Solucionado: Re: EPG sin una asociación de dominio físico

Translator · ‎09-13-2021

Hola comunidad,

¿Es necesario asignar un dominio físico a un EPG? ¿No es suficiente la asignación de ruta estática? En ese caso, ¿cuál es exactamente el propósito de asignar un dominio físico a un EPG?

Como entendí cuando revisé alguna documentación, el dominio es necesario porque proporciona el rango de VLAN que se nos permite usar en la asignación de ruta estática, esto es, si nuestro dominio incluye vlans de 300-350, simplemente no podemos asignar vlan 250 a un EP dentro de ese EPG.

Mi confusión vino por el hecho de que en un curso de ACI en línea, el ingeniero olvidó incluir un dominio en el EPG y aún pudo asignar un vlan bajo la asignación de puerto estático para ambos EP y los EP también pudieron comunicarse entre sí sin ningún problema, y ningún dominio definido para el EPG en ese momento!!!

¿Es así como se supone que debe ser? ¿Me falta algo aquí?

Translator · ‎09-13-2021

[Editado: Declaración corregida sobre el nombre de la característica según la captura de Chris]

Sí, va a funcionar sin asignar un dominio al EPG. Planteé la mejora para corregir este comportamiento hace muchos años e introdujimos la función "Aplicar validación de dominio" en Configuración del sistema - Configuración de todo el tejido - Aplicar validación de dominio. Con esto habilitado (práctica recomendada para activarlo) NO programará la VLAN en la interfaz. En cambio, planteará una falla. Incluso ejecutándose con la configuración que tiene, ACI aún planteará una falla en el EPG, pero la programación se aplicará en la interfaz. Obviamente, esta no es una buena idea, ya que el dominio se convierte en un punto de control RBAC donde un administrador de directivas de infraestructura /acceso puede restringir a los administradores de inquilinos la asignación errónea de VLAN a interfaces que no deberían ser.

Robert

Ver la solución en mensaje original publicado

Translator · ‎09-13-2021

[Editado: Declaración corregida sobre el nombre de la característica según la captura de Chris]

Sí, va a funcionar sin asignar un dominio al EPG. Planteé la mejora para corregir este comportamiento hace muchos años e introdujimos la función "Aplicar validación de dominio" en Configuración del sistema - Configuración de todo el tejido - Aplicar validación de dominio. Con esto habilitado (práctica recomendada para activarlo) NO programará la VLAN en la interfaz. En cambio, planteará una falla. Incluso ejecutándose con la configuración que tiene, ACI aún planteará una falla en el EPG, pero la programación se aplicará en la interfaz. Obviamente, esta no es una buena idea, ya que el dominio se convierte en un punto de control RBAC donde un administrador de directivas de infraestructura /acceso puede restringir a los administradores de inquilinos la asignación errónea de VLAN a interfaces que no deberían ser.

Robert

Translator · ‎09-13-2021

¡Gracias Robert! No conocía esa opción "Enforce EPG VLAN Validation", ¡todo tiene sentido ahora!

Por cierto, ¿esa característica está habilitada para el comportamiento predeterminado para ACI? ¿O realmente necesitamos tener en mente habilitarlo como una mejor práctica como mencionaste?

¡Gracias de nuevo!

Translator · ‎09-13-2021

Dado que no era una función del primer día, debe habilitarse manualmente. De forma predeterminada, esta función está deshabilitada.

Robert

Translator · ‎09-13-2021

Lo tengo, ¡Muchas gracias Robert!

Realmente estaba luchando con eso ya que lo noté por error.

Translator · ‎09-13-2021

Accidente o no, esa es una buena captura para notar este comportamiento. Muestra que está verificando la implementación de su política y luego cuestionando su funcionamiento, lo que me encanta ver. Cada vez que su equipo configure las directivas de inquilino, siempre verifique el objeto configurado en sí (EPG / BD, etc.) o el inquilino principal (en el que todos se acumulan) para detectar cualquier falla. Forma rápida y fácil de encontrar y evitar problemas.

Háganos saber si tiene alguna otra Q.

Robert

Translator · ‎09-13-2021

Muchas gracias, realmente lo aprecio!!

Translator · ‎09-13-2021

No @glezJos91986,

Solo tres puntos para agregar a las explicaciones de Robert.

En primer lugar, @robert no es EXACTAMENTE correcto cuando dice:

Función "Aplicar validación de dominio" en configuración del sistema - Configuración de todo el tejido - Aplicar validación de VLAN EPG (anteriormente denominada validación de dominio)

porque TODAVÍA se llama Enforce Domain Validation - Y hay una opción DIFERENTE para Enforce EPG VLAN Validation.

Por lo tanto, @glezJos91986, la característica que realmente necesita es, de hecho, la validación de dominio de ejecución, NO la validación de VLAN de Enforce EPG.

En segundo lugar, debe comprender que SI ha realizado copias de seguridad o instantáneas de APIC Fabric ANTES de activar la opción ACI Enforce Domain Validation, NO podrá restaurarlas una vez que se haya alternado la opción. Esto se debe a que una vez que está encendido, no puede apagarlo. Y si tuviera que restaurar una copia de seguridad de Fabric, estaría intentando desactivar el interruptor.

Y tres veces, y esto es realmente cosmético: quiero asegurarme de que conozca la mejor aplicación que puede agregar a ACI, se llama Visor de políticas, y cuando se instala, puede mirar sus EPG y ver toda la cadena de políticas de inquilino y acceso, pero SOLO después de que el EPG se haya vinculado al dominio. Es simplemente IMPRESIONANTE.

Translator · ‎09-13-2021

Muchas gracias Chris por la aclaración / explicación y las fotos.

Tengo mucha curiosidad por este visor de políticas, voy a profundizar en él ya que parece bastante útil.

¡Gracias!

Translator · ‎09-13-2021

¡Siempre puedo contar con Chris para mantenerme honesto! Me sirve bien tratar de responder de memoria. Actualicé mi respuesta original para mantener la información precisa.

Robert

Translator · ‎09-13-2021

Agradezco su tiempo para aclarar este asunto, muchas gracias.

Translator · ‎07-21-2023

Hola:

Tengo una pregunta sobre cómo habilitar Enforce Domain Validation . Actualmente, en nuestro fabric de ACI, no está habilitado. Si quiero habilitarlo, afectará el flujo de tráfico EPG actual, como inestabilidad MAC o no recepción MAC en EPG. Responda a mi pregunta tan pronto como pueda tomar la decisión de habilitar ese parámetro en nuestra ACI.

Translator · ‎09-09-2023

Hola, lo siento por revivir un post tan antiguo. Pero, ¿es posible este comportamiento porque es un canal de puerto o un vPC, ya que especifica el grupo de políticas que está vinculado al conjunto de VLAN?

Solo trato de entender cómo piensa ACI. No quería crear otra publicación.

Translator · ‎09-09-2023

Hola @BertiniB ,

Esta publicación ya está respondida. Si la respuesta no ha respondido a su pregunta, haga una nueva (con referencia a esta si es necesario)