Uso del perfil de ruta ACI

Descripción general del perfil de ruta 

-2.3(1) Se utilizó software apic para todas las pruebas

-Se asume la aplicación de control de ruta de exportación.

Los perfiles de ruta se utilizan en ACI para aplicar algún tipo de política a las rutas. Consta de una regla de coincidencia que define las rutas a las que se debe aplicar la política y una regla de conjunto, que define cómo se deben cambiar los atributos de ruta. Por ejemplo, se utilizaría un route-profile para hacer coincidir un prefijo específico y cambiar el tipo de métrica OSPF a 1. Los criterios disponibles para coincidir y configurarse se basan en lo que se admite en cada versión de ACI.

Los perfiles de ruta se pueden aplicar en varios niveles diferentes dependiendo de cuál sea su objetivo. Estos incluyen:
-Configuración de Bridge Domain L3
-Configuración de la subred del dominio de puente
-Las políticas default-import y default-export configuradas bajo l3out
-El EPG de L3out (red) en la dirección de importación o exportación. Además, el perfil de ruta se puede aplicar a subredes EPG L3out específicas en lugar de a toda la EPG.
-La política de interfiltración configurada en el nivel l3out

Tenga en cuenta que los perfiles de ruta se pueden configurar en la dirección de importación, pero la configuración no surtirá efecto a menos que se seleccione "Importar" Aplicación de control de ruta en el nivel L3out

Configuración de un Perfil de Ruta

Un perfil de ruta se puede configurar debajo de un l3out específico o bajo 'Redes enrutadas externas'. Si el perfil de ruta se utiliza para una política de interfuga, se debe aplicar en 'Redes enrutadas externas'. Para todos los demás usos, el route-profile se debe configurar bajo el l3out donde se aplicará la política.

Al configurar el perfil de ruta verá la siguiente ventana:

Tendrá la opción de elegir entre "Política de coincidencia de prefijos y de enrutamiento" y "Política de coincidencia sólo de políticas de enrutamiento". Estas opciones surtirán efecto dependiendo del nivel al que se aplique route-profile. En términos generales, a través de "Política de coincidencia de prefijo y de enrutamiento" se define el perfil como "combinable". Esto significa que cada regla de coincidencia que se defina incluirá implícitamente las subredes BD configuradas en 'anunciar externamente' y cualquier otra cosa que coincida explícitamente con la regla de coincidencia. "Coincidir sólo política de ruteo" hace que el perfil de ruta sea 'no combinable'. Esto significa que el perfil sólo coincidirá con lo que coinciden explícitamente las reglas de coincidencia. Las subredes BD no se incluyen de forma sencilla. Cuando se aplica en el nivel de EPG externo 'combinable' significa que las "subredes de control de ruta de exportación" se corresponden implícitamente en cada regla en lugar de subredes BD.

Un perfil de ruta requiere contextos:

Un contexto es un objeto que contiene una regla Match y una regla Set. Cada contexto tiene un orden (0-9) que define el orden en el que se deben evaluar los contextos si hay más de uno. Una vez que se crea un perfil de ruta con al menos un contexto, se puede aplicar.

Aplicación de un Perfil de Ruta en el Nivel de Dominio de Bridge

Un perfil de ruta en el nivel de dominio de puente se utiliza normalmente para aplicar una política a todas las subredes definidas bajo un BD específico. Para configurar esto, vaya a 'L3 Configurations' en el Dominio de Bridge, seleccione el L3out que aplicará la política cuando anuncie la Subred y luego seleccione el perfil de ruta configurado bajo ese l3out.

En este ejemplo, la subred BD es 200.0.0.0/24 y el perfil de ruta tiene una regla de coincidencia que coincide con 210.0.0.0/24 y establece la comunidad en 200:200. Debido a que el perfil de ruta se establece en "Política de coincidencia y prefijo" combinable, la regla coincidirá explícitamente con 210.0.0.0/24 y coincidirá implícitamente con 200.0.0.0/24 (Subred BD).

Según el protocolo externo que se esté utilizando, el perfil de ruta se aplicará como un mapa de ruta saliente al vecino (BGP) o en el nivel de protocolo al redistribuir la subred estática BD en el protocolo externo (OSPF).

Para verificar esta configuración cuando BGP es el protocolo l3out...

-Busque la dirección del vecino:

leaf6# show bgp ipv4 unicast summary vrf Joe-TESTING:Joe-VRF
BGP summary information for VRF Joe-TESTING:Joe-VRF, address family IPv4 Unicast
BGP router identifier 106.106.106.106, local AS number 100
BGP table version is 97, IPv4 Unicast config peers 1, capable peers 1
7 network entries and 7 paths using 1204 bytes of memory
BGP attribute entries [4/576], BGP AS path entries [1/6]
BGP community entries [0/0], BGP clusterlist entries [6/24]
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
2.2.2.2 4 12345 5833 5924 97 0 0 4d01h 3

-Busque el route-map saliente utilizado para ese vecino:

leaf6# show bgp ipv4 un neighbor 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

-Observe el contenido del route-map:

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:


leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 << Match rule
seq 2 permit 200.0.0.1/24 << Implicit match because route-profile is combinable.

En la secuencia de ejemplo anterior, 7801 coincidirá con las subredes BD, de modo que la subred BD se igualará en la implicidad tanto en la secuencia 4001 como en la 7801. Si el perfil de ruta se configuró en "Coincidir con la política de ruteo solamente", entonces la regla de coincidencia incluiría 210.0.0.0/24 y no la subred BD. La subred BD seguiría coincidiendo implícitamente en un número de secuencia posterior, por lo que se permitiría (no estoy seguro de si este es el mismo comportamiento para las versiones de software anteriores).

Aplicación de un Perfil de Ruta en el Nivel de Subred de Dominio de Bridge

El route-profile se puede asociar directamente a la subred BD. Uno de los únicos casos de uso para hacer esto sería cuando hay más de una subred configurada bajo el BD y la política debe aplicarse a estos cuando se anuncian más de un l3out. (actualmente sólo se puede asociar un l3out para route-profile en el nivel BD)

La configuración se puede ver a continuación:

La única diferencia entre aplicar el perfil de ruta en el nivel BD frente al nivel de subred BD es que cuando se selecciona "Política de coincidencia de prefijo y de enrutamiento", sólo se incluirá implícitamente la subred BD asociada en cada regla de coincidencia. Por lo tanto, si hubiera más de una subred BD en el mismo BD, sólo la subred a la que está ligado el perfil de ruta sería coincidente implícitamente. Esto se puede verificar de la misma manera que se aplica el route-profile en el nivel BD. Este ejemplo utilizará OSPF.

Un BD se configura con subredes 200.0.0.0/24 y 210.0.0.0/24. Un route-profile se configura bajo el OSPF l3out y se asocia a la subred BD 210.0.0.0/24. El route-profile se establece en 'combinable', por lo que debe coincidir con 210.0.0.0/24 (coincidencia explícita), 210.0.0.1/24 (coincidencia implícita) y no con 200.0.0.0/24 (otra subred de ancho de banda). 200.0.0.0/24 se igualará la implicidad al final del route-profile y se permitirá. El route-map establecerá el tipo de métrica ospf en 1.

-Obtenga el route-map que se utiliza para la redistribución estática a ospf:

leaf6# show ip ospf vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistributing
Redistributing External Routes from
static route-map exp-ctx-st-3080194
direct route-map exp-ctx-st-3080194
bgp route-map exp-ctx-proto-3080194
eigrp route-map exp-ctx-proto-3080194
leaf6# show route-map exp-ctx-st-3080194
route-map exp-ctx-st-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
metric-type type-1
route-map exp-ctx-st-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
show ip pip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

***Debido a CSCvd68302 si un perfil de ruta está asociado en el nivel de subred BD y luego se elimina el route-map no puede ser eliminado. La solución temporal es realizar algunos cambios en el perfil de ruta (p. ej.: alternar una regla establecida) para activar una limpieza.  Esto se corregirá en una futura versión de SW.

Aplicación de un Perfil de Ruta en el Nivel 'Predeterminado'

Hay dos perfiles de ruta predeterminados diferentes que se pueden configurar en el nivel l3out. Estos son los perfiles de ruta 'default-import' y 'default-export'. No es necesario que se apliquen en ningún lugar. Mientras existan, afectarán a las rutas coincidentes que se anuncian en ese l3out. La configuración es idéntica a cualquier otra creación de perfil de ruta, excepto que el nombre debe especificarse como 'default-export' o 'default-import'. Si la versión de software se retrasa lo suficiente, estos dos nombres aparecerán como opciones en una lista desplegable.

El route-map de exportación predeterminado crea entradas de coincidencia que se aplican a dos tipos diferentes de rutas:

1.  Rutas externas que se están anunciando (prefijos de tránsito). La entrada de route-map asociada coincidirá con lo que sea que coincida en las reglas de coincidencia de exportación predeterminadas, realizará la regla establecida especificada en el contexto y establecerá implícitamente la etiqueta de ruta en la etiqueta vrf. El conjunto de etiquetas implícitas se realiza cada vez que se realiza el ruteo de tránsito en ACI. Los folletos de borde nunca instalarán una ruta en la tabla de ruteo que tiene esta etiqueta establecida de modo que configurarla en los prefijos de tránsito asegura que los prefijos nunca vuelvan a ingresar en loop en ACI e instalarse en la tabla de ruteo en el mismo VRF.

2.  Rutas internas que se están anunciando (prefijos BD). Esta entrada de mapa de ruta asociada coincidirá con cualquier regla de coincidencia de exportación predeterminada y realizará la acción de conjunto asociada. Si el perfil de ruta se establece en 'combinable' (coincidencia de prefijo y política de routing), esta entrada en el mapa de ruta incluirá implícitamente todas las subredes BD. Si no se establece en combinable, sólo coincidirá con lo que coincida en la regla de coincidencia.

****IMPORTANTE, si se establece la exportación predeterminada en 'Sólo política de enrutamiento de coincidencia' (no combinable), las subredes BD dejarán de anunciarse si no coinciden explícitamente en el perfil de ruta.

En el siguiente ejemplo, las subredes BD son 200.0.0.0/24 y 210.0.0.0/24. El route-profile tiene un contexto que coincide con 210.0.0.0/24 y establece la comunidad en 200:200. La exportación predeterminada se aplica y se establece en no combinable.

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4002
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

La entrada route-map con la lista de prefijos "ext-out" es para prefijos de tránsito. Sólo coincide con lo que coincide en la regla de coincidencia y establece la etiqueta en la etiqueta predeterminada vrf. La segunda entrada de mapa de ruta con lista de prefijos "int-out" es para los prefijos internos (subredes BD) que se anuncian. Dado que el route-profile no está configurado como compatible sólo coincide con 210.0.0.0/24 ya que es lo que la regla de coincidencia especificó. La otra subred de BD 200.0.0.0/24 no coincide y el tráfico a esta subred podría ser ennegrecido.

Después de cambiar el route-profile a combinable:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 210.0.0.1/24 seq 3 permit 200.0.0.1/24

La entrada route-map para prefijos de tránsito permanece igual pero la entrada para prefijos internos ahora incluye todos los prefijos BD así como lo que se especifica en la regla de coincidencia.

Aplicación de un Perfil de Ruta en los Niveles de Subred EPG Externa y EPG Externa

Un perfil de ruta también se puede aplicar directamente a un nivel de epg externo o al nivel de subred dentro de un epg externo. Esto se ha diseñado para aplicar la política a los prefijos de tránsito, pero también se puede utilizar para aplicar la política a los prefijos internos. La única advertencia es que los prefijos internos (si coinciden) recibirán la etiqueta vrf predeterminada. Si se supone que esas subredes deben anunciarse nuevamente en ACI en un VRF diferente, asegúrese de cambiar la etiqueta predeterminada para ese vrf de modo que los prefijos sean aceptados e instalados en la tabla de ruteo.

Si el route-profile se establece en 'no combinable', entonces no hay diferencia entre aplicar el route-profile en el nivel Ext EPG frente al nivel de subred Ext EPG. Las entradas del route-map sólo coincidirán con lo que coincide explícitamente en la regla de coincidencia. Si el route-profile se establece en combinable y el route-profile se aplica en el nivel Ext EPG, cada entrada de coincidencia coincidirá con lo que se especifica explícitamente y con las subredes que se definen como 'export route-control subnet'. Si el route-profile se establece en combinable y se aplica en el nivel de subred Ext EPG, el route-profile coincidirá con lo que se especifica explícitamente y coincidirá implícitamente con la subred EPG a la que se aplica IF que la subred está configurada en "exportar route-control subnet".

En este ejemplo, las subredes BD son 200.0.0.0/24 y 210.0.0.0/24. 89.89.89.89/32 y 90.90.90.90/32 se especifican como redes L3out con la "subred de control de ruta de exportación" establecida. El perfil de route-map tiene un contexto que coincide con 210.0.0.0/24 y establece la comunidad en 200:200. El route-profile se aplica en el nivel EXT EPG y no es combinable.

leaf6# show bgp ipv4 un neighbors 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

Observe que la entrada de route-map sólo coincide con lo especificado en la regla de coincidencia aunque las subredes se definen con "export route-control subnet". Todavía hay una entrada en el route-map que permite todas las subredes BD configuradas para "anunciar externamente" y asociadas a esta L3out.

Si el route-profile se cambia a combinable:

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32 seq 3 permit 90.90.90.90/32

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

Observe ahora que la entrada que aplica la política coincide con todas las subredes que están configuradas en "export route-control subet".

Si el route-profile es combinable y se aplica directamente a una de las subredes que se establece en "export route-control subnet":

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7802
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32

Observe que la entrada de route-map que aplica la política incluye lo que coincide en el contexto de route-profile y la subred a la que se aplica desde que se selecciona "export route-control subnet" . La otra subred que tiene "subred de control de ruta de exportación" no se incluye en la entrada de mapa de ruta que aplica la política aunque coincide en una regla implícita que simplemente lo permite y establece la etiqueta de tránsito.

Aplicación de un Perfil de Ruta en el Nivel L3out como Política de Interfiltración:

El "Perfil de Ruta para Interfiltración" está diseñado específicamente para establecer la política cuando se redistribuyen los prefijos desde algún protocolo externo a BGP. Este es el único caso en el que el perfil de ruta debe configurarse en "Redes enrutadas externas" en lugar de en el l3out. A continuación, el perfil de ruta se aplica en el protocolo externo de origen (no bgp) como política de "perfil de ruta para interfiltración". Esto es útil para configurar los atributos BGP cuando un prefijo se redistribuye en el proceso interno de fabric bgp o también se puede utilizar para establecer los atributos bgp cuando se anuncian los prefijos de tránsito desde un l3out no bgp a un bgp l3out.

En este ejemplo, se recibe 89.89.89.89/32 de OSPF. Se está aplicando un perfil de ruta entrelazado al l3out OSPF que coincide con 89.89.89.89/32 y establece la comunidad BGP en 200:200. La política se aplica cuando la ruta OSPF se redistribuye en BGP. Para verificar esto, observaría el route-map que se establece en el proceso BGP.

Utilice "show bgp process" para verificar el route-map que se utiliza para la redistribución de OSPF a BGP.

leaf6# show bgp process vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistri
Redistribution
direct, route-map permit-all
static, route-map imp-ctx-bgp-st-interleak-3080194
ospf, route-map imp-ctx-proto-interleak-3080194
route-map imp-ctx-proto-interleak-3080194, permit, sequence 1
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive

leaf6# show ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst: 1 entries
seq 1 permit 89.89.89.89/32

Tenga en cuenta que el epg OSPF también incluye la subred "0.0.0.0", pero lo único que se redistribuye en BGP desde OSPF es 89.89.89.89. Establecer el perfil de ruta en "combinable" vs "no combinable" no afecta a las políticas de entrecruzamiento.

Es importante saber que no se permite implícitamente nada en el BGP cuando se establece una política de interfiltración. Si no hay ninguna política de interfiltración establecida (valor predeterminado), se permite todo; si se configura un route-profile para interleak, entonces no se permite nada excepto lo que coincide explícitamente. Un malentendido de esto podría conducir a interrupciones al configurar las políticas de interfiltración.

Denegar reglas

La capacidad de denegar prefijos específicos se agregó en el software 2.3(1). Anteriormente sólo se podían comparar las reglas de permiso, por lo que no se podía denegar prefijos específicos mediante perfiles de ruta. La acción deny se configura en el contexto route-profile:

Se debe tener especial cuidado cuando se utilizan reglas de denegación con un perfil de ruta configurado en 'combinable' (coincidencia de prefijo y política de enrutamiento).

A continuación se muestra el comportamiento de las reglas de denegación cuando el perfil de ruta se establece en combinable v. no combinable

Denegar comportamiento de regla con route-profile aplicado en el nivel de subred de dominio de puente

Combinable: las reglas de denegación coincidirán con lo que se especifique en la regla de coincidencia, así como con la subred BD a la que se aplica el perfil de ruta.
No combinable: las reglas de denegación sólo coincidirán con lo especificado en la regla de coincidencia.

Denegar comportamiento de regla con route-profile aplicado en el nivel de dominio de puente

Combinable - Las reglas de denegación coincidirán con lo que se especifique en la regla de coincidencia, así como con todas las subredes configuradas dentro de ese BD.
No combinable: las reglas de denegación sólo coincidirán con lo especificado en la regla de coincidencia.

Denegar comportamiento de regla con route-profile aplicado en el nivel Default-Export

Combinable: las reglas de denegación coincidirán implícitamente con TODAS las subredes BD que se han configurado para anunciarse externamente, así como con lo que coincide en la regla
No combinable: las reglas de denegación sólo coincidirán con lo especificado en la regla de coincidencia.

Denegar comportamiento de regla con el perfil de ruta de exportación aplicado en el nivel de instancia de red L3out

Combinable: las reglas de denegación coincidirán implícitamente con todas las redes con el conjunto de "subred de control de ruta de exportación", así como con lo que coincide en la regla de coincidencia.
No combinable: las reglas de denegación solo coincidirán con la regla de coincidencia.

Denegar comportamiento de regla con el perfil de ruta de exportación aplicado en el nivel de subred de red L3out

Combinable: si la red a la que se aplica el perfil de ruta de exportación tiene seleccionada la "subred de control de ruta de exportación", se coincidirá con lo que coincide en la regla de coincidencia.
No combinable: las reglas de denegación solo coincidirán con la regla de coincidencia.

Denegar comportamiento de regla con el perfil de ruta de exportación aplicado en el nivel "Perfil de ruta para interfuga"

-Las reglas de denegación no están pensadas para su uso aquí. Independientemente de si se establece 'deny', el route-map resuelto en la hoja tendrá una regla de coincidencia. La denegación de prefijos entrantes se debe realizar con seguridad de importación o filtrado de rutas en el dispositivo externo.

Otras notas

El proceso RPM se utiliza internamente para configurar los route-map de los route-profiles. Los comandos más útiles para ver la información de RPM se pueden ver con "show system internal rpm ...". Una manera de verificar que un route-map se está aplicando, removiendo o cambiando realmente cuando se cambia una configuración es mirando el historial de eventos RPM en el switch Leaf:

show system internal rpm event-history events