Resolver políticas de acesso da ACI: "o pai é um perfil gerado pelo sistema" Erro

Opções de download

  • PDF     (1.4 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.1 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:7 de julho de 2023
ID do documento:220487

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve a nova abordagem de configuração de interface na ACI e fornece etapas para corrigir erros ao modificar as políticas de acesso geradas pelo sistema vinculadas a ela.

    Informações de Apoio

    As versões 5.2.4 e posteriores introduziram a opção "configuração por porta" (também chamada de "configuração de interface" ou infraPortConfig) para simplificar as políticas de acesso.

    Tradicionalmente, a ACI usa quatro objetos (perfil de switch, seletor de switch, perfil de interface e seletor de interface) para selecionar uma determinada interface em um determinado nó de switch. 

    Este documento refere-se a este modo de operações como a "configuração de perfis e seletores". Esta imagem ilustra a configuração:

    Profiles and selectors configuration - Existing approach

    A opção de configuração de interface apresenta os quatro objetos como um único objeto. Como resultado, você não precisa usar nem manter perfis de switch, seletores de switch, perfis de interface e seletores de interface.

    Interface configuration - New Approach

    Os detalhes estão documentados no guia de configuração. Consulte sempre o guia de configuração para obter as atualizações mais recentes.
    https://www.cisco.com/c/en/us/td/docs/dcn/aci/apic/6x/l2-configuration/cisco-apic-layer-2-networking-configuration-guide-60x/access-interfaces-60x.html

    O que é importante saber é que, ao usar a nova opção de "configuração de interface", o Cisco APIC cria e mantém perfis de switch e seletores e perfis de interface tão somente leitura quanto possível com o menor número de objetos possível.

    Esses objetos que o Cisco APIC cria automaticamente são chamados de "perfis gerados pelo sistema".

    Se você tentar editar a política de perfil do sistema de outra forma, verá um erro. Não é possível excluir <>, pois o pai é um perfil gerado pelo sistema, ou Não é possível excluir <>, pois ele é um MO gerado pelo sistema.

    Exemplos de erros específicos:

    Erro 1. Falha ao excluir objeto:
    Não é possível excluir infraPortBlk uni/infra/accportprof-system-port-profile-node-600/hports-system-port-seletor-accbundle-DstSymmpo-typ-range/portblk-portblock1 em infraAccPortP uni/infra/accportprof-system-port-profile-node-600, pois o pai é um perfil gerado pelo sistema.

    Erro 2. Erro: 400:

    Não é possível modificar infraPortBlk uni/infra/accportprof-system-port-profile-node-600/hports-system-port-seletor-accbundle-DstSymmpo-typ-range/portblk-portblock1 em infraAccPortP uni/infra/accportprof-system-port-profile-node-600, já que o pai é um perfil gerado pelo sistema.

    Erro 3. Falha ao excluir objeto:
    Não é possível excluir infraAccPortP uni/infra/accportprof-system-port-profile-node-600, pois é um MO gerado pelo sistema.

    Editar os Objetos Gerados pelo Sistema

    A edição desses perfis e seletores de switch somente leitura e dos perfis e seletores de interface pode ser feita somente através do  Fabric > Access Policies > Interface Configurations.

    Em um APIC de laboratório executando 6.0.2h, ainda não há perfis definidos pelo sistema. Uma instalação pode ser uma implantação de campo verde ou você atualizou de uma versão mais antiga para a 5.2.4 e posterior.

    Green field deployment - system-defined profiles not configured

    Configurar Interface na Folha 101

    Atribua a interface e1/8 no leaf 101 para usar uma política de interface de 10gig.

    Você pode adicionar manualmente a interface a um perfil de interface existente, se já houver um criado, ou para este exercício, explore usando o Assistente de início rápido, como mostrado na imagem.

    Quick Start Wizard

    Configure Interfaces

    Depois que a configuração for salva, você verá que diferentes políticas do sistema são criadas como mostrado nesta imagem.

    System policies creation

    Você verá que a etapa mencionada anteriormente foi criada:
    1. Perfil do switch > system-node-profile-101
    2. Perfil de Interface > system-port-profile-node-101
    3. Seletor de Portas > system-port-seletor-accportgrp-10gig_policy

    Se você adicionar mais uma interface E1/9 à mesma política usando o Assistente de início rápido, os blocos "system-port-seletor-accportgrp-10gig_policy" do sistema também incluirão E1/9.

    Using configure interface UI to add 1/9Adding port e1/9 to the existing policy



    A diferença entre a política criada usando o assistente e uma política definida pelo usuário é que a política do sistema é somente leitura.

    Você pode clicar com o botão direito do mouse em uma política para exibir o navegador da área de armazenamento de objetos e ver o criador do objeto conforme mostrado na imagem.

    Object store browser

    Como editar uma política de perfil do sistema

    Por exemplo, se você tentar excluir o seletor de porta do sistema e1/8 do perfil de porta do sistema, verá um erro como mostrado na imagem:

    Editing a System Profile Policy using standard way

    Error - Cannot edit the system policy

    Para modificar um perfil gerado pelo sistema, navegue até  Fabric > Access Policies > Interface Configuration

    Aqui você pode limpar ou editar a configuração para E1/8.

    Edit a System Profile Policy using the interface configuration

    Depois de optar por limpar a política associada à porta e1/8 no leaf 101, você será solicitado a confirmar e a política do sistema será atualizada de acordo.

    Warning message

    Outcome of port e1/8 removed from the policy

    Abordagem de API para adicionar/excluir a configuração de interface

    Adicione a política de interface "10gig_policy" à folha 101 - E1/8

    echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-10gig_policy","description":"","node":"101","card":"1","port":"8","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig.json
    icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig.json

    Adicione a política de interface "bcg1-3k" à folha 101 - E1/10

    echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-bcg1-3k","description":"","node":"101","card":"1","port":"10","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig1.json
    icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig1.json

    Excluir Configuração de Interface Associada à Folha 101 - E1/10

    echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"dn":"uni/infra/portconfnode-101-card-1-port-10-sub-0","status":"deleted"},"children":[]}}]}}' > interfaceconfig_delete1.json
    icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig_delete1.json

    Adicione a política de interface "bcg1-3k" ao leaf 102 - E1/14

    Antes desse acréscimo, não havia um perfil de nó de sistema para o switch 102 nem um perfil de porta de sistema. Esta postagem cria ambas as políticas.

    echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-bcg1-3k","description":"","node":"102","card":"1","port":"14","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig2.json
    icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig2.json

    Summary

    A opção de "configuração por porta" pode simplificar o gerenciamento de políticas de acesso sem precisar criar diferentes perfis e seletores.

    Problemas conhecidos/bugs

    ID de bug da Cisco CSCwd83295 - ACI: as VLANs são indefinidamente removidas das interfaces leaf após a migração para infraPortConfig

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    24-Jul-2023
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Rajesh Gatti
      Líder técnico da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos