In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument werden Fehlerbehebungsszenarien für das Overlay Management Protocol (OMP) und Best Practices zur Gewährleistung der Netzwerkausfallsicherheit im Cisco SD-WAN beschrieben.
Cisco empfiehlt, dass Sie über Kenntnisse der Cisco Software Defined Wide Area Network (SD-WAN)-Lösung verfügen.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Wie Sie wissen, gibt das Cisco SD-WAN Edge-Gerät die Routen nur für den Catalyst SD-WAN-Controller frei. Damit eine Route gültig ist und in ihrer Weiterleitungstabelle installiert wird:
Obwohl alle diese Anweisungen logisch und direkt sind, gibt es einen signifikanten Unterschied zwischen OMP und herkömmlichen Routing-Protokollen wie Enhanced Interior Gateway Routing Protocol (EIGRP) und Open Shortest Path First (OSPF) während Ausfallszenarien.
Im nächsten Netzwerk gibt es drei Standorte, nämlich Site1, Site3 und Site4 mit den Routern RTR1/RTR2, RTR3 und RTR4 mit jeweils einer WAN-Verbindung. Das traditionelle Routing-Protokoll EIGRP wird über IPSec ausgeführt, und IP1, IP2, IP3 und IP4 sind die IP-Adressen der WAN-Schnittstelle an den jeweiligen Standorten.
Das Netzwerk muss defekt sein, wobei der Schwerpunkt vorerst auf RTR3 und RTR4 liegt. Auf RTR3 erfolgt die Route zum 10.1.4.0/24 über einen direkten Tunnel zwischen RTR3-RTR4. Wie reagiert EIGRP in diesem Fall, wenn der Tunnel ausfällt? Sobald der Tunnel ausfällt, wird EIGRP ausgeführt und eine Abfrage an benachbarte Router für das Netzwerk 10.1.4.0/24 gesendet. Basierend auf den erhaltenen Antworten wird das Netzwerk überprüft und der neue Pfad für das Ziel in der Routing-Tabelle installiert, um den besten Pfad zu berechnen.
Dies ist eine sehr einfache Erklärung des herkömmlichen Konvergenzprozesses für Routing-Protokolle. Herkömmliche Routing-Protokolle wie EIGRP können daher eine Neuberechnung des Netzwerks vornehmen:
Die beiden Fehlerszenarien für OMP werden hier erläutert:
In der nächsten Topologie gibt es drei Standorte mit einer Transportverbindung.
Standort |
Router |
Transport Locator (TLOC) |
System-IP |
Subnetz |
SIte1 |
vEdge 1 vEdge 2 |
T1 T2 |
1.1.1.1 2.2.2.2 |
10.1.1.0/24 |
Standort-3 |
vEdge 3 |
T3 |
3.3.3.3 |
10.1.3.0/23 |
Standort-4 |
vEdge 4 |
T4 |
4.4.4.4 |
10.1.4.0/24 |
Angenommen, auf dem Catalyst SD-WAN-Controller ist alles auf die Standardeinstellung gesetzt. Die vEdge-Geräte geben die Routing-Informationen direkt an den Catalyst SD-WAN-Controller weiter, und der Controller teilt sie mit allen vEdge-Geräten. Die nächste Topologie zeigt die Routing-Tabelle für alle Router:
Derzeit sind alle BFD-Sitzungen aktiv.
vEdge-DC1# show bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1.1.1.1 1 up mpls mpls 60.1.1.1 20.1.1.1 12346 ipsec 7 1000 0:00:03:12 0
2.2.2.2 1 up mpls mpls 60.1.1.1 10.10.20.2 12406 ipsec 7 1000 0:06:28:51 0
4.4.4.4 2 up mpls mpls 60.1.1.1 30.1.1.1 12386 ipsec 7 1000 0:00:00:51 0
vEdge-DC1# show omp routes vpn 20 | t
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
IA -> On-demand inactive
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
20 10.1.1.0/24 2.2.2.2 43 1005 C,I,R installed 1.1.1.1 mpls ipsec -
2.2.2.2 37 1006 C,I,R installed 2.2.2.2 mpls ipsec -
20 10.1.3.0/24 0.0.0.0 66 1005 C,Red,R installed 3.3.3.3 mpls ipsec -
20 10.1.4.0/24 2.2.2.2 45 1006 C,I,R installed 4.4.4.4 mpls ipsec -
Wenn die Verbindung zwischen vEdge3 und vEdge4 deaktiviert ist, werden bei einem Tunnelausfall auch die BFD-Sitzungen von vEdge3 und vEdge4 deaktiviert. Dies veranlasst sie, die jeweiligen Routen als 'Ungültig' und 'TLOC Unaufgelöst' zu markieren. Das können Sie in der nächsten Ausgabe sehen:
vEdge3# show bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1.1.1.1 1 up mpls mpls 60.1.1.1 20.1.1.1 12386 ipsec 7 1000 0:05:57:27
2.2.2.2 1 up mpls mpls 60.1.1.1 10.10.20.2 12426 ipsec 7 1000 0:05:57:27
4.4.4.4 4 down mpls mpls 60.1.1.1 30.1.1.1 12406 ipsec 7 1000 NA
vEdge3# show omp routes vpn 20 | t
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
IA -> On-demand inactive
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1 10.1.1.0/24 2.2.2.2 43 1005 C,I,R installed 1.1.1.1 mpls ipsec -
2.2.2.2 37 1006 C,I,R installed 2.2.2.2 mpls ipsec -
1 10.1.3.0/24 0.0.0.0 66 1005 C,Red,R installed 3.3.3.3 mpls ipsec -
1 10.1.4.0/24 2.2.2.2 45 1006 Inv,U installed 4.4.4.4 mpls ipsec -
Um den Begriff "indirekter Fehler" zu verstehen, gehen Sie davon aus, dass die Kontrollrichtlinie so definiert ist, dass der nächste Hop auf vEdge3 für die Route 10.1.4.0/24 über vEdge2 geändert wird, und auf vEdge4 wird der nächste Hop für 10.1.3.0/24 in vEdge1 geändert. Mit anderen Worten: Für den Datenverkehr zwischen vEdge 3 und 4 wurden vEdge 2 und 1 als Zwischen-Hops eingefügt. Dies wird im folgenden Diagramm veranschaulicht:
Bei einem Netzwerkausfall, der zu einem Verbindungsverlust zwischen vEdge2 und vEdge4 führt, während der Overlay-Tunnel zwischen T2-T4 ausfällt, verfügt vEdge3 über eine gültige Route für 10.1.4.0 über T2. Daher wird Datenverkehr an vEdge2 gesendet. vEdge2 verfügt nicht über einen gültigen Tunnel mit vEdge4, daher sind Routen auf dem Tunnel nicht mehr aktiv, wodurch der Datenverkehr verworfen wird.
Auf der Grundlage früherer Protokolle und Tests kann der Schluss gezogen werden, dass
Jetzt wissen Sie, dass OMP standardmäßig keine Neuberechnung oder Umleitung bei Overlay-Fehlern vornimmt. Um dieses Problem zu beheben, können Sie eine Funktion namens 'TLOC-Action' über eine Kontrollrichtlinie aktivieren.
Bei der nächsten Topologie konzentrieren wir uns auf vEdge2, vEdge3 und vEdge4, um ein besseres Verständnis zu erhalten. Derzeit ist keine Richtlinie definiert, und der Datenverkehr für 10.1.4.0/24 auf vEdge3 wird über einen direkten Tunnel zwischen T3 und T4 übertragen.
Um Fehlertoleranz und Netzwerkausfallsicherheit zu gewährleisten, wird die Steuerungsrichtlinie so konfiguriert, dass der Datenverkehr über einen anderen Pfad (über das angegebene TLOC) umgeleitet wird.
Basierend auf der definierten TLOC-Aktion vEdge1 wird der Datenverkehr für 10.1.4.0/24 weitergeleitet. Sie können daher die folgenden vier Typen von TLOC-Aktionen in der Kontrollebenen-Richtlinie definieren:
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
12-Feb-2025
|
Erstveröffentlichung |