集中制御ポリシーのTloc-actionが機能しない

ダウンロードオプション

PDF (393.6 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (156.2 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (102.7 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2026 年 3 月 12 日

Document ID:214232

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

はじめに

このドキュメントでは、集中制御ポリシーでset tloc-actionが使用される場合、Overlay Management Protocol(OMP)ルートが無効のままになる理由について説明します

トポロジ

この例では、サイト40とサイト60の間のトラフィックは、サイト50を介して転送されます。ポリシーはvEdge2の中間TLOCを設定し、tloc-action primaryを使用します。これにより、トラフィックは中間サイトを通過するビジネスインターネットパスを優先します。

Topology

背景

中央集中型コントロールポリシーのtloc-actionは、データプレーントンネルがアップしているように見えても機能しません。また、設定の修正方法についても説明します。

コンフィギュレーション

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。この記事では、vEdgeとコントローラソフトウェアバージョン18.3.5を使用しています。

すべてのサイトがbiz-internetおよびprivateカラーに接続できます。次の表に、設定の概要を示します。

hostname	site-id	system-ip	ビジネスインターネットリンク上のIPアドレス	private1リンクのIPアドレス
vEdge1	40	192.168.30.104	192.168.109.181	192.168.110.181
vEdge2	50	192.168.30.105	192.168.109.182	192.168.110.182
vEdge3	60	192.168.30.106	192.168.109.183	192.168.110.183
vsmart	1	192.168.30.103

vEdgeには特別な設定はありません。2つのデフォルトルートを使用した設定は非常に簡単です。簡略化のためここでは省略します。

vSmartでは、次の設定が適用されました。

 lists
  vpn-list VPN_40
   vpn 40
  !
  site-list sites_40_60
   site-id 40
   site-id 60
  !
  prefix-list SITE_40
   ip-prefix 192.168.40.0/24
  !
  prefix-list SITE_60
   ip-prefix 192.168.60.0/24
  !
 ! 
control-policy REDIRECT_VIA_VEDGE2
  sequence 10
   match route
    prefix-list SITE_40
   !
   action accept
    set
     tloc-action primary
     tloc 192.168.30.105 color biz-internet encap ipsec
    !
   !
  !
  sequence 20
   match route
    prefix-list SITE_60
   !
   action accept
    set
     tloc-action primary
     tloc 192.168.30.105 color biz-internet encap ipsec
    !
   !
  !
  default-action accept
 !
apply-policy
 site-list sites_40_60
  control-policy REDIRECT_VIA_VEDGE2 out
 !
!

目標は、サイト40とサイト60の間のトラフィックをサイト50経由でリダイレクトし、ビジネスインターネット TLOCを優先することです。

問題

show omp routesの出力から、biz-internet経由のルートをvEdge1、vEdge3にインストールできず、ステータスが無効および未解決(Inv,U😞に設定されていることがわかります

vedge1# show omp routes | b PATH
                                            PATH                      ATTRIBUTE                                                       
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE  
--------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     0.0.0.0          68     1002     C,Red,R   installed  192.168.30.104   biz-internet     ipsec  -           
                           0.0.0.0          81     1002     C,Red,R   installed  192.168.30.104   private1         ipsec  -           
40     192.168.50.0/24     192.168.30.103   4      1002     C,I,R     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   10     1002     C,I,R     installed  192.168.30.105   private1         ipsec  -           
40     192.168.60.0/24     192.168.30.103   8      1002     Inv,U     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   9      1002     C,I,R     installed  192.168.30.106   biz-internet     ipsec  -

vedge3# show omp routes | b PATH
                                            PATH                      ATTRIBUTE                                                       
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE  
--------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     192.168.30.103   19     1002     Inv,U     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   20     1002     C,I,R     installed  192.168.30.104   biz-internet     ipsec  -           
40     192.168.50.0/24     192.168.30.103   16     1002     C,I,R     installed  192.168.30.105   biz-internet     ipsec  -           
                           192.168.30.103   21     1002     C,I,R     installed  192.168.30.105   private1         ipsec  -           
40     192.168.60.0/24     0.0.0.0          68     1002     C,Red,R   installed  192.168.30.106   biz-internet     ipsec  -           
                           0.0.0.0          81     1002     C,Red,R   installed  192.168.30.106   private1         ipsec  -

同時に、vEdge1とvEdge3の間で稼働しているビジネス向けインターネット上にデータプレーントンネルが存在することも確認できます。

vedge1# show bfd sessions 
                                      SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX                              
SYSTEM IP        SITE ID  STATE       COLOR            COLOR            SOURCE IP                       IP                              PORT        ENCAP  MULTIPLIER  INTERVAL(msec) UPTIME          TRANSITIONS 
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.105   50       up          biz-internet     biz-internet     192.168.109.181                 192.168.109.182                 12366       ipsec  7           1000           0:02:52:22      0           
192.168.30.105   50       up          private1         private1         192.168.110.181                 192.168.110.182                 12366       ipsec  7           1000           0:00:00:12      1           
192.168.30.106   60       up          biz-internet     biz-internet     192.168.109.181                 192.168.109.183                 12366       ipsec  7           1000           0:02:52:22      0           
192.168.30.106   60       up          private1         private1         192.168.110.181                 192.168.110.183                 12366       ipsec  7           1000           0:00:56:28      0

vedge3# show bfd sessions 
                                      SOURCE TLOC      REMOTE TLOC                                      DST PUBLIC                      DST PUBLIC         DETECT      TX                              
SYSTEM IP        SITE ID  STATE       COLOR            COLOR            SOURCE IP                       IP                              PORT        ENCAP  MULTIPLIER  INTERVAL(msec) UPTIME          TRANSITIONS 
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.104   40       up          biz-internet     biz-internet     192.168.109.183                 192.168.109.181                 12366       ipsec  7           1000           0:02:54:25      0           
192.168.30.104   40       up          private1         private1         192.168.110.183                 192.168.110.181                 12366       ipsec  7           1000           0:00:58:30      0           
192.168.30.105   50       up          biz-internet     biz-internet     192.168.109.183                 192.168.109.182                 12366       ipsec  7           1000           0:02:54:25      0           
192.168.30.105   50       up          private1         private1         192.168.110.183                 192.168.110.182                 12366       ipsec  7           1000           0:00:57:26      0

show omp routeの詳細出力で、tlocが正しく設定され、untimate-tlocが設定されているにもかかわらず、ステータスがInv,Uで、損失理由がinvalidであることがわかります。

vedge3# show omp routes 192.168.40.0/24 detail

---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         19
label           1002
status          Inv,U
loss-reason     invalid
lost-to-peer    192.168.30.103
lost-to-path-id 20
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.105, biz-internet, ipsec
     ultimate-tloc    192.168.30.104, biz-internet, ipsec -- primary
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         20
label           1002
status          C,I,R
loss-reason     not set
lost-to-peer    not set
lost-to-path-id not set
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.104, biz-internet, ipsec
     ultimate-tloc    not set
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set

注:ultimate-tlocは、中間ホップが最終的な宛先に到達するためにデータプレーントンネル(IPsecまたはGeneric Routing Encapsulation(GRE))を構築するTLOCです。

注：tloc-actionがサポートされるのは、中間ホップが最終的な（最終的な）宛先へのトンネルを構築するTLOCと同じTLOCから送信元までの、中間ホップ上の同じTLOCからのデータプレーントンネルが設定されている場合だけです。サイトから中間ホップに到達するために使用されるTLOCが、最終的な（最終的な）宛先に到達するために中間ホップから使用されるTLOCと異なる場合、TLOCアクションによるポリシー障害が発生します。これは、分離アンダーレイとも呼ばれます。

192.168.40.0/24サブネットのホストで確認できるように、主な目標が達成されておらず、トラフィックが直接パスをたどっていることがわかります。

traceroute -n 192.168.60.20
traceroute to 192.168.60.20 (192.168.60.20), 30 hops max, 60 byte packets
 1  192.168.40.104  0.288 ms  0.314 ms  0.266 ms
 2  192.168.60.106  0.911 ms  1.045 ms  1.140 ms
 3  192.168.60.20  1.213 ms !X  1.289 ms !X  1.224 ms !X

ソリューション

アクションがaccept set tloc-actionの場合、中継ルータでサービスTEを設定します。

注：サービスTEが有効である場合、中継ルータは、ソースルータがステアリングされたパスを検証するために使用するTE関連のパス情報をアドバタイズします。実際には、これによって送信元ルータは、ポリシーによって選択された正確な中間ホップTLOCに、最終的な宛先に向かう動作可能なデータプレーントンネルがあることを確認できます。

注：データプレーンパスのエンドツーエンドの追跡を実行するコンポーネントとしてvSmartを説明することは避けることが重要です。このワークフローでは、vSmartによってコントロールプレーン情報が配信されますが、送信元ルータはアドバタイズされたTE関連のパス情報を使用して、ステアリングされたパスが有効かどうかを判別します。このメカニズムは、単一の中間ホップに適用されます。複数の中間ルータ間でのチェーン検証は行いません。

したがって、現在のシナリオでは、トラフィックエンジニアリング(TE)は基本的に任意のパスを介してステアリングを行うことにより使用されるため、中央制御ポリシーを機能させるには、vEdge2上でサービスTE設定が必要になります。

vedge2(config)# vpn 40
vedge2(config-vpn-40)# service ?
Possible completions:
  FW  IDP  IDS  TE  netsvc1  netsvc2  netsvc3  netsvc4
vedge2(config-vpn-40)# service TE
vedge2(config-vpn-40)# commit
Commit complete.

サービスTEを有効にすると、中間ルータが必要なTEサービス情報をアドバタイズし、ポリシーで制御されるルートを正常にインストールできます。

vsmart1# show omp services | b PATH
                                                 PATH                      
VPN    SERVICE  ORIGINATOR      FROM PEER        ID     LABEL    STATUS    
---------------------------------------------------------------------------
40     VPN      192.168.30.104  192.168.30.104   68     1002     C,I,R     
                                192.168.30.104   81     1002     C,I,R     
40     VPN      192.168.30.105  192.168.30.105   68     1002     C,I,R     
                                192.168.30.105   81     1002     C,I,R     
40     VPN      192.168.30.106  192.168.30.106   68     1002     C,I,R     
                                192.168.30.106   81     1002     C,I,R     
40     TE       192.168.30.105  192.168.30.105   68     1007     C,I,R     
                                192.168.30.105   81     1007     C,I,R

ステータスがポリシーで制御されるルートがC、I、Rに設定されていることに注意してください。

vedge3# show omp routes 192.168.40.0/24 detail

---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         19
label           1002
status          C,I,R
loss-reason     not set
lost-to-peer    not set
lost-to-path-id not set
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.105, biz-internet, ipsec
     ultimate-tloc    192.168.30.104, biz-internet, ipsec -- primary
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
            RECEIVED FROM:                   
peer            192.168.30.103
path-id         20
label           1002
status          R
loss-reason     tloc-action
lost-to-peer    192.168.30.103
lost-to-path-id 19
    Attributes:
     originator       192.168.30.104
     type             installed
     tloc             192.168.30.104, biz-internet, ipsec
     ultimate-tloc    not set
     domain-id        not set
     overlay-id        1
     site-id          40
     preference       not set
     tag              not set
     origin-proto     connected
     origin-metric    0
     as-path          not set
     unknown-attr-len not set
vedge3# show ip routes 192.168.40.0/24 | b PROTOCOL
                                            PROTOCOL  NEXTHOP     NEXTHOP          NEXTHOP                                                   
VPN    PREFIX              PROTOCOL         SUB TYPE  IF NAME     ADDR             VPN      TLOC IP          COLOR            ENCAP  STATUS  
---------------------------------------------------------------------------------------------------------------------------------------------
40     192.168.40.0/24     omp              -         -           -                -        192.168.30.105   biz-internet     ipsec  F,S

更新履歴

改定	発行日	コメント
2.0	12-Mar-2026	「set tloc-action」の制限と制限、フォーマットを明確化
1.0	28-Mar-2019	初版

シスコエンジニア提供

ユージーンハバロフ
Cisco TACエンジニア

集中制御ポリシーのTloc-actionが機能しない

ダウンロード オプション

偏向のない言語

翻訳について

内容

はじめに

トポロジ

背景

コンフィギュレーション

問題

ソリューション

更新履歴

シスコ エンジニア提供

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

ダウンロードオプション

シスコエンジニア提供