يؤدي الاستخدام غير المناسب ل "قائمة إجراءات السياسة" إلى التعتيم على حركة المرور
المقدمة
يصف هذا المستند التطبيق غير المناسب للسياسة الخاصة بإجراء set tloc-list الذي يؤدي إلى تقييد حركة مرور البيانات في حالات معينة عند تعطل الارتباط المفضل ولكن لا تزال مسارات النسخ الاحتياطي متاحة.
معلومات أساسية
من أجل تقديم تمثيلية ولفهم المشكلة الموصوفة لاحقا بشكل افضل، تأملوا في مخطط الطوبولوجيا هذا:
هذا بالإضافة إلى الجدول الذي يلخص إعدادات النظام:
| اسم المضيف | معرف الموقع | IP لنظام |
| vedge1 | 13 | 10.155.0.118 |
| vedge3 | 13 | 10.155.0.120 |
| vEdge4 | 4 | 10.155.0.50 |
| vsmart1 | 1 | 10.155.0.3 |
يتلقى كل من vEdge1 و vEdge3 طريق ساكن إستاتيكي يشكل أن يشير إلى بعض الخطوة التالية في ال VPN جانب الخدمة:
vpn 40 ip route 10.223.115.101/32 192.168.40.10 !
ومن أجل تحقيق هذه الأهداف:
1. تأكد من أن وصلة vEdge1 metro-ethernet هي الرابط المفضل لحركة مرور الدخول إلى "الموقع 13".
2 - ميميجب أن يكون إرتباط vEdge3 metro-ethernet هو الارتباط المفضل الثاني لحركة مرور الدخول إلى "الموقع 13".
3. جعل إرتباط vEdge1 العام عبر الإنترنت ثالث إرتباط مفضل لدخول حركة مرور الدخول إلى "الموقع 13".
4. أجعل إرتباط vEdge3 عاما-عبر الإنترنت أقل إرتباط تفضيلا لحركة مرور الدخول إلى "الموقع 13".
تم تكوين نهج التحكم في vSmart هذا:
policy
lists
tloc-list SITE13_TLOC_PREF
tloc 10.155.0.118 color metro-ethernet encap ipsec preference 200
tloc 10.155.0.118 color public-internet encap ipsec preference 100
tloc 10.155.0.120 color metro-ethernet encap ipsec preference 150
tloc 10.155.0.120 color public-internet encap ipsec preference 50
!
prefix-list SITE13_PREFIX
ip-prefix 10.223.115.101/32
!
site-list site13
site-id 13
!
control-policy TE_POLICY_2_SITE4
sequence 10
match route
prefix-list SITE13_PREFIX
!
action accept
set
tloc-list SITE13_TLOC_PREF
!
!
!
default-action accept
!
!
apply-policy
site-list site4
control-policy TE_POLICY_2_SITE4 out
!
!
المشكلة
الظروف العادية
تحصل تقنية vSmart على هذه المسارات من خلال 4 وحدات TLOC محتملة كخطوات تالية:
vsmart1# show omp routes 10.223.115.101/32 | b PATH
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
40 10.223.115.101/32 10.155.0.118 35 1002 C,R installed 10.155.0.118 metro-ethernet ipsec -
10.155.0.118 37 1002 C,R installed 10.155.0.118 public-internet ipsec -
10.155.0.120 35 1002 C,R installed 10.155.0.120 metro-ethernet ipsec -
10.155.0.120 37 1002 C,R installed 10.155.0.120 public-internet ipsec -
وتعين تفضيل الموجهات المعلن عنها وفقا لذلك:
vsmart1# show omp routes 10.223.115.101/32 detail | nomore | b ADVERTISED | b "peer 10.155.0.50" | i Attributes\|originator\|\ tloc\|preference
Attributes:
originator 10.155.0.118
tloc 10.155.0.120, public-internet, ipsec
preference 50
Attributes:
originator 10.155.0.118
tloc 10.155.0.120, metro-ethernet, ipsec
preference 150
Attributes:
originator 10.155.0.118
tloc 10.155.0.118, public-internet, ipsec
preference 100
Attributes:
originator 10.155.0.118
tloc 10.155.0.118, metro-ethernet, ipsec
preference 200
يقوم vEdge4 بتحديد وحدة تحكم في الوصول إلى النقل (TLOC) مناسبة وتثبيت هذا المسار في جدول التوجيه:
vedge4# show ip routes 10.223.115.101/32 | b PROTOCOL
PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN PREFIX PROTOCOL SUB TYPE IF NAME ADDR VPN TLOC IP COLOR ENCAP STATUS
---------------------------------------------------------------------------------------------------------------------------------------------
40 10.223.115.101/32 omp - - - - 10.155.0.118 metro-ethernet ipsec F,S
تعمل إعادة توجيه حركة المرور كما تريد:
vedge4# traceroute vpn 40 10.223.115.101 Traceroute 10.223.115.101 in VPN 40 traceroute to 10.223.115.101 (10.223.115.101), 30 hops max, 60 byte packets 1 192.168.40.4 (192.168.40.4) 0.835 ms 0.984 ms 1.097 ms 2 192.168.40.10 (192.168.40.10) 2.955 ms 3.056 ms 3.218 ms
حالات الصدع
أخيرا، يقع خطأ على vEdge1 وتنخفض واجهة واجهة شبكة LAN من جانب الخدمة (أو يتم إيقافها بواسطة المسؤول لإجراء إختبار، على سبيل المثال، تكون النتيجة هي نفسها):
vedge1# show interface vpn 40
IF IF IF TCP
AF ADMIN OPER TRACKER ENCAP PORT SPEED MSS RX TX
VPN INTERFACE TYPE IP ADDRESS STATUS STATUS STATUS TYPE TYPE MTU HWADDR MBPS DUPLEX ADJUST UPTIME PACKETS PACKETS
----------------------------------------------------------------------------------------------------------------------------------------------------------
40 ge0/4 ipv4 192.168.40.4/24 Up Down NA null service 1500 00:50:56:be:91:36 - - 1420 - 129768 0
نظرا لأن vEdge1 ليس لديه خطوة تالية صالحة للمسار 10.223.115.101/32، تتم إزالة هذا المسار من جداول التوجيه وإعادة التوجيه ولا يعلن عن ذلك بعد الآن إلى vSmart:
vedge1# show ip routes 10.223.115.101/32 | b PROTO
PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN PREFIX PROTOCOL SUB TYPE IF NAME ADDR VPN TLOC IP COLOR ENCAP STATUS
---------------------------------------------------------------------------------------------------------------------------------------------
40 10.223.115.101/32 static - - 192.168.40.21 - - - - I
vedge1# show ip fib vpn 40 | i 10.223.115.101/32
vedge1#
vedge1# show omp routes 10.223.115.101/32 detail | nomore | b ADVERTISED
vedge1#
وفي الوقت نفسه، لا يزال vEdge3 يعلن عن هذا المسار (هذا متوقع):
vedge3# show omp routes 10.223.115.101/32 detail | nomore | b ADVERTISED
ADVERTISED TO:
peer 10.155.0.3
Attributes:
originator 10.155.0.120
label 1002
path-id 35
tloc 10.155.0.120, metro-ethernet, ipsec
ultimate-tloc not set
domain-id not set
site-id 13
overlay-id 1
preference not set
tag not set
origin-proto static
origin-metric 0
as-path not set
unknown-attr-len not set
Attributes:
originator 10.155.0.120
label 1002
path-id 37
tloc 10.155.0.120, public-internet, ipsec
ultimate-tloc not set
domain-id not set
site-id 13
overlay-id 1
preference not set
tag not set
origin-proto static
origin-metric 0
as-path not set
unknown-attr-len not set
يحصل الطراز vSmart على خطين الآن من vEdge3 كما هو متوقع:
vsmart1# show omp routes 10.223.115.101/32 | b PATH
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
40 10.223.115.101/32 10.155.0.120 35 1002 C,R installed 10.155.0.120 metro-ethernet ipsec -
10.155.0.120 37 1002 C,R installed 10.155.0.120 public-internet ipsec -
ولكن في الوقت نفسه، يستمر برنامج vSmart في الإعلان عن هذا:
vsmart1# show omp routes 10.223.115.101/32 detail | nomore | b ADVERTISED | b "peer 10.155.0.50" | i Attributes\|originator\|\ tloc\|preference
Attributes:
originator 10.155.0.120
tloc 10.155.0.120, public-internet, ipsec
preference 50
Attributes:
originator 10.155.0.120
tloc 10.155.0.120, metro-ethernet, ipsec
preference 150
Attributes:
originator 10.155.0.120
tloc 10.155.0.118, public-internet, ipsec
preference 100
Attributes:
originator 10.155.0.120
tloc 10.155.0.118, metro-ethernet, ipsec
preference 200
كما ترى، تم تغيير المنشئ الوحيد وهذا هو السلوك المتوقع لأن إجراء قائمة العمليات الإلكترونية يشبه (تقريبا يتحدث) "تعيين الخطوة التالية" وتعيين TLOC الخطأ بقوة، وبالتالي فقد إمكانية الوصول.
vedge4# ping vpn 40 10.223.115.101 count 5 Ping in VPN 40 PING 10.223.115.101 (10.223.115.101) 56(84) bytes of data. ^C --- 10.223.115.101 ping statistics --- 5 packets transmitted, 0 received, 100% packet loss, time 3999ms vedge4# traceroute vpn 40 10.223.115.101 Traceroute 10.223.115.101 in VPN 40 traceroute to 10.223.115.101 (10.223.115.101), 30 hops max, 60 byte packets 1 * * * 2 * * * 3 * * * 4 * * * 5 * * *
الحل
كحل، يتم اقتراح هذا النهج لتجنب تعيين معلومات الخطوة التالية غير الصحيحة ل TLOC:
policy
lists
tloc-list vedge1-tlocs
tloc 10.155.0.118 color metro-ethernet encap ipsec
tloc 10.155.0.118 color public-internet encap ipsec
!
tloc-list vedge1-tlocs-preference
tloc 10.155.0.118 color metro-ethernet encap ipsec preference 200
tloc 10.155.0.118 color public-internet encap ipsec preference 100
!
tloc-list vedge3-tlocs
tloc 10.155.0.120 color metro-ethernet encap ipsec
tloc 10.155.0.120 color public-internet encap ipsec
!
tloc-list vedge3-tlocs-preference
tloc 10.155.0.120 color metro-ethernet encap ipsec preference 150
tloc 10.155.0.120 color public-internet encap ipsec preference 50
!
!
!
policy
control-policy TE_POLICY_2_SITE4
sequence 10
match route
prefix-list SITE13_PREFIX
tloc-list vedge1-tlocs
!
action accept
set
tloc-list vedge1-tlocs-preference
!
!
!
sequence 20
match route
prefix-list SITE13_PREFIX
tloc-list vedge3-tlocs
!
action accept
set
tloc-list vedge3-tlocs-preference
!
!
!
default-action accept
!
!
تؤدي مثل هذه السياسة إلى تحسين الموقف ومنع الإعلان عن المسار باستخدام الخطوة التالية غير الصحيحة في LOC:
vsmart1# show omp routes 10.223.115.101/32 detail | nomore | b ADVERTISED | b "peer 10.155.0.50" | i Attributes\|originator\|\ tloc\|preference
Attributes:
originator 10.155.0.120
tloc 10.155.0.120, public-internet, ipsec
preference 50
Attributes:
originator 10.155.0.120
tloc 10.155.0.120, metro-ethernet, ipsec
preference 150
Attributes:
originator 10.155.0.120
tloc 10.155.0.120, public-internet, ipsec
preference not set
وكنتيجة لذلك، قابلية الوصول عبر سيناريوهات الفشل محفوظة:
vedge4# traceroute vpn 40 10.223.115.101 Traceroute 10.223.115.101 in VPN 40 traceroute to 10.223.115.101 (10.223.115.101), 30 hops max, 60 byte packets 1 192.168.40.6 (192.168.40.6) 0.458 ms 0.507 ms 0.617 ms 2 192.168.40.10 (192.168.40.10) 1.928 ms 1.976 ms 2.069 ms vedge4# ping vpn 40 10.223.115.101 Ping in VPN 40 PING 10.223.115.101 (10.223.115.101) 56(84) bytes of data. 64 bytes from 10.223.115.101: icmp_seq=1 ttl=254 time=0.702 ms 64 bytes from 10.223.115.101: icmp_seq=2 ttl=254 time=0.645 ms 64 bytes from 10.223.115.101: icmp_seq=3 ttl=254 time=0.691 ms 64 bytes from 10.223.115.101: icmp_seq=4 ttl=254 time=0.715 ms 64 bytes from 10.223.115.101: icmp_seq=5 ttl=254 time=0.603 ms ^C --- 10.223.115.101 ping statistics --- 5 packets transmitted, 5 received, 0% packet loss, time 4000ms rtt min/avg/max/mdev = 0.603/0.671/0.715/0.044 ms
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
10-Jun-2019 |
الإصدار الأولي |
التعليقات