ACI Route-Profile Usage

Panoramica sul profilo di instradamento 

-2.3(1) Apic SW è stato utilizzato per tutte le prove

-Si presuppone l'applicazione del controllo route di esportazione.

I profili di route vengono utilizzati in ACI per applicare un tipo di criterio alle route. È costituita da una regola di corrispondenza che definisce le route a cui applicare il criterio e da una regola di set che definisce la modalità di modifica degli attributi delle route. Ad esempio, un profilo di route verrebbe utilizzato per trovare una corrispondenza con un prefisso specifico e modificare il tipo di metrica OSPF in 1. I criteri disponibili per trovare una corrispondenza e impostarli si basano su quanto supportato in ciascuna versione ACI.

I profili di percorso possono essere applicati a diversi livelli a seconda dell'obiettivo. Tra queste:
-Configurazione L3 del dominio con bridging
-Configurazione della subnet del dominio del bridge
-I criteri default-import e default-export configurati in l3out
- L3out EPG (rete) nella direzione di importazione o esportazione. Inoltre, il profilo di rotta può essere applicato a subnet EPG specifiche L3out anziché all'intero EPG.
-Il criterio Interleak configurato al livello l3out

Si noti che i profili di route possono essere configurati nella direzione di importazione, ma la configurazione non avrà effetto a meno che non sia selezionata l'opzione "Importa" Applicazione controllo route a livello L3out

Configurazione di un profilo di ciclo di lavorazione

Un profilo di route può essere configurato sotto un l3out specifico o in 'Reti di routing esterne'. Se il profilo di route è utilizzato per un criterio di interfoliazione, deve essere applicato in 'Reti con routing esterno'. Per tutti gli altri utilizzi, il profilo di route deve essere configurato nell'l3out in cui verrà applicato il criterio.

Quando si configura il profilo di instradamento, viene visualizzata la seguente finestra:

È possibile scegliere tra "Applica prefisso e criterio di routing" e "Applica solo criterio di routing". Queste opzioni hanno effetto a seconda del livello a cui viene applicato il profilo di percorso. In generale, "Corrispondenza prefisso e criteri di routing" definisce il profilo come 'combinabile'. Ciò significa che ogni regola di corrispondenza definita includerà implicitamente le subnet di BD impostate per 'annunciare esternamente' e qualsiasi altra regola a cui la regola di corrispondenza corrisponda in modo esplicito. L'opzione "Corrispondenza solo criteri di routing" rende il profilo di route 'non combinabile'. Ciò significa che il profilo corrisponderà solo a quanto corrisponde esplicitamente alle regole di corrispondenza. Le subnet BD non sono incluse in modo implicito. Se applicate al livello EPG esterno, 'combinabili' significa che le subnet di controllo route di esportazione vengono associate in modo implicito in ogni regola anziché nelle subnet BD.

Un profilo di route richiede i contesti seguenti:

Un contesto è un oggetto che contiene una regola Corrispondenza e una regola Insieme. Ogni contesto dispone di un ordine (0-9) che definisce l'ordine in cui devono essere valutati i contesti se ne esistono più di uno. Una volta creato un profilo di route con almeno un contesto, è possibile applicarlo.

Applicazione di un profilo di route a livello di dominio bridge

Un profilo di route a livello di dominio del bridge viene in genere utilizzato per applicare un criterio a tutte le subnet definite in un BD specifico. Per configurare questa impostazione, passare a 'Configurazioni L3' nel dominio bridge, selezionare l'uscita L3 che applicherà il criterio quando si annuncia la subnet, quindi selezionare il profilo di route configurato in tale uscita l3.

In questo esempio, la subnet BD è 200.0.0.0/24 e il profilo di route ha una regola di corrispondenza che corrisponde a 210.0.0.0/24 e imposta la community su 200:200. Poiché il profilo di route è impostato sulla combinazione "Corrispondenza prefisso e criteri di routing", la regola corrisponderà esplicitamente a 210.0.0.0/24 e implicitamente a 200.0.0.0/24 (subnet BD).

A seconda del protocollo esterno utilizzato, il profilo di route verrà applicato come mappa di route in uscita verso il router adiacente (BGP) o a livello di protocollo durante la ridistribuzione della subnet BD statica nel protocollo esterno (OSPF).

Per verificare questa configurazione quando BGP è il protocollo l3out...

-Trovare l'indirizzo del router adiacente:

leaf6# show bgp ipv4 unicast summary vrf Joe-TESTING:Joe-VRF
BGP summary information for VRF Joe-TESTING:Joe-VRF, address family IPv4 Unicast
BGP router identifier 106.106.106.106, local AS number 100
BGP table version is 97, IPv4 Unicast config peers 1, capable peers 1
7 network entries and 7 paths using 1204 bytes of memory
BGP attribute entries [4/576], BGP AS path entries [1/6]
BGP community entries [0/0], BGP clusterlist entries [6/24]
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
2.2.2.2 4 12345 5833 5924 97 0 0 4d01h 3

-Trovare la route-map in uscita utilizzata per il router adiacente:

leaf6# show bgp ipv4 un neighbor 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

-Osservare il contenuto della mappa del percorso:

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:


leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 << Match rule
seq 2 permit 200.0.0.1/24 << Implicit match because route-profile is combinable.

Nell'esempio precedente, la sequenza 7801 corrisponderà alle subnet BD, quindi alla subnet BD verrà associata implicitamente in entrambe le sequenze 4001 e 7801. Se il profilo della route è impostato su "Solo corrispondenza criteri di routing", la regola di corrispondenza includerà solo 210.0.0.0/24 e non la subnet BD. La subnet BD verrà comunque associata in modo implicito in un numero di sequenza successivo, quindi sarà consentita (non so se questo sia lo stesso comportamento per le versioni software precedenti).

Applicazione di un profilo di route a livello di subnet del dominio di bridge

Il profilo di instradamento può essere associato direttamente alla subnet BD. Una delle uniche situazioni in cui si può fare ciò è quando vi sono più subnet configurate in BD e la policy deve essere applicata a queste sottoreti in quanto pubblicizzate su più di un l3out. (attualmente è possibile associare un solo l3out per il profilo di percorso a livello BD)

La configurazione è illustrata di seguito:

L'unica differenza tra l'applicazione del profilo di percorso a livello BD e il livello della subnet BD consiste nel fatto che quando si seleziona "Corrispondenza prefisso e criteri di routing", in ogni regola di corrispondenza verrà inclusa implicitamente solo la subnet BD associata. Pertanto, se vi fossero più subnet BD nello stesso BD, verrebbe associata implicitamente solo la subnet a cui è collegato il profilo di percorso. È possibile verificare questa condizione nello stesso modo in cui si applica il profilo di percorso a livello BD. In questo esempio verrà utilizzato OSPF.

Un BD è configurato con subnet 200.0.0.0/24 e 210.0.0.0/24. Un profilo di route è configurato nell'output OSPF l3e associato alla subnet 210.0.0.0/24 BD. Il profilo di route è impostato su 'combinable'. Pertanto deve corrispondere a 210.0.0.0/24 (corrispondenza esplicita), 210.0.0.1/24 (corrispondenza implicita) e non a 200.0.0.0/24 (altra subnet bd). 200.0.0.0/24 verrà implicitamente associato alla fine del profilo di route e autorizzato. La route-map imposterà il tipo metrico ospf su 1.

-Ottenere la route-map utilizzata per la ridistribuzione da statico a ospf:

leaf6# show ip ospf vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistributing
Redistributing External Routes from
static route-map exp-ctx-st-3080194
direct route-map exp-ctx-st-3080194
bgp route-map exp-ctx-proto-3080194
eigrp route-map exp-ctx-proto-3080194
leaf6# show route-map exp-ctx-st-3080194
route-map exp-ctx-st-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
metric-type type-1
route-map exp-ctx-st-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
show ip pip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

***A causa di CSCvd68302 se un profilo di percorso è associato a livello di subnet BD e quindi rimosso, non è possibile rimuovere la mappa di percorso. Per risolvere il problema, è necessario apportare alcune modifiche al profilo della route (ad esempio: attiva/disattiva una regola di set) per attivare una pulitura.  Questo problema verrà risolto in una versione futura del software.

Applicazione di un profilo di route al livello predefinito

È possibile configurare due diversi profili di route predefiniti a livello l3out. Si tratta dei profili di route 'default-import' e 'default-export'. Queste non devono essere applicate da nessuna parte. Finché esisteranno, influiranno sulle route corrispondenti annunciate all'esterno di l3out. La configurazione è identica a qualsiasi altra creazione di profili di route, con la differenza che il nome deve essere specificato come 'default-export' o 'default-import'. Se la versione del software è sufficientemente in ritardo, questi due nomi verranno visualizzati come opzioni in un elenco a discesa.

La corrispondenza route predefinita-esportazione crea voci di corrispondenza che si applicano a due diversi tipi di route:

1.  Route esterne annunciate in uscita (prefissi di transito). La voce di route-map associata corrisponderà a qualsiasi elemento corrispondente nelle regole di corrispondenza di default-export, eseguirà la regola di impostazione specificata nel contesto e imposterà implicitamente il route-tag sul tag vrf. L'insieme di tag impliciti viene eseguito ogni volta che il routing di transito viene eseguito in ACI. I fogli di bordo non installeranno mai nella tabella di routing un percorso con questo tag impostato, quindi l'impostazione dei prefissi di transito garantisce che i prefissi non vengano mai ritrasmessi in ACI e installati nella tabella di routing nello stesso VRF.

2.  Route interne annunciate all'esterno (prefissi BD). Questa voce di route-map associata corrisponde a qualsiasi elemento corrispondente nelle regole di corrispondenza di default-export ed esegue l'azione associata. Se il profilo di route è impostato su 'combinabile' (corrispondenza prefisso e criteri di routing), le voci nella route-map includeranno implicitamente tutte le subnet di BD. Se non è impostata su combinabile, corrisponderà solo a qualsiasi elemento corrispondente nella regola di corrispondenza.

****IMPORTANTE: se si imposta l'esportazione predefinita su 'Corrispondenza solo criteri di routing' (non combinabile), le subnet BD non verranno più annunciate se non corrispondono in modo esplicito nel profilo di route.

Nell'esempio seguente le subnet di BD sono 200.0.0.0/24 e 210.0.0.0/24. Il profilo di route ha un contesto che corrisponde a 210.0.0.0/24 e imposta la community su 200:200. Viene applicato il valore predefinito-export impostato su non combinabile.

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4002
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

La voce route-map con l'elenco di prefissi "ext-out" è per i prefissi di transito. Corrisponde solo a ciò che viene trovato nella regola di corrispondenza e imposta il tag sul tag predefinito vrf. La seconda voce della mappa di percorso con "int-out" nell'elenco dei prefissi è per i prefissi interni (subnet BD) annunciati all'esterno. Poiché il profilo route-profile non è impostato su cominable, corrisponde solo a 210.0.0.0/24 poiché è questo il valore specificato dalla regola di corrispondenza. L'altra subnet BD 200.0.0.0/24 non corrisponde e il traffico verso questa subnet potrebbe essere bloccato.

Dopo aver modificato il profilo del percorso in combinabile:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 210.0.0.1/24 seq 3 permit 200.0.0.1/24

La voce route-map per i prefissi di transito rimane la stessa, ma la voce per i prefissi interni ora include tutti i prefissi BD e quanto specificato nella regola di corrispondenza.

Applicazione di un profilo di instradamento a livello di subnet EPG esterna e EPG esterna

Un profilo di instradamento può anche essere applicato direttamente a un livello epg esterno o al livello subnet all'interno di un epg esterno. Questa opzione consente di applicare criteri ai prefissi di transito, ma può essere utilizzata anche per applicare criteri ai prefissi interni. L'unica avvertenza è che i prefissi interni (se corrispondono) riceveranno il tag vrf predefinito. Se si prevede che queste subnet vengano nuovamente annunciate in ACI in un VRF diverso, assicurarsi di modificare il tag predefinito per tale vrf in modo che i prefissi vengano accettati e installati nella tabella di routing.

Se il profilo di route è impostato su 'non combinabile', non vi è alcuna differenza tra l'applicazione del profilo di route al livello EPG est e al livello subnet EPG est. Le voci di route-map corrisponderanno solo a ciò che è stato trovato in modo esplicito nella regola di corrispondenza. Se il profilo di route è impostato su combinabile e il profilo di route viene applicato al livello Ext EPG, ogni voce di corrispondenza corrisponderà a ciò che è specificato in modo esplicito e a qualsiasi subnet definita come 'esporta subnet di controllo route'. Se il profilo di route è impostato su combinabile e applicato a livello di subnet EPG est, il profilo di route corrisponderà a ciò che è specificato in modo esplicito e implicitamente alla subnet EPG a cui è applicato SE tale subnet è impostata su "esporta subnet di controllo route".

Nell'esempio, le subnet BD sono 200.0.0.0/24 e 210.0.0.0/24. 89.89.89.89/32 e 90.90.90.90/32 vengono specificate come reti L3out con l'opzione "export route control subnet" impostata. Il profilo della route-map ha un contesto che corrisponde a 210.0.0.0/24 e imposta la community su 200:200. Il profilo della route viene applicato a livello Ext EPG e non è combinabile.

leaf6# show bgp ipv4 un neighbors 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

Si noti che la voce route-map corrisponde solo a quanto specificato nella regola di corrispondenza anche se le subnet sono definite con "esporta subnet di controllo route". Nella mappa dei percorsi è ancora presente una voce che consente a tutte le subnet BD impostate per la "pubblicità esterna" e associate a questa L3out.

Se il profilo del ciclo di lavorazione viene modificato in combinabile:

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32 seq 3 permit 90.90.90.90/32

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

Si noti che la voce che applica il criterio corrisponde a tutte le subnet impostate su "esporta subnet di controllo route".

Se il profilo di route è combinabile e applicato direttamente a una delle subnet impostate su "esporta subnet di controllo route":

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7802
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32

Si noti che la voce della route-map a cui viene applicato il criterio include le corrispondenze nel contesto del profilo route e la subnet a cui viene applicato poiché è selezionata l'opzione "Esporta subnet di controllo route". L'altra subnet che dispone di una subnet di controllo della route non viene inclusa nella voce della mappa route che applica il criterio, sebbene venga soddisfatta in una regola implicita che lo consente e imposta il tag di transito.

Applicazione di un profilo di route al livello L3out come criterio di interfoliazione:

Il "Profilo di route per Interleak" ha lo scopo specifico di impostare la policy durante la ridistribuzione dei prefissi da un protocollo esterno in BGP. Questo è l'unico caso in cui il profilo di routing deve essere configurato in "Reti di routing esterne" anziché in l3out. Il profilo di route viene quindi applicato al protocollo esterno di origine (non bgp) come criterio "Profilo di route per Interleak". Questa opzione è utile per impostare gli attributi BGP quando un prefisso viene ridistribuito nel processo bgp dell'infrastruttura interna o può essere utilizzata anche per impostare gli attributi bgp quando si pubblicizzano prefissi di transito da un'uscita l3 non bgp a un'uscita l3bgp.

In questo esempio viene ricevuto 89.89.89.89/32 da OSPF. È in corso l'applicazione di un profilo di route interleak all'output OSPF l3out che corrisponde a 89.89.89.89/32 e imposta la community BGP su 200:200. Il criterio viene applicato quando la route OSPF viene ridistribuita in BGP. Per verificare questa condizione, esaminare la mappa delle route impostata nel processo BGP.

Utilizzare "show bgp process" per verificare la route-map utilizzata per la ridistribuzione da OSPF a BGP.

leaf6# show bgp process vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistri
Redistribution
direct, route-map permit-all
static, route-map imp-ctx-bgp-st-interleak-3080194
ospf, route-map imp-ctx-proto-interleak-3080194
route-map imp-ctx-proto-interleak-3080194, permit, sequence 1
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive

leaf6# show ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst: 1 entries
seq 1 permit 89.89.89.89/32

Si noti che il file epg OSPF include anche la subnet "0.0.0.0", ma l'unica subnet ridistribuita in BGP da OSPF è 89.89.89.89. L'impostazione del profilo di route su "combinabile" e "non combinabile" non ha alcun effetto sulle policy di interleak.

È importante sapere che quando viene impostata una policy di interleak, in BGP non è consentito implicitamente alcun elemento. Se non è impostato alcun criterio di interleak (predefinito), tutto è consentito; se è impostato un profilo di route per interleak, non è consentito alcun valore, ad eccezione di quello che corrisponde in modo esplicito. Un'errata comprensione di questo problema può causare interruzioni durante la configurazione dei criteri di interleak.

Regole di negazione

La possibilità di negare prefissi specifici è stata aggiunta nel software 2.3(1). In precedenza era possibile confrontare solo le regole di autorizzazione, quindi non era possibile negare prefissi specifici utilizzando i profili di route. L'azione di negazione viene impostata nel contesto del profilo di route:

Prestare particolare attenzione quando si utilizzano regole di negazione con un profilo di route impostato su 'combinable' (corrispondenza prefisso e criteri di routing).

Di seguito viene elencato il comportamento delle regole di rifiuto quando il profilo di route è impostato su combinabile e non combinabile

Comportamento della regola di negazione con profilo di route applicato a livello di subnet del dominio di bridge

Combinabile: le regole di negazione corrispondono a qualsiasi elemento specificato nella regola di corrispondenza e alla subnet BD a cui viene applicato il profilo di route.
Non combinabile: le regole di negazione corrispondono solo a quanto specificato nella regola di corrispondenza.

Comportamento della regola di negazione con profilo di route applicato a livello di dominio bridge

Combinabile: le regole di negazione corrisponderanno a quanto specificato nella regola di corrispondenza e a tutte le subnet configurate in tale BD.
Non combinabile: le regole di negazione corrispondono solo a quanto specificato nella regola di corrispondenza.

Comportamento della regola di negazione con profilo ciclo di lavorazione applicato al livello di esportazione predefinito

Combinabile - Le regole di negazione corrisponderanno implicitamente a TUTTE le subnet BD impostate per essere annunciate esternamente e a quanto viene trovato nella regola
Non combinabile: le regole di negazione corrispondono solo a quanto specificato nella regola di corrispondenza.

Comportamento della regola di negazione con profilo di route di esportazione applicato a livello di istanza di rete L3out

Combinabile: le regole di negazione corrisponderanno in modo implicito a tutte le reti con "subnet di controllo della route di esportazione" impostata e ai risultati corrispondenti nella regola di corrispondenza.
Non combinabile: le regole di negazione corrisponderanno solo a ciò che corrisponde nella regola di corrispondenza.

Comportamento regola di negazione con profilo route di esportazione applicato a livello di subnet di rete L3out

Combinabile - Se per la rete a cui viene applicato il profilo di route di esportazione è selezionata la subnet di controllo della route di esportazione, verrà trovata una corrispondenza e verranno trovate le corrispondenze nella regola di corrispondenza.
Non combinabile: le regole di negazione corrisponderanno solo a ciò che corrisponde nella regola di corrispondenza.

Comportamento della regola di negazione con profilo ciclo di lavorazione di esportazione applicato al livello "Profilo ciclo di lavorazione per Interleak"

-Le regole di negazione non possono essere utilizzate in questo contesto. Indipendentemente dall'impostazione di 'nega', la route-map risolta nella foglia avrà una regola di corrispondenza. Il rifiuto dei prefissi in entrata deve essere eseguito con la sicurezza di importazione o il filtro route sul dispositivo esterno.

Altre note

Il processo RPM viene utilizzato internamente per la configurazione delle mappe route dai profili route. La maggior parte dei comandi utili per visualizzare le informazioni RPM è disponibile con "show system internal rpm ...". Per verificare che una route-map venga effettivamente applicata, rimossa o modificata quando si modifica una configurazione, esaminare la cronologia degli eventi RPM nello switch foglia:

mostra eventi di cronologia eventi rpm interni al sistema