Warum funktioniert das Festlegen von Tloc-Aktionen in einer zentralisierten Kontrollrichtlinie nicht?
Einführung
In diesem Dokument wird das Problem beschrieben, das bei OMP-Routen (Overlay Management Protocol) auftritt, wenn der Befehl set tloc action in centralized control policy verwendet wird, und es wird erläutert, warum dies geschieht und wie es gelöst werden kann.
Topologie
Um das Problem besser zu verstehen, verwenden Sie das folgende einfache Topologiediagramm, in dem die Konfiguration dargestellt wird:
Konfiguration
Für die Zwecke dieses Artikels wurden vEdge und die Controller-Software Version 18.3.5 verwendet.
Alle Seiten haben eine Verbindung zum biz-internet und privaten Farben, diese Tabelle fasst die Konfiguration zusammen.
| Hostname | Standort-ID | system-ip | ip-Adresse auf biz-internet link | IP-Adresse auf private1-Verbindung |
| vEdge1 | 40 | 192.168.30.104 |
192.168.109.181 |
192.168.110.181 |
| vEdge2 | 50 | 192.168.30.105 |
192.168.109.182 |
192.168.110.182 |
| vEdge3 | 60 | 192.168.30.106 |
192.168.109.183 |
192.168.110.183 |
| vSmart | 1 | 192.168.30.103 |
|
|
Für vEdges gibt es keine speziellen Konfigurationen. Die Konfiguration mit zwei Standardrouten ist recht einfach und wird hier aus Gründen der Kürze weggelassen.
Auf vSmart wurde diese Konfiguration angewendet:
lists
vpn-list VPN_40
vpn 40
!
site-list sites_40_60
site-id 40
site-id 60
!
prefix-list SITE_40
ip-prefix 192.168.40.0/24
!
prefix-list SITE_60
ip-prefix 192.168.60.0/24
!
!
control-policy REDIRECT_VIA_VEDGE2
sequence 10
match route
prefix-list SITE_40
!
action accept
set
tloc-action primary
tloc 192.168.30.105 color biz-internet encap ipsec
!
!
!
sequence 20
match route
prefix-list SITE_60
!
action accept
set
tloc-action primary
tloc 192.168.30.105 color biz-internet encap ipsec
!
!
!
default-action accept
!
apply-policy
site-list sites_40_60
control-policy REDIRECT_VIA_VEDGE2 out
!
!
Das Hauptziel dieser Richtlinie ist es, den Datenverkehr von Standort 40 zu Standort 60 über Zwischenstation Ziel 50 umzuleiten und vorzugsweise biz-internet zu verwenden.
Problem
In der Ausgabe von show omp routen sehen Sie, dass Routen über biz-internet nicht auf vEdge1, vEdge3 installiert werden können und der Status auf Invalid und ungelöst (Inv,U) eingestellt ist:
vedge1# show omp routes | b PATH
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
40 192.168.40.0/24 0.0.0.0 68 1002 C,Red,R installed 192.168.30.104 biz-internet ipsec -
0.0.0.0 81 1002 C,Red,R installed 192.168.30.104 private1 ipsec -
40 192.168.50.0/24 192.168.30.103 4 1002 C,I,R installed 192.168.30.105 biz-internet ipsec -
192.168.30.103 10 1002 C,I,R installed 192.168.30.105 private1 ipsec -
40 192.168.60.0/24 192.168.30.103 8 1002 Inv,U installed 192.168.30.105 biz-internet ipsec -
192.168.30.103 9 1002 C,I,R installed 192.168.30.106 biz-internet ipsec -
vedge3# show omp routes | b PATH
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
40 192.168.40.0/24 192.168.30.103 19 1002 Inv,U installed 192.168.30.105 biz-internet ipsec -
192.168.30.103 20 1002 C,I,R installed 192.168.30.104 biz-internet ipsec -
40 192.168.50.0/24 192.168.30.103 16 1002 C,I,R installed 192.168.30.105 biz-internet ipsec -
192.168.30.103 21 1002 C,I,R installed 192.168.30.105 private1 ipsec -
40 192.168.60.0/24 0.0.0.0 68 1002 C,Red,R installed 192.168.30.106 biz-internet ipsec -
0.0.0.0 81 1002 C,Red,R installed 192.168.30.106 private1 ipsec -
Gleichzeitig sind Datenebenentunnels im biz-internet zwischen vEdge1 und vEdge3 aktiv:
vedge1# show bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.105 50 up biz-internet biz-internet 192.168.109.181 192.168.109.182 12366 ipsec 7 1000 0:02:52:22 0
192.168.30.105 50 up private1 private1 192.168.110.181 192.168.110.182 12366 ipsec 7 1000 0:00:00:12 1
192.168.30.106 60 up biz-internet biz-internet 192.168.109.181 192.168.109.183 12366 ipsec 7 1000 0:02:52:22 0
192.168.30.106 60 up private1 private1 192.168.110.181 192.168.110.183 12366 ipsec 7 1000 0:00:56:28 0
vedge3# show bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.104 40 up biz-internet biz-internet 192.168.109.183 192.168.109.181 12366 ipsec 7 1000 0:02:54:25 0
192.168.30.104 40 up private1 private1 192.168.110.183 192.168.110.181 12366 ipsec 7 1000 0:00:58:30 0
192.168.30.105 50 up biz-internet biz-internet 192.168.109.183 192.168.109.182 12366 ipsec 7 1000 0:02:54:25 0
192.168.30.105 50 up private1 private1 192.168.110.183 192.168.110.182 12366 ipsec 7 1000 0:00:57:26 0
In der detaillierten Ausgabe der show omp route wird das tloc korrekt festgelegt, und auch untimate-tloc ist festgelegt. Der Status ist Inv,U und der Grund für den Verlust ist ungültig:
vedge3# show omp routes 192.168.40.0/24 detail
---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
RECEIVED FROM:
peer 192.168.30.103
path-id 19
label 1002
status Inv,U
loss-reason invalid
lost-to-peer 192.168.30.103
lost-to-path-id 20
Attributes:
originator 192.168.30.104
type installed
tloc 192.168.30.105, biz-internet, ipsec
ultimate-tloc 192.168.30.104, biz-internet, ipsec -- primary
domain-id not set
overlay-id 1
site-id 40
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
unknown-attr-len not set
RECEIVED FROM:
peer 192.168.30.103
path-id 20
label 1002
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 192.168.30.104
type installed
tloc 192.168.30.104, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 40
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
unknown-attr-len not set
Sie sehen, dass das Hauptziel nicht erreicht wird und der Datenverkehr dem direkten Pfad folgt, wie auf dem Host vom Subnetz 192.168.40.0/24 zu sehen ist:
traceroute -n 192.168.60.20 traceroute to 192.168.60.20 (192.168.60.20), 30 hops max, 60 byte packets 1 192.168.40.104 0.288 ms 0.314 ms 0.266 ms 2 192.168.60.106 0.911 ms 1.045 ms 1.140 ms 3 192.168.60.20 1.213 ms !X 1.289 ms !X 1.224 ms !X
Lösung
Ursprünglich wurde vermutet, dass der Softwarefehler CSCvm64622 vorliegt 
wurde getroffen, aber nach weiteren Untersuchungen wurde festgestellt, dass es sich um eine Fehlkonfiguration handelte, weil die Produktdokumentation nicht eindeutig war, welche Anforderungen an die Tloc-Aktion gestellt wurden. Der Dokumentationsbereich zur TLOC-Aktion wird wie folgt aktualisiert:
Daher ist in aktuellem Szenario die TE-Konfiguration für vEdge2 erforderlich, um eine zentrale Kontrollrichtlinie zu ermöglichen, da Sie Traffic Engineering (TE) im Wesentlichen über einen beliebigen Pfad steuern:
vedge2(config)# vpn 40 vedge2(config-vpn-40)# service ? Possible completions: FW IDP IDS TE netsvc1 netsvc2 netsvc3 netsvc4 vedge2(config-vpn-40)# service TE vedge2(config-vpn-40)# commit Commit complete.
Es löst das Problem mit der Steuerrichtlinie, da vEdge2 beginnt, den TE-Dienst anzukündigen:
vsmart1# show omp services | b PATH
PATH
VPN SERVICE ORIGINATOR FROM PEER ID LABEL STATUS
---------------------------------------------------------------------------
40 VPN 192.168.30.104 192.168.30.104 68 1002 C,I,R
192.168.30.104 81 1002 C,I,R
40 VPN 192.168.30.105 192.168.30.105 68 1002 C,I,R
192.168.30.105 81 1002 C,I,R
40 VPN 192.168.30.106 192.168.30.106 68 1002 C,I,R
192.168.30.106 81 1002 C,I,R
40 TE 192.168.30.105 192.168.30.105 68 1007 C,I,R
192.168.30.105 81 1007 C,I,R
vEdge1 und vEdge3 installieren die Routen jetzt erfolgreich. Beachten Sie, dass der Status auf C,I,R festgelegt ist:
vedge3# show omp routes 192.168.40.0/24 detail
---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
RECEIVED FROM:
peer 192.168.30.103
path-id 19
label 1002
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 192.168.30.104
type installed
tloc 192.168.30.105, biz-internet, ipsec
ultimate-tloc 192.168.30.104, biz-internet, ipsec -- primary
domain-id not set
overlay-id 1
site-id 40
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
unknown-attr-len not set
RECEIVED FROM:
peer 192.168.30.103
path-id 20
label 1002
status R
loss-reason tloc-action
lost-to-peer 192.168.30.103
lost-to-path-id 19
Attributes:
originator 192.168.30.104
type installed
tloc 192.168.30.104, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 40
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
unknown-attr-len not set
vedge3# show ip routes 192.168.40.0/24 | b PROTOCOL
PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN PREFIX PROTOCOL SUB TYPE IF NAME ADDR VPN TLOC IP COLOR ENCAP STATUS
---------------------------------------------------------------------------------------------------------------------------------------------
40 192.168.40.0/24 omp - - - - 192.168.30.105 biz-internet ipsec F,S
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)