Gebruik van ACI-routeprofiel

Overzicht van routeprofielen 

-2.3(1) Apic SW werd voor alle tests gebruikt

- Handhaving op exportroutes wordt verondersteld.

Routeprofielen worden in ACI gebruikt om een of ander beleid op routes toe te passen. Het bestaat uit een matchregel die de routes bepaalt waarop het beleid van toepassing moet zijn en een vaste regel, die bepaalt hoe de routeeigenschappen moeten worden gewijzigd. Bijvoorbeeld, zou een route-profiel worden gebruikt om een specifiek voorvoegsel aan te passen en het metrisch type OSPF in 1 te veranderen. De beschikbare criteria om aan te passen en op te stellen zijn gebaseerd op wat in elke ACI versie wordt ondersteund.

Routeprofielen kunnen op verschillende niveaus worden toegepast, afhankelijk van wat uw doel is. Deze omvatten:
De configuratie van het Bridge Domain L3
- De configuratie van het subnet van het Bridge Domain
-Het standaardinstelling-import en de standaardinstelling-export beleid dat is ingesteld onder l3out
- L3out EPG (netwerk) in de in- of uitvoerrichting. Bovendien kan het routeprofiel worden toegepast op specifieke L3out EPG-subnetten in plaats van op de gehele EPG.
-Het interleekbeleid op l3out niveau ingesteld

Merk op dat routeprofielen in de importrichting kunnen worden geconfigureerd maar de configuratie niet van kracht is, tenzij "Importeren" routecontrole is geselecteerd op het L3out-niveau

Een routeprofiel configureren

Een routeprofiel kan worden ingesteld onder een specifiek l3out of onder "Externe Routed Networks". Als het routeprofiel wordt gebruikt voor een interleybeleid, dan moet het worden toegepast onder "Externe Routed Networks". Voor alle andere toepassingen moet het routeprofiel worden geconfigureerd onder l3out waar het beleid zal worden toegepast.

Bij het configureren van het routeprofiel ziet u het volgende venster:

U hebt de optie om te kiezen tussen "Match Prefixe en Routing Policy" en "Overeenkomend routingbeleid alleen". Deze opties hebben invloed op het niveau waarop het routeprofiel wordt toegepast. Over het algemeen gesproken door "Match Prefixe and Routing Policy" het profiel als 'combineerbaar' te definiëren. Dit betekent dat bij elke "match"-regel die wordt gedefinieerd impliciet de BD-subnetten zullen worden opgenomen die zijn ingesteld op "advertentie van buiten" en alle andere zaken die expliciet worden gecompenseerd door de "match"-regel. "Match Routing Policy Only" maakt het routeprofiel 'niet combineerbaar'. Dit betekent dat het profiel alleen overeenkomt met wat expliciet wordt gecompenseerd door de matchingregels. BD-subnetten zijn niet impliciet opgenomen. Wanneer zij op het externe EPG-niveau worden toegepast, betekent "combineerbaar" dat "exportroutecontroletsubnetten" impliciet in elke regel worden gecompenseerd in plaats van in BD-subnetten.

Voor een routeprofiel zijn contexten nodig:

Een context is een object dat een aanpassingsregel en een regelset bevat. Elke context heeft een volgorde (0-9) waarin de volgorde wordt vastgesteld waarin de context moet worden beoordeeld indien er meer dan één is. Zodra een routeprofiel met ten minste één context is gecreëerd, kan het worden toegepast.

Een routeprofiel op het niveau van de Bridge Domain toepassen

Een routeprofiel op het niveau van het Bridge Domain wordt doorgaans gebruikt om een beleid toe te passen op alle subnetten die onder een specifieke BD zijn gedefinieerd. Om dit te vormen ga naar 'L3 Configuraties' onder het Bridge Domain, selecteer L3out dat het beleid zal toepassen wanneer u het Subnet adverteert, en selecteer vervolgens het route-profiel dat is geconfigureerd onder dat l3out.

In dit voorbeeld is BD SUBNET 200.0.0.0/24 en het route-profiel heeft één overeenkomende regel die 210.0.0.0/24 aanpast en de gemeenschap op 200:200.200 instelt. Omdat het route-profiel is ingesteld op combineerbaar "Match Prefixbeleid en routingbeleid" zal de regel expliciet overeenkomen met 210.0.0.0/24 en impliciet 20.0.0.0/24.

Afhankelijk van het externe protocol dat wordt gebruikt zal het route-profiel worden toegepast als uitgaande route-kaart naar de buurman (BGP) of op protocolniveau wanneer u het statische BD-subsysteem opnieuw verdeelt in het externe protocol (OSPF).

Om deze configuratie te verifiëren wanneer BGP het l3out protocol is...

-Zoek het buuradres:

leaf6# show bgp ipv4 unicast summary vrf Joe-TESTING:Joe-VRF
BGP summary information for VRF Joe-TESTING:Joe-VRF, address family IPv4 Unicast
BGP router identifier 106.106.106.106, local AS number 100
BGP table version is 97, IPv4 Unicast config peers 1, capable peers 1
7 network entries and 7 paths using 1204 bytes of memory
BGP attribute entries [4/576], BGP AS path entries [1/6]
BGP community entries [0/0], BGP clusterlist entries [6/24]
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
2.2.2.2 4 12345 5833 5924 97 0 0 4d01h 3

- Vind de uitgaande route-kaart die voor die buurman is gebruikt:

leaf6# show bgp ipv4 un neighbor 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

-Bekijk de inhoud van de routekaart:

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:


leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 << Match rule
seq 2 permit 200.0.0.1/24 << Implicit match because route-profile is combinable.

In het bovenstaande voorbeeld zal sequentie 7801 overeenkomen met BD-subnetten zodat het BD-subnet in zowel sequentie 4001 als 7801 gelijk is aan impliciet. Als het route-profiel was ingesteld op "Match Routing Policy Only" dan zou de overeenkomingsregel alleen 210.0.0.0/24 en niet BD-subtype omvatten. Het BD-subsysteem zou impliciet worden aangepast in een later sequentienummer zodat het is toegestaan (niet zeker als dit hetzelfde gedrag is voor eerdere softwarereleases).

Een routeprofiel op het subnetniveau van het Bridge Domain toepassen

Het routeprofiel kan rechtstreeks worden gekoppeld aan het BD-subnet. Eén van de enige gebruiksgevallen om dit te doen zou zijn wanneer er meer dan één subtype onder de BD is geconfigureerd en het beleid zou op deze zaken moeten worden toegepast omdat ze meer dan één l3out worden geadverteerd. (momenteel kan slechts één l3out voor routeprofiel op BD-niveau worden geassocieerd)

De configuratie is als volgt te zien:

Het enige verschil tussen het toepassen van het route-profiel op BD niveau vs. het BD-subniveau is dat wanneer "Match Prefixe and Routing Policy" is geselecteerd alleen het gekoppelde BD-subnet impliciet in elke matrixregel zal worden opgenomen. Dus als er meer dan één BD-subnet in dezelfde BD waren, alleen het subnet dat het routeprofiel gekoppeld is, zou impliciet worden aangepast. Dit kan op dezelfde wijze worden geverifieerd als bij de toepassing van het routeprofiel op BD-niveau. Dit voorbeeld zal OSPF gebruiken.

Een BD is ingesteld met 200.0.0.0/24 en 210.0.0.0/24 subnetten. Een route-profiel wordt ingesteld onder de OSPF-l3out en gekoppeld aan de 210.0.0.0/24 BD-subunit. Het route-profiel wordt ingesteld op 'combineerbaar' en moet dus overeenkomen met 210.0.0.0/24 (expliciete match), 210.0.0.1/24 (impliciete overeenkomst) en niet met 200.0.0.0/24 (ander bd-net). 200.0.0.0/24 zal impliciet aan het eind van het routeprofiel worden afgestemd en zijn toegestaan. De route-kaart zal het metrisch-type van ospf op 1 plaatsen.

-Ontvang de route-map die gebruikt wordt voor statische op ospf-herverdeling:

leaf6# show ip ospf vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistributing
Redistributing External Routes from
static route-map exp-ctx-st-3080194
direct route-map exp-ctx-st-3080194
bgp route-map exp-ctx-proto-3080194
eigrp route-map exp-ctx-proto-3080194
leaf6# show route-map exp-ctx-st-3080194
route-map exp-ctx-st-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
metric-type type-1
route-map exp-ctx-st-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
show ip pip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

***Vanwege CSCvd68302 als een routeprofiel op het BD-subnetniveau is gekoppeld en de route-map vervolgens verwijderd kan worden. De tijdelijke oplossing is het routeprofiel enigszins te wijzigen (bijvoorbeeld: Draai een set regel in om een schoonmaakbeurt te veroorzaken.  Dit wordt vastgelegd in een toekomstige SW-release.

Een routeprofiel toepassen op het niveau "Standaard"

Er zijn twee verschillende standaardroute-profielen die op l3out niveau kunnen worden geconfigureerd. Dit zijn de routeprofielen 'default-import' en 'default-export'. Deze hoeven nergens te worden toegepast. Zo lang zij bestaan, zullen zij ook van invloed zijn op gematchte routes die in de reclame voor l3out worden vermeld. De configuratie is identiek aan elke andere aanmaak van een routeprofiel, behalve dat de naam moet worden gespecificeerd als 'default-export' of 'default-import'. Als de softwareversie te laat is, verschijnen deze twee namen in een vervolgkeuzelijst.

De standaard-export route-map maakt matriewaarden die van toepassing zijn op twee verschillende soorten routes:

1.  Externe routes die worden geadverteerd (transitoprefixes). De gekoppelde route-plattegrond komen overeen met de overeenkomende regel(en) voor de standaard-export, passen de ingestelde regel uit die in de context is gespecificeerd en stellen de route-tag impliciet in op de vrf-tag. De impliciete tagset wordt gedaan op elk moment dat de doorvoerrouting in ACI wordt uitgevoerd. De kaders rond de rand zullen nooit een route in de routingtabel installeren die deze tag heeft ingesteld, zodat de instelling op doorvoerprefixes ervoor zorgt dat de prefixes nooit teruglopen in ACI en in de routingtabel in dezelfde VRF geïnstalleerd zijn.

2.  Interne routes die worden aangekondigd (BD-prefixes). Deze gekoppelde route-map-ingang komt overeen met wat er in de standaard-export-matchregel(en) wordt gematcht en voert de gekoppelde set-actie uit. Als het route-profiel is ingesteld op 'combinable' (Match Prefixe AND Routing Policy) dan zal deze ingang(en) in de routekaart impliciet alle BD-subnetten omvatten. Als het niet is ingesteld op combineerbaarheid, komt het alleen overeen met wat in de wedstrijdregel is omgezet.

***BELANGRIJK, zal het instellen van de standaard-export naar 'Match Routing Policy Only' (niet-combineerbaar) er voor zorgen dat er geen BD-subnetten worden geadverteerd als ze niet expliciet worden gecompenseerd in het routeprofiel.

In het volgende voorbeeld zijn de BD-subnetten 200.0.0.0/24 en 210.0.0.0/24. Het routeprofiel heeft één context die overeenkomt met 210.0.0.0/24 en de gemeenschap instelt op 200:200. De standaard-export wordt toegepast en op niet-combineerbaar ingesteld.

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4002
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

De route-plattegrond met prefix lijst "tekst-uit" is voor doorvoerprefixes. Het komt alleen overeen wat in de overeenkomende regel is gematcht en stelt de tag in op de standaard vrf-tag. De tweede route-map-ingang met prefix-lijst "int-out" is voor interne prefixes (BD subnetten) die geadverteerd worden. Aangezien het routeprofiel niet is ingesteld om te kunnen worden aangepast, komt het alleen overeen met 210.0.0.0/24 aangezien dat is wat de matchregel heeft gespecificeerd. Het andere BD Subnet 200.0.0.0/24 wordt niet aangepast en het verkeer naar dit Subnet zou kunnen worden verboden.

Na het wijzigen van het routeprofiel in combineerbaar:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 210.0.0.1/24 seq 3 permit 200.0.0.1/24

De route-map-ingang voor doorvoerprefixes blijft hetzelfde, maar de ingang voor interne prefixes omvat nu alle BD-prefixes en de in de matchregel gespecificeerde matrixen.

Toepassing van een routeprofiel op externe EPG- en externe EPG-subnetniveaus

Een route-profiel kan ook rechtstreeks worden toegepast op een extern epg-niveau of het subnetniveau binnen een externe epg. Dit is bedoeld voor de toepassing van het beleid op overslagprefixes, maar kan ook worden gebruikt om het beleid op binnenlandse prefixes toe te passen. Het enige voorbehoud is dat de interne prefixes (indien gemateld) de standaard vrf tag zullen ontvangen. Als deze subnetten in een andere VRF moeten worden geadverteerd in ACI, zorg dan dat u de standaardtag voor die vrf wijzigt, zodat de prefixes worden geaccepteerd en in de routingtabel geïnstalleerd.

Als het routeprofiel is ingesteld op 'niet-combineerbaar' dan is er geen verschil tussen het toepassen van het routeprofiel op het Ext EPG niveau vs. het Ext EPG subniveau. De route-kaart items komen alleen overeen met wat expliciet wordt overeenkomend in de matchregel. Als het route-profiel op combineerbaar is ingesteld en het route-profiel wordt toegepast op het Ext EPG-niveau dan zal elke matrixingang overeenkomen met wat expliciet wordt gespecificeerd en elke subnet die als "uitvoerroute-controle-net" wordt gedefinieerd. Als het route-profiel is ingesteld op combineerbaar en toegepast op het Ext EPG-subniveau dan zal het route-profiel overeenkomen wat expliciet gespecificeerd is en impliciet overeenkomt met EPG-subster wordt het van toepassing op ALS dat subtype is ingesteld op "exporteren route-control-net".

In dit voorbeeld zijn BD-subnetten 200.0.0.0/24 en 210.0.0.0/24. 89.89.89.89/32 en 90.90.90.90/32 gespecificeerd als L3out-netwerken met "Exportretroutecontrolenet" ingesteld. Het routekaartprofiel heeft een context die overeenkomt met 210.0.0.0/24 en de gemeenschap instelt op 200:200. Het routeprofiel wordt toegepast op het Ext EPG-niveau en is niet-combineerbaar.

leaf6# show bgp ipv4 un neighbors 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

Merk op dat de route-kaart ingang slechts aansluit wat in de overeenkomstenregel wordt gespecificeerd zelfs alhoewel subnetten met "de route-controle van de export"subnet worden gedefinieerd. Er is nog steeds een punt in de routekaart dat alle BD-subnetten toestaat die zijn ingesteld op "extern adverteren" en die zijn gekoppeld aan dit L3out.

Als het routeprofiel wordt gewijzigd in combineerbaar:

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32 seq 3 permit 90.90.90.90/32

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

Merk op dat de vermelding die het beleid toepast alle subnetten aansluit die zijn ingesteld op "route-controle-subet".

Als het route-profiel combineerbaar is en direct van toepassing is op één van de subnetten die op "uitvoer route-controle subnet" wordt ingesteld:

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7802
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32

Merk op dat de route-kaart ingang die het beleid van toepassing is omvat wat in de route-profielcontext wordt gematcht en het net wordt toegepast op aangezien "de route-controle-net" is geselecteerd. Andere SUBNET die "de route-controle van de uitvoer"heeft is niet inbegrepen in de route-kaart ingang die het beleid toepast alhoewel het in een impliciete regel wordt gematcht die het toelaat en de doorvoertag vastlegt.

Een routeprofiel op L3out-niveau toepassen als interleekbeleid:

Het "Routeprofiel voor Interleak" is specifiek bedoeld om beleid in te stellen bij het herverdelen van prefixes van een extern protocol in BGP. Dit is het enige geval waar het routeprofiel zou moeten worden geconfigureerd onder "Externe Routed Networks" in plaats van onder l3out. Het routeprofiel wordt vervolgens toegepast op het Bron Extern protocol (niet-bgp) als een beleid van "Routeprofiel voor Interleak". Dit is handig om BGP-eigenschappen in te stellen wanneer een voorvoegsel wordt herverdeeld in het interne fabricageproces of het kan ook worden gebruikt om bgp-eigenschappen in te stellen wanneer er reclame wordt gemaakt voor doorvoerprefixes van een niet-bgp l3out naar een bgp l3out.

In dit voorbeeld wordt 89.89.89.89/32 ontvangen van OSPF. Een interleak route-profiel wordt toegepast op de OSPF l3out die 89.89.89.89/32 overeenkomt en de BGP-community op 200:200 instelt. Het beleid wordt toegepast zoals de OSPF-route wordt herverdeeld in BGP. Om dit te verifiëren zou u de route-kaart kijken die in het BGP proces wordt ingesteld.

Gebruik "show bgp proces" om de route-kaart te verifiëren die voor herdistributie van OSPF aan BGP wordt gebruikt.

leaf6# show bgp process vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistri
Redistribution
direct, route-map permit-all
static, route-map imp-ctx-bgp-st-interleak-3080194
ospf, route-map imp-ctx-proto-interleak-3080194
route-map imp-ctx-proto-interleak-3080194, permit, sequence 1
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive

leaf6# show ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst: 1 entries
seq 1 permit 89.89.89.89/32

Merk op dat de OSPF-pagina ook "0.0.0.0"-plus bevat, maar het enige dat wordt herverdeeld in BGP van OSPF is 89.89.89.89. Wanneer u het routeprofiel instelt op "combineerbaar" vs "niet-combineerbaar" heeft geen invloed op interleak-beleid.

Het is belangrijk om te weten dat er impliciet niets in het BGP is toegestaan als er een interleekbeleid wordt gevoerd. Als er geen interlekken beleidsset is (standaard), is alles toegestaan; als een routeprofiel voor interleak is ingesteld dan is niets toegestaan behalve wat expliciet wordt aangepast. Onbegrip van dit alles zou tot uitval kunnen leiden bij het configureren van beleid tegen lekkage.

Dense regels

De mogelijkheid om specifieke prefixes te ontkennen werd toegevoegd in 2.3(1) software. Voorheen konden alleen vergunningsregels worden aangepast, zodat er geen mogelijkheid was om specifieke prefixes met routeprofielen te ontkennen. De ontkennende actie wordt ingesteld in de context van het routeprofiel:

Extra zorg moet worden gebruikt bij het gebruik van ontkenningsregels met een routeprofiel dat is ingesteld op 'combineerbaar' (Match Prefixeren en Routing Policy).

De volgende lijsten van het gedrag van ontkenningsregels wanneer het routeprofiel is ingesteld op combineerbaar v. niet-combineerbaar

Ontken Regel gedrag met routeprofiel dat op het niveau van het Domein van de Bridge wordt toegepast

Combineerbaar - Deny regels zullen aanpassen wat in de overeenkomingsregel wordt gespecificeerd evenals BD Subnet waarop het route-profiel wordt toegepast.
Niet-combineerbaar - de Deny-regels komen alleen overeen met wat in de match-regel is gespecificeerd.

Gedrag van weigeringsregel met routeprofiel toegepast op het niveau van Bridge Domain

Combineerbaar - De Deny-regels komen overeen met wat in de matchregel wordt gespecificeerd, evenals alle subnetten die binnen die BD zijn geconfigureerd.
Niet-combineerbaar - de Deny-regels komen alleen overeen wat in de match-regel is gespecificeerd.

Gedrag van weigeringsregels met routeprofiel toegepast op het niveau van de standaard-export

Combineerbaar - Deny-regels komen impliciet overeen met ALLE BD-subnetten die extern worden geadverteerd evenals met de regels waaraan in de regel wordt voldaan
Niet-combineerbaar - de Deny-regels komen alleen overeen met wat in de match-regel is gespecificeerd.

Ontken Regel gedrag met uitvoerrouteprofiel toegepast op het niveau van L3out Network Instance

Gecombineerd - Deny regels zullen impliciet alle netwerken met "uitvoer route control net" ingesteld worden evenals wat in de overeenkomende regel is aangepast.
Niet-combineerbaar - de Deny-regels komen alleen overeen met wat er in de match-regel wordt gehaald.

Ontken Regel gedrag met uitvoerrouteprofiel dat op het niveau van het L3out Netwerk Subnet wordt toegepast

Combineerbaar - Als het netwerk waarop het export route-profiel van toepassing is 'Exporroute-control-subnet' heeft geselecteerd zal het worden aangepast evenals wat overeenkomend is in de match-regel.
Niet-combineerbaar - de Deny-regels komen alleen overeen met wat er in de match-regel wordt gehaald.

Gedrag van weigeringsregel met uitvoerrouteprofiel toegepast op het niveau "Routeprofiel voor interlek"

-Deny-regels zijn hier niet bedoeld voor gebruik. Ongeacht of 'ontkennen' is ingesteld, zal de afgehandelde routekaart op het blad een match-regel hebben. Het ontkennen van prefixes binnenkomend moet gebeuren met importbeveiliging of routingfiltering op het externe apparaat.

Overige opmerkingen

Het RPM-proces wordt intern gebruikt voor het configureren van routekaarten vanuit routeprofielen. De meeste nuttige opdrachten om de RPM-informatie te zien kunnen worden gezien met "Show system interne rpm ...". Eén manier om te verifiëren dat een route-map wordt toegepast, verwijderd of gewijzigd wanneer een configuratie wordt gewijzigd, is door de RPM gebeurtenis-historie op de Leaf-switch te bekijken:

gebeurtenissen in de voorgeschiedenis van systeeminterne rpm tonen