Pourquoi définir tloc-action dans une stratégie de contrôle centralisée ne fonctionne pas ?

Options de téléchargement

PDF (143.8 KB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
ePub (144.6 KB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (111.6 KB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:16 novembre 2019

ID du document:214232

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Contenu

Introduction

Topologie

Configuration

Problème

Solution

Introduction

Ce document décrit le problème qui se produit avec les routes OMP (Overlay Management Protocol) si la commande set tloc-action dans la stratégie de contrôle centralisé est utilisée et explique pourquoi cela se produit et comment le résoudre.

Topologie

Afin de mieux comprendre le problème, référez-vous à ce schéma de topologie simple qui décrit la configuration :

Configuration

Aux fins de cet article, vEdge et le logiciel Controllers version 18.3.5 ont été utilisés.

Tous les sites ont une connexion à biz-internet et privé couleurs, ce tableau résume la configuration.

nom de l'hôte	id-site	system-ip	adresse IP sur biz-internet link	adresse IP sur la liaison private1
vEdge1	40	192.168.30.104	192.168.109.181	192.168.110.181
vEdge2	50	192.168.30.105	192.168.109.182	192.168.110.182
vEdge3	60	192.168.30.106	192.168.109.183	192.168.110.183
vSmart	1	192.168.30.103

Il n'existe aucune configuration spéciale sur les contours. La configuration avec deux routes par défaut est assez simple et omise ici pour plus de concision.

Sur vSmart, cette configuration a été appliquée :

 lists
  vpn-list VPN_40
   vpn 40
  !
  site-list sites_40_60
   site-id 40
   site-id 60
  !
  prefix-list SITE_40
   ip-prefix 192.168.40.0/24
  !
  prefix-list SITE_60
   ip-prefix 192.168.60.0/24
  !
 ! 
control-policy REDIRECT_VIA_VEDGE2
  sequence 10
   match route
    prefix-list SITE_40
   !
   action accept
    set
     tloc-action primary
     tloc 192.168.30.105 color biz-internet encap ipsec
    !
   !
  !
  sequence 20
   match route
    prefix-list SITE_60
   !
   action accept
    set
     tloc-action primary
     tloc 192.168.30.105 color biz-internet encap ipsec
    !
   !
  !
  default-action accept
 !
apply-policy
 site-list sites_40_60
  control-policy REDIRECT_VIA_VEDGE2 out
 !
!

L'objectif principal de cette politique est de rediriger le trafic du site 40 vers le site 60 via le site de destination intermédiaire 50 et d'utiliser biz-internet de préférence.

Problème

À partir de la sortie show omp routes, vous voyez que les routes via biz-internet ne peuvent pas être installées sur vEdge1, vEdge3 et l'état est défini sur Non valide et non résolu (Inv, U) :

vedge1# show omp routes | b PATH
                                            PATH                      ATTRIBUTE                                                       
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE  
--------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     0.0.0.0          68     1002     C,Red,R   installed  192.168.30.104   biz-internet     ipsec  -           
                           0.0.0.0          81     1002     C,Red,R   installed  192.168.30.104   private1         ipsec  -           
40     192.168.50.0/24     192.168.30.103   4      1002     C,I,R     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   10     1002     C,I,R     installed  192.168.30.105   private1         ipsec  -           
40     192.168.60.0/24     192.168.30.103   8      1002     Inv,U     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   9      1002     C,I,R     installed  192.168.30.106   biz-internet     ipsec  -

vedge3# show omp routes | b PATH
                                            PATH                      ATTRIBUTE                                                       
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE  
--------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     192.168.30.103   19     1002     Inv,U     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   20     1002     C,I,R     installed  192.168.30.104   biz-internet     ipsec  -           
40     192.168.50.0/24     192.168.30.103   16     1002     C,I,R     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   21     1002     C,I,R     installed  192.168.30.105   private1         ipsec  -           
40     192.168.60.0/24     0.0.0.0          68     1002     C,Red,R   installed  192.168.30.106   biz-internet     ipsec  -           
                           0.0.0.0          81     1002     C,Red,R   installed  192.168.30.106   private1         ipsec  -

En même temps, des tunnels de plan de données sur biz-internet fonctionnent et fonctionnent entre vEdge1 et vEdge3 :

vedge1# show bfd sessions 
                                      SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX                              
SYSTEM IP        SITE ID  STATE       COLOR            COLOR            SOURCE IP                       IP                              PORT        ENCAP  MULTIPLIER  INTERVAL(msec) UPTIME          TRANSITIONS 
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.105   50       up          biz-internet     biz-internet     192.168.109.181                 192.168.109.182                 12366       ipsec  7           1000           0:02:52:22      0           
192.168.30.105   50       up          private1         private1         192.168.110.181                 192.168.110.182                 12366       ipsec  7           1000           0:00:00:12      1           
192.168.30.106   60       up          biz-internet     biz-internet     192.168.109.181                 192.168.109.183                 12366       ipsec  7           1000           0:02:52:22      0           
192.168.30.106   60       up          private1         private1         192.168.110.181                 192.168.110.183                 12366       ipsec  7           1000           0:00:56:28      0

vedge3# show bfd sessions 
                                      SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX                              
SYSTEM IP        SITE ID  STATE       COLOR            COLOR            SOURCE IP                       IP                              PORT        ENCAP  MULTIPLIER  INTERVAL(msec) UPTIME          TRANSITIONS 
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.104   40       up          biz-internet     biz-internet     192.168.109.183                 192.168.109.181                 12366       ipsec  7           1000           0:02:54:25      0           
192.168.30.104   40       up          private1         private1         192.168.110.183                 192.168.110.181                 12366       ipsec  7           1000           0:00:58:30      0           
192.168.30.105   50       up          biz-internet     biz-internet     192.168.109.183                 192.168.109.182                 12366       ipsec  7           1000           0:02:54:25      0           
192.168.30.105   50       up          private1         private1         192.168.110.183                 192.168.110.182                 12366       ipsec  7           1000           0:00:57:26      0

Dans la sortie détaillée show omp route, vous voyez le tloc défini correctement et aussi le untimate-tloc est défini, mais l'état est Inv,U et la raison de perte est non valide :

vedge3# show omp routes 192.168.40.0/24 detail

---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         19
label           1002
status          Inv,U
loss-reason     invalid
lost-to-peer    192.168.30.103
lost-to-path-id 20
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.105, biz-internet, ipsec
     ultimate-tloc    192.168.30.104, biz-internet, ipsec -- primary
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         20
label           1002
status          C,I,R
loss-reason     not set
lost-to-peer    not set
lost-to-path-id not set
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.104, biz-internet, ipsec
     ultimate-tloc    not set
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set

Note: Un TLOC ultime est le TLOC auquel le saut intermédiaire construit le tunnel de plan de données (IPsec ou Generic Routing Encapsulation (GRE)) afin d'atteindre la destination finale.

Note: tloc-action n'est pris en charge de bout en bout que si la couleur de transport est identique d'un site au saut intermédiaire et du saut intermédiaire à la destination finale. Si le transport utilisé pour atteindre le saut intermédiaire à partir d'un site est d'une couleur différente du transport utilisé à partir du saut intermédiaire pour atteindre la destination finale, cela créera un problème avec l'action tloc.

Vous pouvez voir que l'objectif principal n'est pas atteint et que le trafic suit un chemin direct comme on peut le voir sur l'hôte à partir du sous-réseau 192.168.40.0/24 :

traceroute -n 192.168.60.20
traceroute to 192.168.60.20 (192.168.60.20), 30 hops max, 60 byte packets
 1  192.168.40.104  0.288 ms  0.314 ms  0.266 ms
 2  192.168.60.106  0.911 ms  1.045 ms  1.140 ms
 3  192.168.60.20  1.213 ms !X  1.289 ms !X  1.224 ms !X

Solution

En tant que cause première, on a d'abord suspecté un défaut logiciel CSCvm64622 a été touché, mais après une enquête supplémentaire, il a été constaté qu'il s'agissait d'une mauvaise configuration en raison du fait que la documentation du produit n'était pas claire au sujet des exigences d'action tloc. Ainsi, la section documentation relative à l'action TLOC est mise à jour avec ceci :

Remarque : Si l'action est acceptez set tloc-action, configurez le service TE sur la destination intermédiaire.

Par conséquent, dans le scénario courant, la configuration du service TE est requise sur vEdge2 afin de rendre la politique de contrôle centralisé efficace parce que vous utilisez l'ingénierie de trafic (TE) essentiellement par la direction via un chemin arbitraire :

vedge2(config)# vpn 40
vedge2(config-vpn-40)# service ?
Possible completions:
  FW  IDP  IDS  TE  netsvc1  netsvc2  netsvc3  netsvc4
vedge2(config-vpn-40)# service TE
vedge2(config-vpn-40)# commit
Commit complete.

Il résout le problème avec la stratégie de contrôle depuis que vEdge2 commence à annoncer le service TE :

vsmart1# show omp services | b PATH
                                                 PATH                      
VPN    SERVICE  ORIGINATOR      FROM PEER        ID     LABEL    STATUS    
---------------------------------------------------------------------------
40     VPN      192.168.30.104  192.168.30.104   68     1002     C,I,R     
                                192.168.30.104   81     1002     C,I,R     
40     VPN      192.168.30.105  192.168.30.105   68     1002     C,I,R     
                                192.168.30.105   81     1002     C,I,R     
40     VPN      192.168.30.106  192.168.30.106   68     1002     C,I,R     
                                192.168.30.106   81     1002     C,I,R     
40     TE       192.168.30.105  192.168.30.105   68     1007     C,I,R     
                                192.168.30.105   81     1007     C,I,R

vEdge1 et vEdge3 installent les routes avec succès maintenant, notez que l'état est défini sur C, I, R :

vedge3# show omp routes 192.168.40.0/24 detail

---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         19
label           1002
status          C,I,R
loss-reason     not set
lost-to-peer    not set
lost-to-path-id not set
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.105, biz-internet, ipsec
     ultimate-tloc    192.168.30.104, biz-internet, ipsec -- primary
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         20
label           1002
status          R
loss-reason     tloc-action
lost-to-peer    192.168.30.103
lost-to-path-id 19
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.104, biz-internet, ipsec
     ultimate-tloc    not set
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
vedge3# show ip routes 192.168.40.0/24 | b PROTOCOL
                                            PROTOCOL  NEXTHOP     NEXTHOP          NEXTHOP                                                   
VPN    PREFIX              PROTOCOL         SUB TYPE  IF NAME     ADDR             VPN      TLOC IP          COLOR            ENCAP  STATUS  
---------------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     omp              -         -           -                -        192.168.30.105   biz-internet     ipsec  F,S

Contribution d’experts de Cisco

Eugene Khabarov
Cisco TAC Engineer

Pourquoi définir tloc-action dans une stratégie de contrôle centralisée ne fonctionne pas ?

Options de téléchargement

Langage exempt de préjugés

À propos de cette traduction

Contenu

Introduction

Topologie

Configuration

Problème

Solution

Contribution d’experts de Cisco

Ce document vous est-il utile?

Contacter Cisco

Ce document s’applique à ces produits