ACI Route-Profile 사용

Route-Profile 개요 

-2.3(1) Apic SW가 모든 테스트에 사용되었습니다.

-Export route-control 시행이 사용됩니다.

경로 프로필은 ACI에서 어떤 종류의 정책을 경로에 적용하는 데 사용됩니다.이 규칙은 정책이 적용되어야 하는 경로를 정의하는 일치 규칙과 경로 특성을 변경하는 방법을 정의하는 집합 규칙으로 구성됩니다.예를 들어, route-profile은 특정 접두사를 매칭하고 OSPF 메트릭 유형을 1로 변경하는 데 사용됩니다. 매칭하고 설정할 수 있는 기준은 각 ACI 버전에서 지원되는 사항을 기반으로 합니다.

경로 프로필은 목표가 무엇인지에 따라 여러 레벨로 적용할 수 있습니다.여기에는 다음이 포함됩니다.
-브리지 도메인 L3 컨피그레이션
-브리지 도메인 서브넷 구성
-l3out에 구성된 기본 가져오기 및 기본 내보내기 정책
- 가져오기 또는 내보내기 방향의 L3out EPG(네트워크)또한 경로 프로필은 전체 EPG가 아닌 특정 L3out EPG 서브넷에 적용할 수 있습니다.
-l3out 레벨에서 구성된 Interleak Policy

Route-profiles는 가져오기 방향으로 구성할 수 있지만 L3out 레벨에서 "Import(가져오기)" Route Control Enforcement(경로 제어 시행)를 선택하지 않으면 컨피그레이션이 적용되지 않습니다

경로 프로필 구성

경로 프로필은 특정 l3out 또는 '외부 라우티드 네트워크' 아래에 구성할 수 있습니다. Interleak Policy에 route-profile을 사용하는 경우 'External Routed Networks' 아래에 적용해야 합니다. 다른 모든 사용자의 경우 정책이 적용되는 l3out 아래에 route-profile을 구성해야 합니다.

Route-Profile을 구성할 때 아래 창이 표시됩니다.

"Match Prefix and Routing Policy(접두사 및 라우팅 정책 일치)" 및 "Match Routing Policy Only(라우팅 정책만 일치)" 중에서 선택할 수 있습니다. 이러한 옵션은 route-profile이 적용되는 레벨에 따라 적용됩니다.일반적으로 "Match Prefix and Routing Policy(접두사 및 라우팅 정책 일치)에서 프로파일을 'combinable'로 정의합니다. 즉, 정의된 모든 일치 규칙에는 암시적으로 '외부 알림'으로 설정된 BD 서브넷 및 일치 규칙에 의해 명시적으로 일치하는 다른 항목이 포함됩니다."Match Routing Policy Only(일치 라우팅 정책만)"는 경로 프로파일을 '비결합(non-combinable)'으로 만듭니다. 즉, 프로파일은 일치 규칙에 의해 명시적으로 매칭되는 항목만 매칭합니다.BD 서브넷은 구현되지 않습니다. 외부 EPG 레벨 '결합 가능'에 적용하면 "export route-control subnets"가 BD 서브넷이 아닌 각 규칙에서 암시적으로 일치함을 의미합니다.

route-profile에는 컨텍스트가 필요합니다.

컨텍스트는 일치 규칙과 설정 규칙을 포함하는 객체입니다.각 컨텍스트에는 둘 이상의 컨텍스트가 있을 경우 컨텍스트를 평가해야 하는 순서를 정의하는 주문(0-9)이 있습니다.하나 이상의 컨텍스트로 경로 프로파일이 생성되면 적용할 수 있습니다.

브리지 도메인 레벨에서 경로 프로파일 적용

브리지 도메인 레벨의 경로 프로필은 일반적으로 특정 BD에 정의된 모든 서브넷에 정책을 적용하는 데 사용됩니다.이를 구성하려면 Bridge Domain(브리지 도메인) 아래의 'L3 Configurations(L3 컨피그레이션)'로 이동하여 서브넷을 알릴 때 정책을 적용할 L3out을 선택한 다음 해당 l3out에 구성된 route-profile을 선택합니다.

이 예에서 BD 서브넷은 200.0.0.0/24이고 route-profile에는 210.0.0.0/24과 일치하는 하나의 일치 규칙이 있으며 커뮤니티를 200:200으로 설정합니다. route-profile이 "Match Prefix AND Routing Policy"를 조합하도록 설정되어 있으므로 규칙은 명시적으로 210.0.0.0/24과 일치하고 암시적으로 200.0.0.0/24(BD 서브넷)와 일치하게 됩니다.

사용 중인 외부 프로토콜에 따라 경로 프로파일이 BGP(인접 디바이스)에 대한 아웃바운드 경로 맵으로 또는 OSPF(외부 프로토콜)에 고정 BD 서브넷을 재배포할 때 프로토콜 레벨에서 적용됩니다.

BGP가 l3out 프로토콜일 때 이 컨피그레이션을 확인하려면..

-인접 디바이스 주소 찾기:

leaf6# show bgp ipv4 unicast summary vrf Joe-TESTING:Joe-VRF
BGP summary information for VRF Joe-TESTING:Joe-VRF, address family IPv4 Unicast
BGP router identifier 106.106.106.106, local AS number 100
BGP table version is 97, IPv4 Unicast config peers 1, capable peers 1
7 network entries and 7 paths using 1204 bytes of memory
BGP attribute entries [4/576], BGP AS path entries [1/6]
BGP community entries [0/0], BGP clusterlist entries [6/24]
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
2.2.2.2 4 12345 5833 5924 97 0 0 4d01h 3

-해당 인접 디바이스에 사용되는 아웃바운드 경로 맵을 찾습니다.

leaf6# show bgp ipv4 un neighbor 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

-route-map의 내용을 확인하십시오.

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:


leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-match-any-export2any0210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 << Match rule
seq 2 permit 200.0.0.1/24 << Implicit match because route-profile is combinable.

위의 예에서 시퀀스 7801은 BD 서브넷과 일치하므로 BD 서브넷이 시퀀스 4001과 7801의 구현과 일치됩니다.route-profile이 "Match Routing Policy Only(라우팅 정책만 일치)"로 설정된 경우 일치 규칙은 BD 서브넷이 아닌 210.0.0.0/24만 포함합니다.BD 서브넷은 나중에 시퀀스 번호로 암시적으로 매칭되므로 허용될 수 있습니다(이전 소프트웨어 릴리스에 대해 동일한 동작인지 여부는 확실하지 않음).

브리지 도메인 서브넷 레벨에서 경로 프로파일 적용

route-profile은 BD 서브넷에 직접 연결할 수 있습니다.이를 위한 유일한 활용 사례 중 하나는 BD에 둘 이상의 서브넷이 구성되어 있고 둘 이상의 l3out에 광고되므로 이러한 서브넷에 정책을 적용해야 하는 경우입니다.(현재 route-profile에 대해 하나의 l3out만 BD 레벨에 연결할 수 있음)

구성은 다음과 같습니다.

BD 레벨에서 경로 프로파일을 적용하는 것과 BD 서브넷 레벨을 적용하는 것 사이의 유일한 차이점은 "Match Prefix AND Routing Policy(접두사 및 라우팅 정책 일치)"를 선택하면 연결된 BD 서브넷만 각 일치 규칙에 암시적으로 포함된다는 것입니다.따라서 동일한 BD에 둘 이상의 BD 서브넷이 있는 경우 route-profile이 연결된 서브넷만 암시적으로 매칭됩니다.이는 BD 레벨에서 route-profile을 적용하는 것과 동일한 방식으로 확인할 수 있습니다.이 예에서는 OSPF를 사용합니다.

BD는 200.0.0.0/24 및 210.0.0.0/24 서브넷으로 구성됩니다.route-profile은 OSPF l3out 아래에 구성되며 210.0.0.0/24 BD 서브넷에 연결됩니다.route-profile은 'combinable'으로 설정되므로 210.0.0.0/24(명시적 일치), 210.0.0.1/24(암시적 일치)과 일치하고 200.0.0.0/24(기타 bd 서브넷)이 아닌 210.과 일치해야 합니다.200.0.0.0/24은 route-profile의 끝에서 구현되며 허용될 것입니다.route-map은 ospf metric-type을 1로 설정합니다.

- static to ospf 재배포에 사용되는 route-map을 가져옵니다.

leaf6# show ip ospf vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistributing
Redistributing External Routes from
static route-map exp-ctx-st-3080194
direct route-map exp-ctx-st-3080194
bgp route-map exp-ctx-proto-3080194
eigrp route-map exp-ctx-proto-3080194
leaf6# show route-map exp-ctx-st-3080194
route-map exp-ctx-st-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
metric-type type-1
route-map exp-ctx-st-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst
show ip pip prefix-list IPv4-st10934-3080194-exc-int-out-non-default-export100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-st10934-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

***CSCvd68302로 인해 BD 서브넷 레벨에서 경로 프로파일이 연결된 다음 경로 맵을 제거하지 못할 수 있습니다.해결 방법은 route-profile(예:set rule(규칙 설정)을 토글하여 정리를 트리거합니다.  이는 향후 소프트웨어 릴리스에서 수정될 예정입니다.

'기본' 레벨에서 경로 프로파일 적용

l3out 레벨에서 구성할 수 있는 두 가지 기본 경로 프로파일이 있습니다.이는 'default-import' 및 'default-export' route-profiles입니다.이러한 기능은 어디에서도 적용할 필요가 없습니다.존재하는 한 해당 l3out을 광고하고 있는 일치하는 경로에 영향을 미칩니다.이름은 'default-export' 또는 'default-import'로 지정해야 한다는 점을 제외하고, 컨피그레이션은 다른 경로 프로파일 생성과 동일합니다. 소프트웨어 버전이 충분히 늦게 되면 이 두 이름이 드롭다운에 옵션으로 표시됩니다.

default-export route-map은 서로 다른 두 경로 유형에 적용되는 일치 항목을 생성합니다.

1 .  광고되는 외부 경로(전송 접두사). 연결된 route-map 엔트리는 default-export match 규칙에서 일치하는 항목과 일치하고, 컨텍스트에 지정된 세트 규칙을 수행하고, 암시적으로 route-tag를 vrf 태그로 설정합니다.암시적 태그 세트는 ACI에서 전송 라우팅이 수행될 때마다 수행됩니다.경계 leaf는 이 태그가 설정된 라우팅 테이블에 경로를 설치하지 않으므로 트랜짓 접두사에 이 경로를 설정하면 접두사가 ACI로 다시 루프되고 동일한 VRF의 라우팅 테이블에 설치되지 않습니다.

2 .  광고되는 내부 경로(BD 접두사). 이 연결된 경로 맵 항목은 default-export match 규칙에서 일치하는 항목과 일치하고 연결된 설정 작업을 수행합니다.route-profile이 'combinable'(Match Prefix AND Routing Policy)로 설정된 경우 route-map의 이 항목은 모든 BD 서브넷을 암시적으로 포함합니다.결합 가능으로 설정되지 않은 경우 일치 규칙에서 일치하는 항목만 매칭됩니다.

****중요, default-export를 'Match Routing Policy Only'(결합 불가)로 설정하면 BD 서브넷이 route-profile에서 명시적으로 일치하지 않으면 알림이 중지됩니다.

다음 예에서 BD 서브넷은 200.0.0.0/24 및 210.0.0.0/24입니다. route-profile에는 210.0.0.0/24과 일치하는 하나의 컨텍스트가 있으며 커뮤니티를 200:200으로 설정합니다. default-export가 적용되어 비 결합 가능으로 설정됩니다.

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4002
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

접두사 목록 "ext-out"이 있는 route-map 항목은 전송 접두사에 사용됩니다.일치 규칙에서 일치하는 항목만 일치하고 vrf 기본 태그로 태그를 설정합니다.prefix-list "int-out"이 포함된 두 번째 경로 맵 항목은 내부 접두사(BD 서브넷)를 위한 것입니다.route-profile이 combinable로 설정되지 않았으므로 210.0.0.0/24만 일치합니다. 이는 match 규칙이 지정된 것이기 때문입니다.다른 BD 서브넷 200.0.0.0/24이 일치하지 않으며 이 서브넷에 대한 트래픽이 블랙홀일 수 있습니다.

route-profile을 결합 가능으로 변경한 후:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-default-export200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-out-default-export200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 210.0.0.1/24 seq 3 permit 200.0.0.1/24

통과 접두사에 대한 route-map 엔트리는 동일하게 유지되지만 내부 접두사에 대한 엔트리에는 이제 일치 규칙에 지정된 모든 BD 접두사와 일치하는 접두사가 포함됩니다.

외부 EPG 및 외부 EPG 서브넷 레벨에서 경로 프로파일 적용

Route-Profile은 외부 epg 레벨 또는 외부 epg 내의 서브넷 레벨에 직접 적용할 수도 있습니다.이는 트랜짓 접두사에 정책을 적용하는 데 사용되지만 내부 접두사에 정책을 적용하는 데에도 사용할 수 있습니다.유일한 주의 사항은 내부 접두사(일치하는 경우)가 기본 vrf 태그를 수신한다는 것입니다.이러한 서브넷을 다른 VRF에서 ACI로 다시 광고해야 하는 경우 접두사가 수락되고 라우팅 테이블에 설치되도록 해당 vrf에 대한 기본 태그를 변경해야 합니다.

route-profile이 'non-combinable'로 설정된 경우 Ext EPG 레벨에서 route-profile을 적용하는 것과 Ext EPG 서브넷 레벨을 적용하는 것 사이에는 차이가 없습니다.route-map 항목은 일치 규칙에서 명시적으로 일치하는 항목만 매칭합니다.route-profile이 결합 가능으로 설정되어 있고 Ext EPG 레벨에서 route-profile이 적용된 경우 각 일치 항목은 명시적으로 지정된 항목과 'export route-control subnet'으로 정의된 서브넷과 일치합니다. route-profile이 결합 가능으로 설정되고 Ext EPG 서브넷 레벨에서 적용되는 경우 route-profile은 명시적으로 지정된 것과 일치하고 해당 서브넷이 "export route-control subnet"으로 설정된 경우 IF에 적용되는 EPG 서브넷과 암시적으로 일치합니다.

이 예에서 BD 서브넷은 200.0.0.0/24 및 210.0.0.0/24입니다. 89.89.89.89/32 및 90.90.90.90/32은 "export route control subnet"이 설정된 L3out 네트워크로 지정됩니다.route-map 프로파일에는 210.0.0.0/24과 일치하는 컨텍스트가 있으며 커뮤니티를 200:200으로 설정합니다. route-profile은 Ext EPG 레벨에서 적용되며 결합할 수 없습니다.

leaf6# show bgp ipv4 un neighbors 2.2.2.2 vrf Joe-TESTING:Joe-VRF | grep map
Inbound route-map configured is permit-all, handle obtained
Outbound route-map configured is exp-l3out-BGP-outside-peer-3080194, handle obtained

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 1 entries
seq 1 permit 210.0.0.0/24

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

서브넷이 "export route-control subnet"으로 정의되어 있더라도 route-map 항목은 일치 규칙에 지정된 항목만 일치시킵니다. 경로 맵에는 "외부 알림"으로 설정되고 이 L3out에 연결된 모든 BD 서브넷을 허용하는 항목이 여전히 있습니다.

route-profile이 결합 가능으로 변경된 경우

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 4001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg200210.0.0.0-dst: 3 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32 seq 3 permit 90.90.90.90/32

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst
ip prefix-list IPv4-peer10932-3080194-exc-int-inferred-export-dst: 2 entries
seq 1 permit 210.0.0.1/24 seq 2 permit 200.0.0.1/24

이제 정책을 적용하는 항목이 "export route-control subet"으로 설정된 모든 서브넷과 일치하는지 확인합니다.

route-profile이 결합되어 "export route-control subnet"으로 설정된 서브넷 중 하나에 직접 적용되는 경우:

leaf6# show route-map exp-l3out-BGP-outside-peer-3080194
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 2001
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
community 200:200 additive
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7801
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-int-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, permit, sequence 7802
Match clauses:
ip address prefix-lists: IPv4-peer10932-3080194-exc-ext-inferred-export-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
tag 4294967295
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8000
Match clauses:
route-type: static
Set clauses:
route-map exp-l3out-BGP-outside-peer-3080194, deny, sequence 8001
Match clauses:
route-type: direct
Set clauses:

leaf6# show ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst
ip prefix-list IPv4-peer10932-3080194-exc-ext-out-external-epg100210.0.0.0-dst: 2 entries
seq 1 permit 210.0.0.0/24 seq 2 permit 89.89.89.89/32

정책을 적용하는 route-map 엔트리에는 "export route-control subnet"이 선택되었기 때문에 적용되는 서브넷 및 경로 프로파일 컨텍스트에서 일치하는 항목이 포함됩니다."export route-control subnet"이 있는 다른 서브넷은 정책을 적용하는 route-map 항목에 포함되지 않습니다. 그러나 정책을 적용하는 암시적 규칙에 일치하고 단순히 트랜짓 태그를 설정합니다.

L3out 레벨에서 Interleak 정책으로 경로 프로파일 적용:

"Route Profile for Interleak"은 일부 외부 프로토콜에서 BGP로 접두사를 재배포할 때 정책을 설정하기 위해 특별히 고안된 것입니다.이 경우 경로 프로파일을 l3out이 아닌 "외부 라우팅 네트워크"에서 구성해야 합니다.그런 다음 route-profile은 소스 외부 프로토콜(non-bgp)에 "Route Profile for Interleak" 정책으로 적용됩니다.이 기능은 접두사가 내부 패브릭 bgp 프로세스로 재배포될 때 BGP 특성을 설정하거나, 비 bgp l3out에서 bgp l3out으로 트랜짓 접두사를 알릴 때 bgp 특성을 설정하는 데 사용할 수도 있습니다.

이 예에서는 89.89.89.89/32이 OSPF에서 수신되고 있습니다.89.89.89.89/32과 일치하고 BGP 커뮤니티를 200:200으로 설정하는 OSPF l3out에 Interleak route-profile이 적용됩니다. OSPF 경로가 BGP로 재배포될 때 정책이 적용됩니다.이를 확인하려면 BGP 프로세스에서 설정된 경로 맵을 살펴봅니다.

"show bgp process"를 사용하여 OSPF에서 BGP로 재배포하는 데 사용되는 경로 맵을 확인합니다.

leaf6# show bgp process vrf Joe-TESTING:Joe-VRF | grep -A 4 Redistri
Redistribution
direct, route-map permit-all
static, route-map imp-ctx-bgp-st-interleak-3080194
ospf, route-map imp-ctx-proto-interleak-3080194
route-map imp-ctx-proto-interleak-3080194, permit, sequence 1
Match clauses:
ip address prefix-lists: IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ipv6 address prefix-lists: IPv6-deny-all
Set clauses:
community 200:200 additive

leaf6# show ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst
ip prefix-list IPv4-st10934-3080194-ext-in-OSPF-to-BGP00089.89.89.89-dst: 1 entries
seq 1 permit 89.89.89.89/32

OSPF epg에는 "0.0.0.0" 서브넷도 포함되지만 OSPF에서 BGP로 재배포되는 유일한 방법은 89.89.89.89입니다. route-profile을 "combinable" 대 "non-combinable"로 설정하면 상호 누설 정책에 영향을 주지 않습니다.

상호 누설 정책이 설정될 때 BGP에 어떤 것도 암시적으로 허용되지 않는다는 것을 알아야 합니다.상호 누설 정책 집합(기본값)이 없으면 모든 것이 허용됩니다.interleak에 대한 route-profile이 설정된 경우 명시적으로 매칭되는 것 외에는 아무 것도 허용되지 않습니다.이러한 오해는 상호 누설 정책을 구성할 때 중단으로 이어질 수 있습니다.

규칙 거부

특정 접두사를 거부할 수 있는 기능이 2.3(1) 소프트웨어에 추가되었습니다.이전에 허용 규칙만 일치시킬 수 있으므로 route-profiles를 사용하여 특정 접두사를 거부할 수 없습니다.deny 작업은 route-profile 컨텍스트에서 설정됩니다.

'결합 가능(Match Prefix AND Routing Policy)으로 설정된 Route-Profile과 함께 거부 규칙을 사용할 때는 특별 주의를 기울여야 합니다.

다음은 route-profile이 결합 가능 v. 비결합 가능으로 설정된 경우 거부 규칙의 동작을 나열합니다.

브리지 도메인 서브넷 레벨에서 경로 프로파일이 적용된 규칙 동작 거부

결합 가능 - 거부 규칙은 일치 규칙 및 경로 프로파일이 적용되는 BD 서브넷에 지정된 것과 일치합니다.
Non-combinable - 거부 규칙은 일치 규칙에 지정된 것에만 일치합니다.

Bridge Domain 수준에서 route-profile이 적용된 규칙 동작 거부

결합 가능 - 거부 규칙은 일치 규칙에 지정된 것은 물론 해당 BD 내에 구성된 모든 서브넷과 일치합니다.
Non-combinable - 거부 규칙은 일치 규칙에 지정된 것만 매칭합니다.

Default-Export 레벨에 경로 프로파일이 적용된 규칙 거부 동작

결합 가능 - 거부 규칙은 외부 광고로 설정된 모든 BD 서브넷과 규칙에서 일치하는 항목을 암시적으로 매칭합니다.
Non-Combinable - Deny 규칙은 일치 규칙에 지정된 것에만 일치합니다.

L3out 네트워크 인스턴스 레벨에 적용되는 export route-profile의 규칙 거부 동작

결합 가능 - 거부 규칙은 "export route control subnet"이 설정된 모든 네트워크와 일치 규칙에서 일치하는 항목을 암시적으로 일치시킵니다.
Non-combinable - 거부 규칙은 일치 규칙에서 일치하는 항목만 매칭합니다.

L3out 네트워크 서브넷 수준에서 적용된 내보내기 경로 프로필을 사용한 거부 규칙 동작

결합 가능 - export route-profile이 적용된 네트워크에서 "export route control subnet"을 선택한 경우 일치 규칙의 일치 항목뿐만 아니라 일치 항목도 일치됩니다.
Non-combinable - 거부 규칙은 일치 규칙에서 일치하는 항목만 매칭합니다.

"Route Profile for Interleak" 레벨에 적용된 export route-profile의 규칙 동작 거부

-거부 규칙은 여기에서 사용할 수 없습니다.'deny'의 설정 여부와 상관없이 리프의 확인된 경로 맵에는 일치 규칙이 있습니다.인바운드 접두사를 거부하려면 외부 디바이스에서 가져오기 보안 또는 경로 필터링을 수행해야 합니다.

기타 참고 사항

RPM 프로세스는 경로 프로필에서 경로 맵을 구성하는 데 내부적으로 사용됩니다.RPM 정보를 볼 수 있는 가장 유용한 명령은 "show system internal rpm ..."으로 볼 수 있습니다. 컨피그레이션이 변경될 때 경로 맵이 실제로 적용, 제거 또는 변경되는지 확인하는 한 가지 방법은 Leaf 스위치의 RPM 이벤트 기록을 살펴보는 것입니다.

시스템 내부 rpm 이벤트 기록 이벤트 표시