حل سياسات الوصول إلى قائمة التحكم في الوصول (ACI): "؛parent هو ملف تعريف&catt تم إنشاؤه بواسطة النظام؛ خطأ

المقدمة

معلومات أساسية

قدمت الإصدارات 5.2.4 والإصدارات الأحدث خيار "التكوين لكل منفذ" (المعروف أيضا باسم "تكوين الواجهة" أو infraPortConfig) لتبسيط سياسات الوصول.

وبشكل تقليدي، تستخدم قائمة التحكم في الوصول (ACI) أربعة كائنات (ملف تعريف المحول، محدد المحول، ملف تعريف الواجهة، محدد الواجهة) لتحديد واجهة معينة على عقدة محول معينة. 

يحيل هذا وثيقة هذا أسلوب عملية على هيئة "توصيفات ومحددات تشكيل." توضح هذه الصورة التكوين:

يقدم خيار تكوين الواجهة الكائنات الأربعة ككائن واحد. ونتيجة لذلك، لا تحتاج إلى إستخدام ملفات تعريف المحولات ومحددات المحولات وملفات تعريف الواجهة ومحددات الواجهة أو الاحتفاظ بها.

يتم توثيق التفاصيل في دليل التكوين. يرجى دائما الرجوع إلى دليل التكوين للحصول على آخر التحديثات.
https://www.cisco.com/c/en/us/td/docs/dcn/aci/apic/6x/l2-configuration/cisco-apic-layer-2-networking-configuration-guide-60x/access-interfaces-60x.html

المهم أن تعرف أنه عند إستخدام خيار "تكوين الواجهة" الجديد، تقوم واجهة برمجة التطبيقات (APIC) من Cisco بإنشاء ملفات تعريف المحولات والمحددات وملفات تعريف الواجهات والمحددات والاحتفاظ بها كمحددات للقراءة فقط مع أقل عدد ممكن من الكائنات.

تسمى هذه الكائنات التي ينشئها APIC من Cisco تلقائيا "توصيفات منشأة بواسطة النظام".

إذا حاولت تحرير نهج ملف تعريف النظام باستخدام أي طريقة أخرى، سترى خطأ. لا يمكن حذف <> نظرا لأن الأصل هو ملف تعريف تم إنشاؤه بواسطة النظام أو لا يمكن حذف <> نظرا لأنه أمر إدارة عمليات تم إنشاؤه بواسطة النظام.

أمثلة أخطاء محددة:

خطأ 1. فشل حذف الكائن:
لا يمكن حذف infraPortBlk uni/infra/accportprof-system-port-profile-node-600/hports-system-port-selector-accbundle-DstSymmpo-typ-range/portblk-portblock1 تحت infraAccPortP uni/infra/accportprof-system-port-profile-node-600 نظرا لأن الأصل هو ملف تعريف تم إنشاؤه للنظام.

خطأ 2. خطأ: 400:

لا يمكن تعديل infraPortBlk uni/infra/accportprof-system-port-profile-node-600/hports-system-port-selector-accbundle-DstSymmpo-typ-range/portblk-portblock1 تحت infraAccPortP uni/infra/accportprof-system-port-profile-node-600 لأن الأصل هو ملف تعريف تم إنشاؤه للنظام.

خطأ 3. فشل حذف الكائن:
لا يمكن حذف infraAccPortP uni/infra/accportprof-system-port-profile-node-600 نظرا لأنه أمر إدارة (MO) تم إنشاؤه بواسطة النظام.

تحرير الكائنات التي تم إنشاؤها بواسطة النظام

لا يمكن تحرير ملفات تعريف المحولات والمحددات وملفات تعريف الواجهات والمحددات هذه للقراءة فقط إلا من خلال  Fabric > Access Policies > Interface Configurations.

في APIC المعملية التي تشغل 6.0.2h، لا توجد توصيفات معرفة بواسطة النظام بعد. يمكن أن يكون الإعداد نشر حقل أخضر أو تتم ترقيتك من إصدار أقدم إلى 5.2.4 أو إصدار أحدث.

تكوين الواجهة على الوحدة الطرفية 101

قم بتعيين الواجهة e1/8 على صفحة 101 لاستخدام سياسة الواجهة 10gig.

يمكنك إما إضافة الواجهة يدويا إلى ملف تعريف واجهة موجود إذا تم إنشاء واحد بالفعل أو لهذا التمرين، استكشف إستخدام معالج البدء السريع كما هو موضح في الصورة.

بمجرد حفظ التكوين، سترى إنشاء سياسات نظام مختلفة كما هو موضح في هذه الصورة.

يمكنك ملاحظة أنه قد تم إنشاء الخطوة المذكورة سابقا:
1. ملف تعريف المحول > system-node-profile-101
2. ملف تعريف الواجهة > system-port-profile-node-101
3. محدد المنفذ > system-port-selector-accportgrp-10gig_policy

إذا قمت بإضافة واجهة أخرى E1/9 إلى نفس النهج باستخدام معالج البدء السريع، فستتضمن كتل النظام "system-port-selector-accportgrp-10gig_policy" E1/9 كذلك.

الفرق بين النهج الذي تم إنشاؤه باستخدام المعالج والنهج المعرف من قبل المستخدم هو أن نهج النظام للقراءة فقط.

يمكنك النقر بزر الماوس الأيمن فوق أحد السياسات لعرض مستعرض مخزن الكائنات ورؤية منشئ الكائن كما هو موضح في الصورة.

كيفية تحرير سياسة ملف تعريف نظام

على سبيل المثال، إذا حاولت حذف محدد منفذ النظام e1/8 من ملف تعريف منفذ النظام، سترى خطأ كما هو موضح في الصورة:

لتعديل ملف تخصيص تم إنشاؤه بواسطة النظام، انتقل إلى  Fabric > Access Policies > Interface Configuration. 

هنا يمكنك مسح أو تحرير التكوين ل E1/8.

بمجرد إختيار مسح السياسة المرتبطة بالمنفذ E1/8 على الصفحة 101، يتم مطالبتك بالتأكيد ثم يتم تحديث سياسة النظام وفقا لذلك.

نهج واجهة برمجة التطبيقات لإضافة/حذف تكوين الواجهة

إضافة سياسة الواجهة "10gig_policy" إلى صفحة 101 - E1/8

echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-10gig_policy","description":"","node":"101","card":"1","port":"8","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig.json
icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig.json

إضافة سياسة الواجهة "bcg1-3k" إلى صفحة 101 - E1/10

echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-bcg1-3k","description":"","node":"101","card":"1","port":"10","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig1.json
icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig1.json

حذف تكوين الواجهة المرتبط بورقة الإصدار 101 - E1/10

echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"dn":"uni/infra/portconfnode-101-card-1-port-10-sub-0","status":"deleted"},"children":[]}}]}}' > interfaceconfig_delete1.json
icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig_delete1.json

إضافة سياسة الواجهة "bcg1-3k" إلى صفحة 102 - E1/14

قبل هذه الإضافة، لا يوجد ملف تعريف عقدة النظام للمحول 102 ولا يوجد ملف تعريف منفذ نظام. ينشئ هذا المنشور كلا من هذين النوعين.

echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-bcg1-3k","description":"","node":"102","card":"1","port":"14","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig2.json
icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig2.json

ملخص

يمكن لخيار "التكوين لكل منفذ" تبسيط إدارة سياسات الوصول دون الاضطرار إلى إنشاء توصيفات ومحددات مختلفة.

المشاكل/الأخطاء المعروفة

معرف تصحيح الأخطاء من Cisco CSCwd83295 - ACI: تتم إزالة شبكات VLAN إلى أجل غير مسمى من واجهات الأوراق بعد الترحيل إلى infraPortConfig