Comportement inattendu de l'ACL AS-PATH

4 routeurs, environnement de laboratoire. Essayer de filtrer les itinéraires en provenance d'AS2 (et non de tirer parti d'AS2 en tant que transit). Le processus que j'ai suivi est le suivant:

Bakers#sh ip bgp regex _2_
BGP table version is 41, local router ID is 33.33.33.33
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 2.2.2.0/24       192.168.23.2             0             0 2 i
*  4.4.4.0/24       192.168.23.2                           0 2 1 i
*> 22.22.22.0/24    192.168.23.2             0             0 2 i
*  44.44.44.0/24    192.168.23.2                           0 2 1 i
*> 192.168.12.0     192.168.23.2             0             0 2 i
*  192.168.14.0     192.168.23.2                           0 2 1 i
*  192.168.23.0     192.168.23.2             0             0 2 i

Bakers#sh ip bgp regex _2$
BGP table version is 41, local router ID is 33.33.33.33
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 2.2.2.0/24       192.168.23.2             0             0 2 i
*> 22.22.22.0/24    192.168.23.2             0             0 2 i
*> 192.168.12.0     192.168.23.2             0             0 2 i
*  192.168.23.0     192.168.23.2             0             0 2 i

À ce stade, je pense, OK - avoir ce dont j'ai besoin pour créer un ACL as-path pour filtrer les éléments provenant d'AS2 depuis que la recherche d'expressions régulières est vérifiée par ce qui précède. Je crée et applique les éléments suivants:

Bakers#sh run | i as-path
ip as-path access-list 10 deny _2$
ip as-path access-list 10 permit .*
router bgp 3
 no synchronization
 bgp log-neighbor-changes
 <truncated>
 neighbor 192.168.23.2 remote-as 2
 neighbor 192.168.34.4 remote-as 4
 neighbor 192.168.34.4 filter-list 10 out
 no auto-summary

Je m'attendrais alors à ce que les routes annoncées imitent la sortie ` ` sh ip bgp regex 2 '' antérieure (me donnant le résultat souhaité), sans la sortie des routes avec les routes 'sh ip bgp regex _2 $'. Malheureusement, je reçois ceci:

Bakers#sh ip bgp neigh 192.168.34.4 advertised-routes 
BGP table version is 41, local router ID is 33.33.33.33
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 3.3.3.0/24       0.0.0.0                  0         32768 i
*> 33.33.33.0/24    0.0.0.0                  0         32768 i
*> 192.168.23.0     0.0.0.0                  0         32768 i
*> 192.168.34.0     0.0.0.0                  0         32768 i

Il filtre toutes les routes provenant d'AS1 (ce qui signifie qu'en aval, ce routeur ne peut plus utiliser AS3 comme transit vers AS1 - ce qui brise mon cas d'utilisation). Qu'est-ce que j'oublie ici?

Quels itinéraires étaient annoncés avant d'ajouter le filtre? Mon BGP est très rouillé, mais je ne me souviens pas des routes publicitaires BGP qui ne sont pas dans le FIB (aka "meilleures" routes.) En tant que tel, les seules routes installées à partir d'AS2 sont l'origine AS2 ( _2 $ ); les routes de transit ( _2_ ) ne sont pas en cours d'installation, elles ne sont donc pas publiées.