لا يعمل إجراء TLOC في سياسة التحكم المركزي
المقدمة
يوضح هذا المستند لماذا يمكن أن يظل مسار بروتوكول إدارة التغشية (OMP) غير صالح عند إستخدام set tloc-action في سياسة تحكم مركزية
المخطط
في هذا المثال، يتم توجيه حركة المرور بين الموقع 40 والموقع 60 عبر الموقع 50. تعمل السياسة على تعيين TLOC الوسيط على vEdge2 وتستخدم الإجراء التقني الأساسي بحيث تفضل حركة المرور مسار biz-internet من خلال الموقع الوسيط.
الخلفية
لا يعمل الإجراء التقني في سياسة التحكم المركزي، حتى على الرغم من أن أنفاق مستوى البيانات تبدو قيد التشغيل، ويصف كيفية تصحيح التكوين.
التكوين
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر. لأغراض هذه المقالة، تم إستخدام الإصدار 18.3.5 من برنامج وحدات التحكم و vEdge.
كافة المواقع لها اتصال ب biz-internet وprivate color، يلخص هذا الجدول التكوين.
| اسم المضيف | معرف الموقع | IP لنظام | عنوان IP على إرتباط biz-internet | عنوان IP على الارتباط الخاص1 |
| vEdge1 | 40 |
192.168.30.104 |
192.168.109.181 |
192.168.110.181 |
| vEdge2 | 50 |
192.168.30.105 |
192.168.109.182 |
192.168.110.182 |
| vEdge3 | 60 |
192.168.30.106 |
192.168.109.183 |
192.168.110.183 |
| vSmart | 1 |
192.168.30.103 |
|
|
لا توجد تكوينات خاصة على vEdges. التهيئة باستخدام مسارين افتراضيين تتسم بالبساطة ويتم تجاهلها هنا للاختصار.
في vSmart، تم تطبيق هذا التكوين:
lists
vpn-list VPN_40
vpn 40
!
site-list sites_40_60
site-id 40
site-id 60
!
prefix-list SITE_40
ip-prefix 192.168.40.0/24
!
prefix-list SITE_60
ip-prefix 192.168.60.0/24
!
!
control-policy REDIRECT_VIA_VEDGE2
sequence 10
match route
prefix-list SITE_40
!
action accept
set
tloc-action primary
tloc 192.168.30.105 color biz-internet encap ipsec
!
!
!
sequence 20
match route
prefix-list SITE_60
!
action accept
set
tloc-action primary
tloc 192.168.30.105 color biz-internet encap ipsec
!
!
!
default-action accept
!
apply-policy
site-list sites_40_60
control-policy REDIRECT_VIA_VEDGE2 out
!
!الهدف هو إعادة توجيه حركة المرور بين الموقع 40 والموقع 60 من خلال الموقع 50 وتفضيل خط الاتصال عبر الإنترنت.
المشكلة
من الإخراج show omp route ، ترى أن المسارات عبر biz-internet لا يمكن تثبيتها على vEdge1 و vEdge3 وقد تم تعيين الحالة إلى غير صالح وغير محلول (Inv،U😞
vedge1# show omp routes | b PATH
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
40 192.168.40.0/24 0.0.0.0 68 1002 C,Red,R installed 192.168.30.104 biz-internet ipsec -
0.0.0.0 81 1002 C,Red,R installed 192.168.30.104 private1 ipsec -
40 192.168.50.0/24 192.168.30.103 4 1002 C,I,R installed 192.168.30.105 biz-internet ipsec -
192.168.30.103 10 1002 C,I,R installed 192.168.30.105 private1 ipsec -
40 192.168.60.0/24 192.168.30.103 8 1002 Inv,U installed 192.168.30.105 biz-internet ipsec -
192.168.30.103 9 1002 C,I,R installed 192.168.30.106 biz-internet ipsec - vedge3# show omp routes | b PATH
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
40 192.168.40.0/24 192.168.30.103 19 1002 Inv,U installed 192.168.30.105 biz-internet ipsec -
192.168.30.103 20 1002 C,I,R installed 192.168.30.104 biz-internet ipsec -
40 192.168.50.0/24 192.168.30.103 16 1002 C,I,R installed 192.168.30.105 biz-internet ipsec -
192.168.30.103 21 1002 C,I,R installed 192.168.30.105 private1 ipsec -
40 192.168.60.0/24 0.0.0.0 68 1002 C,Red,R installed 192.168.30.106 biz-internet ipsec -
0.0.0.0 81 1002 C,Red,R installed 192.168.30.106 private1 ipsec - في الوقت نفسه، ترى أنفاق مستوى البيانات على نظام biz-internet قيد التشغيل بين نظام vEdge1 و vEdge3:
vedge1# show bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.105 50 up biz-internet biz-internet 192.168.109.181 192.168.109.182 12366 ipsec 7 1000 0:02:52:22 0
192.168.30.105 50 up private1 private1 192.168.110.181 192.168.110.182 12366 ipsec 7 1000 0:00:00:12 1
192.168.30.106 60 up biz-internet biz-internet 192.168.109.181 192.168.109.183 12366 ipsec 7 1000 0:02:52:22 0
192.168.30.106 60 up private1 private1 192.168.110.181 192.168.110.183 12366 ipsec 7 1000 0:00:56:28 0 vedge3# show bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.104 40 up biz-internet biz-internet 192.168.109.183 192.168.109.181 12366 ipsec 7 1000 0:02:54:25 0
192.168.30.104 40 up private1 private1 192.168.110.183 192.168.110.181 12366 ipsec 7 1000 0:00:58:30 0
192.168.30.105 50 up biz-internet biz-internet 192.168.109.183 192.168.109.182 12366 ipsec 7 1000 0:02:54:25 0
192.168.30.105 50 up private1 private1 192.168.110.183 192.168.110.182 12366 ipsec 7 1000 0:00:57:26 0 في الإخراج التفصيلي لمسار العرض omp، ترى أن tloc تم تعيينه بشكل صحيح وأيضا أن untimate-tloc تم تعيينه، ولكن الحالة هي Inv،U وسبب الخسارة غير صالح:
vedge3# show omp routes 192.168.40.0/24 detail
---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
RECEIVED FROM:
peer 192.168.30.103
path-id 19
label 1002
status Inv,U
loss-reason invalid
lost-to-peer 192.168.30.103
lost-to-path-id 20
Attributes:
originator 192.168.30.104
type installed
tloc 192.168.30.105, biz-internet, ipsec
ultimate-tloc 192.168.30.104, biz-internet, ipsec -- primary
domain-id not set
overlay-id 1
site-id 40
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
unknown-attr-len not set
RECEIVED FROM:
peer 192.168.30.103
path-id 20
label 1002
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 192.168.30.104
type installed
tloc 192.168.30.104, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 40
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
unknown-attr-len not setيمكنك أن ترى أن الهدف الرئيسي لا يتم تحقيقه وأن حركة المرور تتبع المسار المباشر، كما يمكن رؤيته على المضيف من الشبكة الفرعية 192.168.40.0/24:
traceroute -n 192.168.60.20 traceroute to 192.168.60.20 (192.168.60.20), 30 hops max, 60 byte packets 1 192.168.40.104 0.288 ms 0.314 ms 0.266 ms 2 192.168.60.106 0.911 ms 1.045 ms 1.140 ms 3 192.168.60.20 1.213 ms !X 1.289 ms !X 1.224 ms !X
الحل
إذا كان الإجراء قبول تعيين الإجراء، فقم بتكوين الخدمة TE على الموجه الوسيط.
وبالتالي، في السيناريو الحالي، يلزم توفر خدمة التكوين على vEdge2 من أجل جعل سياسة التحكم المركزي تعمل لأنك تستخدم هندسة حركة مرور البيانات (TE) بشكل أساسي من خلال التوجيه عبر مسار عشوائي:
vedge2(config)# vpn 40 vedge2(config-vpn-40)# service ? Possible completions: FW IDP IDS TE netsvc1 netsvc2 netsvc3 netsvc4 vedge2(config-vpn-40)# service TE vedge2(config-vpn-40)# commit Commit complete.
بعد تمكين الخدمة TE، يقوم الموجه الوسيط بالإعلان عن معلومات الخدمة المطلوبة، ويمكن تثبيت المسار الذي يتم توجيهه بواسطة السياسة بنجاح.
vsmart1# show omp services | b PATH
PATH
VPN SERVICE ORIGINATOR FROM PEER ID LABEL STATUS
---------------------------------------------------------------------------
40 VPN 192.168.30.104 192.168.30.104 68 1002 C,I,R
192.168.30.104 81 1002 C,I,R
40 VPN 192.168.30.105 192.168.30.105 68 1002 C,I,R
192.168.30.105 81 1002 C,I,R
40 VPN 192.168.30.106 192.168.30.106 68 1002 C,I,R
192.168.30.106 81 1002 C,I,R
40 TE 192.168.30.105 192.168.30.105 68 1007 C,I,R
192.168.30.105 81 1007 C,I,R لاحظ أنه قد تم تعيين المسار الموجه إلى سياسة الحالة على C،I،R:
vedge3# show omp routes 192.168.40.0/24 detail
---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
RECEIVED FROM:
peer 192.168.30.103
path-id 19
label 1002
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 192.168.30.104
type installed
tloc 192.168.30.105, biz-internet, ipsec
ultimate-tloc 192.168.30.104, biz-internet, ipsec -- primary
domain-id not set
overlay-id 1
site-id 40
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
unknown-attr-len not set
RECEIVED FROM:
peer 192.168.30.103
path-id 20
label 1002
status R
loss-reason tloc-action
lost-to-peer 192.168.30.103
lost-to-path-id 19
Attributes:
originator 192.168.30.104
type installed
tloc 192.168.30.104, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 40
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
unknown-attr-len not set
vedge3# show ip routes 192.168.40.0/24 | b PROTOCOL
PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN PREFIX PROTOCOL SUB TYPE IF NAME ADDR VPN TLOC IP COLOR ENCAP STATUS
---------------------------------------------------------------------------------------------------------------------------------------------
40 192.168.40.0/24 omp - - - - 192.168.30.105 biz-internet ipsec F,S
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
2.0 |
12-Mar-2026
|
توضيح قيود "تعيين الإجراء التقني" والحدود، التنسيق. |
1.0 |
28-Mar-2019
|
الإصدار الأولي |
التعليقات