لماذا لا يعمل تعيين الإجراء في سياسة التحكم المركزي؟
المقدمة
يصف هذا المستند المشكلة التي تحدث مع مسارات بروتوكول الإدارة المضمنة (OMP) إذا تم إستخدام الأمر set tloc-action في سياسة التحكم المركزي ويشرح سبب حدوثها وكيفية حلها.
طوبولوجيا
لفهم المشكلة بشكل أفضل، ارجع إلى هذا المخطط الهيكلي البسيط الذي يصف الإعداد:
التكوين
لأغراض هذه المقالة، تم إستخدام الإصدار 18.3.5 من برنامج وحدات التحكم و vEdge.
كافة المواقع لها اتصال ب biz-internet وprivate color، يلخص هذا الجدول التكوين.
| اسم المضيف | معرف الموقع | IP لنظام | عنوان IP على إرتباط biz-internet | عنوان IP على الارتباط الخاص1 |
| vEdge1 | 40 | 192.168.30.104 |
192.168.109.181 |
192.168.110.181 |
| vEdge2 | 50 | 192.168.30.105 |
192.168.109.182 |
192.168.110.182 |
| vEdge3 | 60 | 192.168.30.106 |
192.168.109.183 |
192.168.110.183 |
| vSmart | 1 | 192.168.30.103 |
|
|
لا توجد تكوينات خاصة على vEdges. التهيئة باستخدام مسارين افتراضيين تتسم بالبساطة ويتم تجاهلها هنا للاختصار.
في vSmart، تم تطبيق هذا التكوين:
lists
vpn-list VPN_40
vpn 40
!
site-list sites_40_60
site-id 40
site-id 60
!
prefix-list SITE_40
ip-prefix 192.168.40.0/24
!
prefix-list SITE_60
ip-prefix 192.168.60.0/24
!
!
control-policy REDIRECT_VIA_VEDGE2
sequence 10
match route
prefix-list SITE_40
!
action accept
set
tloc-action primary
tloc 192.168.30.105 color biz-internet encap ipsec
!
!
!
sequence 20
match route
prefix-list SITE_60
!
action accept
set
tloc-action primary
tloc 192.168.30.105 color biz-internet encap ipsec
!
!
!
default-action accept
!
apply-policy
site-list sites_40_60
control-policy REDIRECT_VIA_VEDGE2 out
!
!
الهدف الرئيسي من هذه السياسة هو إعادة توجيه حركة المرور من الموقع 40 إلى الموقع 60 عبر موقع الوجهة المتوسطة 50 ويفضل إستخدام biz-internet.
المشكلة
من الإخراج show omp route ، ترى أن المسارات عبر biz-internet لا يمكن تثبيتها على vEdge1 و vEdge3 وقد تم تعيين الحالة إلى غير صالح وغير محلول (Inv،U):
vedge1# show omp routes | b PATH
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
40 192.168.40.0/24 0.0.0.0 68 1002 C,Red,R installed 192.168.30.104 biz-internet ipsec -
0.0.0.0 81 1002 C,Red,R installed 192.168.30.104 private1 ipsec -
40 192.168.50.0/24 192.168.30.103 4 1002 C,I,R installed 192.168.30.105 biz-internet ipsec -
192.168.30.103 10 1002 C,I,R installed 192.168.30.105 private1 ipsec -
40 192.168.60.0/24 192.168.30.103 8 1002 Inv,U installed 192.168.30.105 biz-internet ipsec -
192.168.30.103 9 1002 C,I,R installed 192.168.30.106 biz-internet ipsec -
vedge3# show omp routes | b PATH
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
40 192.168.40.0/24 192.168.30.103 19 1002 Inv,U installed 192.168.30.105 biz-internet ipsec -
192.168.30.103 20 1002 C,I,R installed 192.168.30.104 biz-internet ipsec -
40 192.168.50.0/24 192.168.30.103 16 1002 C,I,R installed 192.168.30.105 biz-internet ipsec -
192.168.30.103 21 1002 C,I,R installed 192.168.30.105 private1 ipsec -
40 192.168.60.0/24 0.0.0.0 68 1002 C,Red,R installed 192.168.30.106 biz-internet ipsec -
0.0.0.0 81 1002 C,Red,R installed 192.168.30.106 private1 ipsec -
في الوقت نفسه، ترى أنفاق مستوى البيانات على نظام biz-internet قيد التشغيل بين نظام vEdge1 و vEdge3:
vedge1# show bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.105 50 up biz-internet biz-internet 192.168.109.181 192.168.109.182 12366 ipsec 7 1000 0:02:52:22 0
192.168.30.105 50 up private1 private1 192.168.110.181 192.168.110.182 12366 ipsec 7 1000 0:00:00:12 1
192.168.30.106 60 up biz-internet biz-internet 192.168.109.181 192.168.109.183 12366 ipsec 7 1000 0:02:52:22 0
192.168.30.106 60 up private1 private1 192.168.110.181 192.168.110.183 12366 ipsec 7 1000 0:00:56:28 0
vedge3# show bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
192.168.30.104 40 up biz-internet biz-internet 192.168.109.183 192.168.109.181 12366 ipsec 7 1000 0:02:54:25 0
192.168.30.104 40 up private1 private1 192.168.110.183 192.168.110.181 12366 ipsec 7 1000 0:00:58:30 0
192.168.30.105 50 up biz-internet biz-internet 192.168.109.183 192.168.109.182 12366 ipsec 7 1000 0:02:54:25 0
192.168.30.105 50 up private1 private1 192.168.110.183 192.168.110.182 12366 ipsec 7 1000 0:00:57:26 0
في الإخراج التفصيلي لمسار العرض omp، ترى أن tloc تم تعيينه بشكل صحيح وأيضا أن untimate-tloc تم تعيينه، ولكن الحالة هي Inv،U وسبب الخسارة غير صالح:
vedge3# show omp routes 192.168.40.0/24 detail
---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
RECEIVED FROM:
peer 192.168.30.103
path-id 19
label 1002
status Inv,U
loss-reason invalid
lost-to-peer 192.168.30.103
lost-to-path-id 20
Attributes:
originator 192.168.30.104
type installed
tloc 192.168.30.105, biz-internet, ipsec
ultimate-tloc 192.168.30.104, biz-internet, ipsec -- primary
domain-id not set
overlay-id 1
site-id 40
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
unknown-attr-len not set
RECEIVED FROM:
peer 192.168.30.103
path-id 20
label 1002
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 192.168.30.104
type installed
tloc 192.168.30.104, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 40
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
unknown-attr-len not set
يمكنك أن تلاحظ أن الهدف الرئيسي لا يتم تحقيقه وأن حركة مرور البيانات تتبع المسار المباشر كما هو موضح على المضيف من الشبكة الفرعية 192.168.40.0/24:
traceroute -n 192.168.60.20 traceroute to 192.168.60.20 (192.168.60.20), 30 hops max, 60 byte packets 1 192.168.40.104 0.288 ms 0.314 ms 0.266 ms 2 192.168.60.106 0.911 ms 1.045 ms 1.140 ms 3 192.168.60.20 1.213 ms !X 1.289 ms !X 1.224 ms !X
الحل
كسبب جذري، في البداية كان يشتبه أن خلل البرنامج CSCvm64622 
تعرض للهجوم، ولكن بعد تحقيق إضافي، تبين أنه كان خطأ في التكوين نظرا لحقيقة أن وثائق المنتج لم تكن واضحة حول متطلبات الإجراء التقني. لذلك، يتم تحديث قسم الوثائق فيما يتعلق بالإجراء TLOC بهذا:
وبالتالي، في السيناريو الحالي، يلزم توفر خدمة التكوين على vEdge2 من أجل جعل سياسة التحكم المركزي تعمل لأنك تستخدم هندسة حركة مرور البيانات (TE) بشكل أساسي من خلال التوجيه عبر مسار عشوائي:
vedge2(config)# vpn 40 vedge2(config-vpn-40)# service ? Possible completions: FW IDP IDS TE netsvc1 netsvc2 netsvc3 netsvc4 vedge2(config-vpn-40)# service TE vedge2(config-vpn-40)# commit Commit complete.
إنه يحل المشكلة المتعلقة بنهج التحكم حيث يبدأ vEdge2 في الإعلان عن الخدمة TE:
vsmart1# show omp services | b PATH
PATH
VPN SERVICE ORIGINATOR FROM PEER ID LABEL STATUS
---------------------------------------------------------------------------
40 VPN 192.168.30.104 192.168.30.104 68 1002 C,I,R
192.168.30.104 81 1002 C,I,R
40 VPN 192.168.30.105 192.168.30.105 68 1002 C,I,R
192.168.30.105 81 1002 C,I,R
40 VPN 192.168.30.106 192.168.30.106 68 1002 C,I,R
192.168.30.106 81 1002 C,I,R
40 TE 192.168.30.105 192.168.30.105 68 1007 C,I,R
192.168.30.105 81 1007 C,I,R
يقوم الطرازان vEdge1 و vEdge3 الآن بتثبيت المسارات بنجاح، لاحظ أن الحالة تم تعيينها على C،I،R:
vedge3# show omp routes 192.168.40.0/24 detail
---------------------------------------------------
omp route entries for vpn 40 route 192.168.40.0/24
---------------------------------------------------
RECEIVED FROM:
peer 192.168.30.103
path-id 19
label 1002
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 192.168.30.104
type installed
tloc 192.168.30.105, biz-internet, ipsec
ultimate-tloc 192.168.30.104, biz-internet, ipsec -- primary
domain-id not set
overlay-id 1
site-id 40
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
unknown-attr-len not set
RECEIVED FROM:
peer 192.168.30.103
path-id 20
label 1002
status R
loss-reason tloc-action
lost-to-peer 192.168.30.103
lost-to-path-id 19
Attributes:
originator 192.168.30.104
type installed
tloc 192.168.30.104, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 40
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
unknown-attr-len not set
vedge3# show ip routes 192.168.40.0/24 | b PROTOCOL
PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN PREFIX PROTOCOL SUB TYPE IF NAME ADDR VPN TLOC IP COLOR ENCAP STATUS
---------------------------------------------------------------------------------------------------------------------------------------------
40 192.168.40.0/24 omp - - - - 192.168.30.105 biz-internet ipsec F,S
التعليقات