ACIルートプロファイルの使用

ルートプロファイルの概要 

-2.3(1) Apic SWはすべてのテストに使用されました

– エクスポートルート制御の適用が想定されます。

ACIでは、ルートプロファイルを使用して、ある種のポリシーをルートに適用します。ポリシーを適用するルートを定義する一致ルールと、ルート属性の変更方法を定義するセットルールで構成されます。たとえば、ルートプロファイルを使用して特定のプレフィクスを照合し、OSPFメトリックタイプを1に変更します。照合と設定に使用できる基準は、各ACIバージョンでサポートされている内容に基づいています。

ルートプロファイルは、目標に応じて複数の異なるレベルで適用できます。802.11 の標準規格には以下があります。
– ブリッジドメインL3の設定
– ブリッジドメインサブネットの設定
-l3outで設定されたdefault-importおよびdefault-exportポリシー
– インポートまたはエクスポート方向のL3out EPG（ネットワーク）。さらに、ルートプロファイルは、EPG全体ではなく、特定のL3out EPGサブネットに適用できます。
– インターリークポリシーがl3outレベルで設定されている

ルートプロファイルはインポート方向で設定できますが、L3outレベルで[Import]ルート制御の適用を選択しない限り、設定は有効になりません

ルートプロファイルの設定

ルートプロファイルは、特定のl3outの下または[External Routed Networks]の下に設定できます。 ルートプロファイルがインターリークポリシーに使用されている場合は、[External Routed Networks]に適用する必要があります。 その他すべての使用では、ポリシーが適用されるl3outの下にルートプロファイルを設定する必要があります。

ルートプロファイルを設定すると、次のウィンドウが表示されます。

[プレフィックスとルーティングポリシーの一致]と[ルーティングポリシーの一致のみ]のどちらかを選択できます。 これらのオプションは、ルートプロファイルが適用されるレベルによって影響を受けます。一般に、「Match Prefix and Routing Policy」ではプロファイルを「組み合わせ可能」として定義しています。 つまり、定義されたすべての一致ルールには、「外部にアドバタイズ」するように設定されたBDサブネットと、一致ルールによって明示的に一致する他のサブネットが暗黙的に含まれます。「Match Routing Policy Only」は、ルートプロファイルを「組み合わせ不可」にします。 つまり、プロファイルは一致ルールによって明示的に一致するものに対してのみ一致します。BDサブネットは暗黙的に含まれません。外部EPGレベルの「combinable」で適用されると、「export route-control subnets」がBDサブネットではなく各ルールで暗黙的に一致します。

ルートプロファイルにはコンテキストが必要です。

コンテキストは、一致ルールとセットルールを含むオブジェクトです。各コンテキストには、複数のコンテキストがある場合にコンテキストを評価する順序を定義する順序(0-9)があります。少なくとも1つのコンテキストを持つルートプロファイルを作成したら、適用できます。

ブリッジドメインレベルでのルートプロファイルの適用

ブリッジドメインレベルのルートプロファイルは、通常、特定のBDで定義されたすべてのサブネットにポリシーを適用するために使用されます。これを設定するには、[ブリッジドメイン(Bridge Domain)]の[L3設定(L3 Configurations)]に移動し、サブネットのアドバタイジング時にポリシーを適用するL3outを選択してから、そのl3outで設定されているルートプロファイルを選択します。

この例では、BDサブネットは200.0.0.0/24で、ルートプロファイルには210.0.0.0/24に一致する1つの一致ルールがあり、コミュニティを200:200に設定します。ルートプロファイルは組み合わせ可能な「Match Prefix AND Routing Policy」にに設定されるため、20000.0.0.0/24 BDサブネット)を参照してください。

使用されている外部プロトコルに応じて、ルートプロファイルは、スタティックBDサブネットを外部プロトコル(OSPF)に再配布する際に、ネイバー(BGP)へのアウトバウンドルートマップとして、またはプロトコルレベルで適用されます。

BGPがl3outプロトコルである場合にこの設定を確認するには…

– ネイバーアドレスを検索します。

leaf6# show bgp ipv4 unicast summary vrf Joe-TESTING:Joe-VRF
BGP summary information for VRF Joe-TESTING:Joe-VRF, address family IPv4 Unicast
BGP router identifier 106.106.106.106, local AS number 100
BGP table version is 97, IPv4 Unicast config peers 1, capable peers 1
7 network entries and 7 paths using 1204 bytes of memory
BGP attribute entries [4/576], BGP AS path entries [1/6]
BGP community entries [0/0], BGP clusterlist entries [6/24]
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
2.2.2.2 4 12345 5833 5924 97 0 0 4d01h 3

– そのネイバーに使用されている発信ルートマップを検索します。

leaf6# show bgp ipv4 un neighbor 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

– ルートマップの内容を確認します。

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:


leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 << Match rule
seq 2 permit 200.0.0.1/24 << Implicit match because route-profile is combinable.

上記の例では、シーケンス7801がBDサブネットと一致するため、BDサブネットはシーケンス4001と7801の両方で暗黙的に一致します。ルートプロファイルが[Match Routing Policy Only]に設定されている場合、一致ルールには210.0.0.0/24のみが含まれ、BDサブネットは含まれません。BDサブネットは後のシーケンス番号で暗黙的に照合されるため、許可されます（以前のソフトウェアリリースと同じ動作であるかどうかは不明）。

ブリッジドメインサブネットレベルでのルートプロファイルの適用

ルートプロファイルは、BDサブネットに直接関連付けることができます。これを行う唯一の使用例の1つは、BDの下に複数のサブネットが設定されている場合で、ポリシーを複数のl3outからアドバタイズされるため、これらのサブネットに適用する必要がある場合です。（現在、BDレベルで関連付けることができるルートプロファイルのl3outは1つだけです）

設定は次のとおりです。

BDレベルとBDサブネットレベルでルートプロファイルを適用する唯一の違いは、[Match Prefix AND Routing Policy]を選択すると、関連付けられたBDサブネットだけが各一致ルールに暗黙的に含まれることです。したがって、同じBDに複数のBDサブネットが存在する場合、ルートプロファイルが関連付けられているサブネットだけが暗黙的に一致します。これは、BDレベルでルートプロファイルを適用するのと同じ方法で確認できます。この例ではOSPFを使用します。

BDは、200.0.0.0/24および210.0.0.0/24サブネットで構成されています。ルートプロファイルはOSPF l3outで設定され、210.0.0.0/24 BDサブネットに関連付けられます。ルートプロファイルは「combinable」に設定されているため、210.0.0.0/24（明示的な一致）、210.0.0.1/24（暗黙的な一致）、200.0.0.0/24（他のbdサブネット）ではなく一致する必要があります。200.0.0.0/24は、ルートプロファイルの末尾で一致し、許可されます。ルートマップは、ospf metric-typeを1に設定します。

– スタティックからOSPFへの再配布に使用されるルートマップを取得します。

leaf6# show ip ospf vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistributing
Redistributing External Routes from
static route-map exp-ctx-st-3080194
direct route-map exp-ctx-st-3080194
bgp route-map exp-ctx-proto-3080194
eigrp route-map exp-ctx-proto-3080194
leaf6# show route-map exp-ctx-st-3080194
route-map exp-ctx-st-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
metric-type type-1
route-map exp-ctx-st-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
show ip pip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

***ルートプロファイルがBDサブネットレベルで関連付けられた後でルートマップが削除された場合、CSCvd68302が原因で削除されない可能性があります。回避策は、ルートプロファイルを変更することです(例：設定ルールを切り替えて、クリーンアップをトリガーします。  これは、将来のソフトウェアリリースで修正される予定です。

「デフォルト」レベルでのルートプロファイルの適用

l3outレベルで設定できるデフォルトルートプロファイルは2つあります。これらは「default-import」および「default-export」ルートプロファイルです。これらは、どこにも適用する必要はありません。存在する限り、l3outからアドバタイズされる一致ルートに影響します。この設定は、名前を「default-export」または「default-import」として指定する必要がある点を除き、他のルートプロファイルの作成と同じです。 ソフトウェアバージョンが十分に遅れている場合、これらの2つの名前はドロップダウンのオプションとして表示されます。

default-export route-mapは、2種類のルートに適用される一致エントリを作成します。

1.   アドバタイズされる外部ルート（中継プレフィックス）。 関連付けられたルートマップエントリは、default-export matchルールで一致するものすべてに一致し、コンテキストで指定されたsetルールを実行し、ルートタグをvrfタグに暗黙的に設定します。暗黙的なタグセットは、ACIでトランジットルーティングが実行されるたびに実行されます。境界リーフは、このタグが設定されたルートをルーティングテーブルにインストールしないため、中継プレフィックスに設定することで、プレフィックスがACIにループバックされず、同じVRFのルーティングテーブルにインストールされます。

2.  アドバタイズされる内部ルート（BDプレフィクス）。 この関連するルートマップエントリは、default-export matchルールで一致するものすべてに一致し、関連するsetアクションを実行します。ルートプロファイルが「組み合わせ可能」(Match Prefix AND Routing Policy)に設定されている場合、ルートマップ内のこのエントリには、すべてのBDサブネットが暗黙的に含まれます。組み合わせ可能に設定されていない場合は、一致ルールで一致するものだけが一致します。

****重要：default-exportを[Match Routing Policy Only]（組み合わせ不可）に設定すると、BDサブネットがルートプロファイルで明示的に一致しない場合、アドバタイズされなくなります。

次の例では、BDサブネットは200.0.0.0/24と210.0.0.0/24です。ルートプロファイルには、210.0.0.0/24に一致する1つのコンテキストがあり、コミュニティを200:200に設定します。default-exportが適用され、組み合わせられない設定設定されます。

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4002
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

プレフィックスリスト「ext-out」を持つルートマップエントリは、トランジットプレフィックス用です。これは、一致ルールで一致した内容にのみ一致し、タグをvrf defaultタグに設定します。プレフィックスリスト「int-out」を持つ2番目のルートマップエントリは、アドバタイズされる内部プレフィックス（BDサブネット）用です。ルートプロファイルはcombinableに設定されていないため、一致するのは210.0.0.0/24だけになります。これは、一致ルールが指定されているためです。もう1つのBDサブネット200.0.0.0/24が一致せず、このサブネットへのトラフィックがブラックホール化される可能性があります。

ルートプロファイルを組み合わせ可能に変更した後：

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 210.0.0.1/24 seq 3 permit 200.0.0.1/24

トランジットプレフィックスのルートマップエントリは同じままですが、内部プレフィックスのエントリには、すべてのBDプレフィックスと一致ルールで指定された内容が含まれるようになりました。

外部EPGおよび外部EPGサブネットレベルでのルートプロファイルの適用

ルートプロファイルは、外部epgレベルまたは外部epg内のサブネットレベルに直接適用することもできます。これは、中継プレフィックスにポリシーを適用することを目的としていますが、内部プレフィックスにポリシーを適用するためにも使用できます。唯一の注意点は、内部プレフィックス（一致する場合）がデフォルトのvrfタグを受信することです。これらのサブネットが別のVRFのACIにアドバタイズされる必要がある場合は、プレフィックスが受け入れられ、ルーティングテーブルにインストールされるように、そのvrfのデフォルトタグを必ず変更してください。

ルートプロファイルが「non-combinable」に設定されている場合、ルートプロファイルを拡張EPGレベルで適用する場合と、拡張EPGサブネットレベルで適用する場合に違いはありません。ルートマップエントリは、一致ルールで明示的に一致するものに一致するだけです。ルートプロファイルが組み合わせ可能に設定され、ルートプロファイルが拡張EPGレベルで適用される場合、各一致エントリは明示的に指定されたエントリと「export route-control subnet」として定義されたサブネットと一致します。 ルートプロファイルがExt EPGサブネットレベルで組み合わせ可能に設定され適用されている場合、ルートプロファイルは明示的に指定されたものと一致し、そのサブネットが「export route-control subnet」に設定されているEPGサブネットと暗黙的に一致します。

この例では、BDサブネットは200.0.0.0/24および210.0.0.0/24です。89.89.89.89/32および90.90.90.90/32は、「export route control subnet」が設定されたL3outネットワークとして指定されています。ルートマッププロファイルには、210.0.0.0/24に一致するコンテキストがあり、コミュニティを200:200に設定します。ルートプロファイルは拡張EPGレベルで適用され、組み合わせることはできません。

leaf6# show bgp ipv4 un neighbors 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

サブネットが「export route-control subnet」で定義されている場合でも、ルートマップエントリは一致ルールで指定されたエントリにのみ一致することに注意してください。 ルートマップには、「外部にアドバタイズ」するように設定され、このL3outに関連付けられているすべてのBDサブネットを許可するエントリが残っています。

ルートプロファイルが組み合わせ可能に変更された場合：

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32 seq 3 permit 90.90.90.90/32

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

ポリシーを適用するエントリが、「export route-control subet」に設定されているすべてのサブネットと一致していることに注目してください。

ルートプロファイルが「export route-control subnet」に設定されたサブネットの1つに組み合わせて直接適用される場合：

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7802
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32

ポリシーを適用するルートマップエントリには、「export route-control subnet」が選択されているため、ルートプロファイルコンテキストと適用されるサブネットに一致するものが含まれていることに注意してください。「export route-control subnet」を持つ他のサブネットは、ポリシーを適用するルートマップエントリに含まれませんが、単に許可して中継タグを設定する暗黙的なルールに一致します。

L3outレベルでのルートプロファイルのインターリークポリシーとしての適用：

「Route Profile for Interleak」は、外部プロトコルからBGPにプレフィックスを再配布する際にポリシーを設定することを目的としています。これは、ルートプロファイルをl3outではなく「外部ルーテッドネットワーク」で設定する必要がある唯一のケースです。その後、ルートプロファイルは、「Route Profile for Interleak」ポリシーとして、送信元の外部プロトコル（非bgp）に適用されます。これは、プレフィックスが内部ファブリックbgpプロセスに再配布される場合のBGPアトリビュートの設定に役立ちます。また、非bgp l3outからbgp l3outにトランジットプレフィックスをアドバタイズする場合のbgpアトリビュートの設定にも使用できます。

この例では、89.89.89.89/32がOSPFから受信されています。89.89.89.89/32に一致するOSPF l3outにインターリークルートプロファイルが適用され、BGPコミュニティが200:200に設定されます。このポリシーは、OSPFルートがBGPに再配布されるときに適用されます。これを確認するには、BGPプロセスで設定されたルートマップを調べます。

OSPFからBGPへの再配布に使用されているルートマップを確認するには、「show bgp process」を使用します。

leaf6# show bgp process vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistri
Redistribution
direct, route-map permit-all
static, route-map imp-ctx-bgp-st-interleak-3080194
ospf, route-map imp-ctx-proto-interleak-3080194
route-map imp-ctx-proto-interleak-3080194, permit, sequence 1
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive

leaf6# show ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst: 1 entries
seq 1 permit 89.89.89.89/32

OSPF epgには「0.0.0.0」サブネットも含まれていますが、OSPFからBGPに再配布されるのは89.89.89.89だけです。ルートプロファイルを「combinable」に設定するか、「non-combinable」に設定するかは、インターリークポリシーに影響しません。

インターリークポリシーが設定されている場合、BGPへの暗黙的な許可がないことを知っておくことが重要です。インターリークポリシーが設定されていない場合（デフォルト）、すべてが許可されます。インターリークのルートプロファイルが設定されている場合、明示的に一致する以外は何も許可されません。これを誤解すると、インターリークポリシーを設定するときに停止する可能性があります。

拒否ルール

特定のプレフィクスを拒否する機能が2.3(1)ソフトウェアで追加されました。以前は許可ルールのみが一致するため、ルートプロファイルを使用して特定のプレフィクスを拒否する機能はありませんでした。denyアクションは、ルートプロファイルコンテキストで設定されます。

「組み合わせ可能」(Match Prefix AND Routing Policy)に設定されたルートプロファイルで拒否ルールを使用する場合は、特に注意が必要です。

ルートプロファイルがcombinable v.non-combinableに設定されている場合のdenyルールの動作を次に示します

ブリッジドメインサブネットレベルでルートプロファイルが適用された場合の拒否ルールの動作

組み合わせ可能：拒否ルールは、一致ルールで指定されている内容と、ルートプロファイルが適用されるBDサブネットと一致します。
[Non-combinable]：拒否ルールは、一致ルールで指定されたルールにのみ一致します。

ブリッジドメインレベルでルートプロファイルが適用された場合の拒否ルールの動作

組み合わせ可能：拒否ルールは、一致ルールで指定されている内容と、そのBD内で設定されているすべてのサブネットと一致します。
[Non-combinable]：拒否ルールは、一致ルールで指定されたルールにのみ一致します。

ルートプロファイルがデフォルトエクスポートレベルで適用されたルールの動作を拒否する

組み合わせ可能：拒否ルールは、外部からアドバタイズされるように設定されているすべてのBDサブネットと、ルールで一致するものとに暗黙的に一致します
[Non-Combinable]：拒否ルールは、一致ルールで指定されたルールにのみ一致します。

L3outネットワークインスタンスレベルで適用されたエクスポートルートプロファイルを使用した拒否ルールの動作

組み合わせ可能：拒否ルールは、「export route control subnet」が設定されているすべてのネットワークと、一致ルールで一致するものとに暗黙的に一致します。
[Non-combinable]：拒否ルールは、一致ルール内の一致するものだけに一致します。

L3outネットワークサブネットレベルで適用されたエクスポートルートプロファイルによる拒否ルールの動作

[Combinable]：エクスポートルートプロファイルが適用されるネットワークで[export route control subnet]が選択されている場合は、一致ルール内の一致だけでなく、一致します。
[Non-combinable]：拒否ルールは、一致ルール内の一致するものだけに一致します。

「Route Profile for Interleak」レベルで適用されたエクスポートルートプロファイルを使用した拒否ルールの動作

– 拒否ルールは、ここで使用することを意図したものではありません。「deny」が設定されているかどうかに関係なく、リーフ上で解決されたルートマップには一致ルールがあります。着信プレフィクスの拒否は、外部デバイスのインポートセキュリティまたはルートフィルタリングを使用して行う必要があります。

その他の注意事項

RPMプロセスは、ルートプロファイルからのルートマップの設定に内部的に使用されます。RPM情報を表示する最も便利なコマンドは、「show system internal rpm ..」で確認できます。 設定の変更時にルートマップが実際に適用、削除、または変更されていることを確認する1つの方法は、リーフスイッチのRPMイベント履歴を確認することです。

show system internal rpm event-history events