Resolver políticas de acceso de ACI: "principal es un perfil generado por el sistema" Error

Opciones de descarga

  • PDF     (1.4 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.1 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:7 de julio de 2023
ID del documento:220487

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el nuevo enfoque de configuración de la interfaz en ACI y proporciona los pasos para corregir errores al modificar las políticas de acceso generadas por el sistema vinculadas a ella.

    Antecedentes

    Las versiones 5.2.4 y posteriores introdujeron la opción de "configuración por puerto" (también denominada "configuración de interfaz" o infraPortConfig) para simplificar las políticas de acceso.

    Tradicionalmente, ACI utiliza cuatro objetos (perfil de switch, selector de switch, perfil de interfaz y selector de interfaz) para seleccionar una interfaz determinada en un nodo de switch determinado. 

    Este documento se refiere a este modo de operaciones como la "configuración de perfiles y selectores". Esta imagen ilustra la configuración:

    Profiles and selectors configuration - Existing approach

    La opción de configuración de interfaz presenta los cuatro objetos como un único objeto. Como resultado, no necesita utilizar ni mantener perfiles de switch, selectores de switch, perfiles de interfaz y selectores de interfaz.

    Interface configuration - New Approach

    Los detalles se documentan en la guía de configuración. Consulte siempre la guía de configuración para obtener las actualizaciones más recientes.
    https://www.cisco.com/c/en/us/td/docs/dcn/aci/apic/6x/l2-configuration/cisco-apic-layer-2-networking-configuration-guide-60x/access-interfaces-60x.html

    Lo que es importante saber es que cuando se utiliza la nueva opción de "configuración de interfaz", Cisco APIC crea y mantiene los perfiles y selectores de switch, así como los perfiles y selectores de interfaz como de solo lectura con el menor número de objetos posible.

    Estos objetos que Cisco APIC crea automáticamente se denominan "perfiles generados por el sistema".

    Si intenta editar la directiva de perfil del sistema de cualquier otra forma, verá un error. No es posible eliminar <> porque el elemento principal es un perfil generado por el sistema o no es posible eliminar <> porque es un MO generado por el sistema.

    Ejemplos de errores específicos:

    Error 1. Error al eliminar el objeto:
    No es posible eliminar infraPortBlk uni/infra/accportprof-system-port-profile-node-600/hports-system-port-selector-acbundle-DstSympo-type-range/portblk-portblock1 bajo infraAccPortP uni/infra/accportprof-system-port-profile-node-600 ya que el padre es un perfil generado por el sistema.

    Error 2. Error: 400:

    No es posible modificar infraPortBlk uni/infra/accportprof-system-port-profile-node-600/hports-system-port-selector-acbundle-DstSympo-type-range/portblk-portblock1 bajo infraAccPortP uni/infra/accportprof-system-port-profile-node-600 ya que el padre es un perfil generado por el sistema.

    Error 3. Error al eliminar el objeto:
    No es posible eliminar infraAccPortP uni/infra/accportprof-system-port-profile-node-600 ya que es un MO generado por el sistema.

    Editar los objetos generados por el sistema

    La edición de estos selectores y perfiles de switch de solo lectura, así como de los selectores y perfiles de interfaz, solo puede realizarse a través del  Fabric > Access Policies > Interface Configurations.

    En un APIC de laboratorio que ejecuta 6.0.2h, aún no hay perfiles definidos por el sistema. Una instalación puede ser una implementación de campo verde o una actualización de una versión anterior a la 5.2.4 o posterior.

    Green field deployment - system-defined profiles not configured

    Configuración de la interfaz en la hoja 101

    Asigne la interfaz e1/8 en la hoja 101 para utilizar una política de interfaz de 10gig.

    Puede agregar manualmente la interfaz a un perfil de interfaz existente si ya se ha creado uno o, para este ejercicio, explore el uso del Asistente para inicio rápido como se muestra en la imagen.

    Quick Start Wizard

    Configure Interfaces

    Una vez guardada la configuración, verá que se crean diferentes políticas del sistema, como se muestra en esta imagen.

    System policies creation

    Verá que se ha creado el paso mencionado anteriormente:
    1. Perfil del switch > system-node-profile-101
    2. Perfil de interfaz > system-port-profile-node-101
    3. Selector de puertos > system-port-selector-acportgrp-10gig_policy

    Si agrega una interfaz E1/9 más a la misma política mediante el Asistente de inicio rápido, los bloques del sistema "system-port-selector-accportgrp-10gig_policy" también incluyen E1/9.

    Using configure interface UI to add 1/9Adding port e1/9 to the existing policy



    La diferencia entre la directiva creada mediante el asistente y una directiva definida por el usuario es que la directiva del sistema es de sólo lectura.

    Puede hacer clic con el botón derecho del ratón en una directiva para ver el explorador del almacén de objetos y ver el creador del objeto como se muestra en la imagen.

    Object store browser

    Cómo editar una política de perfil del sistema

    Por ejemplo, si intenta eliminar el selector de puerto del sistema e1/8 del perfil de puerto del sistema, verá un error como se muestra en la imagen:

    Editing a System Profile Policy using standard way

    Error - Cannot edit the system policy

    Para modificar un perfil generado por el sistema, vaya a  Fabric > Access Policies > Interface Configuration

    Aquí puede borrar o editar la configuración para E1/8.

    Edit a System Profile Policy using the interface configuration

    Una vez que elija borrar la política asociada con el puerto e1/8 en la hoja 101, se le pedirá confirmación y luego la política del sistema se actualizará en consecuencia.

    Warning message

    Outcome of port e1/8 removed from the policy

    Enfoque de API para agregar/eliminar la configuración de la interfaz

    Agregar política de interfaz "10gig_policy" a la hoja 101 - E1/8

    echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-10gig_policy","description":"","node":"101","card":"1","port":"8","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig.json
    icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig.json

    Agregar la política de interfaz "bcg1-3k" a la hoja 101 - E1/10

    echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-bcg1-3k","description":"","node":"101","card":"1","port":"10","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig1.json
    icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig1.json

    Eliminar configuración de interfaz asociada a la hoja 101 - E1/10

    echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"dn":"uni/infra/portconfnode-101-card-1-port-10-sub-0","status":"deleted"},"children":[]}}]}}' > interfaceconfig_delete1.json
    icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig_delete1.json

    Agregar la política de interfaz "bcg1-3k" a la hoja 102 - E1/14

    Antes de esta adición, no hay ningún perfil de nodo del sistema para el switch 102 ni hay un perfil de puerto del sistema. Esta publicación crea ambas políticas.

    echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-bcg1-3k","description":"","node":"102","card":"1","port":"14","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig2.json
    icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig2.json

    Summary

    La opción de configuración por puerto puede simplificar la administración de las políticas de acceso sin tener que crear perfiles y selectores diferentes.

    Problemas/errores conocidos

    Cisco bug ID CSCwd83295 - ACI: las VLAN se eliminan indefinidamente de las interfaces de hoja después de migrar a infraPortConfig

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    24-Jul-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Rajesh Gatti
      Cisco Technical Leader

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos