SD-WANハブルータからのECMPパス上でトラフィックのロードバランシングが行われない理由
はじめに
このドキュメントでは、スポークルータからのトラフィックが、同じプレフィクスをアドバタイズする複数のハブルータにロードバランシングされない場合の、SD-WANファブリックでのEqual-Cost Multipath(ECMP)ルーティングの一般的な問題について説明します。また、この問題を解決する方法と、17.2 Cisco IOS®-XEソフトウェアに追加されたルーティングの問題をトラブルシューティングするための、show sdwan policy service-pathを含むさまざまなトラブルシューティングコマンドの使用方法についても説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Overlay Management Protocol(OMP)の基本知識
- SD-WANコンポーネントとそれらの相互対話
使用するコンポーネント
デモンストレーションの目的で、次のソフトウェアルータが使用されました。
- コントローラモード(SD-WAN)で動作する17.2.1vソフトウェアバージョンを実行するCisco IOS-XE CSR1000vルータ4台
- 20.1.12ソフトウェアバージョンを実行するvSmartコントローラ
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
このドキュメントの目的に従い、次のラボトポロジを使用します。
SD-WANファブリック内の各デバイスに割り当てられたsite-idパラメータとsystem-ipパラメータの要約を次に示します。
| ホスト名 | system-ip | site-id |
| cE1(ハブ1) | 192.168.30.214 | 214 |
| cE2(ハブ2) | 192.168.30.215 | 215 |
| cE3(スポーク1) | 192.168.30.216 | 216 |
| vsmart | 192.168.30.113 | 1 |
各ハブには、トポロジ図に従って色が割り当てられた4つのTLOC(Transport Location Identifier)があり、各ハブはデフォルトルート0.0.0.0/0を192.168.2.0/24サブネットとともにスポーク(ブランチルータcE3)にアドバタイズします。任意のパス/デバイスを優先するようにvSmartで設定されたポリシーはなく、すべてのデバイスですべてのOMP設定がデフォルトに設定されています。その他の設定は、基本的なSD-WANオーバーレイ機能の標準の最小構成であるため、簡略化のために提供されていません。アクティブ – アクティブの冗長性と、ハブルータへの出力トラフィックは、ブランチルータから利用可能なすべてのアップリンク間でロードバランスされると予想できます。
問題
ブランチルータは、cE1ルータ(hub1)経由でのみ、デフォルトルートと192.168.2.0/24サブネットへのルートをインストールします。
ce3#show ip route vrf 2 | b Gateway
Gateway of last resort is 192.168.30.214 to network 0.0.0.0
m* 0.0.0.0/0 [251/0] via 192.168.30.214, 00:08:30, sdwan_system_ip
m 192.168.2.0/24 [251/0] via 192.168.30.214, 00:10:01, sdwan_system_ip
192.168.216.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.216.0/24 is directly connected, Loopback2
L 192.168.216.216/32 is directly connected, Loopback2これは、cE3が192.168.2.0/24だけでなく、デフォルトルート0.0.0.0/0に対する4つのルートだけを受信するためです。
ce3#show sdwan omp routes vpn 2 | begin PATH
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
2 0.0.0.0/0 192.168.30.113 61614 1003 C,I,R installed 192.168.30.214 mpls ipsec -
192.168.30.113 61615 1003 C,I,R installed 192.168.30.214 biz-internet ipsec -
192.168.30.113 61616 1003 C,I,R installed 192.168.30.214 private1 ipsec -
192.168.30.113 61617 1003 C,I,R installed 192.168.30.214 private2 ipsec -
2 192.168.2.0/24 192.168.30.113 61610 1003 C,I,R installed 192.168.30.214 mpls ipsec -
192.168.30.113 61611 1003 C,I,R installed 192.168.30.214 biz-internet ipsec -
192.168.30.113 61612 1003 C,I,R installed 192.168.30.214 private1 ipsec -
192.168.30.113 61613 1003 C,I,R installed 192.168.30.214 private2 ipsec -
2 192.168.216.0/24 0.0.0.0 68 1003 C,Red,R installed 192.168.30.216 biz-internet ipsec -
0.0.0.0 81 1003 C,Red,R installed 192.168.30.216 private1 ipsec -
0.0.0.0 82 1003 C,Red,R installed 192.168.30.216 private2 ipsec -
vSmartでは8ルートすべてが受信されていることが確認できます(各ハブのTLOC色ごとに4ルート)。
vsmart1# show omp routes vpn 2 | b PATH
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
2 0.0.0.0/0 192.168.30.214 66 1003 C,R installed 192.168.30.214 mpls ipsec -
192.168.30.214 68 1003 C,R installed 192.168.30.214 biz-internet ipsec -
192.168.30.214 81 1003 C,R installed 192.168.30.214 private1 ipsec -
192.168.30.214 82 1003 C,R installed 192.168.30.214 private2 ipsec -
192.168.30.215 66 1003 C,R installed 192.168.30.215 mpls ipsec -
192.168.30.215 68 1003 C,R installed 192.168.30.215 biz-internet ipsec -
192.168.30.215 81 1003 C,R installed 192.168.30.215 private1 ipsec -
192.168.30.215 82 1003 C,R installed 192.168.30.215 private2 ipsec -
2 192.168.2.0/24 192.168.30.214 66 1003 C,R installed 192.168.30.214 mpls ipsec -
192.168.30.214 68 1003 C,R installed 192.168.30.214 biz-internet ipsec -
192.168.30.214 81 1003 C,R installed 192.168.30.214 private1 ipsec -
192.168.30.214 82 1003 C,R installed 192.168.30.214 private2 ipsec -
192.168.30.215 66 1003 C,R installed 192.168.30.215 mpls ipsec -
192.168.30.215 68 1003 C,R installed 192.168.30.215 biz-internet ipsec -
192.168.30.215 81 1003 C,R installed 192.168.30.215 private1 ipsec -
192.168.30.215 82 1003 C,R installed 192.168.30.215 private2 ipsec -cE1(hub1)からのデフォルトルートが失われた場合、スポークルータはcE2(hub2)からのルートをインストールします。 したがって、アクティブ/アクティブ冗長性はなく、むしろcE1をプライマリルータとして使用するアクティブ/スタンバイです。
また、次の例のようにshow sdwan policy service-pathコマンドを使用して、特定のトラフィックフローに対して実行される出力パスを確認することもできます。
ce3#show sdwan policy service-path vpn 2 interface Loopback2 source-ip 192.168.216.216 dest-ip 192.168.2.1 protocol 6 source-port 53453 dest-port 22 dscp 48 app ssh
Next Hop: IPsec
Source: 192.168.109.216 12347 Destination: 192.168.110.214 12427 Local Color: biz-internet Remote Color: mpls Remote System IP: 192.168.30.214
特定のトラフィックタイプで使用可能なすべてのパスを表示するには、allキーワードを使用します。
ce3#show sdwan policy service-path vpn 2 interface Loopback2 source-ip 192.168.216.216 dest-ip 192.168.2.1 protocol 6 source-port 53453 dest-port 22 dscp 48 app ssh all
Number of possible next hops: 4
Next Hop: IPsec
Source: 192.168.109.216 12347 Destination: 192.168.110.214 12427 Local Color: biz-internet Remote Color: mpls Remote System IP: 192.168.30.214
Next Hop: IPsec
Source: 192.168.108.216 12367 Destination: 192.168.108.214 12407 Local Color: private2 Remote Color: private2 Remote System IP: 192.168.30.214
Next Hop: IPsec
Source: 192.168.107.216 12367 Destination: 192.168.107.214 12407 Local Color: private1 Remote Color: private1 Remote System IP: 192.168.30.214
Next Hop: IPsec
Source: 192.168.109.216 12347 Destination: 192.168.109.214 12387 Local Color: biz-internet Remote Color: biz-internet Remote System IP: 192.168.30.214
したがって、これによってルータcE3(spoke2)に使用可能なパスは8つではなく4つだけであることも確認できます。
vSmartがアドバタイズする対象を正確に確認すると、cE3にアドバタイズされた4つのルートだけが表示されます。
vsmart1# show omp routes vpn 2 0.0.0.0/0 detail | nomore | exclude not\ set | b ADVERTISED\ TO: | b peer\ \ \ \ 192.168.30.216
peer 192.168.30.216
Attributes:
originator 192.168.30.214
label 1003
path-id 61629
tloc 192.168.30.214, private2, ipsec
site-id 214
overlay-id 1
origin-proto static
origin-metric 0
Attributes:
originator 192.168.30.214
label 1003
path-id 61626
tloc 192.168.30.214, mpls, ipsec
site-id 214
overlay-id 1
origin-proto static
origin-metric 0
Attributes:
originator 192.168.30.214
label 1003
path-id 61628
tloc 192.168.30.214, private1, ipsec
site-id 214
overlay-id 1
origin-proto static
origin-metric 0
Attributes:
originator 192.168.30.214
label 1003
path-id 61627
tloc 192.168.30.214, biz-internet, ipsec
site-id 214
overlay-id 1
origin-proto static
origin-metric 0この出力から、問題の原因はvSmartコントローラであると結論付けることができます。
解決方法
この動作は、vSmartコントローラでのsend-path-limitのデフォルト設定が原因で発生します。send-path-limitは、エッジルータからvSmartコントローラへ、およびvSmartコントローラから他のエッジルータへアドバタイズされるECMPルートの最大数を定義します。デフォルト値は4で、通常はエッジルータ(各ハブルータに4つのアップリンクがあるトポロジのように)には十分ですが、vSmartコントローラが使用可能なすべてのパスを他のエッジルータに送信するには不十分です。send-path-limitに設定できる最大値は16ですが、最大値を128に増やすための拡張要求CSCvs89015がオープンされている場合もありますが、極端な場合はこれだけでは十分ではありません。
この問題を解決するには、次の例のようにvSmart設定を再設定する必要があります。
vsmart1# conf t
Entering configuration mode terminal
vsmart1(config)# omp
vsmart1(config-omp)# send-path-limit 8
vsmart1(config-omp)# commit
Commit complete.
vsmart1(config-omp)# end
vsmart1# show run omp
omp
no shutdown
send-path-limit 8
graceful-restart
!
vsmart1#次に、8つのルートすべてがvSmartによってブランチルータにアドバタイズされ、受信されます。
ce3#show sdwan omp routes vpn 2 | begin PATH
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
2 0.0.0.0/0 192.168.30.113 61626 1003 C,I,R installed 192.168.30.214 mpls ipsec -
192.168.30.113 61627 1003 C,I,R installed 192.168.30.214 biz-internet ipsec -
192.168.30.113 61628 1003 C,I,R installed 192.168.30.214 private1 ipsec -
192.168.30.113 61629 1003 C,I,R installed 192.168.30.214 private2 ipsec -
192.168.30.113 61637 1003 C,R installed 192.168.30.215 mpls ipsec -
192.168.30.113 61638 1003 C,R installed 192.168.30.215 biz-internet ipsec -
192.168.30.113 61639 1003 C,R installed 192.168.30.215 private1 ipsec -
192.168.30.113 61640 1003 C,R installed 192.168.30.215 private2 ipsec -
2 192.168.2.0/24 192.168.30.113 61610 1003 C,I,R installed 192.168.30.214 mpls ipsec -
192.168.30.113 61611 1003 C,I,R installed 192.168.30.214 biz-internet ipsec -
192.168.30.113 61612 1003 C,I,R installed 192.168.30.214 private1 ipsec -
192.168.30.113 61613 1003 C,I,R installed 192.168.30.214 private2 ipsec -
192.168.30.113 61633 1003 C,R installed 192.168.30.215 mpls ipsec -
192.168.30.113 61634 1003 C,R installed 192.168.30.215 biz-internet ipsec -
192.168.30.113 61635 1003 C,R installed 192.168.30.215 private1 ipsec -
192.168.30.113 61636 1003 C,R installed 192.168.30.215 private2 ipsec -
2 192.168.216.0/24 0.0.0.0 68 1003 C,Red,R installed 192.168.30.216 biz-internet ipsec -
0.0.0.0 81 1003 C,Red,R installed 192.168.30.216 private1 ipsec -
0.0.0.0 82 1003 C,Red,R installed 192.168.30.216 private2 ipsec -
まだブランチルータはcE1(hub1)経由でのみルートをインストールしますが、
ce3#sh ip route vrf 2 0.0.0.0
Routing Table: 2
Routing entry for 0.0.0.0/0, supernet
Known via "omp", distance 251, metric 0, candidate default path, type omp
Last update from 192.168.30.214 on sdwan_system_ip, 01:11:26 ago
Routing Descriptor Blocks:
* 192.168.30.214 (default), from 192.168.30.214, 01:11:26 ago, via sdwan_system_ip
Route metric is 0, traffic share count is 1
ce3#sh ip route vrf 2 192.168.2.0
Routing Table: 2
Routing entry for 192.168.2.0/24
Known via "omp", distance 251, metric 0, type omp
Last update from 192.168.30.214 on sdwan_system_ip, 01:33:56 ago
Routing Descriptor Blocks:
* 192.168.30.214 (default), from 192.168.30.214, 01:33:56 ago, via sdwan_system_ip
Route metric is 0, traffic share count is 1
ce3#show sdwan policy service-pathで同じことが確認されるため、簡略化のために出力は示されていません。
これは、別のコマンドecmp-limit値のデフォルト設定でもあるデフォルトでは、エッジルータは最初の4つのECMPパスだけをルーティングテーブルにインストールします。したがって、この問題を解決するには、次の例のようにスポークルータを再設定する必要があります。
ce3#config-t
admin connected from 127.0.0.1 using console on ce3
ce3(config)# sdwan
ce3(config-sdwan)# omp
ce3(config-omp)# ecmp-limit 8
ce3(config-omp)# commit
Commit complete.show ip routeは、両方のハブを経由する両方のルートが現在インストールされていることを確認します。
ce3#sh ip ro vrf 2 | b Gateway
Gateway of last resort is 192.168.30.215 to network 0.0.0.0
m* 0.0.0.0/0 [251/0] via 192.168.30.215, 00:00:37, sdwan_system_ip
[251/0] via 192.168.30.214, 00:00:37, sdwan_system_ip
m 192.168.2.0/24 [251/0] via 192.168.30.215, 00:00:37, sdwan_system_ip
[251/0] via 192.168.30.214, 00:00:37, sdwan_system_ip
192.168.216.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.216.0/24 is directly connected, Loopback2
L 192.168.216.216/32 is directly connected, Loopback2
ce3#機能テンプレートに基づいてvManageデバイステンプレートを使用する場合、同じ結果を得るには、次のスクリーンショットと同様にOMP機能テンプレートを調整する必要があります(ルータで使用されるOMP機能テンプレートのECMP制限と、vSmartで使用されるOMP機能テンプレートのプレフィクスごとにアドバタイズされるパスの数)。
関連情報
- https://www.cisco.com/c/en/us/td/docs/routers/sdwan/command/sdwan-cr-book/config-cmd.html#wp3085259372
- https://www.cisco.com/c/en/us/td/docs/routers/sdwan/command/sdwan-cr-book/config-cmd.html#wp2570227565
- https://www.cisco.com/c/en/us/td/docs/routers/sdwan/command/sdwan-cr-book/operational-cmd.html#wp5579365410
- テクニカル サポートとドキュメント - Cisco Systems
フィードバック