Lokalisierung in einer zentralisierten Kontrollrichtlinie funktioniert nicht

Download-Optionen

PDF (320.6 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (161.7 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (108.4 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:12. März 2026

Dokument-ID:214232

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einleitung

In diesem Dokument wird beschrieben, warum eine Overlay Management Protocol (OMP)-Route ungültig bleiben kann, wenn in einer zentralisierten Kontrollrichtlinie eine festgelegte Aktion verwendet wird.

Topologie

In diesem Beispiel wird der Datenverkehr zwischen Standort 40 und Standort 60 durch Standort 50 geleitet. Die Richtlinie legt den Zwischen-TLOC auf dem vEdge2 fest und verwendet tloc-action primary, sodass der Datenverkehr den Biz-Internet-Pfad durch den Zwischen-Standort bevorzugt.

Topology

Hintergrund

Lokalisierung in einer zentralisierten Kontrollrichtlinie funktioniert nicht, obwohl Tunnel auf Datenebene aktiv zu sein scheinen. Außerdem wird beschrieben, wie die Konfiguration korrigiert wird.

Konfiguration

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen. Für die Zwecke dieses Artikels wurde vEdge und die Controller-Software, Version 18.3.5, verwendet.

Alle Standorte verfügen über eine Verbindung zu biz-internet und privaten Farben, diese Tabelle fasst die Konfiguration zusammen.

hostname	Standort-ID	System-IP	IP-Adresse auf Biz-Internet-Verbindung	IP-Adresse auf Private1-Verbindung
vEdge 1	40	192.168.30.104	192.168.109.181	192.168.110.181
vEdge 2	50	192.168.30.105	192.168.109.182	192.168.110.182
vEdge 3	60	192.168.30.106	192.168.109.183	192.168.110.183
vSmart	1	192.168.30.103

Es gibt keine speziellen Konfigurationen für vEdges. Die Konfiguration mit zwei Standardrouten ist recht einfach und wird hier aus Gründen der Kürze weggelassen.

Auf vSmart wurde die folgende Konfiguration angewendet:

 lists
  vpn-list VPN_40
   vpn 40
  !
  site-list sites_40_60
   site-id 40
   site-id 60
  !
  prefix-list SITE_40
   ip-prefix 192.168.40.0/24
  !
  prefix-list SITE_60
   ip-prefix 192.168.60.0/24
  !
 ! 
control-policy REDIRECT_VIA_VEDGE2
  sequence 10
   match route
    prefix-list SITE_40
   !
   action accept
    set
     tloc-action primary
     tloc 192.168.30.105 color biz-internet encap ipsec
    !
   !
  !
  sequence 20
   match route
    prefix-list SITE_60
   !
   action accept
    set
     tloc-action primary
     tloc 192.168.30.105 color biz-internet encap ipsec
    !
   !
  !
  default-action accept
 !
apply-policy
 site-list sites_40_60
  control-policy REDIRECT_VIA_VEDGE2 out
 !
!

Ziel ist es, den Datenverkehr zwischen Standort 40 und Standort 60 über Standort 50 umzuleiten und die biz-internet-TLOC vorzuziehen.

Problem

Aus der Ausgabe von show omp route geht hervor, dass Routen über biz-internet nicht auf vEdge1, vEdge3 installiert werden können und der Status auf "Invalid" (Ungültig) und "Unaufgelöst" (Inv,U😞) gesetzt ist.

vedge1# show omp routes | b PATH
                                            PATH                      ATTRIBUTE                                                       
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE  
--------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     0.0.0.0          68     1002     C,Red,R   installed  192.168.30.104   biz-internet     ipsec  -           
                           0.0.0.0          81     1002     C,Red,R   installed  192.168.30.104   private1         ipsec  -           
40     192.168.50.0/24     192.168.30.103   4      1002     C,I,R     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   10     1002     C,I,R     installed  192.168.30.105   private1         ipsec  -           
40     192.168.60.0/24     192.168.30.103   8      1002     Inv,U     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   9      1002     C,I,R     installed  192.168.30.106   biz-internet     ipsec  -

vedge3# show omp routes | b PATH
                                            PATH                      ATTRIBUTE                                                       
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE  
--------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     192.168.30.103   19     1002     Inv,U     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   20     1002     C,I,R     installed  192.168.30.104   biz-internet     ipsec  -           
40     192.168.50.0/24     192.168.30.103   16     1002     C,I,R     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   21     1002     C,I,R     installed  192.168.30.105   private1         ipsec  -           
40     192.168.60.0/24     0.0.0.0          68     1002     C,Red,R   installed  192.168.30.106   biz-internet     ipsec  -           
                           0.0.0.0          81     1002     C,Red,R   installed  192.168.30.106   private1         ipsec  -

Gleichzeitig sind die Tunnel der Datenebene im Biz-Internet zwischen vEdge1 und vEdge3 aktiv:

vedge1# show bfd sessions 
                                      SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX                              
SYSTEM IP        SITE ID  STATE       COLOR            COLOR            SOURCE IP                       IP                              PORT        ENCAP  MULTIPLIER  INTERVAL(msec) UPTIME          TRANSITIONS 
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.105   50       up          biz-internet     biz-internet     192.168.109.181                 192.168.109.182                 12366       ipsec  7           1000           0:02:52:22      0           
192.168.30.105   50       up          private1         private1         192.168.110.181                 192.168.110.182                 12366       ipsec  7           1000           0:00:00:12      1           
192.168.30.106   60       up          biz-internet     biz-internet     192.168.109.181                 192.168.109.183                 12366       ipsec  7           1000           0:02:52:22      0           
192.168.30.106   60       up          private1         private1         192.168.110.181                 192.168.110.183                 12366       ipsec  7           1000           0:00:56:28      0

vedge3# show bfd sessions 
                                      SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX                              
SYSTEM IP        SITE ID  STATE       COLOR            COLOR            SOURCE IP                       IP                              PORT        ENCAP  MULTIPLIER  INTERVAL(msec) UPTIME          TRANSITIONS 
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.104   40       up          biz-internet     biz-internet     192.168.109.183                 192.168.109.181                 12366       ipsec  7           1000           0:02:54:25      0           
192.168.30.104   40       up          private1         private1         192.168.110.183                 192.168.110.181                 12366       ipsec  7           1000           0:00:58:30      0           
192.168.30.105   50       up          biz-internet     biz-internet     192.168.109.183                 192.168.109.182                 12366       ipsec  7           1000           0:02:54:25      0           
192.168.30.105   50       up          private1         private1         192.168.110.183                 192.168.110.182                 12366       ipsec  7           1000           0:00:57:26      0

In der Ausgabe show omp route detail sehen Sie die tloc richtig gesetzt und auch die untimate-tloc gesetzt ist, aber der Status ist Inv,U und der Verlust-Grund ist ungültig:

vedge3# show omp routes 192.168.40.0/24 detail

---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         19
label           1002
status          Inv,U
loss-reason     invalid
lost-to-peer    192.168.30.103
lost-to-path-id 20
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.105, biz-internet, ipsec
     ultimate-tloc    192.168.30.104, biz-internet, ipsec -- primary
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         20
label           1002
status          C,I,R
loss-reason     not set
lost-to-peer    not set
lost-to-path-id not set
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.104, biz-internet, ipsec
     ultimate-tloc    not set
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set

Anmerkung: Ein ultimate-tloc ist der TLOC, zu dem der intermediäre Hop einen Datenebenentunnel (IPsec oder Generic Routing Encapsulation (GRE)) erstellt, um das endgültige Ziel zu erreichen.

Anmerkung: tloc-action wird nur durchgängig unterstützt, wenn ein Datenebenentunnel vom selben TLOC auf dem Zwischenhop zur Quelle wie der TLOC eingerichtet ist, von dem der Zwischenhop den Tunnel zum endgültigen (endgültigen) Ziel erstellt. Wenn der TLOC, der verwendet wurde, um den Zwischenhop von einem Standort zu erreichen, sich von dem TLOC unterscheidet, der vom Zwischenhop zum endgültigen (endgültigen) Ziel verwendet wurde, ergibt dies Richtlinienfehler mit TLOC-Aktion. Dies wird auch als disjunkte Unterlage bezeichnet.

Sie können sehen, dass das Hauptziel nicht erreicht wird und der Datenverkehr dem direkten Pfad folgt, wie auf dem Host aus dem Subnetz 192.168.40.0/24 zu erkennen ist:

traceroute -n 192.168.60.20
traceroute to 192.168.60.20 (192.168.60.20), 30 hops max, 60 byte packets
 1  192.168.40.104  0.288 ms  0.314 ms  0.266 ms
 2  192.168.60.106  0.911 ms  1.045 ms  1.140 ms
 3  192.168.60.20  1.213 ms !X  1.289 ms !X  1.224 ms !X

Lösung

Wenn die Aktion "set tloc-action" akzeptiert, konfigurieren Sie Service TE auf dem Zwischenrouter.

Hinweis: Wenn der Service-TE aktiviert ist, kündigt der Zwischenrouter TE-bezogene Pfadinformationen an, die der Quellrouter zur Validierung des gesteuerten Pfads verwendet. Praktisch bedeutet dies, dass der Quellrouter überprüfen kann, ob das durch die Richtlinie ausgewählte Zwischen-Hop-TLOC über einen betriebsbereiten Datenebenen-Tunnel zum endgültigen Ziel verfügt.

Anmerkung: Es ist wichtig, vSmart nicht als die Komponente zu beschreiben, die die End-to-End-Nachverfolgung des Datenebenenpfads durchführt. In diesem Workflow verteilt vSmart die Kontrollebeneninformationen, während der Quellrouter die angekündigten TE-bezogenen Pfadinformationen verwendet, um festzustellen, ob der gesteuerte Pfad gültig ist. Dieser Mechanismus gilt für einen einzelnen Zwischenhop. Sie bietet keine verkettete Validierung über mehrere zwischengeschaltete Router hinweg.

Daher ist im aktuellen Szenario eine TE-Konfiguration für den Service auf vEdge2 erforderlich, damit eine zentralisierte Kontrollrichtlinie funktioniert, da Sie Traffic Engineering (TE) im Wesentlichen durch Steuerung über einen beliebigen Pfad verwenden:

vedge2(config)# vpn 40
vedge2(config-vpn-40)# service ?
Possible completions:
  FW  IDP  IDS  TE  netsvc1  netsvc2  netsvc3  netsvc4
vedge2(config-vpn-40)# service TE
vedge2(config-vpn-40)# commit
Commit complete.

Nachdem Service-TE aktiviert wurde, meldet der Zwischenrouter die erforderlichen TE-Service-Informationen, und die richtliniengesteuerte Route kann erfolgreich installiert werden.

vsmart1# show omp services | b PATH
                                                 PATH                      
VPN    SERVICE  ORIGINATOR      FROM PEER        ID     LABEL    STATUS    
---------------------------------------------------------------------------
40     VPN      192.168.30.104  192.168.30.104   68     1002     C,I,R     
                                192.168.30.104   81     1002     C,I,R     
40     VPN      192.168.30.105  192.168.30.105   68     1002     C,I,R     
                                192.168.30.105   81     1002     C,I,R     
40     VPN      192.168.30.106  192.168.30.106   68     1002     C,I,R     
                                192.168.30.106   81     1002     C,I,R     
40     TE       192.168.30.105  192.168.30.105   68     1007     C,I,R     
                                192.168.30.105   81     1007     C,I,R

Beachten Sie, dass der Status "policy-steered route" auf C,I,R festgelegt ist:

vedge3# show omp routes 192.168.40.0/24 detail

---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         19
label           1002
status          C,I,R
loss-reason     not set
lost-to-peer    not set
lost-to-path-id not set
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.105, biz-internet, ipsec
     ultimate-tloc    192.168.30.104, biz-internet, ipsec -- primary
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         20
label           1002
status          R
loss-reason     tloc-action
lost-to-peer    192.168.30.103
lost-to-path-id 19
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.104, biz-internet, ipsec
     ultimate-tloc    not set
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
vedge3# show ip routes 192.168.40.0/24 | b PROTOCOL
                                            PROTOCOL  NEXTHOP     NEXTHOP          NEXTHOP                                                   
VPN    PREFIX              PROTOCOL         SUB TYPE  IF NAME     ADDR             VPN      TLOC IP          COLOR            ENCAP  STATUS  
---------------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     omp              -         -           -                -        192.168.30.105   biz-internet     ipsec  F,S

Revisionsverlauf

Überarbeitung	Veröffentlichungsdatum	Kommentare
2.0	12-Mar-2026	klarere "set tloc-action"-Einschränkungen und -Einschränkungen, Formatierung.
1.0	28-Mar-2019	Erstveröffentlichung

Beiträge von Cisco Ingenieuren

Eugene Khabarov
Cisco TAC Engineer

War dieses Dokument hilfreich?

Feedback

Cisco kontaktieren

Eine Supportanfrage öffnen
(Erfordert einen Cisco Servicevertrag)

Dieses Dokument gilt für folgende Produkte.

SD-WAN