Comportamento ACL AS-PATH non previsto

4 router, ambiente di laboratorio. Cercare di filtrare le rotte originate da AS2 (non sfruttando AS2 come transito). Il processo che ho seguito è:

Bakers#sh ip bgp regex _2_
BGP table version is 41, local router ID is 33.33.33.33
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 2.2.2.0/24       192.168.23.2             0             0 2 i
*  4.4.4.0/24       192.168.23.2                           0 2 1 i
*> 22.22.22.0/24    192.168.23.2             0             0 2 i
*  44.44.44.0/24    192.168.23.2                           0 2 1 i
*> 192.168.12.0     192.168.23.2             0             0 2 i
*  192.168.14.0     192.168.23.2                           0 2 1 i
*  192.168.23.0     192.168.23.2             0             0 2 i

Bakers#sh ip bgp regex _2$
BGP table version is 41, local router ID is 33.33.33.33
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 2.2.2.0/24       192.168.23.2             0             0 2 i
*> 22.22.22.0/24    192.168.23.2             0             0 2 i
*> 192.168.12.0     192.168.23.2             0             0 2 i
*  192.168.23.0     192.168.23.2             0             0 2 i

A questo punto, sto pensando, OK - ho quello che mi serve per creare un ACL as-path per filtrare le cose che provengono da AS2 poiché la ricerca regex verifica quanto sopra. Creo e applico quanto segue:

Bakers#sh run | i as-path
ip as-path access-list 10 deny _2$
ip as-path access-list 10 permit .*
router bgp 3
 no synchronization
 bgp log-neighbor-changes
 <truncated>
 neighbor 192.168.23.2 remote-as 2
 neighbor 192.168.34.4 remote-as 4
 neighbor 192.168.34.4 filter-list 10 out
 no auto-summary

Mi aspetto quindi che le rotte pubblicizzate imitino l' output "sh ip bgp regex 2 " di prima (dandomi il risultato desiderato), senza le rotte emesse con le rotte "sh ip bgp regex _2 $". Sfortunatamente, ottengo questo:

Bakers#sh ip bgp neigh 192.168.34.4 advertised-routes 
BGP table version is 41, local router ID is 33.33.33.33
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 3.3.3.0/24       0.0.0.0                  0         32768 i
*> 33.33.33.0/24    0.0.0.0                  0         32768 i
*> 192.168.23.0     0.0.0.0                  0         32768 i
*> 192.168.34.0     0.0.0.0                  0         32768 i

Sta filtrando tutte le rotte originate da AS1 (nel senso che a valle, quel router non può più usare AS3 come transito verso AS1 - rompendo il mio caso d'uso). Cosa mi sto perdendo qui?

bgp

— AL
fonte

Solo uno scatto al buio, ma hai provato una mappa del percorso invece di un elenco di filtri?

— Ron Trunk,

@RonTrunk - No signore, no, ma lo proverò non appena il tempo lo permetterà. Oltre ad essere una valida alternativa, hai mai notato che il comportamento dell'elenco filtri varia da quello del comportamento della mappa del percorso? Sto pensando che questo potrebbe essere un comportamento errato.

— AL

Qualche risposta ti è stata d'aiuto? in tal caso, dovresti accettare la risposta in modo che la domanda non continui a comparire per sempre, cercando una risposta. In alternativa, potresti fornire e accettare la tua risposta.

— Ron Maupin

@AL secondo il suggerimento di @ Ron, la regex del percorso AS in IOS viene applicata utilizzando una mappa del percorso. Per l'uso esistente dell'elenco di accessi come percorsoroute-map BLAH permit 10; match as-path 10;

— jwbensley

Quali percorsi venivano pubblicizzati prima di aggiungere il filtro? Il mio BGP è molto arrugginito, ma non ricordo i percorsi pubblicitari BGP che non si trovano nella FIB (ovvero i percorsi "migliori"). In quanto tali, gli unici percorsi installati da AS2 sono AS2 di origine ( _2 $ ); le rotte di transito ( _2_ ) non vengono installate, quindi non vengono pubblicizzate.

— Ricky Beam
fonte

Ci è voluto un po 'ma ci siamo arrivati - grazie!

— AL