La acción Tloc en una política de control centralizada no funciona

Opciones de descarga

  • PDF     (318.0 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (159.9 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (106.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:12 de marzo de 2026
ID del documento:214232

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe por qué una ruta de Overlay Management Protocol (OMP) puede permanecer inválida cuando se utiliza set tloc-action en una política de control centralizada

    Topología

    En este ejemplo, el tráfico entre el sitio 40 y el sitio 60 se dirige a través del sitio 50. La política establece la TLOC intermedia en vEdge2 y utiliza tloc-action primary para que el tráfico prefiera la ruta biz-internet a través del sitio intermedio.

    Topology

    Background

    la acción tloc en una política de control centralizado no funciona, aunque los túneles del plano de datos parecen estar activos, y describe cómo corregir la configuración.

    Configuración

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando. A efectos de este artículo, se utilizó vEdge y la versión 18.3.5 del software de los controladores. 

    Todos los sitios tienen conexión a biz-internet y a los colores privados, esta tabla resume la configuración.

    nombre del host id del sitio system-ip ip-address on biz-internet link ip-address on private1 link
    vEdge1 40

    192.168.30.104

    192.168.109.181

    192.168.110.181
    vEdge2 50

    192.168.30.105

    192.168.109.182

    192.168.110.182
    vEdge3 60

    192.168.30.106

    192.168.109.183

    192.168.110.183
    vSmart 1

    192.168.30.103



    No hay configuraciones especiales en vEdges. La configuración con dos rutas predeterminadas es bastante simple y se omite aquí por brevedad.

    En vSmart, se aplicó esta configuración:

     lists
  vpn-list VPN_40
   vpn 40
  !
  site-list sites_40_60
   site-id 40
   site-id 60
  !
  prefix-list SITE_40
   ip-prefix 192.168.40.0/24
  !
  prefix-list SITE_60
   ip-prefix 192.168.60.0/24
  !
 ! 
control-policy REDIRECT_VIA_VEDGE2
  sequence 10
   match route
    prefix-list SITE_40
   !
   action accept
    set
     tloc-action primary
     tloc 192.168.30.105 color biz-internet encap ipsec
    !
   !
  !
  sequence 20
   match route
    prefix-list SITE_60
   !
   action accept
    set
     tloc-action primary
     tloc 192.168.30.105 color biz-internet encap ipsec
    !
   !
  !
  default-action accept
 !
apply-policy
 site-list sites_40_60
  control-policy REDIRECT_VIA_VEDGE2 out
 !
!

    El objetivo es redirigir el tráfico entre el sitio 40 y el sitio 60 a través del sitio 50 y preferir el TLOC de internet de negocios.

    Problema

    En el resultado de show comp routes, verá que las rutas a través de biz-internet no se pueden instalar en vEdge1, vEdge3 y el estado se establece en Invalid and unresolution (Inv,U😞

    vedge1# show omp routes | b PATH
                                            PATH                      ATTRIBUTE                                                       
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE  
--------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     0.0.0.0          68     1002     C,Red,R   installed  192.168.30.104   biz-internet     ipsec  -           
                           0.0.0.0          81     1002     C,Red,R   installed  192.168.30.104   private1         ipsec  -           
40     192.168.50.0/24     192.168.30.103   4      1002     C,I,R     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   10     1002     C,I,R     installed  192.168.30.105   private1         ipsec  -           
40     192.168.60.0/24     192.168.30.103   8      1002     Inv,U     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   9      1002     C,I,R     installed  192.168.30.106   biz-internet     ipsec  -           
    vedge3# show omp routes | b PATH
                                            PATH                      ATTRIBUTE                                                       
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE  
--------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     192.168.30.103   19     1002     Inv,U     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   20     1002     C,I,R     installed  192.168.30.104   biz-internet     ipsec  -           
40     192.168.50.0/24     192.168.30.103   16     1002     C,I,R     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   21     1002     C,I,R     installed  192.168.30.105   private1         ipsec  -           
40     192.168.60.0/24     0.0.0.0          68     1002     C,Red,R   installed  192.168.30.106   biz-internet     ipsec  -           
                           0.0.0.0          81     1002     C,Red,R   installed  192.168.30.106   private1         ipsec  -

    Al mismo tiempo, puede ver túneles del plano de datos en biz-internet funcionando entre vEdge1 y vEdge3:

    vedge1# show bfd sessions 
                                      SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX                              
SYSTEM IP        SITE ID  STATE       COLOR            COLOR            SOURCE IP                       IP                              PORT        ENCAP  MULTIPLIER  INTERVAL(msec) UPTIME          TRANSITIONS 
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.105   50       up          biz-internet     biz-internet     192.168.109.181                 192.168.109.182                 12366       ipsec  7           1000           0:02:52:22      0           
192.168.30.105   50       up          private1         private1         192.168.110.181                 192.168.110.182                 12366       ipsec  7           1000           0:00:00:12      1           
192.168.30.106   60       up          biz-internet     biz-internet     192.168.109.181                 192.168.109.183                 12366       ipsec  7           1000           0:02:52:22      0           
192.168.30.106   60       up          private1         private1         192.168.110.181                 192.168.110.183                 12366       ipsec  7           1000           0:00:56:28      0 
    vedge3# show bfd sessions 
                                      SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX                              
SYSTEM IP        SITE ID  STATE       COLOR            COLOR            SOURCE IP                       IP                              PORT        ENCAP  MULTIPLIER  INTERVAL(msec) UPTIME          TRANSITIONS 
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.104   40       up          biz-internet     biz-internet     192.168.109.183                 192.168.109.181                 12366       ipsec  7           1000           0:02:54:25      0           
192.168.30.104   40       up          private1         private1         192.168.110.183                 192.168.110.181                 12366       ipsec  7           1000           0:00:58:30      0           
192.168.30.105   50       up          biz-internet     biz-internet     192.168.109.183                 192.168.109.182                 12366       ipsec  7           1000           0:02:54:25      0           
192.168.30.105   50       up          private1         private1         192.168.110.183                 192.168.110.182                 12366       ipsec  7           1000           0:00:57:26      0

    En el resultado detallado de show omp route, verá el tloc configurado correctamente y también el untimate-tloc está configurado, pero el estado es Inv,U y el motivo de pérdida no es válido:

    vedge3# show omp routes 192.168.40.0/24 detail

---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         19
label           1002
status          Inv,U
loss-reason     invalid
lost-to-peer    192.168.30.103
lost-to-path-id 20
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.105, biz-internet, ipsec
     ultimate-tloc    192.168.30.104, biz-internet, ipsec -- primary
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         20
label           1002
status          C,I,R
loss-reason     not set
lost-to-peer    not set
lost-to-path-id not set
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.104, biz-internet, ipsec
     ultimate-tloc    not set
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set

    Nota: Un ultimate-tloc es el TLOC al que el salto intermedio crea el túnel del plano de datos (IPsec o Generic Routing Encapsulation (GRE)) para llegar al destino final. 

    Nota: tloc-action sólo se admite de extremo a extremo si hay un túnel de plano de datos configurado desde el mismo TLOC en el salto intermedio al origen que el TLOC a partir del cual el salto intermedio construye el túnel hasta el destino final (último). Si el TLOC utilizado para alcanzar el salto intermedio desde un sitio es diferente del TLOC utilizado desde el salto intermedio para alcanzar el destino final (último), esto da lugar a un fallo de política con la acción TLOC. Esto también se conoce como subyacente inconexo.

    Puede ver que el objetivo principal no se alcanza y el tráfico sigue la trayectoria directa, como se puede ver en el host de la subred 192.168.40.0/24:

    traceroute -n 192.168.60.20
traceroute to 192.168.60.20 (192.168.60.20), 30 hops max, 60 byte packets
 1  192.168.40.104  0.288 ms  0.314 ms  0.266 ms
 2  192.168.60.106  0.911 ms  1.045 ms  1.140 ms
 3  192.168.60.20  1.213 ms !X  1.289 ms !X  1.224 ms !X

    Solución

    Si la acción es accept set tloc-action, configure service TE en el router intermedio.

    Nota: Cuando el TE de servicio está habilitado, el router intermedio anuncia la información de trayectoria relacionada con TE que el router de origen utiliza para validar la trayectoria dirigida. En términos prácticos, esto permite que el router de origen verifique que el TLOC de salto intermedio exacto seleccionado por la política tenga un túnel de plano de datos operativo hacia el destino final. 

    Nota: Es importante evitar describir vSmart como el componente que realiza el seguimiento de extremo a extremo de la ruta del plano de datos. En este flujo de trabajo, vSmart distribuye la información del plano de control, mientras que el router de origen utiliza la información de ruta relacionada con TE anunciada para determinar si la ruta dirigida es válida. Este mecanismo se aplica a un solo salto intermedio. No proporciona validación en cadena a través de varios routers intermedios.

    Por lo tanto, en el escenario actual, se requiere la configuración de TE del servicio en vEdge2 para que funcione la política de control centralizado, ya que se utiliza la ingeniería de tráfico (TE) básicamente mediante la dirección a través de una ruta arbitraria:

    vedge2(config)# vpn 40
vedge2(config-vpn-40)# service ?
Possible completions:
  FW  IDP  IDS  TE  netsvc1  netsvc2  netsvc3  netsvc4
vedge2(config-vpn-40)# service TE
vedge2(config-vpn-40)# commit
Commit complete.

    Una vez que se habilita el servicio TE, el router intermedio anuncia la información de servicio TE requerida y la ruta dirigida por políticas se puede instalar correctamente.

    vsmart1# show omp services | b PATH
                                                 PATH                      
VPN    SERVICE  ORIGINATOR      FROM PEER        ID     LABEL    STATUS    
---------------------------------------------------------------------------
40     VPN      192.168.30.104  192.168.30.104   68     1002     C,I,R     
                                192.168.30.104   81     1002     C,I,R     
40     VPN      192.168.30.105  192.168.30.105   68     1002     C,I,R     
                                192.168.30.105   81     1002     C,I,R     
40     VPN      192.168.30.106  192.168.30.106   68     1002     C,I,R     
                                192.168.30.106   81     1002     C,I,R     
40     TE       192.168.30.105  192.168.30.105   68     1007     C,I,R     
                                192.168.30.105   81     1007     C,I,R

    Tenga en cuenta que la ruta dirigida por políticas de estado se establece en C,I,R:

    vedge3# show omp routes 192.168.40.0/24 detail

---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         19
label           1002
status          C,I,R
loss-reason     not set
lost-to-peer    not set
lost-to-path-id not set
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.105, biz-internet, ipsec
     ultimate-tloc    192.168.30.104, biz-internet, ipsec -- primary
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         20
label           1002
status          R
loss-reason     tloc-action
lost-to-peer    192.168.30.103
lost-to-path-id 19
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.104, biz-internet, ipsec
     ultimate-tloc    not set
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
vedge3# show ip routes 192.168.40.0/24 | b PROTOCOL
                                            PROTOCOL  NEXTHOP     NEXTHOP          NEXTHOP                                                   
VPN    PREFIX              PROTOCOL         SUB TYPE  IF NAME     ADDR             VPN      TLOC IP          COLOR            ENCAP  STATUS  
---------------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     omp              -         -           -                -        192.168.30.105   biz-internet     ipsec  F,S

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    12-Mar-2026
    clarificación de las restricciones y limitaciones de "set tloc-action", formato.
    1.0
    28-Mar-2019
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Eugene Khabarov
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos