Résoudre les politiques d'accès ACI : " ; le parent est un profil généré par le système ; Erreur
Table des matières
Introduction
Ce document décrit la nouvelle approche de configuration d'interface dans l'ACI et fournit des étapes pour corriger les erreurs lors de la modification des politiques d'accès générées par le système qui y sont liées.
Informations générales
Les versions 5.2.4 et ultérieures ont introduit l'option de « configuration par port » (également appelée « configuration d'interface » ou infraPortConfig) pour simplifier les politiques d'accès.
Traditionnellement, l'ACI utilise quatre objets (profil de commutateur, sélecteur de commutateur, profil d'interface et sélecteur d'interface) pour sélectionner une interface donnée sur un noeud de commutateur donné.
Ce document fait référence à ce mode de fonctionnement sous le nom de « configuration des profils et des sélecteurs ». Cette image illustre la configuration :
L'option de configuration d'interface présente les quatre objets comme un seul objet. Par conséquent, vous n'avez pas besoin d'utiliser ni de gérer les profils de commutateur, les sélecteurs de commutateur, les profils d'interface et les sélecteurs d'interface.
Les détails sont documentés dans le guide de configuration. Veuillez toujours consulter le guide de configuration pour connaître les dernières mises à jour.
https://www.cisco.com/c/en/us/td/docs/dcn/aci/apic/6x/l2-configuration/cisco-apic-layer-2-networking-configuration-guide-60x/access-interfaces-60x.html
Il est important de savoir que lors de l'utilisation de la nouvelle option de « configuration d'interface », le contrôleur APIC Cisco crée et gère des profils et des sélecteurs de commutateur, ainsi que des profils et des sélecteurs d'interface en lecture seule avec le moins d'objets possible.
Ces objets que le contrôleur APIC Cisco crée automatiquement sont appelés « profils générés par le système ».
Si vous essayez de modifier la stratégie de profil système d'une autre manière, une erreur s'affiche. Il n'est pas possible de supprimer <> car le parent est un profil généré par le système ou il n'est pas possible de supprimer <> car il s'agit d'un mode de gestion généré par le système.
Exemples d'erreurs spécifiques :
Erreur 1 . Impossible de supprimer l'objet :
Il n'est pas possible de supprimer infraPortBlk uni/infra/accportprof-system-port-profile-node-600/hports-system-port-selector-accbundle-DstSympo-type-range/portblk-portblock1 sous infraAccPortP uni/infra/accportprof-system-port-profile-node-600, car le parent est un profil généré par le système.
Erreur 2 . Erreur : 400 :
Il n'est pas possible de modifier infraPortBlk uni/infra/accportprof-system-port-profile-node-600/hports-system-port-selector-accbundle-DstSympo-type-range/portblk-portblock1 sous infraAccPortP uni/infra/accportprof-system-port-profile-node-600, car le parent est un profil généré par le système.
Erreur 3 . Impossible de supprimer l'objet :
Il n'est pas possible de supprimer infraAccPortP uni/infra/accportprof-system-port-profile-node-600 car il s'agit d'un mode d'organisation généré par le système.
Modifier les objets générés par le système
L'édition de ces profils et sélecteurs de commutation en lecture seule et de ces profils et sélecteurs d'interface ne peut être effectuée que par l'intermédiaire du Fabric > Access Policies > Interface Configurations.
Sur un APIC de travaux pratiques exécutant la version 6.0.2h, il n'existe pas encore de profil défini par le système. Une configuration peut être un déploiement sur site ou vous avez effectué une mise à niveau d'une ancienne version vers 5.2.4 et les versions ultérieures.
Configuration de l'interface sur Leaf 101
Attribuez l'interface e1/8 sur le leaf 101 pour utiliser une stratégie d'interface 10gig.
Vous pouvez soit ajouter manuellement l'interface à un profil d'interface existant si un profil a déjà été créé, soit, pour cet exercice, explorer à l'aide de l'Assistant Démarrage rapide, comme illustré dans l'image.
Une fois la configuration enregistrée, différentes stratégies système sont créées, comme illustré dans cette image.
Vous voyez que l'étape mentionnée ci-dessus a été créée :
1. Switch profile > system-node-profile-101
2. Interface Profile > system-port-profile-node-101
3. Sélecteur de port > system-port-selector-accportgrp-10gig_policy
Si vous ajoutez une autre interface E1/9 à la même stratégie à l'aide de l'Assistant de démarrage rapide, les blocs system-port-selector-accportgrp-10gig_policy incluent également E1/9.
La différence entre la stratégie créée à l'aide de l'Assistant et une stratégie définie par l'utilisateur est que la stratégie système est en lecture seule.
Vous pouvez cliquer avec le bouton droit de la souris sur une stratégie pour afficher le navigateur de magasin d'objets et voir le créateur de l'objet comme illustré dans l'image.
Modification d'une stratégie de profil système
Par exemple, si vous tentez de supprimer le sélecteur de port système e1/8 du profil de port système, une erreur s'affiche, comme illustré dans l'image :
Pour modifier un profil généré par le système, accédez à Fabric > Access Policies > Interface Configuration.
Vous pouvez ici effacer ou modifier la configuration de E1/8.
Une fois que vous avez choisi d'effacer la stratégie associée au port e1/8 sur le leaf 101, vous êtes invité à confirmer et la stratégie système est mise à jour en conséquence.
Approche API pour ajouter/supprimer la configuration d'interface
Ajouter la politique d'interface « 10gig_policy » à la feuille 101 - E1/8
echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-10gig_policy","description":"","node":"101","card":"1","port":"8","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig.json
icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig.json
Ajouter la politique d'interface « bcg1-3k » à la feuille 101 - E1/10
echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-bcg1-3k","description":"","node":"101","card":"1","port":"10","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig1.json
icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig1.json
Suppression de la configuration d'interface associée à Leaf 101 - E1/10
echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"dn":"uni/infra/portconfnode-101-card-1-port-10-sub-0","status":"deleted"},"children":[]}}]}}' > interfaceconfig_delete1.json
icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig_delete1.json
Ajouter la politique d'interface « bcg1-3k » au leaf 102 - E1/14
Avant cet ajout, il n’y a pas de profil de noeud système pour le commutateur 102 ni de profil de port système. Ce billet crée ces deux politiques.
echo '{"infraInfra":{"attributes":{},"children":[{"infraPortConfig":{"attributes":{"assocGrp":"uni/infra/funcprof/accportgrp-bcg1-3k","description":"","node":"102","card":"1","port":"14","role":"leaf","brkoutMap":"none","connectedFex":"unspecified","pcMember":""},"children":[]}}]}}' > interfaceconfig2.json
icurl -X POST http://localhost:7777/api/mo/uni/infra.json -d @interfaceconfig2.json
Résumé
L'option de configuration par port peut simplifier la gestion des politiques d'accès sans avoir à créer des profils et des sélecteurs différents.
Problèmes/bogues connus
ID de bogue Cisco CSCwd83295 - ACI : les VLAN sont supprimés indéfiniment des interfaces leaf après la migration vers infraPortConfig
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
24-Jul-2023 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)