Risolvi criteri di accesso ACI: "parent è un profilo generato dal sistema" Errore
Sommario
Introduzione
In questo documento viene descritto il nuovo approccio alla configurazione dell'interfaccia in ACI e viene illustrata la procedura per correggere gli errori durante la modifica dei criteri di accesso generati dal sistema a esso associati.
Premesse
Nella versione 5.2.4 e successive è stata introdotta l'opzione di configurazione per porta (chiamata anche "configurazione interfaccia" o infraPortConfig) per semplificare le policy di accesso.
In genere, ACI utilizza quattro oggetti (profilo switch, selettore switch, profilo interfaccia e selettore interfaccia) per selezionare una determinata interfaccia su un determinato nodo di switch.
Questo documento si riferisce a questa modalità di funzionamento come alla "configurazione di profili e selettori". L'immagine mostra la configurazione.
L'opzione di configurazione interfaccia presenta i quattro oggetti come un unico oggetto. Di conseguenza, non è necessario utilizzare né mantenere profili di switch, selettori di switch, profili di interfaccia e selettori di interfaccia.
I dettagli sono documentati nella guida alla configurazione. Fare sempre riferimento alla guida alla configurazione per gli aggiornamenti più recenti.
https://www.cisco.com/c/en/us/td/docs/dcn/aci/apic/6x/l2-configuration/cisco-apic-layer-2-networking-configuration-guide-60x/access-interfaces-60x.html
È importante sapere che quando si usa la nuova opzione di "configurazione interfaccia", Cisco APIC crea e mantiene i profili e i selettori dello switch e i profili e i selettori dell'interfaccia in modalità di sola lettura con il minor numero di oggetti possibile.
Questi oggetti che Cisco APIC crea automaticamente sono chiamati "profili generati dal sistema".
Se si tenta di modificare il criterio del profilo di sistema utilizzando un altro metodo, verrà visualizzato un errore. Non è possibile eliminare <> poiché il padre è un profilo generato dal sistema oppure non è possibile eliminare <> poiché è un disco magneto-ottico generato dal sistema.
Esempi di errori specifici:
Errore 1. Impossibile eliminare l'oggetto:
Non è possibile eliminare infraPortBlk uni/infra/accportprof-system-port-profile-node-600/ports-system-port-selector-accbundle-DstSympo-type-range/portblk-portblock1 in infraAccPortP uni/infra/accportprof-system-profile-node-600 poiché il padre è un profilo generato dal sistema.
Errore 2. Errore: 400:
Non è possibile modificare infraPortBlk uni/infra/accportprof-system-port-profile-node-600/ports-system-port-selector-accbundle-DstSympo-type-range/portblk-portblock1 in infraAccPortP uni/infra/accportprof-system-profile-node-600 poiché il padre è un profilo generato dal sistema.
Errore 3. Impossibile eliminare l'oggetto:
Non è possibile eliminare infraAccPortP uni/infra/accportprof-system-port-profile-node-600 poiché è un MO generato dal sistema.
Modificare gli oggetti generati dal sistema
La modifica di questi profili e selettori di switch di sola lettura e di questi profili e selettori di interfaccia può essere effettuata solo tramite Fabric > Access Policies > Interface Configurations.
In un'appliance APIC lab con versione 6.0.2h non sono ancora presenti profili definiti dal sistema. Un'installazione può essere una distribuzione sul campo di tipo verde oppure è stato eseguito l'aggiornamento da una release precedente alla 5.2.4 e successive.
Configura interfaccia su foglia 101
Assegnare l'interfaccia e1/8 su foglia 101 per utilizzare un criterio di interfaccia 10gig.
È possibile aggiungere manualmente l'interfaccia a un profilo di interfaccia esistente, se ne è già stato creato uno, oppure per questo esercizio utilizzare la procedura guidata di avvio rapido, come illustrato nell'immagine.
Una volta salvata la configurazione, si noterà che vengono creati criteri di sistema diversi, come mostrato in questa immagine.
Il passo sopra indicato è stato creato:
1. Cambia profilo > system-node-profile-101
2. Profilo interfaccia > system-port-profile-node-101
3. Selettore di porta > system-port-selector-accportgrp-10gig_policy
Se si aggiunge un'altra interfaccia E1/9 allo stesso criterio utilizzando la Quick Start Wizard, i blocchi di sistema "system-port-selector-accportgrp-10gig_policy" includono anche E1/9.
La differenza tra il criterio creato mediante la procedura guidata e un criterio definito dall'utente è che il criterio di sistema è di sola lettura.
È possibile fare clic con il pulsante destro del mouse su un criterio per visualizzare il browser dell'archivio oggetti e vedere il creatore dell'oggetto come mostrato nell'immagine.
Come modificare un criterio profilo di sistema
Ad esempio, se si tenta di eliminare il selettore di porta di sistema e1/8 dal profilo della porta di sistema, viene visualizzato un errore come mostrato nell'immagine:
Per modificare un profilo generato dal sistema, passare a Fabric > Access Policies > Interface Configuration.
In questa finestra è possibile cancellare o modificare la configurazione per E1/8.
Dopo aver scelto di cancellare il criterio associato alla porta e1/8 su foglia 101, viene richiesta una conferma e il criterio di sistema viene aggiornato di conseguenza.
Approccio API per aggiungere/eliminare la configurazione interfaccia
Aggiungi criterio interfaccia "10gig_policy" a foglia 101 - E1/8
echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-10gig_policy","description":"","node":"101","card":"1","port":"8","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig.json
icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig.json
Aggiungi criterio interfaccia "bcg1-3k" a foglia 101 - E1/10
echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-bcg1-3k","description":"","node":"101","card":"1","port":"10","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig1.json
icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig1.json
Elimina configurazione interfaccia associata a foglia 101 - E1/10
echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"dn":"uni/infra/portconfnode-101-card-1-port-10-sub-0","status":"deleted"},"children":[]}}]}}' > interfaceconfig_delete1.json
icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig_delete1.json
Aggiungi criterio interfaccia "bcg1-3k" a foglia 102 - E1/14
Prima di questa aggiunta, non esiste un profilo del nodo di sistema per lo switch 102 né un profilo della porta di sistema. Questo post crea entrambe queste politiche.
echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-bcg1-3k","description":"","node":"102","card":"1","port":"14","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig2.json
icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig2.json
Riepilogo
L'opzione di configurazione "per porta" consente di semplificare la gestione delle policy di accesso senza dover creare profili e selettori diversi.
Problemi/Bug Noti
Cisco bug ID CSCwd83295 - ACI: le VLAN vengono rimosse in modo indefinito dalle interfacce foglia dopo la migrazione a infraPortConfig
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
24-Jul-2023 |
Versione iniziale |
Feedback