解析ACI访问策略："；父项是系统生成的配置文件"；错误

简介

背景信息

5.2.4及更高版本引入了“每端口配置”选项（也称为“接口配置”或infraPortConfig）以简化访问策略。

传统上，ACI使用四个对象（交换机配置文件、交换机选择器、接口配置文件和接口选择器）选择特定交换机节点上的特定接口。 

本文档将此操作模式称为“配置文件和选择器配置”。 此图说明配置：

接口配置选项将四个对象作为一个对象显示。因此，您无需使用或维护交换机配置文件、交换机选择器、接口配置文件和接口选择器。

详细信息记录在配置指南中。请始终参考配置指南了解最新更新。
https://www.cisco.com/c/en/us/td/docs/dcn/aci/apic/6x/l2-configuration/cisco-apic-layer-2-networking-configuration-guide-60x/access-interfaces-60x.html

需要了解的重要一点是，当使用新的“接口配置”选项时，Cisco APIC会创建并维护交换机配置文件和选择器、接口配置文件和选择器，使其以只读方式使用尽可能少的对象。

思科APIC自动创建的这些对象称为“系统生成的配置文件”。

如果您尝试使用任何其他方式编辑系统配置文件策略，则会看到错误。 无法删除<>，因为父级是系统生成的配置文件；或无法删除<>，因为它是系统生成的MO。

具体错误示例：

错误 1. 未能删除对象：
无法删除infraPortBlk uni/infra/accportprof-system-port-profile-node-600/hports-system-port-selector-accbundle-DstSymmpo-type-range/portblk-portblock1下的infraAccPortP uni/infra/accportprof-system-port-profile-node-600，因为父级是系统生成的配置文件。

错误 2. 错误：400:

无法修改infraPortBlk uni/infra/accportprof-system-port-profile-node-600/hports-system-port-selector-accbundle-DstSymmpo-type-range/portblk-portblock1下的infraAccPortP uni/infra/accportprof-system-port-profile-node-600，因为父级是系统生成的配置文件。

Error 3. 未能删除对象：
无法删除infraAccPortP uni/infra/accportprof-system-port-profile-node-600，因为它是系统生成的MO。

编辑系统生成的对象

这些只读交换机配置文件和选择器以及接口配置文件和选择器的编辑只能通过  Fabric > Access Policies > Interface Configurations.

在运行6.0.2h的实验室APIC上，尚未存在系统定义的配置文件。设置可以是绿地部署，也可以是从早期版本升级到5.2.4及更高版本。

配置枝叶101上的接口

在枝叶101上分配接口e1/8以使用10gig接口策略。

您可以手动将接口添加到现有接口配置文件（如果已创建），或者在本练习中，请使用“快速入门向导”进行浏览，如图所示。

保存配置后，您会看到创建了不同的系统策略，如本图所示。

您会看到前面提到的步骤已创建：
1. Switch profile > system-node-profile-101
2.接口配置文件> system-port-profile-node-101
3. Port Selector > system-port-selector-accportgrp-10gig_policy

如果使用“快速启动向导”向同一策略中添加一个以上的接口E1/9，则系统“system-port-selector-accportgrp-10gig_policy”块也包含E1/9。

使用向导创建的策略与用户定义的策略的区别在于，系统策略是只读的。

您可以右键单击某个策略以查看对象存储浏览器，并查看对象的创建者，如图所示。

如何编辑系统配置文件策略

例如，如果您尝试从系统端口配置文件中删除系统端口选择器e1/8，您会看到一个错误，如图所示：

要修改系统生成的配置文件，请导航至  Fabric > Access Policies > Interface Configuration. 

您可以在此处清除或编辑E1/8的配置。

选择清除与枝叶101上的端口e1/8关联的策略后，系统会提示您进行确认，然后系统策略会相应地更新。

添加/删除接口配置的API方法

将接口策略“10gig_policy”添加到枝叶101 - E1/8

echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-10gig_policy","description":"","node":"101","card":"1","port":"8","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig.json
icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig.json

将接口策略“bcg1-3k”添加到枝叶101 - E1/10

echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-bcg1-3k","description":"","node":"101","card":"1","port":"10","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig1.json
icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig1.json

删除与枝叶101 - E1/10关联的接口配置

echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"dn":"uni/infra/portconfnode-101-card-1-port-10-sub-0","status":"deleted"},"children":[]}}]}}' > interfaceconfig_delete1.json
icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig_delete1.json

将接口策略“bcg1-3k”添加到枝叶102 - E1/14

在此添加之前，没有交换机102的系统节点配置文件，也没有系统端口配置文件。此帖创建这两个策略。

echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-bcg1-3k","description":"","node":"102","card":"1","port":"14","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig2.json
icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig2.json

摘要

“每端口配置”选项可简化访问策略管理，而无需创建不同的配置文件和选择器。

已知问题/错误

Cisco Bug ID CSCwd83295 - ACI：在迁移到infraPortConfig后，VLAN会无限期从枝叶接口删除