L'azione di controllo in un criterio di controllo centralizzato non funziona

Opzioni per il download

  • PDF     (317.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (161.3 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (108.0 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:12 marzo 2026
ID documento:214232

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto il motivo per cui una route OMP (Overlay Management Protocol) può rimanere non valida quando si imposta un'azione in un criterio di controllo centralizzato

    Topologia

    In questo esempio, il traffico tra il sito 40 e il sito 60 viene indirizzato attraverso il sito 50. I criteri impostano il TLOC intermedio su vEdge2 e utilizzano il primario tloc-action in modo che il traffico preferisca il percorso Internet biz attraverso il sito intermedio.

    Topology

    Introduzione

    le azioni da intraprendere in una policy di controllo centralizzato non funzionano, anche se i tunnel del piano dati sembrano essere attivi, e descrive come correggere la configurazione.

    Configurazione

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi. Ai fini del presente articolo, è stato utilizzato vEdge e il software dei controller versione 18.3.5. 

    Tutti i siti sono connessi a biz-internet e colori privati, questa tabella riepiloga la configurazione.

    nome host id-sito ip-sistema indirizzo ip sul collegamento biz-internet indirizzo ip su collegamento private1
    vEdge 1 40

    192.168.30.104

    192.168.109.181

    192.168.110.181
    vEdge2 50

    192.168.30.105

    192.168.109.182

    192.168.110.182
    vEdge 3 60

    192.168.30.106

    192.168.109.183

    192.168.110.183
    vSmart 1

    192.168.30.103



    Sui bordi non sono presenti configurazioni speciali. La configurazione con due route predefinite è piuttosto semplice e viene omessa per brevità.

    Su vSmart, è stata applicata questa configurazione:

     lists
  vpn-list VPN_40
   vpn 40
  !
  site-list sites_40_60
   site-id 40
   site-id 60
  !
  prefix-list SITE_40
   ip-prefix 192.168.40.0/24
  !
  prefix-list SITE_60
   ip-prefix 192.168.60.0/24
  !
 ! 
control-policy REDIRECT_VIA_VEDGE2
  sequence 10
   match route
    prefix-list SITE_40
   !
   action accept
    set
     tloc-action primary
     tloc 192.168.30.105 color biz-internet encap ipsec
    !
   !
  !
  sequence 20
   match route
    prefix-list SITE_60
   !
   action accept
    set
     tloc-action primary
     tloc 192.168.30.105 color biz-internet encap ipsec
    !
   !
  !
  default-action accept
 !
apply-policy
 site-list sites_40_60
  control-policy REDIRECT_VIA_VEDGE2 out
 !
!

    L'obiettivo è reindirizzare il traffico tra il sito 40 e il sito 60 al sito 50 e preferire il TLOC biz-internet.

    Problema

    Dall'output show omp route, è possibile vedere che le route tramite biz-internet non possono essere installate su vEdge1, vEdge3 e lo stato è impostato su Non valido e non risolto (Inv,U😞

    vedge1# show omp routes | b PATH
                                            PATH                      ATTRIBUTE                                                       
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE  
--------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     0.0.0.0          68     1002     C,Red,R   installed  192.168.30.104   biz-internet     ipsec  -           
                           0.0.0.0          81     1002     C,Red,R   installed  192.168.30.104   private1         ipsec  -           
40     192.168.50.0/24     192.168.30.103   4      1002     C,I,R     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   10     1002     C,I,R     installed  192.168.30.105   private1         ipsec  -           
40     192.168.60.0/24     192.168.30.103   8      1002     Inv,U     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   9      1002     C,I,R     installed  192.168.30.106   biz-internet     ipsec  -           
    vedge3# show omp routes | b PATH
                                            PATH                      ATTRIBUTE                                                       
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE  
--------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     192.168.30.103   19     1002     Inv,U     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   20     1002     C,I,R     installed  192.168.30.104   biz-internet     ipsec  -           
40     192.168.50.0/24     192.168.30.103   16     1002     C,I,R     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   21     1002     C,I,R     installed  192.168.30.105   private1         ipsec  -           
40     192.168.60.0/24     0.0.0.0          68     1002     C,Red,R   installed  192.168.30.106   biz-internet     ipsec  -           
                           0.0.0.0          81     1002     C,Red,R   installed  192.168.30.106   private1         ipsec  -

    Allo stesso tempo, è possibile vedere i tunnel del piano dati su biz-internet in funzione tra vEdge1 e vEdge3:

    vedge1# show bfd sessions 
                                      SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX                              
SYSTEM IP        SITE ID  STATE       COLOR            COLOR            SOURCE IP                       IP                              PORT        ENCAP  MULTIPLIER  INTERVAL(msec) UPTIME          TRANSITIONS 
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.105   50       up          biz-internet     biz-internet     192.168.109.181                 192.168.109.182                 12366       ipsec  7           1000           0:02:52:22      0           
192.168.30.105   50       up          private1         private1         192.168.110.181                 192.168.110.182                 12366       ipsec  7           1000           0:00:00:12      1           
192.168.30.106   60       up          biz-internet     biz-internet     192.168.109.181                 192.168.109.183                 12366       ipsec  7           1000           0:02:52:22      0           
192.168.30.106   60       up          private1         private1         192.168.110.181                 192.168.110.183                 12366       ipsec  7           1000           0:00:56:28      0 
    vedge3# show bfd sessions 
                                      SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX                              
SYSTEM IP        SITE ID  STATE       COLOR            COLOR            SOURCE IP                       IP                              PORT        ENCAP  MULTIPLIER  INTERVAL(msec) UPTIME          TRANSITIONS 
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.104   40       up          biz-internet     biz-internet     192.168.109.183                 192.168.109.181                 12366       ipsec  7           1000           0:02:54:25      0           
192.168.30.104   40       up          private1         private1         192.168.110.183                 192.168.110.181                 12366       ipsec  7           1000           0:00:58:30      0           
192.168.30.105   50       up          biz-internet     biz-internet     192.168.109.183                 192.168.109.182                 12366       ipsec  7           1000           0:02:54:25      0           
192.168.30.105   50       up          private1         private1         192.168.110.183                 192.168.110.182                 12366       ipsec  7           1000           0:00:57:26      0

    Nell'output dettagliato show omp route, viene visualizzato il tloc impostato correttamente e anche il tloc untimate è impostato, ma lo stato è Inv,U e il motivo della perdita non è valido:

    vedge3# show omp routes 192.168.40.0/24 detail

---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         19
label           1002
status          Inv,U
loss-reason     invalid
lost-to-peer    192.168.30.103
lost-to-path-id 20
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.105, biz-internet, ipsec
     ultimate-tloc    192.168.30.104, biz-internet, ipsec -- primary
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         20
label           1002
status          C,I,R
loss-reason     not set
lost-to-peer    not set
lost-to-path-id not set
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.104, biz-internet, ipsec
     ultimate-tloc    not set
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set

    Nota: Il TLOC finale è il TLOC al quale l'hop intermedio crea il tunnel del piano dati (IPsec o Generic Routing Encapsulation (GRE)) per raggiungere la destinazione finale. 

    Nota: l'azione TLOC è supportata solo da estremità a estremità se è presente un tunnel del piano dati impostato dallo stesso TLOC sull'hop intermedio all'origine come TLOC da cui l'hop intermedio crea il tunnel alla destinazione finale (finale). Se il TLOC utilizzato per raggiungere l'hop intermedio da un sito è diverso dal TLOC utilizzato dall'hop intermedio per raggiungere la destinazione finale (finale), si verifica un errore dei criteri con l'azione TLOC. Questo processo è noto anche come underlay separato.

    Come si può notare, l'obiettivo principale non è stato raggiunto e il traffico segue il percorso diretto, come mostrato sull'host dalla subnet 192.168.40.0/24:

    traceroute -n 192.168.60.20
traceroute to 192.168.60.20 (192.168.60.20), 30 hops max, 60 byte packets
 1  192.168.40.104  0.288 ms  0.314 ms  0.266 ms
 2  192.168.60.106  0.911 ms  1.045 ms  1.140 ms
 3  192.168.60.20  1.213 ms !X  1.289 ms !X  1.224 ms !X

    Soluzione

    Se l'azione accetta il comando set tloc-action, configurare il servizio TE sul router intermedio.

    Nota: quando il TE di servizio è abilitato, il router intermedio annuncia le informazioni sul percorso relative al TE che il router di origine utilizza per convalidare il percorso guidato. In termini pratici, ciò consente al router di origine di verificare che l'esatto TLOC dell'hop intermedio selezionato dalla policy disponga di un tunnel del piano dati operativo verso la destinazione finale. 

    Nota: È importante evitare di descrivere vSmart come il componente che esegue il tracciamento end-to-end del percorso del piano dati. In questo flusso di lavoro, vSmart distribuisce le informazioni sul control plane, mentre il router di origine utilizza le informazioni sul percorso relativo al TE annunciato per determinare se il percorso guidato è valido. Questo meccanismo si applica a un singolo hop intermedio. Non fornisce la convalida concatenata su più router intermedi.

    Pertanto, nello scenario corretto, il servizio richiede la configurazione TE su vEdge2 per consentire il funzionamento dei criteri di controllo centralizzati, in quanto si utilizza Traffic Engineering (TE) essenzialmente seguendo un percorso arbitrario:

    vedge2(config)# vpn 40
vedge2(config-vpn-40)# service ?
Possible completions:
  FW  IDP  IDS  TE  netsvc1  netsvc2  netsvc3  netsvc4
vedge2(config-vpn-40)# service TE
vedge2(config-vpn-40)# commit
Commit complete.

    Dopo aver abilitato il Service TE, il router intermedio annuncia le informazioni richieste sul servizio TE e il router guidato da criteri può essere installato correttamente.

    vsmart1# show omp services | b PATH
                                                 PATH                      
VPN    SERVICE  ORIGINATOR      FROM PEER        ID     LABEL    STATUS    
---------------------------------------------------------------------------
40     VPN      192.168.30.104  192.168.30.104   68     1002     C,I,R     
                                192.168.30.104   81     1002     C,I,R     
40     VPN      192.168.30.105  192.168.30.105   68     1002     C,I,R     
                                192.168.30.105   81     1002     C,I,R     
40     VPN      192.168.30.106  192.168.30.106   68     1002     C,I,R     
                                192.168.30.106   81     1002     C,I,R     
40     TE       192.168.30.105  192.168.30.105   68     1007     C,I,R     
                                192.168.30.105   81     1007     C,I,R

    Notare che la route guidata da criteri di stato è impostata su C,I,R:

    vedge3# show omp routes 192.168.40.0/24 detail

---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         19
label           1002
status          C,I,R
loss-reason     not set
lost-to-peer    not set
lost-to-path-id not set
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.105, biz-internet, ipsec
     ultimate-tloc    192.168.30.104, biz-internet, ipsec -- primary
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         20
label           1002
status          R
loss-reason     tloc-action
lost-to-peer    192.168.30.103
lost-to-path-id 19
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.104, biz-internet, ipsec
     ultimate-tloc    not set
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
vedge3# show ip routes 192.168.40.0/24 | b PROTOCOL
                                            PROTOCOL  NEXTHOP     NEXTHOP          NEXTHOP                                                   
VPN    PREFIX              PROTOCOL         SUB TYPE  IF NAME     ADDR             VPN      TLOC IP          COLOR            ENCAP  STATUS  
---------------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     omp              -         -           -                -        192.168.30.105   biz-internet     ipsec  F,S

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    12-Mar-2026
    sono state chiarite le restrizioni e le limitazioni relative all'impostazione delle azioni di tloc, nonché la formattazione.
    1.0
    28-Mar-2019
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Eugene Khabarov
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti