ACI路由配置文件使用

路由配置文件概述 

-2.3(1)Apic软件用于所有测试

— 假设执行导出路由控制。

ACI中使用路由配置文件将某种策略应用于路由。它包括定义应应用策略的路由的匹配规则和定义如何更改路由属性的设置规则。例如，路由配置文件将用于匹配特定前缀并将OSPF度量类型更改为1。要匹配和设置的可用标准基于每个ACI版本支持的内容。

路由配置文件可根据您的目标应用于多个不同级别。这些新发展包括：
— 网桥域L3配置
— 网桥域子网配置
— 在l3out下配置的默认导入和默认导出策略
— 导入或导出方向的L3out EPG（网络）。此外，路由配置文件可应用于特定L3out EPG子网，而不是整个EPG。
— 在l3out级别配置的Interleak策略

请注意，路由配置文件可以在导入方向配置，但配置将不会生效，除非在L3out级别选择“导入”路由控制实施

配置路由配置文件

路由配置文件可在特定l3out下或“外部路由网络”下配置。 如果路由配置文件正用于Interleak策略，则应在“外部路由网络”下应用。 对于所有其他用途，应在将应用策略的l3out下配置路由配置文件。

配置路由配置文件时，您将看到以下窗口：

您可以选择“Match Prefix and Routing Policy”和“Match Routing Policy Only”。 这些选项将根据路由配置文件应用到的级别而生效。一般来说，虽然“匹配前缀和路由策略”将配置文件定义为“可组合”。 这意味着定义的每个匹配规则将隐式地包括设置为“通告外部”的BD子网以及匹配规则明确匹配的任何其他子网。“仅匹配路由策略”使路由配置文件“不可组合”。 这意味着配置文件将仅匹配匹配规则明确匹配的内容。BD子网不包含。在外部EPG级别应用“combinable”时，表示“export route-control subnets”在每条规则中隐式匹配，而不是BD子网。

路由配置文件需要情景：

上下文是包含匹配规则和设置规则的对象。每个上下文都有一个顺序(0-9)，该顺序定义在有多个上下文时应评估上下文的顺序。创建路由配置文件后，至少可以应用一个情景。

在网桥域级别应用路由配置文件

网桥域级别的路由配置文件通常用于将策略应用于特定BD下定义的所有子网。要配置此配置，请转到网桥域下的“L3配置”，选择在通告子网时将应用策略的L3out，然后选择在该l3out下配置的路由配置文件。

在本示例中，BD子网为200.0.0.0/24，路由配置文件有一个匹配210.0.0.0/24的匹配规则，并将社区设置为200:200。由于路由配置文件设置为可组合的“匹配前缀和路由策略”，因此该规则将显式匹配210.0.0.0/24，隐式匹配200.0.0.0/24(IP)BD子网)。

根据所使用的外部协议，当将静态BD子网重分发到外部协议(OSPF)时，路由配置文件将作为到邻居(BGP)的出站路由映射应用，或在协议级别应用。

当BGP是l3out协议时，要验证此配置……

— 查找邻居地址：

leaf6# show bgp ipv4 unicast summary vrf Joe-TESTING:Joe-VRF
BGP summary information for VRF Joe-TESTING:Joe-VRF, address family IPv4 Unicast
BGP router identifier 106.106.106.106, local AS number 100
BGP table version is 97, IPv4 Unicast config peers 1, capable peers 1
7 network entries and 7 paths using 1204 bytes of memory
BGP attribute entries [4/576], BGP AS path entries [1/6]
BGP community entries [0/0], BGP clusterlist entries [6/24]
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
2.2.2.2 4 12345 5833 5924 97 0 0 4d01h 3

— 查找用于该邻居的出站路由映射：

leaf6# show bgp ipv4 un neighbor 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

— 查看路由映射的内容：

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:


leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 << Match rule
seq 2 permit 200.0.0.1/24 << Implicit match because route-profile is combinable.

在上述示例序列7801将匹配BD子网，因此在序列4001和7801中，BD子网将隐式匹配。如果路由配置文件设置为“仅匹配路由策略”，则匹配规则将仅包括210.0.0.0/24，而不包括BD子网。BD子网仍将隐式匹配到更新的序列号，因此会被允许（不确定这是否与早期软件版本相同）。

在网桥域子网级别应用路由配置文件

路由配置文件可以直接与BD子网关联。执行此操作的唯一使用案例之一是，在BD下配置了多个子网，并且应将策略应用于这些子网，因为它们通告出多个l3out。(目前，路由配置文件只能关联一个l3out（在BD级别）

配置如下所示：

在BD级别应用路由配置文件与在BD子网级别应用路由配置文件的唯一区别是，当选择“匹配前缀和路由策略”时，仅相关BD子网将隐式包含在每个匹配规则中。因此，如果同一BD中有多个BD子网，则只会隐式匹配路由配置文件所绑定的子网。这可以与在BD级别应用路由配置文件相同的方式进行验证。本示例将使用OSPF。

BD配置了200.0.0.0/24和210.0.0.0/24子网。路由配置文件在OSPF l3out下配置，并与210.0.0.0/24 BD子网关联。路由配置文件设置为“combinable”，因此它应匹配210.0.0.0/24（显式匹配）、210.0.0.1/24（隐式匹配），而不是200.0.0.0/24（其他bd子网）。200.0.0.0/24将在路由配置文件末尾实现匹配并允许。路由映射会将ospf metric-type设置为1。

— 获取用于静态到ospf重分发的路由映射：

leaf6# show ip ospf vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistributing
Redistributing External Routes from
static route-map exp-ctx-st-3080194
direct route-map exp-ctx-st-3080194
bgp route-map exp-ctx-proto-3080194
eigrp route-map exp-ctx-proto-3080194
leaf6# show route-map exp-ctx-st-3080194
route-map exp-ctx-st-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
metric-type type-1
route-map exp-ctx-st-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
show ip pip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

***由于CSCvd68302，如果路由配置文件在BD子网级别关联，然后删除了路由映射，则可能无法删除。解决方法是在路由配置文件中进行一些更改(例如：切换设置规则)以触发清理。  这将在未来的软件版本中修复。

在“默认”级别应用路由配置文件

在l3out级别可以配置两个不同的默认路由配置文件。这些是“default-import”和“default-export”路由配置文件。这些功能无需在任何地方应用。只要它们存在，它们就会影响从l3out通告的匹配路由。配置与任何其他路由配置文件创建相同，但名称必须指定为“default-export”或“default-import”。 如果软件版本足够晚，则这两个名称将作为选项显示在下拉列表中。

默认导出路由映射会创建适用于两种不同类型路由的匹配条目：

1.  正在通告出去的外部路由（中转前缀）。 关联的路由映射条目将匹配默认导出匹配规则中匹配的任何项，执行情景中指定的设置规则，并将路由标记隐式设置为vrf标记。在ACI中完成传输路由时，隐式标记集随时完成。边界枝叶永远不会在设置了此标记的路由表中安装路由，因此在中转前缀上设置该路由可确保前缀永远不会回到ACI并安装在同一VRF的路由表中。

2.  正在通告出去的内部路由（BD前缀）。 此关联的路由映射条目将匹配默认导出匹配规则中匹配的任何条目，并执行关联的设置操作。如果路由配置文件设置为“combinable”（匹配前缀和路由策略），则路由映射中的此条目将隐式包含所有BD子网。如果未设置为可组合，则只匹配匹配规则中匹配的项。

***重要信息：将default-export设置为“仅匹配路由策略”（不可组合）将导致BD子网在路由配置文件中未明确匹配时停止通告。

在以下示例中，BD子网为200.0.0.0/24和210.0.0.0/24。路由配置文件有一个与210.0.0.0/24匹配的上下文，并将社区设置为200:200。将应用默认导出并将其设置为不可组合。

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4002
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

前缀列表为“ext-out”的路由映射条目用于中转前缀。它仅匹配匹配规则中的匹配项，并将标记设置为vrf默认标记。前缀列表为“int-out”的第二个路由映射条目用于通告出去的内部前缀（BD子网）。由于路由配置文件未设置为可兼容，因此它仅与210.0.0.0/24匹配，因为这是匹配规则指定的。另一个BD子网200.0.0.0/24不匹配，流向该子网的流量可能被列入黑名单。

将路由配置文件更改为可组合后：

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 210.0.0.1/24 seq 3 permit 200.0.0.1/24

中转前缀的路由映射条目保持不变，但内部前缀的条目现在包括所有BD前缀以及匹配规则中指定的内容。

在外部EPG和外部EPG子网级别应用路由配置文件

路由配置文件也可直接应用于外部epg级别或外部epg内的子网级别。这用于将策略应用于中转前缀，但也可用于将策略应用于内部前缀。唯一的警告是内部前缀（如果匹配）将收到默认vrf标记。如果这些子网应通告回不同VRF中的ACI，则请确保更改该VRF的默认标记，以便接受前缀并将其安装在路由表中。

如果路由配置文件设置为“不可组合”，则在外部EPG级别应用路由配置文件与在外部EPG子网级别应用路由配置文件之间没有区别。路由映射条目将仅匹配匹配规则中明确匹配的条目。如果路由配置文件设置为可组合且路由配置文件在扩展EPG级别应用，则每个匹配条目将匹配明确指定的条目和定义为“导出路由控制子网”的所有子网。 如果路由配置文件设置为可组合并且在Ext EPG子网级别应用，则路由配置文件将匹配明确指定的内容，并隐式匹配应用于IF的EPG子网，该子网设置为“导出路由控制子网”。

在本示例中，BD子网为200.0.0.0/24和210.0.0.0/24。89.89.89.89/32和90.90.90.90/32被指定为设置了“export route control subnet”的L3out网络。路由映射配置文件具有与210.0.0.0/24匹配的上下文，并将社区设置为200:200。路由配置文件应用于扩展EPG级别，且不可组合。

leaf6# show bgp ipv4 un neighbors 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

请注意，路由映射条目仅与匹配规则中指定的内容匹配，即使子网定义为“export route-control subnet”。 路由映射中仍有一个条目，允许所有设置为“外部通告”且与此L3out关联的BD子网。

如果路由配置文件更改为可组合：

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32 seq 3 permit 90.90.90.90/32

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

现在请注意，应用策略的条目匹配所有设置为“export route-control subet”的子网。

如果路由配置文件可组合并且直接应用于设置为“export route-control subnet”的子网之一：

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7802
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32

请注意，应用策略的路由映射条目包括路由配置文件上下文中匹配的条目以及自选择“export route-control subnet”后应用的子网。具有“export route-control subnet”的另一个子网不包括在应用策略的路由映射条目中，尽管该策略在仅允许它并设置传输标记的隐式规则中匹配。

在L3out级别应用路由配置文件作为互漏策略：

“Route Profile for Interleak”专门用于在将前缀从某些外部协议重新分配到BGP时设置策略。这是路由配置文件应配置在“外部路由网络”(External Routed Networks)而不是l3out下的唯一情况。然后，路由配置文件将作为“Route Profile for Interleak”策略应用于源外部协议（非bgp）。当前缀重分发到内部交换矩阵bgp进程时，这对设置BGP属性非常有用，也可用于在将传输前缀从非bgp l3out通告到bgp l3out时设置bgp属性。

在本例中，从OSPF接收89.89.89.89/32。正在向与89.89.89.89/32匹配并将BGP社区设置为200:200的OSPF l3out应用泄漏路由配置文件。当OSPF路由重分发到BGP时，将应用策略。要检验此情况，您将查看在BGP进程中设置的路由映射。

使用show bgp process验证用于从OSPF重分发到BGP的路由映射。

leaf6# show bgp process vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistri
Redistribution
direct, route-map permit-all
static, route-map imp-ctx-bgp-st-interleak-3080194
ospf, route-map imp-ctx-proto-interleak-3080194
route-map imp-ctx-proto-interleak-3080194, permit, sequence 1
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive

leaf6# show ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst: 1 entries
seq 1 permit 89.89.89.89/32

请注意，OSPF EPG还包括“0.0.0.0”子网，但从OSPF重新分发到BGP的唯一内容是89.89.89.89。将路由配置文件设置为“可组合”与“不可组合”对间漏策略没有影响。

必须知道，在设置了间漏策略时，BGP中不会隐含任何内容。如果没有间隔策略设置（默认），则允许所有内容；如果为interleak设置了路由配置文件，则除明确匹配的路由外，不允许任何内容。对此的误解可能导致在配置间漏策略时发生故障。

拒绝规则

2.3(1)软件增加了拒绝特定前缀的功能。以前只能匹配允许规则，因此无法使用路由配置文件拒绝特定前缀。拒绝操作在路由配置文件情景中设置：

当将拒绝规则与设置为“combinable”(Match Prefix AND Routing Policy)的路由配置文件一起使用时，应特别小心。

以下列出当路由配置文件设置为combinable v. non-combinable时拒绝规则的行为

在网桥域子网级别应用路由配置文件时拒绝规则行为

可组合 — 拒绝规则将匹配匹配规则中指定的任何内容以及路由配置文件应用到的BD子网。
不可组合 — 拒绝规则将仅匹配匹配规则中指定的内容。

在网桥域级别应用路由配置文件时拒绝规则行为

可组合 — 拒绝规则将匹配匹配规则中指定的任何内容以及该BD中配置的所有子网。
不可组合 — 拒绝规则将仅匹配匹配规则中指定的内容。

在默认导出级别应用路由配置文件的拒绝规则行为

可组合 — 拒绝规则将隐式匹配所有BD子网（设置为从外部通告）以及规则中匹配的内容
不可组合 — 拒绝规则将仅匹配匹配规则中指定的内容。

在L3out网络实例级别应用导出路由配置文件的拒绝规则行为

可组合 — 拒绝规则将隐式匹配所有设置了“导出路由控制子网”的网络以及匹配规则中匹配的内容。
不可组合 — 拒绝规则将仅匹配匹配规则中的匹配项。

在L3out网络子网级别应用导出路由配置文件的拒绝规则行为

可组合 — 如果应用导出路由配置文件的网络选择了“导出路由控制子网”，则匹配该子网以及匹配规则中的匹配项。
不可组合 — 拒绝规则将仅匹配匹配规则中的匹配项。

拒绝规则行为，导出路由配置文件应用于“Route Profile for Interleak”级别

— 拒绝规则不适用于此处。无论是否设置“deny”，枝叶上解析的路由映射都将具有匹配规则。拒绝入站前缀应通过在外部设备上导入安全或路由过滤来完成。

其他备注

RPM过程在内部用于从路由配置文件配置路由映射。查看RPM信息的最有用命令可通过“show system internal rpm ...”查看。 验证路由映射在配置更改时实际被应用、删除或更改的一种方法是查看枝叶交换机上的RPM事件历史记录：

show system internal rpm event-history events