Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Iniciar uma conversa
3541
Apresentações
0
Útil
13
Respostas

EPG sem associação de domínio físico

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎09-13-2021 12:09 AM

Olá comunidade,

É necessário atribuir um domínio físico a um EPG? A missão do caminho estático não é suficiente? Nesse caso, qual é exatamente o propósito de atribuir um domínio físico a um EPG?

Como entendi quando passei por cima de alguma documentação, o domínio é necessário porque fornece o alcance de VLANs que podemos usar na atribuição do caminho estático, isto é, se o nosso domínio inclui vlans de 300-350, nós simplesmente não podemos atribuir vlan 250 a um EP dentro desse EPG.

Minha confusão veio pelo fato de que em um curso de ACI on-line, o engenheiro esqueceu de incluir um domínio no EPG e ele ainda era capaz de atribuir um vlan sob a atribuição de porta estática tanto para EPs quanto para os EPs também foram capazes de se comunicar uns com os outros sem nenhum problema, e nenhum domínio definido para o EPG naquele momento!!!

É assim que deveria ser? Estou perdendo alguma coisa aqui?

0 Útil
1 Soluções Aceita

Soluções aceites

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎09-13-2021 12:10 AM

[Editado: Declaração corrigida no nome do recurso por captura de Chris]

Sim, ele vai funcionar sem atribuir um domínio ao EPG. Eu levantei o aprimoramento para corrigir esse comportamento há muitos anos e introduzimos o recurso "Impor validação de domínio" sob as Configurações do Sistema - Configurações amplas de malha - Impor validação de domínio. Com isso ativado (práticas recomendadas para ligar isso) ele NÃO programará o VLAN na interface. Em vez disso, vai levantar uma falha. Mesmo rodando com a configuração que você tem, a ACI ainda vai levantar uma falha no EPG, mas a programação será aplicada na interface. Obviamente, isso não é uma boa ideia, pois o Domínio se torna um ponto de controle da RBAC onde um administrador de política de infraestrutura/acesso pode restringir os administradores inquilinos de atribuir equivocadamente VLANs a interfaces que não deveriam ser.

Robert

Ver solução na publicação original

0 Útil
13 RESPOSTAS 13

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎09-13-2021 12:10 AM

[Editado: Declaração corrigida no nome do recurso por captura de Chris]

Sim, ele vai funcionar sem atribuir um domínio ao EPG. Eu levantei o aprimoramento para corrigir esse comportamento há muitos anos e introduzimos o recurso "Impor validação de domínio" sob as Configurações do Sistema - Configurações amplas de malha - Impor validação de domínio. Com isso ativado (práticas recomendadas para ligar isso) ele NÃO programará o VLAN na interface. Em vez disso, vai levantar uma falha. Mesmo rodando com a configuração que você tem, a ACI ainda vai levantar uma falha no EPG, mas a programação será aplicada na interface. Obviamente, isso não é uma boa ideia, pois o Domínio se torna um ponto de controle da RBAC onde um administrador de política de infraestrutura/acesso pode restringir os administradores inquilinos de atribuir equivocadamente VLANs a interfaces que não deveriam ser.

Robert

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-13-2021 12:10 AM

Obrigado Robert! Eu não sabia sobre aquela opção "Impor validação VLAN EPG", tudo faz sentido agora !

A propósito, esse recurso está habilitado para o comportamento padrão da ACI? Ou precisamos ter em mente para habilitá-lo como uma prática recomendada como você mencionou?

Obrigado de novo!

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-13-2021 12:10 AM

Como não era um recurso de um dia, ele deve ser ativado manualmente. Por padrão, esse recurso está desativado.

Robert
0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-13-2021 12:10 AM

Entendi, muito obrigado Robert!

Eu estava realmente lutando com isso desde que eu notei isso por engano.

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-13-2021 12:10 AM

Acidente ou não, é uma boa captura para notar este comportamento. Isso mostra que você está verificando sua implantação de política e questionando sua operação - o que eu amo ver. Sempre que sua equipe configura as políticas do Inquilino, verifique sempre o objeto configurado em si (EPG/BD etc) ou o inquilino pai (no qual todos eles aparecem) por quaisquer falhas. Maneira rápida e fácil de encontrar e evitar problemas.

Deixe-nos saber se você tem algum outro Qs.

Robert

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-13-2021 12:10 AM

Muito obrigado, eu realmente aprecio isso!!

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎09-13-2021 12:10 AM

@glezJos91986,

Apenas três pontos para somar às explicações de Robert.

Em primeiro lugar, @robert não está exatamente certo quando ele diz:

Recurso "Impor validação de domínio" nas configurações do sistema - Configurações amplas de malha - Impor validação VLAN EPG (anteriormente chamada de Validação de Domínio)

porque ainda é chamado de Validação de Domínio de Execução - E há uma opção DIFERENTE para impor a validação de VLAN de EPG.

image.png

Então, @glezJos91986 - o recurso que você realmente precisa é de fato a Validação de Domínio de Execução - NÃO a Validação de VLAN De Enforce EPG.

Em segundo lugar, você precisa entender que se você tiver tomado backups ou instantâneos da APIC Fabric antes de piscar a opção Validação de Domínio ACI Enforce, você NÃO será capaz de restaurá-los uma vez que a opção tenha sido alternada. Isso é porque uma vez ligado, você não pode desligá-lo. E se você restaurasse um backup do Fabric, ele estaria tentando desligar o interruptor.

E thridly, e isso é realmente cosmético - eu quero ter certeza de que você sabe sobre o melhor App que você pode adicionar à ACI - é chamado de Policy Viewer - e quando instalado, você pode olhar para seus EPGs e ver toda a cadeia de política de inquilinos e acesso - mas somente depois que o EPG foi vinculado ao Domínio. É simplesmente INCRÍVEL.

image.png

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-13-2021 12:10 AM

Muito obrigado Chris pela acomodação/explicação e fotos.

Estou realmente curioso sobre este telespectador político, eu vou investigar isso, uma vez que parece bastante útil.

Obrigado!

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎09-13-2021 12:10 AM

Eu sempre posso contar com chris para me manter honesto! Me serve bem tentando responder de memória. Atualizei minha resposta original para manter as informações precisas.

Robert

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-13-2021 12:10 AM

Agradeço seu tempo em esclarecer este assunto, muito obrigado.

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎07-21-2023 10:15 AM

Olá,

Tenho uma pergunta sobre como habilitar Enforce Domain Validation . No momento, em nossa malha da ACI, ela não está ativada. Se eu quiser ativá-lo, ele afetará o fluxo de tráfego atual do EPG, como oscilação de MAC ou ausência de recebimento de MAC no EPG. Responda à minha pergunta assim que puder tomar a decisão de ativar esse parâmetro na ACI externa.

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎09-09-2023 10:46 PM

Olá, desculpe por reviver um post tão antigo. Mas esse comportamento é possível porque é um canal de porta ou um vPC, uma vez que você especifica o grupo de política que está vinculado ao pool de VLANs?

BertiniB_0-1694324625339.png

Apenas tentando entender como a ACI pensa. Não quis criar outra postagem.

 

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎09-09-2023 11:16 PM

Olá @BertiniB ,

Esta postagem já foi respondida. Se a resposta não tiver respondido à sua pergunta, faça uma nova pergunta (com referência a esta, se necessário)

0 Útil
Primeiros Passos

Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.

Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Blog de Data Center Documentos de Ajuda sobre a Comunidade Vídeo dos últimos eventos
Customers Also Viewed These Support Documents