Résolu : Re: EPG sans association de domaine physique

Translator · ‎13-09-2021

Bonjour la communauté,

Est-il nécessaire d’attribuer un domaine physique à un EPG ? L’affectation de chemin statique n’est-elle pas suffisante ? Dans ce cas, quel est exactement le but de l’attribution d’un domaine physique à un EPG ?

Comme je l’ai compris lorsque j’ai parcouru une documentation, le domaine est nécessaire car il fournit la plage de VLAN que nous sommes autorisés à utiliser dans l’affectation de chemin statique, c’est-à-dire que si notre domaine inclut des vlans de 300 à 350, nous ne pouvons tout simplement pas attribuer le vlan 250 à un EP dans cet EPG.

Ma confusion est venue du fait que dans un cours ACI en ligne, l’ingénieur a oublié d’inclure un domaine dans l’EPG et il était toujours capable d’attribuer un vlan sous l’affectation de port statique pour les deux EP et les EP étaient également capables de communiquer entre eux sans aucun problème, et aucun domaine défini pour l’EPG à ce moment-là!!!

Est-ce ainsi que c’est censé être le cas? Est-ce qu’il me manque quelque chose ici?

Translator · ‎13-09-2021

[Edited: Correction de la déclaration sur le nom de la fonctionnalité par la capture de Chris]

Oui, cela va fonctionner sans attribuer de domaine à l’EPG. J’ai soulevé l’amélioration pour corriger ce comportement il y a de nombreuses années et nous avons introduit la fonctionnalité « Appliquer la validation de domaine » sous paramètres système - Paramètres à l’échelle du fabric - Appliquer la validation de domaine. Avec cela activé (meilleure pratique pour l’activer), il ne programmera PAS le VLAN sur l’interface. Au lieu de cela, cela soulèvera une faute. Même en cours d’exécution avec la configuration que vous avez, ACI soulèvera toujours un défaut sur l’EPG, mais la programmation sera appliquée sur l’interface. De toute évidence, ce n’est pas une bonne idée car le domaine devient un point de contrôle RBAC où un administrateur d’infrastructure / stratégie d’accès peut empêcher les administrateurs de locataire d’attribuer par erreur des VLAN à des interfaces qu’ils ne devraient pas être.

Robert

Voir la solution dans l'envoi d'origine

Translator · ‎13-09-2021

[Edited: Correction de la déclaration sur le nom de la fonctionnalité par la capture de Chris]

Oui, cela va fonctionner sans attribuer de domaine à l’EPG. J’ai soulevé l’amélioration pour corriger ce comportement il y a de nombreuses années et nous avons introduit la fonctionnalité « Appliquer la validation de domaine » sous paramètres système - Paramètres à l’échelle du fabric - Appliquer la validation de domaine. Avec cela activé (meilleure pratique pour l’activer), il ne programmera PAS le VLAN sur l’interface. Au lieu de cela, cela soulèvera une faute. Même en cours d’exécution avec la configuration que vous avez, ACI soulèvera toujours un défaut sur l’EPG, mais la programmation sera appliquée sur l’interface. De toute évidence, ce n’est pas une bonne idée car le domaine devient un point de contrôle RBAC où un administrateur d’infrastructure / stratégie d’accès peut empêcher les administrateurs de locataire d’attribuer par erreur des VLAN à des interfaces qu’ils ne devraient pas être.

Robert

Translator · ‎13-09-2021

Merci Robert ! Je ne connaissais pas cette option « Appliquer la validation du VLAN EPG », tout a du sens maintenant !

Au fait, cette fonctionnalité est-elle activée pour le comportement par défaut d’ACI ? Ou devons-nous en fait avoir à l’esprit de l’activer en tant que meilleure pratique comme vous l’avez mentionné?

Merci encore!

Translator · ‎13-09-2021

Comme il ne s’agissait pas d’une fonctionnalité du premier jour, elle doit être activée manuellement. Par défaut, cette fonctionnalité est désactivée.

Robert

Translator · ‎13-09-2021

J’ai compris, merci beaucoup Robert!

J’avais vraiment du mal avec ça puisque je l’ai remarqué par erreur.

Translator · ‎13-09-2021

Accident ou pas, c’est une bonne prise pour remarquer ce comportement. Il montre que vous vérifiez votre déploiement de stratégie, puis que vous remettez en question son fonctionnement - ce que j’aime voir. Chaque fois que votre équipe configure des stratégies de locataire, vérifiez toujours l’objet configuré lui-même (EPG/BD, etc.) ou le client parent (dans lequel ils s’enroulent tous) pour tout défaut. Un moyen rapide et facile de trouver et d’éviter les problèmes.

Faites-nous savoir si vous avez d’autres Q.

Robert

Translator · ‎13-09-2021

Merci beaucoup, je l’apprécie vraiment !!

Translator · ‎13-09-2021

Il y @glezJos91986,

Juste trois points à ajouter aux explications de Robert.

Tout d’abord, @robert n’est pas EXACTEMENT juste quand il dit:

Fonction « Appliquer la validation de domaine » sous Paramètres système - Paramètres à l’échelle de la structure - Appliquer la validation du VLAN EPG (précédemment appelée Validation de domaine)

parce qu’il est TOUJOURS appelé Enforce Domain Validation - ET il existe une option DIFFÉRENTE pour Appliquer la validation du VLAN EPG.

Donc, @glezJos91986 - la fonctionnalité dont vous avez vraiment besoin est en effet la validation de domaine Enforce - PAS la validation VLAN Enforce EPG.

Deuxièmement, vous devez comprendre que SI vous avez effectué des sauvegardes ou des instantanés APIC Fabric AVANT de faire glisser l’option ACI Enforce Domain Validation, vous ne pourrez PAS les restaurer une fois l’option activée. En effet, une fois qu’il est activé, vous ne pouvez pas l’éteindre. Et si vous deviez restaurer une sauvegarde Fabric, il tenterait de désactiver l’interrupteur.

Et trois fois, et c’est vraiment cosmétique - je veux m’assurer que vous connaissez la meilleure application que vous pouvez ajouter à ACI - elle s’appelle policy Viewer - et une fois installée, vous pouvez regarder vos EPG et voir toute la chaîne de stratégie de locataire ET d’accès - mais SEULEMENT après que l’EPG a été lié au domaine. C’est tout simplement génial.

Translator · ‎13-09-2021

Merci beaucoup Chris pour l’aclaration / explication et les photos.

Je suis vraiment curieux de connaître cette visionneuse de politique, je vais creuser car cela semble assez utile.

Merci!

Translator · ‎13-09-2021

Je peux toujours compter sur Chris pour me garder honnête! Cela me sert bien en essayant de répondre de mémoire. Mise à jour de ma réponse originale pour que l’information reste exacte.

Robert

Translator · ‎13-09-2021

J’apprécie le temps que vous m’avez fait pour clarifier cette question, merci beaucoup.

Translator · ‎21-07-2023

Bonjour,

J'ai une question sur l'activation de la validation du domaine . Actuellement, dans notre fabric ACI, il n'est pas activé. Si je veux l'activer, cela aura un impact sur le flux de trafic EPG actuel ? comme le battement MAC ou pas de réception MAC sur EPG . Veuillez répondre à ma question dès que possible afin que je puisse prendre la décision d'activer ce paramètre sur l'ACI out.

Translator · ‎09-09-2023

Bonjour, désolé d'avoir relancé un post aussi ancien. Mais ce comportement est-il possible parce qu'il s'agit d'un Port-Channel ou d'un vPC, puisque vous spécifiez le groupe de stratégie qui est lui-même lié au pool de VLAN ?

J'essaie juste de comprendre comment l'ACI pense. Je ne voulais pas créer un autre billet.

Translator · ‎09-09-2023

Bonjour @BertiniB,

Ce billet a déjà reçu une réponse. Si la réponse ne répond pas à votre question, posez-en une nouvelle (en vous référant à celle-ci si nécessaire)

EPG sans association de domaine physique

Liens rapides