Application Centric Infrastructure: Alles über PolicyClassTag (pcTag)

Download-Optionen

  • PDF     (333.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (297.1 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (205.8 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:17. August 2021
Dokument-ID:217302

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    IEinführung

    Dieses Dokument beschreibt das Konzept von Policy Class Tag(pcTag)/Class in Cisco Application Centric Infrastructure (ACI). Die Informationen in diesem Dokument basieren auf der Softwareversion 4.2(3n).

    Voraussetzungen 

    Um das in diesem Dokument vorgestellte Design besser verstehen zu können, muss der Leser über grundlegende Kenntnisse der Cisco ACI verfügen.

    Was ist pcTag?

    Mit einfachen Worten ist pcTag eine numerische ID, die für die interne Darstellung der Endpoint Policy Group (epg) in der ACI verwendet wird, auch als Source Class (sclass) oder Destination Class (dclass) bezeichnet. Sie wird für die Klassifizierung des Datenverkehrs und für die Durchsetzung von Richtlinien (Durchsetzung von Verträgen) verwendet. Wenn ein Datenverkehr einen ACI-Leaf eingeht, klassifiziert und kennzeichnet der ACI-Leaf den Quell- und Zielverkehr anhand der konfigurierten Richtung der Richtliniendurchsetzung (Standard - Ingress) und der lokal verfügbaren Präfixinformationen in EPGs, indem ihm ein pcTag-Wert zugewiesen wird. Das pcTag, das dem Quell-epg zugewiesen ist, wird SCLASS genannt, während das pcTag, das dem Ziel-EPG zugewiesen ist, als DCLASS bezeichnet wird.

    Der pcTag-Wert liegt zwischen 1 und 65535. Sie kann weiter in drei Kategorien unterteilt werden.

    System: Dies sind interne System-Tag-’s im Bereich von 1 bis 15. Beispiel: 13 steht für Drop-EPG und 15 für l3out mit 0.0.0.0/0 Subnetz in EPG.

    Global - Der Umfang von pcTag ist standardmäßig lokal in VRF (Virtual Routing and Forwarding). Bei Inter-VRF-Verträgen muss pcTag jedoch einen globalen Umfang haben und muss über die gesamte API-Fabric hinweg eindeutig sein.  Der Bereich 16-16385 ist für globale Nutzung reserviert.

    Lokal - Der Standardbereich von pcTag ist lokal für VRF und kann über VRFs hinweg wiederverwendet werden. Sein Wert liegt zwischen 16386 und 65535.

    Wie erhalte ich den pctag-Wert einer EPG?

    • Verwenden der grafischen Benutzeroberfläche (GUI) des Application Policy Infrastructure Controller (APIC)

       
    Wählen Sie auf der APIC-GUI die EPG aus, für die Sie das pctag und das pcTag abrufen möchten. Diese Informationen finden Sie unter Richtlinie -> Allgemein.

       
            Tenants —> Application Profiles(AP) (Wählen Sie den Access Point aus) —> Application EPGs (Wählen Sie die EPG aus)—> Policy —>General

    EPG

    Entsprechend wählen Sie für das Layer 3 Out (L3Out) EPG L3out EPG aus, und das pcTag finden Sie rechts unter der Registerkarte "Policy -> General" (Richtlinien -> Allgemein).

          Tenants —> Networking —> L3Outs—>Select the L3out —> External EPGs ( Select the EPG) —>Policy —>General

    L3Out

    • Verwenden der APIC-Befehlszeilenschnittstelle (CLI)

    Mit APIC CLI wird pcTag eines EPG kanngewonnenvonentwederverwenden die gegebenshow-Befehl oderdurchEine verwaltete Objektabfrage(MO-Abfrage).

    apic# show epg EPG1 detail
Application EPg Data:
Tenant              : Prod
Application         : AP01
AEPg                : EPG1
BD                  : BD1
uSeg EPG            : no
Intra EPG Isolation : unenforced
Proxy ARP           : none
Policy Tag          : 49155
Vlan Domains        : prod-phy-dom
Consumed Contracts  : default
Provided Contracts  : 
Denied Contracts    : 
Qos Class           : unspecified
Tag List            :

    apic# moquery -c fvAEPg -f 'fv.AEPg.name=="EPG1"' | egrep "^name|^dn|^pcTag|^scope"

name                 : EPG1
dn                   : uni/tn-Prod/ap-AP01/epg-EPG1
nameAlias            : 
pcTag                : 49155
scope                : 2326533

    Moquery zum Abrufen des pcTag-Werts einer L3Out-epg:

    apic# moquery -c l3extInstP -f 'l3ext.InstP.name=="ext_EPG"' | egrep "^name|^dn|^pcTag"
name                 : ext_EPG
dn                   : uni/tn-Prod/out-L3out_BGP/instP-ext_EPG
nameAlias            : 
pcTag                : 16386

    • Verwenden der Leaf-CLI

    •  Wenn der Endpunkt in einemreguläre EPG, können Sie pcTag/SCLASS von EndPoint Manager (EPM) beziehen.
    bgl-aci05-leaf5# show system internal epm endpoint ip 192.168.10.10

MAC : 002c.c80a.7ca9 ::: Num IPs : 1
IP# 0 : 192.168.10.10 ::: IP# 0 flags :  ::: l3-sw-hit: No
Vlan id : 74 ::: Vlan vnid : 13894 ::: VRF name : Prod:vrfA
BD vnid : 15826927 ::: VRF vnid : 2326533
Phy If : 0x1a011000 ::: Tunnel If : 0
Interface : Ethernet1/18
Flags : 0x80000c04 ::: sclass : 49155 ::: Ref count : 5  <<<<<<<

    ZubekommendiePC-TagwertfürL3Out EPG,den Policy Manager (PDie Präfixtabelle policy-mgr wird verwendet.:

    InAusgabe,16386 ist das pcTag für Subnetz 10.20.20.0/24.

    bgl-aci05-leaf5# vsh -c 'show system internal policy-mgr prefix' | egrep "Vrf-Vni|==|2326533"  
Vrf-Vni VRF-Id Table-Id Table-State  VRF-Name                    Addr                                Class Shared Remote Complete
======= ======  =========== =======  ============================ ================================= ====== ====== ====== ========
2326533 5      0x5           Up     Prod:vrfA                                         0.0.0.0/0   15      True   True   False   
2326533 5      0x80000005    Up     Prod:vrfA                                              ::/0   15      True   True   False   
2326533 5      0x5           Up     Prod:vrfA                                      10.20.20.0/24  16386   True   True   False

    Wie erhalten Sie den EPG-Namen, wenn Sie den Wert pcTag kennen? 


    Der einfachste Weg,    abrufenDer EPG-Namevon der APIC CLIwennwissenPC-Tagistdieunterhalb von MO QTrauer

    Für ein reguläres EPG

    apic# moquery -c fvAEPg -f 'fv.AEPg.pcTag=="16387"' | egrep "name|^dn"  

name                 : EPG1
dn                   : uni/tn-mgmt/ap-AP/epg-EPG1
nameAlias            : 
scope                : 2621440

    Für ein L3out-EPG:

    apic# moquery -c l3extInstP -f 'l3ext.InstP.pcTag=="16386"'| egrep "name|^dn|scope"

name                 : ext_EPG
dn                   : uni/tn-Prod/out-L3out_BGP/instP-ext_EPG
nameAlias            : 
scope                : 2326533

    Anmerkung: Es besteht die Möglichkeit, mehrere EPGs gegen einen pcTag-Wert zu erhalten, da der lokale pcTag einen lokalen Bereich für die VRF-Instanz hat. Ein zusätzlicher Filter mit VRF-Segment-ID kann Ihnen die genaue Übereinstimmung liefern.

    Regeln zur treibende Kraft für das Quell-pcTag und das Ziel pcTag SCLASS/DCLASS eines Datenflusses

    DieseRegeln können verwendet werden, um die Klasse und Klasse von Intra-VRFflow zu bestimmen und Suche nach Zoning-Regeln 

    Klasse Klasse

    SCLASS = Source Epg pctag, wenn Eingangs-EPG eine reguläre EPG ist.

    SCLASS = vrf pctag, wenn in ein L3Out unter dem Subnetz 0.0.0.0/0 in L3Out EPG eindringt.

    SKLASS = Ext. EPG pcTag, wenn ein anderes nicht standardmäßiges Subnetz in einem externen L3Out-EPG aufgerufen wird.

    DCLASS= Ziel-EPG pcTag, wenn das Ziel-Endgerät auf dem Eingangs-Leaf gelernt hat.

    DCLASS =1, wenn der Zielendpunkt nicht abgerufen wird und das Paket an die Fabric gesendet wird (Hardware-Proxy oder Flood). Die Richtliniendurchsetzung erfolgt auf dem Ziel-Leaf. 

    DCLASS = 15, wenn der Treffer im Subnetz 0.0.0.0/0 unter dem externen L3Out-EPG liegt.

    DCLASS = External EPG pcTag, wenn ein Treffer in einem spezifischeren oder nicht standardmäßigen Subnetz liegt.

    Anmerkung: Das oben erwähnte Subnetz ist das Subnetz, das Sie unter External EPG konfigurieren, und nicht das Subnetz in einer Routing-Tabelle. 


    Abrufen von SKLASS/DCLASS mit Embedded Logic Analysis Module ELAM

    ELAM ist eines der bevorzugten Tools, um die Quell- und Ziel-pcTag-Werte eines Datenflusses zu erhalten. In der ELAM, unter "pkt rw vektor", können wir die SCLASS und DCLASS eines Datenflusses mit den angegebenen Feldern erhalten. Die Werte sind hexadezimal und müssen in Dezimalwerte konvertiert werden, um das EPG pcTag zu erhalten.

    sug_lurw_vec.info.nsh_special.dclass: <val>

    sug_lurw_vec.info.nsh_special.sclass: <val>

    Beispiel:

    sug_lurw_vec.info.nsh_special.dclass: 0x8004 << dst epg pctag is 32772
sug_lurw_vec.info.nsh_special.sclass: 0x8002. << src epg pctag is 32769

    Mit den Quell- und Ziel-pcTag-Werten können wir die Zoning-Regeln für Eingangs- und Ausgangs-Leaf-Switches überprüfen. 

    Weitere Informationen zu Zoning-Rules finden Sie hier.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    17-Aug-2021
    Added formatting
    1.0
    15-Aug-2021
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Rohit Agrawal
      ACI TAC

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.