Utilisation des profils de routage ACI

Présentation du profil de routage 

-2.3(1) Le logiciel Apic a été utilisé pour tous les tests

-L'application du contrôle de route d'exportation est supposée.

Les profils de routage sont utilisés dans l'ACI pour appliquer une sorte de stratégie aux routes. Il se compose d'une règle de correspondance définissant les routes auxquelles la stratégie doit être appliquée et d'une règle définie, qui définit la manière dont les attributs de route doivent être modifiés. Par exemple, un profil de route est utilisé pour faire correspondre un préfixe spécifique et pour remplacer le type de métrique OSPF par 1. Les critères disponibles à respecter et à définir sont basés sur ce qui est pris en charge dans chaque version ACI.

Les profils de routage peuvent être appliqués à différents niveaux en fonction de votre objectif. Ceux-ci incluent :
- Configuration de la couche 3 du domaine de pont
- Configuration du sous-réseau du domaine du pont
-Les stratégies d'importation et d'exportation par défaut configurées sous l3out
-EPG L3out (réseau) dans la direction d'importation ou d'exportation. En outre, le profil de route peut être appliqué à des sous-réseaux EPG L3out spécifiques plutôt qu'à l'ensemble de l'EPG.
- La stratégie d'interfuite configurée au niveau de l3out

Notez que les profils de routage peuvent être configurés dans la direction d'importation, mais la configuration ne prendra effet que si l'option Importer l'application de contrôle de route est sélectionnée au niveau L3out

Configuration d'un profil de routage

Un profil de routage peut être configuré sous un n3out spécifique ou sous 'Réseaux routés externes'. Si le profil de route est utilisé pour une stratégie d'interfuite, il doit être appliqué sous 'Réseaux routés externes'. Pour toutes les autres utilisations, le profil de routage doit être configuré sous l3out où la stratégie sera appliquée.

Lors de la configuration du profil de routage, la fenêtre suivante s'affiche :

Vous aurez la possibilité de choisir entre « Préfixe de correspondance et politique de routage" et "Stratégie de routage de correspondance uniquement« . Ces options prendront effet en fonction du niveau auquel le profil de route est appliqué. En règle générale, bien que « Match Prefix and Routing Policy » définisse le profil comme « combinable ». Cela signifie que chaque règle de correspondance définie inclura implicitement les sous-réseaux BD qui sont définis sur 'annoncer en externe' et tout autre élément correspondant explicitement à la règle de correspondance. « Match Routing Policy Only » rend le profil de route 'non combinable'. Cela signifie que le profil ne correspond qu'à ce qui est explicitement mis en correspondance par les règles de correspondance. Les sous-réseaux BD ne sont pas inclus implicitement. Lorsqu'elle est appliquée au niveau EPG externe 'combinable' signifie que les « sous-réseaux de contrôle de route d'exportation » sont implicitement appariés dans chaque règle plutôt que dans les sous-réseaux BD.

Un profil de route requiert les contextes suivants :

Un contexte est un objet qui contient une règle de correspondance et une règle de définition. Chaque contexte a un ordre (0-9) qui définit l'ordre dans lequel les contextes doivent être évalués s'il y en a plusieurs. Une fois qu'un profil de routage est créé avec au moins un contexte, il peut être appliqué.

Application d'un profil de routage au niveau du domaine de pont

Un profil de route au niveau du domaine de pont est généralement utilisé pour appliquer une stratégie à tous les sous-réseaux définis sous un BD spécifique. Pour configurer ce paramètre, accédez à Configurations de couche 3 sous le domaine de pont, sélectionnez la couche 3 qui appliquera la stratégie lors de l'annonce du sous-réseau, puis sélectionnez le profil de route configuré sous ce domaine.

Dans cet exemple, le sous-réseau BD est 200.0.0.0/24 et le profil de route a une règle de correspondance qui correspond à 210.0.0.0/24 et définit la communauté à 200:200. Étant donné que le profil de route est défini sur « Match Prefix AND Routing Policy » combinable, la règle correspond explicitement à 210.0.0.0/24 et correspond implicitement à 200.0.0.0/24 (BD Subnet).

Selon le protocole externe utilisé, le profil de route sera appliqué en tant que route-map sortante au voisin (BGP) ou au niveau du protocole lors de la redistribution du sous-réseau BD statique dans le protocole externe (OSPF).

Pour vérifier cette configuration lorsque BGP est le protocole l3out...

- Recherchez l'adresse du voisin :

leaf6# show bgp ipv4 unicast summary vrf Joe-TESTING:Joe-VRF
BGP summary information for VRF Joe-TESTING:Joe-VRF, address family IPv4 Unicast
BGP router identifier 106.106.106.106, local AS number 100
BGP table version is 97, IPv4 Unicast config peers 1, capable peers 1
7 network entries and 7 paths using 1204 bytes of memory
BGP attribute entries [4/576], BGP AS path entries [1/6]
BGP community entries [0/0], BGP clusterlist entries [6/24]
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
2.2.2.2 4 12345 5833 5924 97 0 0 4d01h 3

- Recherchez la route-map sortante utilisée pour ce voisin :

leaf6# show bgp ipv4 un neighbor 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

-Examinez le contenu de la route-map :

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:


leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 << Match rule
seq 2 permit 200.0.0.1/24 << Implicit match because route-profile is combinable.

Dans l'exemple ci-dessus, la séquence 7801 correspond aux sous-réseaux BD, de sorte que le sous-réseau BD correspond implicitement aux séquences 4001 et 7801. Si le profil de routage était défini sur « Match Routing Policy Only », la règle de correspondance inclurait uniquement 210.0.0.0/24 et non le sous-réseau BD. Le sous-réseau BD serait toujours associé implicitement à un numéro de séquence ultérieur, de sorte qu'il serait autorisé (il n'est pas certain que ce comportement soit identique pour les versions logicielles antérieures).

Application d'un profil de routage au niveau du sous-réseau du domaine de pont

Le profil de route peut être directement associé au sous-réseau BD. L'un des seuls cas d'utilisation pour ce faire serait lorsqu'il y a plus d'un sous-réseau configuré sous le BD et que la stratégie devrait être appliquée à ceux-ci car ils sont annoncés sur plus d'un l3out. (actuellement, un seul l3out pour route-profile peut être associé au niveau BD)

La configuration peut être vue ci-dessous :

La seule différence entre l'application du profil de routage au niveau BD et au niveau de sous-réseau BD est que lorsque « Match Prefix AND Routing Policy » est sélectionné, seul le sous-réseau BD associé sera implicitement inclus dans chaque règle de correspondance. Ainsi, s'il y avait plus d'un sous-réseau BD dans le même BD, seul le sous-réseau auquel le profil de route est lié serait implicitement mis en correspondance. Ceci peut être vérifié de la même manière que l'application du profil de route au niveau BD. Cet exemple utilise le protocole OSPF.

Un BD est configuré avec les sous-réseaux 200.0.0.0/24 et 210.0.0.0/24. Un profil de routage est configuré sous l’OSPF l3out et associé au sous-réseau BD 210.0.0.0/24. Le profil de route est défini sur 'combinable' de sorte qu'il doit correspondre à 210.0.0.0/24 (correspondance explicite), 210.0.0.1/24 (correspondance implicite) et non à 200.0.0.0/24 (autre sous-réseau bd). 200.0.0.0/24 correspond implicitement à la fin du profil de route et est autorisé. La route-map définit le type de métrique ospf sur 1.

-Obtient la route-map utilisée pour la redistribution statique vers ospf :

leaf6# show ip ospf vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistributing
Redistributing External Routes from
static route-map exp-ctx-st-3080194
direct route-map exp-ctx-st-3080194
bgp route-map exp-ctx-proto-3080194
eigrp route-map exp-ctx-proto-3080194
leaf6# show route-map exp-ctx-st-3080194
route-map exp-ctx-st-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
metric-type type-1
route-map exp-ctx-st-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
show ip pip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

***En raison de CSCvd68302 si un profil de route est associé au niveau de sous-réseau BD, puis supprimé, la route-map ne peut pas être supprimée. La solution de contournement consiste à apporter des modifications au profil de route (par exemple : pour déclencher un nettoyage.  Cela sera corrigé dans une prochaine version logicielle.

Application d'un profil de routage au niveau par défaut

Il existe deux profils de route par défaut différents qui peuvent être configurés au niveau de l3out. Il s'agit des profils de route 'default-import' et 'default-export'. Il n'est pas nécessaire de les appliquer nulle part. Tant qu’elles existent, elles affecteront les routes correspondantes annoncées dans l3out. La configuration est identique à toute autre création de profil de routage, sauf que le nom doit être spécifié en tant que 'default-export' ou 'default-import'. Si la version du logiciel est suffisamment tardive, ces deux noms apparaîtront sous forme d'options dans une liste déroulante.

La route-map d'exportation par défaut crée des entrées de correspondance qui s'appliquent à deux types de routes différents :

1.  Routes externes annoncées (préfixes de transit). L'entrée de route-map associée correspond à la ou aux règles de correspondance d'exportation par défaut, exécute la règle set spécifiée dans le contexte et définit implicitement la balise route sur la balise vrf. Le jeu de balises implicite est effectué chaque fois que le routage de transit est effectué dans l'ACI. Les feuilles de bordure n'installeront jamais une route dans la table de routage avec cette balise définie. Par conséquent, la définition des préfixes de transit garantit que les préfixes ne sont jamais rebouchés dans l'ACI et installés dans la table de routage dans le même VRF.

2.  Routes internes annoncées (préfixes BD). Cette entrée de route-map associée correspond à ce qui est indiqué dans la ou les règles de correspondance d'exportation par défaut et exécute l'action set associée. Si le profil de route est défini sur 'combinable' (Match Prefix AND Routing Policy), cette ou ces entrées de la route-map incluront implicitement tous les sous-réseaux BD. Si elle n'est pas définie sur combinable, elle ne correspond qu'à ce qui est indiqué dans la règle de correspondance.

****IMPORTANT, si vous définissez l'exportation par défaut sur 'Match Routing Policy Only' (non combinable), les sous-réseaux BD cesseront d'être annoncés s'ils ne sont pas explicitement associés dans le profil de routage.

Dans l'exemple suivant, les sous-réseaux BD sont 200.0.0.0/24 et 210.0.0.0/24. Le profil de route a un contexte qui correspond à 210.0.0.0/24 et définit la communauté à 200:200. L'exportation par défaut est appliquée et définie sur non combinable.

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4002
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

L'entrée route-map avec la liste de préfixes « ext-out » est destinée aux préfixes de transit. Il ne correspond qu'à ce qui est mis en correspondance dans la règle de correspondance et définit la balise sur la balise vrf par défaut. La deuxième entrée de route-map avec la liste de préfixes « int-out » concerne les préfixes internes (sous-réseaux BD) annoncés. Puisque le profil de routage n'est pas défini sur cominable, il ne correspond qu'à 210.0.0.0/24 car c'est la règle de correspondance spécifiée. L'autre sous-réseau BD 200.0.0.0/24 n'est pas mis en correspondance et le trafic vers ce sous-réseau peut être bloqué.

Après avoir modifié le profil de routage en possibilité de combinaison :

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 210.0.0.1/24 seq 3 permit 200.0.0.1/24

L'entrée route-map pour les préfixes de transit reste la même, mais l'entrée pour les préfixes internes inclut désormais tous les préfixes BD ainsi que ce qui est spécifié dans la règle de correspondance.

Application d'un profil de routage aux niveaux de sous-réseau EPG externe et EPG externe

Un profil de routage peut également être appliqué directement à un niveau epg externe ou au niveau de sous-réseau dans un epg externe. Ceci est destiné à appliquer une stratégie aux préfixes de transit, mais peut également être utilisé pour appliquer une stratégie aux préfixes internes. La seule mise en garde est que les préfixes internes (s'ils correspondent) recevront la balise vrf par défaut. Si ces sous-réseaux sont censés être annoncés à nouveau dans l'ACI dans un VRF différent, assurez-vous de modifier la balise par défaut de cette VRF afin que les préfixes soient acceptés et installés dans la table de routage.

Si le profil de route est défini sur 'non combinable', il n'y a aucune différence entre l'application du profil de route au niveau EPG Ext et au niveau de sous-réseau EPG Ext. Les entrées de route-map ne correspondent qu'à ce qui est explicitement indiqué dans la règle de correspondance. Si le profil de route est défini sur combinable et que le profil de route est appliqué au niveau Ext EPG, chaque entrée de correspondance correspond à ce qui est explicitement spécifié et à tous les sous-réseaux définis comme 'sous-réseau de contrôle de route d'exportation'. Si le profil de route est défini sur combinable et appliqué au niveau de sous-réseau Ext EPG, alors le profil de route correspond à ce qui est explicitement spécifié et correspond implicitement au sous-réseau EPG auquel il est appliqué SI ce sous-réseau est défini sur « Exporter le sous-réseau de contrôle de route ».

Dans cet exemple, les sous-réseaux BD sont 200.0.0.0/24 et 210.0.0.0/24. 89.89.89.89/32 et 90.90.90.90/32 sont spécifiés comme réseaux L3out avec le « sous-réseau de contrôle de route d'exportation » défini. Le profil route-map possède un contexte qui correspond à 210.0.0.0/24 et définit la communauté à 200:200. Le profil de route est appliqué au niveau Ext EPG et ne peut pas être combiné.

leaf6# show bgp ipv4 un neighbors 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

Notez que l'entrée de route-map ne correspond qu'à ce qui est spécifié dans la règle de correspondance, même si les sous-réseaux sont définis par « exporter le sous-réseau de contrôle de route ». Il reste une entrée dans la route-map qui autorise tous les sous-réseaux BD qui sont définis sur « annoncer en externe » et qui sont associés à ce L3out.

Si le profil de route est remplacé par combinable :

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32 seq 3 permit 90.90.90.90/32

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

Notez maintenant que l'entrée qui applique la stratégie correspond à tous les sous-réseaux définis sur « Exporter le sous-réseau de contrôle de route ».

Si le profil de route est combinable et appliqué directement à l'un des sous-réseaux définis sur « Exporter le sous-réseau de contrôle de route » :

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7802
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32

Notez que l'entrée de route-map qui applique la stratégie inclut ce qui est mis en correspondance dans le contexte de profil de route et le sous-réseau auquel elle est appliquée depuis que « export route-control subnet » est sélectionné. L'autre sous-réseau qui possède le « sous-réseau de contrôle de route d'exportation » n'est pas inclus dans l'entrée de route-map qui applique la stratégie bien qu'elle soit appariée dans une règle implicite qui l'autorise simplement et définit l'étiquette de transit.

Application d'un profil de routage au niveau L3out en tant que stratégie d'interfuite :

Le « Profil de route pour l'interfuite » est spécifiquement destiné à définir une stratégie lors de la redistribution des préfixes d'un protocole externe dans BGP. C'est le seul cas où le profil de route doit être configuré sous « Réseaux Routés Externes » plutôt que sous l3out. Le profil de route est ensuite appliqué sur le protocole externe source (non bgp) en tant que stratégie « Profil de route pour l'interfuite ». Ceci est utile pour définir des attributs BGP lorsqu'un préfixe est redistribué dans le processus bgp interne du fabric ou peut également être utilisé pour définir des attributs bgp lors de l'annonce de préfixes de transit d'un l3out non bgp vers un bgp l3out.

Dans cet exemple, 89.89.89.89/32 est reçu du protocole OSPF. Un profil de route d'interconnexion est appliqué à l'OSPF l3out qui correspond à 89.89.89.89/32 et définit la communauté BGP à 200:200. La stratégie est appliquée lorsque la route OSPF est redistribuée dans BGP. Pour vérifier cela, vous devriez consulter la route-map qui est définie dans le processus BGP.

Utilisez "show bgp process" pour vérifier la route-map qui est utilisée pour la redistribution d'OSPF vers BGP.

leaf6# show bgp process vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistri
Redistribution
direct, route-map permit-all
static, route-map imp-ctx-bgp-st-interleak-3080194
ospf, route-map imp-ctx-proto-interleak-3080194
route-map imp-ctx-proto-interleak-3080194, permit, sequence 1
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive

leaf6# show ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst: 1 entries
seq 1 permit 89.89.89.89/32

Notez que le protocole OSPF epg inclut également le sous-réseau 0.0.0.0, mais la seule chose redistribuée dans BGP à partir d'OSPF est 89.89.89.89. Définir le profil de route sur « combinable » ou « non combinable » n'a aucun effet sur les stratégies d'interfuite.

Il est important de savoir que rien n'est implicitement autorisé dans BGP lorsqu'une politique d'interfuite est définie. S'il n'y a pas de stratégie d'interfuite (par défaut), tout est autorisé ; si un profil de route pour interleak est défini, rien n'est autorisé sauf ce qui est explicitement mis en correspondance. Une mauvaise compréhension de cette situation pourrait entraîner des pannes lors de la configuration des politiques d'interfuge.

Refuser les règles

La possibilité de refuser des préfixes spécifiques a été ajoutée dans le logiciel 2.3(1). Auparavant, seules les règles d'autorisation pouvaient être mises en correspondance, de sorte qu'il n'était pas possible de refuser des préfixes spécifiques à l'aide de profils de routage. L'action de refus est définie dans le contexte de profil de route :

Une attention particulière doit être apportée lors de l'utilisation de règles de refus avec un profil de routage défini sur 'combinable' (Match Prefix AND Routing Policy).

La liste suivante répertorie le comportement des règles de refus lorsque le profil de route est défini sur combinable v. non-combinable

Refuser le comportement de la règle avec le profil de route appliqué au niveau du sous-réseau du domaine de pont

Combinable : les règles de refus correspondent à ce qui est spécifié dans la règle de correspondance ainsi qu'au sous-réseau BD auquel le profil de route est appliqué.
Non combinable : les règles de refus ne correspondent qu'à celles spécifiées dans la règle de correspondance.

Refuser le comportement de la règle avec le profil de route appliqué au niveau du domaine de pont

Combinable : les règles de refus correspondent à ce qui est spécifié dans la règle de correspondance ainsi qu'à tous les sous-réseaux configurés dans ce BD.
Non combinable : les règles de refus ne correspondent qu'à ce qui est spécifié dans la règle de correspondance.

Refuser le comportement de la règle avec le profil de route appliqué au niveau Exportation par défaut

Combinable : les règles de refus correspondent implicitement à TOUS les sous-réseaux BD définis pour être annoncés en externe, ainsi qu'à ce qui est indiqué dans la règle.
Non-Combinable : les règles de refus ne correspondent qu'à celles spécifiées dans la règle de correspondance.

Refuser le comportement de la règle avec le profil de route d'exportation appliqué au niveau de l'instance réseau L3out

Combinable : les règles de refus correspondent implicitement à tous les réseaux avec un ensemble de « sous-réseaux de contrôle de route d'exportation » ainsi qu'à ce qui est indiqué dans la règle de correspondance.
Non combinable : les règles de refus ne correspondent qu'à celles de la règle de correspondance.

Refuser le comportement de la règle avec le profil de route d'exportation appliqué au niveau de sous-réseau du réseau L3out

Combinable : si le réseau auquel le profil de routage d'exportation est appliqué a sélectionné « sous-réseau de contrôle de route d'exportation », il sera mis en correspondance ainsi que ce qui correspond dans la règle de correspondance.
Non combinable : les règles de refus ne correspondent qu'à celles de la règle de correspondance.

Refuser le comportement de la règle avec le profil de route d'exportation appliqué au niveau « Profil de route pour l'interfuite »

-Les règles de refus ne sont pas destinées à être utilisées ici. Que 'deny' soit défini ou non, la route-map résolue sur la feuille aura une règle de correspondance. Le refus de préfixes entrants doit être effectué avec la sécurité d'importation ou le filtrage de route sur le périphérique externe.

Autres notes

Le processus RPM est utilisé en interne pour configurer les mappages de route à partir des profils de route. Les commandes les plus utiles pour voir les informations RPM peuvent être vues avec « show system internal rpm ... ». Une façon de vérifier qu'une route-map est effectivement appliquée, supprimée ou modifiée lorsqu'une configuration est modifiée consiste à consulter l'historique des événements RPM sur le commutateur Leaf :

show system internal rpm event-history events