытка выключить переключатель.

И это действительно косметическо - я хочу убедиться, что вы знаете о лучшем приложении, которое вы можете добавить в ACI - оно называется Просмотрщик политик - и после установки вы можете посмотреть на свои EPG и увидеть всю цепочку политик клиента и доступа - но ТОЛЬКО после того, как EPG будет связан с доменом. Это просто ПОТРЯСАЮЩЕ.

image.png

Большое спасибо Крису за акларацию/объяснение и фотографии.

Мне действительно интересно узнать об этом средстве просмотра политики, я углублюсь в него, так как он кажется довольно полезным.

Спасибо!

Translator
Community Manager

Я всегда могу рассчитывать на то, что Крис будет держать меня честным! Служит мне правильно, пытаясь ответить по памяти. Обновил свой первоначальный ответ, чтобы сохранить информацию точной.

Роберт

Я ценю ваше время в прояснения этого вопроса, спасибо большое.

Создать
Выразить признание своим коллегам
Content for Community-Ad

Помощь по сообществу