ACI-Routenprofil-Nutzung

Routenprofil-Übersicht 

-2.3(1) Für alle Tests wurde apic SW verwendet

- Die Durchsetzung der Export-Routingkontrolle wird angenommen.

Routenprofile werden in der ACI verwendet, um eine Art von Richtlinie auf Routen anzuwenden. Sie besteht aus einer Übereinstimmungsregel, die die Routen definiert, auf die die Richtlinie angewendet werden soll, und einer Standardregel, die definiert, wie die Routenattribute geändert werden sollen. Beispielsweise wird ein Routenprofil verwendet, um einem bestimmten Präfix zuzuordnen und den metrischen OSPF-Typ in 1 zu ändern. Die Kriterien, die erfüllt und festgelegt werden können, basieren auf den in den einzelnen ACI-Versionen unterstützten Optionen.

Routenprofile können auf verschiedenen Ebenen angewendet werden, je nachdem, was Ihr Ziel ist. Dazu gehören:
- Die L3-Konfiguration der Bridge-Domäne
- Bridge Domain Subnet-Konfiguration
- Die Standardimport- und -export-Richtlinien, die unter dem l3out konfiguriert werden.
-Das L3out EPG (Netzwerk) in der Import- oder Exportrichtung. Darüber hinaus kann das Routing-Profil auf bestimmte L3out-EPG-Subnetze und nicht auf das gesamte EPG angewendet werden.
- Die Interleak-Richtlinie, die auf der l3out-Ebene konfiguriert wurde.

Beachten Sie, dass Routenprofile in der Importrichtung konfiguriert werden können. Die Konfiguration wird jedoch erst wirksam, wenn auf der L3Out-Ebene die Durchsetzung der Routenkontrolle durch "Importieren" ausgewählt ist.

Konfigurieren eines Routenprofils

Ein Routenprofil kann unter einem bestimmten l3out oder unter "External Routed Networks" konfiguriert werden. Wenn das Routenprofil für eine Interleak-Richtlinie verwendet wird, sollte es unter "External Routed Networks" (Externe Routing-Netzwerke) angewendet werden. Für alle anderen Anwendungen sollte das Routing-Profil unter dem l3out konfiguriert werden, auf den die Richtlinie angewendet wird.

Beim Konfigurieren des Routenprofils wird das folgende Fenster angezeigt:

Sie können zwischen "Match Prefix and Routing Policy" und "Match Routing Policy Only" wählen. Diese Optionen hängen davon ab, auf welche Ebene das Routenprofil angewendet wird. Im Allgemeinen wird das Profil durch "Match Prefix and Routing Policy" als 'Combinable' definiert. Das bedeutet, dass jede Spielregel, die definiert wird, implizit die BD-Subnetze enthält, die auf "extern werben" festgelegt sind, sowie alle anderen Subnetze, die explizit der Übereinstimmungsregel zugeordnet sind. Durch "Match Routing Policy Only" (Nur Routing-Richtlinie zuordnen) ist das Routenprofil nicht kombinierbar. Das bedeutet, dass das Profil nur dem entspricht, was explizit von den Übereinstimmungsregeln zugeordnet wurde. BD-Subnetze sind nicht implizit enthalten. Bei Anwendung auf der externen EPG-Ebene bedeutet "kombinierbar", dass "Subnetze für die Exportroute-Kontrolle" implizit in jeder Regel und nicht in BD-Subnetzen zugeordnet werden.

Ein Routing-Profil erfordert Kontexte:

Ein Kontext ist ein Objekt, das eine Übereinstimmungsregel und eine Festlegen-Regel enthält. Jeder Kontext hat eine Reihenfolge (0-9), die die Reihenfolge definiert, in der die Kontexte ausgewertet werden sollen, wenn es mehrere gibt. Sobald ein Routenprofil mit mindestens einem Kontext erstellt wurde, kann es angewendet werden.

Anwenden eines Routenprofils auf Bridge-Domänenebene

Ein Routing-Profil auf Bridge-Domänenebene wird normalerweise verwendet, um eine Richtlinie auf alle Subnetze anzuwenden, die unter einem bestimmten BD definiert sind. Um dies zu konfigurieren, gehen Sie zu 'L3 Configurations' (L3-Konfigurationen) unter der Bridge Domain (Bridge-Domäne), wählen Sie das L3out aus, das die Richtlinie bei der Anzeige des Subnetzes anwendet, und wählen Sie dann das Routing-Profil aus, das unter diesem l3out konfiguriert wird.

In diesem Beispiel ist das BD-Subnetz 200.0.0.0/24, und das route-profile verfügt über eine Übereinstimmungsregel, die 210.0.0.0/24 entspricht und die Community auf 200:200 festlegt. Da das Routenprofil auf kombinierbare "Match Prefix AND Routing Policy" (Präfix und Routing-Richtlinie zuordnen) festgelegt ist, stimmt die Regel explizit mit 210.0.0.0/24 überein und stimmt implizit mit 200.0.0.0/24 (BD-Subnetz) überein.

Je nach dem verwendeten externen Protokoll wird das Routing-Profil als ausgehende Routing-Map zum Nachbarn (BGP) oder auf Protokollebene angewendet, wenn das statische BD-Subnetz in das externe Protokoll (OSPF) umverteilt wird.

Diese Konfiguration überprüfen, wenn BGP das l3out-Protokoll ist..

-Suche nach der Nachbaradresse:

leaf6# show bgp ipv4 unicast summary vrf Joe-TESTING:Joe-VRF
BGP summary information for VRF Joe-TESTING:Joe-VRF, address family IPv4 Unicast
BGP router identifier 106.106.106.106, local AS number 100
BGP table version is 97, IPv4 Unicast config peers 1, capable peers 1
7 network entries and 7 paths using 1204 bytes of memory
BGP attribute entries [4/576], BGP AS path entries [1/6]
BGP community entries [0/0], BGP clusterlist entries [6/24]
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
2.2.2.2 4 12345 5833 5924 97 0 0 4d01h 3

- Suchen Sie die für diesen Nachbar verwendete ausgehende Routenübersicht:

leaf6# show bgp ipv4 un neighbor 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

-Überprüfen Sie den Inhalt der route-map:

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:


leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 << Match rule
seq 2 permit 200.0.0.1/24 << Implicit match because route-profile is combinable.

Im obigen Beispiel stimmt die Sequenz 7801 BD-Subnetze überein, sodass das BD-Subnetz sowohl in der Sequenz 4001 als auch in der Folge 7801 der Einfachheit entspricht. Wenn für das Routenprofil "Match Routing Policy Only" (Nur Routing-Richtlinie zuordnen) festgelegt wurde, umfasst die Übereinstimmungsregel nur 210.0.0.0/24 und nicht das BD-Subnetz. Das BD-Subnetz wird weiterhin implizit in einer späteren Sequenznummer abgeglichen, sodass es zulässig ist (nicht sicher, ob es sich um dasselbe Verhalten für frühere Softwareversionen handelt).

Anwenden eines Routenprofils auf der Bridge Domain-Subnetzebene

Das Routing-Profil kann direkt dem BD-Subnetz zugeordnet werden. Einer der einzigen Anwendungsfälle hierfür wäre, wenn mehr als ein Subnetz im Rahmen der BD konfiguriert ist und die Richtlinie auf diese angewendet werden sollte, da sie mehr als ein l3out angegeben wird. (Derzeit kann nur ein l3out für das Routing-Profil auf BD-Ebene zugeordnet werden.)

Die Konfiguration ist im Folgenden dargestellt:

Der einzige Unterschied zwischen der Anwendung des Routenprofils auf BD-Ebene und auf BD-Subnetzebene besteht darin, dass bei der Auswahl von "Match Prefix AND Routing Policy" (Präfix und Routing-Richtlinie zuordnen) nur das zugeordnete BD-Subnetz implizit in jeder Übereinstimmungsregel enthalten ist. Wenn also mehr als ein BD-Subnetz im selben BD vorhanden ist, wird implizit nur das Subnetz zugeordnet, an das das Routing-Profil gebunden ist. Dies kann auf die gleiche Weise überprüft werden wie die Anwendung des Routing-Profils auf der BD-Ebene. In diesem Beispiel wird OSPF verwendet.

Ein BD wird mit den Subnetzen 200.0.0.0/24 und 210.0.0.0/24 konfiguriert. Ein Routing-Profil wird unter OSPF l3out konfiguriert und mit dem BD-Subnetz 210.0.0.0/24 verknüpft. Das route-Profil ist auf 'kombinierbar' gesetzt, daher sollte es 210.0.0.0/24 (explizite Übereinstimmung), 210.0.0.1/24 (implizite Übereinstimmung) und nicht 200.0.0.0/24 (anderes bd-Subnetz) entsprechen. 200.0.0.0/24 wird implizit abgeglichen und am Ende des Routenprofils zugelassen. Die route-map legt den metrischen OSPF-Typ auf 1 fest.

-Rufen Sie die Route Map ab, die für die statische OSPF-Neuverteilung verwendet wird:

leaf6# show ip ospf vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistributing
Redistributing External Routes from
static route-map exp-ctx-st-3080194
direct route-map exp-ctx-st-3080194
bgp route-map exp-ctx-proto-3080194
eigrp route-map exp-ctx-proto-3080194
leaf6# show route-map exp-ctx-st-3080194
route-map exp-ctx-st-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
metric-type type-1
route-map exp-ctx-st-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
show ip pip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

*** Aufgrund von CSCvd68302, wenn ein Routing-Profil auf der BD-Subnetzebene zugeordnet ist und dann entfernt wird, kann die Route-Map nicht entfernt werden. Die Lösung besteht darin, das Routenprofil zu ändern (z. B.: um eine bestimmte Regel zu aktivieren), um eine Bereinigung auszulösen.  Dies wird in einer zukünftigen SW-Version behoben werden.

Anwenden eines Routenprofils auf der Standardebene

Es gibt zwei verschiedene Standard-Routing-Profile, die auf der Ebene l3out konfiguriert werden können. Dies sind die Routenprofile 'default-import' und 'default-export'. Diese müssen nirgends angewendet werden. Solange sie vorhanden sind, wirken sie sich auf übereinstimmende Routen aus, die in diesem l3out angekündigt werden. Die Konfiguration ist mit allen anderen Routingprofilerstellungen identisch, mit der Ausnahme, dass der Name als 'default-export' oder 'default-import' angegeben werden muss. Wenn die Softwareversion zu spät ist, werden diese beiden Namen in einem Dropdown-Menü als Optionen angezeigt.

Die Standard-Export-route-map erstellt Übereinstimmungseinträge, die auf zwei verschiedene Routentypen angewendet werden:

1.  Externe Routen, die ausgeschrieben werden (Transit-Präfixe). Der zugeordnete route-map-Eintrag stimmt mit dem überein, was in den Standard-Export-Übereinstimmungsregeln zugeordnet ist, führt die im Kontext angegebene Set-Regel aus und legt das route-tag implizit auf das vrf-Tag fest. Das implizite Tag-Set wird jedes Mal ausgeführt, wenn das Transit-Routing in der ACI durchgeführt wird. Die Border Leafs installieren niemals eine Route in der Routing-Tabelle, für die dieser Tag festgelegt ist. Wenn Sie diese daher für Transit-Präfixe festlegen, wird sichergestellt, dass die Präfixe niemals in die ACI zurückgeleitet und in der Routing-Tabelle im selben VRF installiert werden.

2.  Interne Routen, die angekündigt werden (BD-Präfixe). Dieser zugeordnete route-map-Eintrag stimmt mit dem überein, was in der/den Standard-Export-Übereinstimmungsregel(n) zugeordnet ist, und führt die zugeordnete Set-Aktion aus. Wenn das Routenprofil auf "Combinable" (Übereinstimmung mit Präfix UND Routing-Richtlinie) festgelegt ist, werden alle BD-Subnetze implizit in diesem/diesen Eintrag(en) in der Routenübersicht eingeschlossen. Wenn sie nicht auf Combinable (Kombinierbar) festgelegt ist, wird nur der Übereinstimmung in der Übereinstimmungsregel zugeordnet.

****WICHTIG: Wenn der Standard-Export auf "Match Routing Policy Only" (Nur Routing-Richtlinie zuordnen) (nicht kombinierbar) festgelegt wird, werden BD-Subnetze nicht mehr angekündigt, wenn sie nicht explizit im Routing-Profil zugeordnet sind.

Im folgenden Beispiel sind die BD-Subnetze 200.0.0.0/24 und 210.0.0.0/24. Das route-profile hat einen Kontext, der 210.0.0.0/24 entspricht und die Community auf 200:200 festlegt. Der Standardexport wird angewendet und auf nicht kombinierbar festgelegt.

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4002
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

Der route-map-Eintrag mit der Präfixliste "ext-out" gilt für Transit-Präfixe. Sie entspricht nur dem, was in der Übereinstimmungsregel zugeordnet ist, und legt das Tag auf das VRF-Standardtag fest. Der zweite route-map-Eintrag mit der Präfixliste "int-out" gilt für interne Präfixe (BD-Subnetze), die angekündigt werden. Da das route-profile nicht auf Compiler festgelegt ist, entspricht es nur 210.0.0.0/24, da dies die angegebene Match-Regel ist. Das andere BD-Subnetz 200.0.0.0/24 ist nicht zugeordnet, und der Datenverkehr zu diesem Subnetz kann Blackholed sein.

Nach dem Ändern des Routenprofils in kombinierbar:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 210.0.0.1/24 seq 3 permit 200.0.0.1/24

Der route-map-Eintrag für Transit-Präfixe bleibt gleich, aber der Eintrag für interne Präfixe enthält jetzt alle BD-Präfixe sowie die in der Übereinstimmungsregel festgelegten Präfixe.

Anwenden eines Routenprofils auf die externen EPG- und externen EPG-Subnetzebenen

Ein Routenprofil kann auch direkt auf eine externe epg-Ebene oder die Subnetzebene in einem externen epg angewendet werden. Dies ist für die Anwendung von Richtlinien auf Transit-Präfixe vorgesehen, kann aber auch verwendet werden, um Richtlinien auf interne Präfixe anzuwenden. Der einzige Vorbehalt besteht darin, dass die internen Präfixe (wenn sie zugeordnet werden) das Standard-VRF-Tag erhalten. Wenn diese Subnetze der ACI in einer anderen VRF-Instanz gemeldet werden sollen, müssen Sie das Standard-Tag für diese VRF-Instanz so ändern, dass die Präfixe akzeptiert und in der Routing-Tabelle installiert werden.

Wenn das Routenprofil auf "nicht kombinierbar" festgelegt ist, besteht kein Unterschied zwischen der Anwendung des Routenprofils auf der Ext EPG-Ebene und der Ext EPG-Subnetzebene. Die Einträge für die Routenzuordnung stimmen nur mit dem überein, was in der Übereinstimmungsregel explizit zugeordnet ist. Wenn das Routenprofil auf Combinable (Kombinierbar) festgelegt ist und das Routenprofil auf der EXT-EPG-Ebene angewendet wird, entspricht jeder Übereinstimmungseintrag dem explizit angegebenen und allen Subnetzen, die als "Export-Route-Control-Subnetz" definiert sind. Wenn das Routenprofil auf kombinierbar festgelegt und auf der EXT-EPG-Subnetzebene angewendet wird, stimmt das Routenprofil mit dem ausdrücklich angegebenen und implizit mit dem EPG-Subnetz überein, auf das es angewendet wird, WENN dieses Subnetz auf "export route-control subnet" festgelegt ist.

In diesem Beispiel sind die BD-Subnetze 200.0.0.0/24 und 210.0.0.0/24. 89.89.89.89/32 und 90.90.90.90/32 werden als L3out-Netzwerke mit dem Satz "export route control subnet" angegeben. Das route-map-Profil hat einen Kontext, der 210.0.0.0/24 entspricht und die Community auf 200:200 festlegt. Das Routing-Profil wird auf der Ext EPG-Ebene angewendet und ist nicht kombinierbar.

leaf6# show bgp ipv4 un neighbors 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

Beachten Sie, dass der route-map-Eintrag nur mit dem übereinstimmt, was in der Übereinstimmungsregel angegeben ist, obwohl Subnetze mit "export route-control subnet" definiert sind. Es gibt noch einen Eintrag in der Routing-Map, der alle BD-Subnetze zulässt, die auf "extern werben" gesetzt sind und mit diesem L3out verknüpft sind.

Wenn das Routenprofil in kombinierbar geändert wird:

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32 seq 3 permit 90.90.90.90/32

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

Beachten Sie jetzt, dass der Eintrag, der die Richtlinie anwendet, mit allen Subnetzen übereinstimmt, die auf "export route-control subet" festgelegt sind.

Wenn das Routenprofil kombinierbar ist und direkt auf eines der Subnetze angewendet wird, die auf "export route-control subnet" festgelegt sind:

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7802
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32

Beachten Sie, dass der route-map-Eintrag, der die Richtlinie anwendet, das enthält, was im Routing-Profil-Kontext und dem Subnetz zugeordnet wird, auf das sie angewendet wird, da "export route-control subnet" ausgewählt ist. Das andere Subnetz, das über ein "Subnetz für die Exportroute-Kontrolle" verfügt, ist nicht im Eintrag für die Route-Map enthalten, der die Richtlinie anwendet, obwohl sie in einer impliziten Regel zugeordnet wird, die sie einfach zulässt und das Transit-Tag festlegt.

Anwenden eines Routenprofils auf der L3out-Ebene als Interleak-Richtlinie:

Das "Routenprofil für Interleak" dient speziell zum Festlegen von Richtlinien für die Neuverteilung von Präfixen von einem externen Protokoll zum BGP. Dies ist der einzige Fall, in dem das Routing-Profil unter "External Routed Networks" und nicht unter "l3out" konfiguriert werden sollte. Das Routing-Profil wird dann auf das externe Quellprotokoll (nicht bgp) als Richtlinie "Route Profile for Interleak" angewendet. Dies ist hilfreich, um BGP-Attribute festzulegen, wenn ein Präfix in den internen Fabric-BGP-Prozess neu verteilt wird. Alternativ kann es verwendet werden, um BGP-Attribute festzulegen, wenn Transit-Präfixe von einem Nicht-BGP-L3out an ein BGP-L3out gesendet werden.

In diesem Beispiel wird 89.89.89.89/32 von OSPF empfangen. Auf das OSPF l3out wird ein Interlaken-Routing-Profil angewendet, das 89.89.89.89/32 entspricht und die BGP-Community auf 200:200 festlegt. Die Richtlinie wird angewendet, wenn die OSPF-Route in das BGP umverteilt wird. Um dies zu überprüfen, sehen Sie sich die Route-Map an, die im BGP-Prozess festgelegt wird.

Verwenden Sie "show bgp process", um die Route-Map zu überprüfen, die für die Neuverteilung von OSPF an BGP verwendet wird.

leaf6# show bgp process vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistri
Redistribution
direct, route-map permit-all
static, route-map imp-ctx-bgp-st-interleak-3080194
ospf, route-map imp-ctx-proto-interleak-3080194
route-map imp-ctx-proto-interleak-3080194, permit, sequence 1
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive

leaf6# show ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst: 1 entries
seq 1 permit 89.89.89.89/32

Beachten Sie, dass die OSPF-epg auch das Subnetz "0.0.0.0" enthält, das einzige, was von OSPF in BGP neu verteilt wird, ist 89.89.89.89. Das Festlegen des Routenprofils auf "kombinierbar" oder "nicht kombinierbar" hat keine Auswirkungen auf die Interlaken-Richtlinien.

Es ist wichtig zu wissen, dass BGP implizit nichts erlaubt ist, wenn eine Interlaken-Richtlinie festgelegt wird. Wenn keine Interlaken-Richtlinie festgelegt ist (Standardwert), ist alles zulässig. Wenn ein Routenprofil für Interlaken festgelegt wird, ist nur eine explizite Übereinstimmung zulässig. Ein Missverständnis dieser Tatsache kann bei der Konfiguration von Richtlinien für Datenlecks zu Ausfällen führen.

Regeln ablehnen

Die Möglichkeit, bestimmte Präfixe abzulehnen, wurde in der Software 2.3(1) hinzugefügt. Bisher konnten nur Genehmigungsregeln zugeordnet werden, sodass bestimmte Präfixe nicht mithilfe von Routenprofilen abgelehnt werden konnten. Die deny-Aktion wird im Routenprofil-Kontext festgelegt:

Besondere Vorsicht ist geboten, wenn deny-Regeln mit einem Routenprofil verwendet werden, das auf "kombinierbar" (Präfix UND Routing-Richtlinie zuordnen) festgelegt ist.

Im Folgenden wird das Verhalten von Deny-Regeln aufgeführt, wenn das Routenprofil auf kombinierbare und nicht kombinierbare Werte festgelegt ist.

Regelverhalten mit Routingprofil verweigern, das auf der Bridge Domain-Subnetzebene angewendet wird

Kombinierbar: Regeln verweigern stimmen mit den Angaben in der Übereinstimmungsregel überein, und das BD-Subnetz, auf das das Routing-Profil angewendet wird.
Nicht kombinierbar: Regeln ablehnen stimmen nur mit den Angaben in der Übereinstimmungsregel überein.

Regelverhalten mit auf Bridge-Domänenebene angewendetem Routenprofil ablehnen

Kombinierbar: Regeln verweigern werden mit den in der Übereinstimmungsregel angegebenen Regeln sowie mit allen innerhalb dieses BD konfigurierten Subnetzen übereinstimmen.
Nicht kombinierbar: Regeln verweigern entsprechen nur den Angaben in der Übereinstimmungsregel.

Regelverhalten mit Routingprofil verweigern, das auf der Standardexportstufe angewendet wird

Kombinierbar - Regeln verweigern entsprechen implizit ALLEN BD-Subnetzen, die extern angekündigt werden sollen, sowie dem, was in der Regel zugeordnet ist.
Non-Combinable (Nicht kombinierbar): Regeln verweigern stimmen nur mit den Angaben in der Übereinstimmungsregel überein.

Regelverhalten mit Exportrockenprofil verweigern, das auf der Ebene der L3Out-Netzwerkinstanzen angewendet wird

Kombinierbar: Regeln verweigern stimmen implizit mit allen Netzwerken überein, für die das Subnetz für die Exportroute festgelegt ist, sowie mit den Übereinstimmungen, die in der Übereinstimmungsregel übereinstimmen.
Nicht kombinierbar: Regeln ablehnen stimmen nur mit den Übereinstimmungen in der Übereinstimmungsregel überein.

Regelverhalten mit Exportrockenprofil verweigern, das auf der L3Out-Netzwerk-Subnetzebene angewendet wird

Kombinierbar: Wenn für das Netzwerk, auf das das Exportrouten-Profil angewendet wird, das "Subnetz für die Exportroute" ausgewählt ist, werden das Subnetz und die Übereinstimmung in der Übereinstimmungsregel zugeordnet.
Nicht kombinierbar: Regeln ablehnen stimmen nur mit den Übereinstimmungen in der Übereinstimmungsregel überein.

Regelverhalten mit Exportrockenprofil ablehnen, das auf der Ebene "Route Profile for Interlaken" angewendet wird

-Regeln verweigern sind hier nicht vorgesehen. Unabhängig davon, ob "deny" festgelegt ist, wird die aufgelöste Route-Map auf dem Leaf mit einer Match-Regel versehen. Das Verweigern von Präfixen für eingehende Anrufe sollte mit Importsicherheit oder Routenfilterung auf dem externen Gerät erfolgen.

Sonstige Hinweise

Der RPM-Prozess wird intern für die Konfiguration von route-map-Profilen verwendet. Die meisten nützlichen Befehle zum Anzeigen von RPM-Informationen können mit "show system internal rpm ..." angezeigt werden. Eine Möglichkeit, zu überprüfen, ob eine Route Map beim Ändern einer Konfiguration angewendet, entfernt oder geändert wird, ist der RPM-Ereignisverlauf auf dem Leaf-Switch:

show system internal rpm event history events