Uso do perfil de rota da ACI

Visão geral do perfil de rota 

-2.3(1) SW Apic foi usado para todos os testes

-A imposição do controle de rota de exportação é assumida.

Os perfis de rota são usados na ACI para aplicar algum tipo de política às rotas. Consiste em uma regra de correspondência que define as rotas às quais a política deve ser aplicada e uma regra de conjunto, que define como os atributos da rota devem ser alterados. Por exemplo, um perfil de rota seria usado para corresponder a um prefixo específico e alterar o tipo de métrica OSPF para 1. Os critérios disponíveis para corresponder e definir são baseados no que é suportado em cada versão da ACI.

Os perfis de rota podem ser aplicados em vários níveis diferentes, dependendo do objetivo. Eles incluem:
-A configuração L3 do domínio da bridge
-A configuração de sub-rede do domínio da bridge
-As políticas padrão de importação e exportação padrão configuradas no l3out
-O EPG L3out (rede) na direção de importação ou exportação. Além disso, o perfil de rota pode ser aplicado a sub-redes L3out EPG específicas em vez de a todo o EPG.
-A Política de Intervazamento configurada no nível l3out

Observe que os perfis de rota podem ser configurados na direção de importação, mas a configuração não terá efeito a menos que "Importar" imposição de controle de rota esteja selecionado no nível L3out

Configurando um perfil de rota

Um perfil de rota pode ser configurado sob um l3out específico ou em 'Redes roteadas externas'. Se o perfil de rota estiver sendo usado para uma Política de Intervazamento, ele deverá ser aplicado em 'Redes Roteadas Externas'. Para todos os outros usos, o perfil de rota deve ser configurado na l3out onde a política será aplicada.

Ao configurar o Route-Profile, você verá a janela abaixo:

Você terá a opção de escolher entre "Match Prefix and Routing Policy" e "Match Routing Policy Only". Essas opções terão efeito dependendo do nível ao qual o perfil de rota é aplicado. Em termos gerais, embora "Match Prefix and Routing Policy" defina o perfil como 'combinável'. Isso significa que cada regra de correspondência definida incluirá implicitamente as sub-redes BD definidas como "anunciar externamente" e qualquer outra coisa que seja explicitamente combinada pela regra de correspondência. "Match Routing Policy Only" torna o perfil de rota 'non-combinable'. Isso significa que o perfil corresponderá somente ao que é explicitamente correspondido pelas regras de correspondência. As sub-redes BD não estão implicitamente incluídas. Quando aplicado no nível EPG externo 'combinável' significa que "exportar sub-redes de controle de rota" são implicitamente combinadas em cada regra em vez de sub-redes BD.

Um perfil de rota requer contextos:

Um contexto é um objeto que contém uma regra Match e uma regra Set. Cada contexto tem uma ordem (0-9) que define a ordem na qual os contextos devem ser avaliados se houver mais de um. Quando um perfil de rota é criado com pelo menos um contexto, ele pode ser aplicado.

Aplicação de um perfil de rota no nível de domínio da bridge

Um perfil de rota no nível de domínio da bridge é normalmente usado para aplicar uma política a todas as sub-redes definidas em um BD específico. Para configurá-lo, vá para 'Configurações L3' no Domínio da Bridge, selecione o L3out que aplicará a política ao anunciar a Sub-rede e selecione o perfil de rota configurado nessa l3out.

Neste exemplo, a sub-rede BD é 200.0.0.0/24 e o perfil de rota tem uma regra de correspondência que corresponde a 210.0.0.0/24 e define a comunidade como 200:200. Como o perfil de rota está definido para combinar "Corresponder Prefixo E Política de Roteamento", a regra corresponderá explicitamente a 210.0.0.0/24 e corresponderá implicitamente a 200.0.0.0/24 (Sub-rede BD).

Dependendo do protocolo externo que está sendo usado, o perfil de rota será aplicado como um mapa de rota de saída para o vizinho (BGP) ou no nível do protocolo ao redistribuir a sub-rede BD estática no protocolo externo (OSPF).

Para verificar essa configuração quando o BGP é o protocolo l3out..

-Localize o endereço do vizinho:

leaf6# show bgp ipv4 unicast summary vrf Joe-TESTING:Joe-VRF
BGP summary information for VRF Joe-TESTING:Joe-VRF, address family IPv4 Unicast
BGP router identifier 106.106.106.106, local AS number 100
BGP table version is 97, IPv4 Unicast config peers 1, capable peers 1
7 network entries and 7 paths using 1204 bytes of memory
BGP attribute entries [4/576], BGP AS path entries [1/6]
BGP community entries [0/0], BGP clusterlist entries [6/24]
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
2.2.2.2 4 12345 5833 5924 97 0 0 4d01h 3

-Localize o mapa de rota de saída usado para esse vizinho:

leaf6# show bgp ipv4 un neighbor 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

-Examine o conteúdo do mapa de rotas:

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:


leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 << Match rule
seq 2 permit 200.0.0.1/24 << Implicit match because route-profile is combinable.

No exemplo acima, a sequência 7801 corresponderá às sub-redes BD, de modo que a sub-rede BD será correspondida com a implicidade na sequência 4001 e 7801. Se o perfil de rota estivesse definido como "Match Routing Policy Only", a regra de correspondência incluiria apenas 210.0.0.0/24 e não a sub-rede BD. A sub-rede BD ainda seria implicitamente combinada em um número de sequência posterior, de modo que seria permitida (não tenho certeza se esse é o mesmo comportamento para versões anteriores do software).

Aplicação de um perfil de rota no nível de sub-rede do domínio da bridge

O perfil de rota pode ser associado diretamente à sub-rede BD. Um dos únicos casos de uso para fazer isso seria quando há mais de uma sub-rede configurada no BD e a política deve ser aplicada a eles, pois são anunciados mais de uma l3out. (atualmente, apenas um l3out para perfil de rota pode ser associado no nível BD)

A configuração pode ser vista abaixo:

A única diferença entre a aplicação do perfil de rota no nível BD versus o nível de sub-rede BD é que quando "Corresponder Prefixo E Política de Roteamento" é selecionado, somente a sub-rede BD associada será implicitamente incluída em cada regra de correspondência. Portanto, se houvesse mais de uma sub-rede BD no mesmo BD, somente a sub-rede à qual o perfil de rota está vinculado seria implicitamente correspondida. Isso pode ser verificado da mesma forma que a aplicação do perfil de rota no nível BD. Este exemplo usará OSPF.

Um BD é configurado com sub-redes 200.0.0.0/24 e 210.0.0.0/24. Um perfil de rota é configurado na l3out do OSPF e associado à sub-rede BD 210.0.0.0/24. O perfil de rota está definido como 'combinável' para que corresponda a 210.0.0.0/24 (correspondência explícita), 210.0.0.1/24 (correspondência implícita) e não 200.0.0.0/24 (outra sub-rede bd). 200.0.0.0/24 será correspondido implicitamente no final do perfil de rota e permitido. O mapa de rota definirá o ospf metric-type como 1.

-Obtenha o mapa de rota usado para redistribuição estática para ospf:

leaf6# show ip ospf vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistributing
Redistributing External Routes from
static route-map exp-ctx-st-3080194
direct route-map exp-ctx-st-3080194
bgp route-map exp-ctx-proto-3080194
eigrp route-map exp-ctx-proto-3080194
leaf6# show route-map exp-ctx-st-3080194
route-map exp-ctx-st-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
metric-type type-1
route-map exp-ctx-st-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
show ip pip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

***Devido ao CSCvd68302 se um perfil de rota estiver associado ao nível de sub-rede BD e, em seguida, removido, o mapa de rota não poderá ser removido. A solução alternativa é fazer alguma alteração no perfil da rota (ex: alternar uma regra definida) para disparar uma limpeza.  Isso será corrigido em uma versão futura do SW.

Aplicação de um perfil de rota no nível 'Padrão'

Há dois perfis de rota padrão diferentes que podem ser configurados no nível l3out. Esses são os perfis de rota 'default-import' e 'default-export'. Não é necessário aplicá-las em lado nenhum. Desde que existam, elas afetarão as rotas correspondentes que estão sendo anunciadas por essa l3out. A configuração é idêntica a qualquer outra criação de perfil de rota, exceto que o nome deve ser especificado como 'default-export' ou 'default-import'. Se a versão do software estiver atrasada o suficiente, esses dois nomes aparecerão como opções em uma lista suspensa.

O mapa de rota de exportação padrão cria entradas de correspondência que se aplicam a dois tipos diferentes de rotas:

1.  Rotas externas que estão sendo anunciadas (prefixos de trânsito). A entrada do mapa de rota associada corresponderá ao que for correspondido na(s) regra(s) de correspondência padrão-exportação, executará a regra de conjunto especificada no contexto e definirá implicitamente a tag route-tag como a tag vrf. O conjunto de marcas implícito é feito a qualquer momento em que o roteamento de trânsito é feito na ACI. Os folhetos de borda nunca instalarão uma rota na tabela de roteamento que tenha essa marca definida, portanto, defini-la em prefixos de trânsito garante que os prefixos nunca sejam redirecionados para a ACI e instalados na tabela de roteamento no mesmo VRF.

2.  Rotas internas que estão sendo anunciadas (prefixos BD). Essa entrada associada do mapa de rota corresponderá ao que for correspondido na(s) regra(s) de correspondência padrão-exportação e executará a ação associada do conjunto. Se o perfil de rota estiver definido como 'combinável' (Corresponder Prefixo E Política de Roteamento), essa(s) entrada(s) no mapa de rota incluirá implicitamente todas as sub-redes BD. Se não estiver definido como combinável, ele corresponderá somente ao que for correspondido na regra de correspondência.

****IMPORTANTE, definir a exportação padrão como 'Corresponder somente política de roteamento' (não combinável) fará com que as sub-redes BD deixem de ser anunciadas se não forem explicitamente correspondadas no perfil de rota.

No exemplo a seguir, as sub-redes BD são 200.0.0.0/24 e 210.0.0.0/24. O perfil de rota tem um contexto que corresponde a 210.0.0.0/24 e define a comunidade como 200:200. A exportação padrão é aplicada e definida como não combinável.

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4002
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

A entrada do mapa de rotas com a lista de prefixos "ext-out" é para prefixos de trânsito. Ela corresponde somente ao que é correspondido na regra de correspondência e define a marca para a marca padrão vrf. A segunda entrada de mapa de rota com prefix-list "int-out" é para prefixos internos (sub-redes BD) sendo anunciados. Como o perfil de rota não está definido para ser compatível, ele corresponde somente a 210.0.0.0/24, pois é isso que a regra de correspondência especificada. A outra sub-rede BD 200.0.0.0/24 não corresponde e o tráfego para esta sub-rede pode ser bloqueado.

Depois de alterar o perfil da rota para combinável:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 210.0.0.1/24 seq 3 permit 200.0.0.1/24

A entrada do mapa de rota para prefixos de trânsito permanece a mesma, mas a entrada para prefixos internos agora inclui todos os prefixos BD, bem como o que é especificado na regra de correspondência.

Aplicação de um perfil de rota nos níveis de EPG externo e de sub-rede EPG externa

Um perfil de rota também pode ser aplicado diretamente a um nível de epg externo ou ao nível de sub-rede em uma epg externa. Isso se destina à aplicação de políticas a prefixos de trânsito, mas também pode ser usado para aplicar políticas a prefixos internos. A única advertência é que os prefixos internos (se corresponderem) receberão a marca vrf padrão. Se essas sub-redes devem ser anunciadas de volta à ACI em um VRF diferente, altere a marca padrão desse vrf de modo que os prefixos sejam aceitos e instalados na tabela de roteamento.

Se o perfil de rota estiver definido como 'não combinável' então não há diferença entre aplicar o perfil de rota no nível de EPG de Ext versus o nível de sub-rede de EPG de Ext. As entradas do mapa de rotas corresponderão somente ao que está explicitamente correspondido na regra de correspondência. Se o perfil de rota for definido como combinável e o perfil de rota for aplicado no nível EPG de Ext, cada entrada de correspondência corresponderá ao que é explicitamente especificado e a quaisquer sub-redes definidas como 'exportar sub-rede de controle de rota'. Se o perfil de rota estiver definido como combinável e aplicado no nível de sub-rede EPG de Ext, o perfil de rota corresponderá ao que está explicitamente especificado e corresponderá implicitamente à sub-rede EPG à qual ela será aplicada se essa sub-rede estiver definida como "exportar sub-rede de controle de rota".

Neste exemplo, as sub-redes BD são 200.0.0.0/24 e 210.0.0.0/24. 89.89.89.89/32 e 90.90.90.90/32 são especificados como redes L3out com a "sub-rede de controle de rota de exportação" definida. O perfil do mapa de rotas tem um contexto que corresponde a 210.0.0.0/24 e define a comunidade como 200:200. O perfil de rota é aplicado no nível Ext EPG e não pode ser combinado.

leaf6# show bgp ipv4 un neighbors 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

Observe que a entrada do mapa de rota corresponde somente ao que é especificado na regra de correspondência, mesmo que as sub-redes sejam definidas com "exportar sub-rede de controle de rota". Ainda há uma entrada no mapa de rota que permite todas as sub-redes BD definidas como "anunciar externamente" e associadas a esse L3out.

Se o perfil de rota for alterado para combinável:

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32 seq 3 permit 90.90.90.90/32

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

Observe agora que a entrada que aplica a política corresponde a todas as sub-redes definidas como "exportar sub-rede de controle de rota".

Se o perfil de rota for combinável e aplicado diretamente a uma das sub-redes definidas como "exportar sub-rede de controle de rota":

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7802
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32

Observe que a entrada do mapa de rota que aplica a política inclui o que é correspondido no contexto do perfil de rota e a sub-rede à qual é aplicado desde que "export route-control subnet" está selecionada. A outra sub-rede que tem a "sub-rede de controle de rota de exportação" não está incluída na entrada do mapa de rota que aplica a política, embora ela seja combinada em uma regra implícita que simplesmente a permite e define a tag de trânsito.

Aplicação de um perfil de rota no nível L3out como uma política de intervazamento:

O "Route Profile for Interleak" destina-se especificamente a definir políticas ao redistribuir prefixos de algum protocolo externo no BGP. Esse é o único caso em que o perfil de rota deve ser configurado em "Redes Roteadas Externas" em vez de em l3out. O perfil de rota é então aplicado no protocolo externo de origem (não bgp) como uma política de "Perfil de rota para Interleak". Isso é útil para definir atributos BGP quando um prefixo é redistribuído no processo interno de bgp de estrutura ou também pode ser usado para definir atributos de bgp ao anunciar prefixos de trânsito de um l3out não-bgp para um l3out de bgp.

Neste exemplo, 89.89.89.89/32 está sendo recebido do OSPF. Um perfil de rota de intervazamento está sendo aplicado à l3out do OSPF que corresponde a 89.89.89.89/32 e define a comunidade do BGP como 200:200. A política é aplicada quando a rota OSPF é redistribuída no BGP. Para verificar isso, você deve examinar o mapa de rota que é definido no processo BGP.

Use "show bgp process" para verificar o mapa de rota que está sendo usado para redistribuição do OSPF para o BGP.

leaf6# show bgp process vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistri
Redistribution
direct, route-map permit-all
static, route-map imp-ctx-bgp-st-interleak-3080194
ospf, route-map imp-ctx-proto-interleak-3080194
route-map imp-ctx-proto-interleak-3080194, permit, sequence 1
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive

leaf6# show ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst: 1 entries
seq 1 permit 89.89.89.89/32

Observe que a epg do OSPF também inclui a sub-rede "0.0.0.0", mas a única coisa que está sendo redistribuída no BGP do OSPF é 89.89.89.89. A definição do perfil de rota como "combinável" versus "não combinável" não afeta as políticas de intervazamento.

É importante saber que nada é implicitamente permitido no BGP quando uma política de intervazamento é definida. Se não houver um conjunto de políticas de intervazamento (padrão), tudo será permitido; se um perfil de rota para intervazamento estiver definido, nada será permitido, exceto o que é explicitamente combinado. O mal-entendido pode levar a interrupções na configuração de políticas de intercalação.

Negar regras

A capacidade de negar prefixos específicos foi adicionada no software 2.3(1). Anteriormente, somente as regras de permissão podiam ser correspondidas, portanto não havia capacidade de negar prefixos específicos usando perfis de rota. A ação de negação é definida no contexto de perfil da rota:

Deve-se ter cuidado especial ao usar regras de negação com um perfil de rota definido como 'combinável' (Prefixo de correspondência E política de roteamento).

O seguinte lista o comportamento das regras de negação quando o perfil de rota está definido como combinável v. não combinável

Negar comportamento de regra com perfil de rota aplicado no nível de sub-rede do domínio da bridge

Combinável - as regras de negação corresponderão ao que for especificado na regra de correspondência, bem como à sub-rede BD à qual o perfil de rota é aplicado.
Não combinável - As regras de negação corresponderão somente ao que é especificado na regra de correspondência.

Negar comportamento de regra com perfil de rota aplicado no nível de domínio da bridge

Combinável - as regras de negação corresponderão ao que for especificado na regra de correspondência, bem como a todas as sub-redes configuradas dentro desse BD.
Não combinável - As regras de negação corresponderão somente ao que é especificado na regra de correspondência.

Negar comportamento de regra com perfil de rota aplicado no nível de Exportação padrão

Combinável - As regras de negação corresponderão implicitamente TODAS as sub-redes BD que estão definidas para serem anunciadas externamente, bem como o que está combinado na regra
Não-combinável - as regras de negação corresponderão somente ao especificado na regra de correspondência.

Negar comportamento de regra com perfil de rota de exportação aplicado no nível de instância de rede L3out

Combinável - as regras de negação corresponderão implicitamente a todas as redes com o conjunto de "sub-rede de controle de rota de exportação", bem como ao que é combinado na regra de correspondência.
Não combinável - As regras de negação corresponderão somente ao que corresponde na regra de correspondência.

Negar comportamento de regra com perfil de rota de exportação aplicado no nível de sub-rede de rede L3out

Combinável - Se a rede à qual o perfil de rota de exportação é aplicado tiver selecionado a "sub-rede de controle de rota de exportação", ela será combinada, bem como a correspondência na regra de correspondência.
Não combinável - As regras de negação corresponderão somente ao que corresponde na regra de correspondência.

Negar comportamento de regra com perfil de rota de exportação aplicado no nível "Perfil de rota para Intervazamento"

-As regras de negação não se destinam ao uso aqui. Independentemente de 'negar' ser definido, o mapa de rota resolvido no leaf terá uma regra de correspondência. A recusa de entrada de prefixos deve ser feita com segurança de importação ou filtragem de rota no dispositivo externo.

Outras observações

O processo RPM é usado internamente para configurar os mapas de rota dos perfis de rota. A maioria dos comandos úteis para ver informações de RPM podem ser vistos com "show system internal rpm ...". Uma maneira de verificar se um mapa de rota está realmente sendo aplicado, removido ou alterado quando uma configuração é alterada é observar o histórico de eventos do RPM no switch Leaf:

show system internal rpm event-history events