L'action de verrouillage dans une politique de contrôle centralisé ne fonctionne pas

Options de téléchargement

  • PDF     (317.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (162.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (109.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:12 mars 2026
ID du document:214232

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit pourquoi une route de protocole de gestion de superposition (OMP) peut rester invalide quand set tloc-action est utilisé dans une politique de contrôle centralisée

    Topologie

    Dans cet exemple, le trafic entre le site 40 et le site 60 est dirigé via le site 50. La stratégie définit le TLOC intermédiaire sur vEdge2 et utilise le tloc-action primary afin que le trafic préfère le chemin biz-internet à travers le site intermédiaire.

    Topology

    Fond

    tloc-action dans une politique de contrôle centralisé ne fonctionne pas, même si les tunnels du plan de données semblent actifs, et décrit comment corriger la configuration.

    Configuration

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes. Pour les besoins de cet article, vEdge et le logiciel Controllers version 18.3.5 ont été utilisés. 

    Tous les sites ont une connexion à biz-internet et des couleurs privées, ce tableau résume la configuration.

    nom de l'hôte site-id system-ip adresse ip sur la liaison biz-internet adresse ip sur la liaison private1
    vEdge1 40

    192.168.30.104

    192.168.109.181

    192.168.110.181
    vEdge2 50

    192.168.30.105

    192.168.109.182

    192.168.110.182
    vEdge3 60

    192.168.30.106

    192.168.109.183

    192.168.110.183
    vSmart 1

    192.168.30.103



    Il n'existe aucune configuration spéciale sur les vEdge. La configuration avec deux routes par défaut est assez simple et omise ici par souci de concision.

    Sur vSmart, cette configuration a été appliquée :

     lists
  vpn-list VPN_40
   vpn 40
  !
  site-list sites_40_60
   site-id 40
   site-id 60
  !
  prefix-list SITE_40
   ip-prefix 192.168.40.0/24
  !
  prefix-list SITE_60
   ip-prefix 192.168.60.0/24
  !
 ! 
control-policy REDIRECT_VIA_VEDGE2
  sequence 10
   match route
    prefix-list SITE_40
   !
   action accept
    set
     tloc-action primary
     tloc 192.168.30.105 color biz-internet encap ipsec
    !
   !
  !
  sequence 20
   match route
    prefix-list SITE_60
   !
   action accept
    set
     tloc-action primary
     tloc 192.168.30.105 color biz-internet encap ipsec
    !
   !
  !
  default-action accept
 !
apply-policy
 site-list sites_40_60
  control-policy REDIRECT_VIA_VEDGE2 out
 !
!

    L'objectif est de rediriger le trafic entre le site 40 et le site 60 vers le site 50 et de privilégier le TLOC biz-internet.

    Problème

    Dans la sortie show omp routes, vous voyez que les routes via biz-internet ne peuvent pas être installées sur vEdge1, vEdge3 et que l'état est défini sur Non valide et non résolu (Inv, U😞

    vedge1# show omp routes | b PATH
                                            PATH                      ATTRIBUTE                                                       
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE  
--------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     0.0.0.0          68     1002     C,Red,R   installed  192.168.30.104   biz-internet     ipsec  -           
                           0.0.0.0          81     1002     C,Red,R   installed  192.168.30.104   private1         ipsec  -           
40     192.168.50.0/24     192.168.30.103   4      1002     C,I,R     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   10     1002     C,I,R     installed  192.168.30.105   private1         ipsec  -           
40     192.168.60.0/24     192.168.30.103   8      1002     Inv,U     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   9      1002     C,I,R     installed  192.168.30.106   biz-internet     ipsec  -           
    vedge3# show omp routes | b PATH
                                            PATH                      ATTRIBUTE                                                       
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE  
--------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     192.168.30.103   19     1002     Inv,U     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   20     1002     C,I,R     installed  192.168.30.104   biz-internet     ipsec  -           
40     192.168.50.0/24     192.168.30.103   16     1002     C,I,R     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   21     1002     C,I,R     installed  192.168.30.105   private1         ipsec  -           
40     192.168.60.0/24     0.0.0.0          68     1002     C,Red,R   installed  192.168.30.106   biz-internet     ipsec  -           
                           0.0.0.0          81     1002     C,Red,R   installed  192.168.30.106   private1         ipsec  -

    Dans le même temps, vous voyez des tunnels de plan de données sur biz-internet en cours d'exécution entre vEdge1 et vEdge3 :

    vedge1# show bfd sessions 
                                      SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX                              
SYSTEM IP        SITE ID  STATE       COLOR            COLOR            SOURCE IP                       IP                              PORT        ENCAP  MULTIPLIER  INTERVAL(msec) UPTIME          TRANSITIONS 
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.105   50       up          biz-internet     biz-internet     192.168.109.181                 192.168.109.182                 12366       ipsec  7           1000           0:02:52:22      0           
192.168.30.105   50       up          private1         private1         192.168.110.181                 192.168.110.182                 12366       ipsec  7           1000           0:00:00:12      1           
192.168.30.106   60       up          biz-internet     biz-internet     192.168.109.181                 192.168.109.183                 12366       ipsec  7           1000           0:02:52:22      0           
192.168.30.106   60       up          private1         private1         192.168.110.181                 192.168.110.183                 12366       ipsec  7           1000           0:00:56:28      0 
    vedge3# show bfd sessions 
                                      SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX                              
SYSTEM IP        SITE ID  STATE       COLOR            COLOR            SOURCE IP                       IP                              PORT        ENCAP  MULTIPLIER  INTERVAL(msec) UPTIME          TRANSITIONS 
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.104   40       up          biz-internet     biz-internet     192.168.109.183                 192.168.109.181                 12366       ipsec  7           1000           0:02:54:25      0           
192.168.30.104   40       up          private1         private1         192.168.110.183                 192.168.110.181                 12366       ipsec  7           1000           0:00:58:30      0           
192.168.30.105   50       up          biz-internet     biz-internet     192.168.109.183                 192.168.109.182                 12366       ipsec  7           1000           0:02:54:25      0           
192.168.30.105   50       up          private1         private1         192.168.110.183                 192.168.110.182                 12366       ipsec  7           1000           0:00:57:26      0

    Dans le résultat détaillé de la commande show omp route, vous voyez le tloc défini correctement et aussi le untimate-tloc est défini, mais l'état est Inv, U et le motif de perte n'est pas valide :

    vedge3# show omp routes 192.168.40.0/24 detail

---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         19
label           1002
status          Inv,U
loss-reason     invalid
lost-to-peer    192.168.30.103
lost-to-path-id 20
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.105, biz-internet, ipsec
     ultimate-tloc    192.168.30.104, biz-internet, ipsec -- primary
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         20
label           1002
status          C,I,R
loss-reason     not set
lost-to-peer    not set
lost-to-path-id not set
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.104, biz-internet, ipsec
     ultimate-tloc    not set
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set

    Remarque : Un ultimate-tloc est le TLOC vers lequel le saut intermédiaire construit un tunnel de plan de données (IPsec ou Generic Routing Encapsulation (GRE)) afin d'atteindre la destination finale. 

    Remarque : tloc-action n'est pris en charge de bout en bout que si un tunnel de plan de données est configuré à partir du même TLOC sur le saut intermédiaire vers la source que le TLOC à partir duquel le saut intermédiaire construit le tunnel vers la destination finale (ultime). Si le TLOC utilisé pour atteindre le saut intermédiaire à partir d'un site est différent du TLOC utilisé à partir du saut intermédiaire pour atteindre la destination finale (ultime), il en résulte un échec de stratégie avec l'action TLOC. On parle également de sous-couche disjointe.

    Vous pouvez constater que l’objectif principal n’est pas atteint et que le trafic suit le chemin direct, comme on peut le voir sur l’hôte du sous-réseau 192.168.40.0/24 :

    traceroute -n 192.168.60.20
traceroute to 192.168.60.20 (192.168.60.20), 30 hops max, 60 byte packets
 1  192.168.40.104  0.288 ms  0.314 ms  0.266 ms
 2  192.168.60.106  0.911 ms  1.045 ms  1.140 ms
 3  192.168.60.20  1.213 ms !X  1.289 ms !X  1.224 ms !X

    Solution

    Si l'action est accept set tloc-action, configurez le service TE sur le routeur intermédiaire.

    Remarque : lorsque le service TE est activé, le routeur intermédiaire annonce les informations de chemin relatives au service TE que le routeur source utilise pour valider le chemin orienté. En termes pratiques, cela permet au routeur source de vérifier que le TLOC de saut intermédiaire exact sélectionné par la politique dispose d'un tunnel de plan de données opérationnel vers la destination finale. 

    Remarque : Il est important d'éviter de décrire vSmart comme le composant qui effectue le suivi de bout en bout du chemin du plan de données. Dans ce flux de travail, vSmart distribue les informations du plan de contrôle, tandis que le routeur source utilise les informations de chemin relatives à l'équipement terminal annoncées pour déterminer si le chemin orienté est valide. Ce mécanisme s'applique à un seul saut intermédiaire. Il ne fournit pas de validation enchaînée sur plusieurs routeurs intermédiaires.

    Par conséquent, dans le scénario actuel, la configuration TE de service est requise sur vEdge2 afin de faire fonctionner la stratégie de contrôle centralisée, car vous utilisez l'ingénierie de trafic (TE) essentiellement en dirigeant via un chemin arbitraire :

    vedge2(config)# vpn 40
vedge2(config-vpn-40)# service ?
Possible completions:
  FW  IDP  IDS  TE  netsvc1  netsvc2  netsvc3  netsvc4
vedge2(config-vpn-40)# service TE
vedge2(config-vpn-40)# commit
Commit complete.

    Une fois que le service TE est activé, le routeur intermédiaire annonce les informations de service TE requises, et la route à direction de stratégie peut être installée avec succès.

    vsmart1# show omp services | b PATH
                                                 PATH                      
VPN    SERVICE  ORIGINATOR      FROM PEER        ID     LABEL    STATUS    
---------------------------------------------------------------------------
40     VPN      192.168.30.104  192.168.30.104   68     1002     C,I,R     
                                192.168.30.104   81     1002     C,I,R     
40     VPN      192.168.30.105  192.168.30.105   68     1002     C,I,R     
                                192.168.30.105   81     1002     C,I,R     
40     VPN      192.168.30.106  192.168.30.106   68     1002     C,I,R     
                                192.168.30.106   81     1002     C,I,R     
40     TE       192.168.30.105  192.168.30.105   68     1007     C,I,R     
                                192.168.30.105   81     1007     C,I,R

    Notez que la route orientée par la stratégie d’état est définie sur C, I, R :

    vedge3# show omp routes 192.168.40.0/24 detail

---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         19
label           1002
status          C,I,R
loss-reason     not set
lost-to-peer    not set
lost-to-path-id not set
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.105, biz-internet, ipsec
     ultimate-tloc    192.168.30.104, biz-internet, ipsec -- primary
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         20
label           1002
status          R
loss-reason     tloc-action
lost-to-peer    192.168.30.103
lost-to-path-id 19
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.104, biz-internet, ipsec
     ultimate-tloc    not set
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
vedge3# show ip routes 192.168.40.0/24 | b PROTOCOL
                                            PROTOCOL  NEXTHOP     NEXTHOP          NEXTHOP                                                   
VPN    PREFIX              PROTOCOL         SUB TYPE  IF NAME     ADDR             VPN      TLOC IP          COLOR            ENCAP  STATUS  
---------------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     omp              -         -           -                -        192.168.30.105   biz-internet     ipsec  F,S

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    12-Mar-2026
    clarifié les restrictions et les limitations de « set tloc-action », le formatage.
    1.0
    28-Mar-2019
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Eugene Khabarov
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits