Dépannage des tunnels dynamiques à la demande SD-WAN
Table des matières
Introduction
Ce document décrit les commandes de dépannage qui peuvent être utilisées lors de la configuration ou de la vérification d'un problème lié aux tunnels dynamiques à la demande SD-WAN.
Conditions préalables
Composants utilisés
Ce document est basé sur ces références de configuration, versions logicielles et matérielles :
- vManage version 20.9.3
- Routeur de périphérie ISR4K version 17.9.3
- Tous les périphériques ont été configurés pour établir des tunnels dynamiques à la demande basés sur la documentation officielle
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Remarque : reportez-vous à ce document pour la configuration dynamique des tunnels à la demande.
Informations générales
Cisco SD-WAN prend en charge les tunnels dynamiques à la demande entre deux périphériques satellites Cisco SD-WAN. Ces tunnels sont déclenchés pour être configurés uniquement lorsqu'il y a du trafic entre les deux périphériques, ce qui optimise l'utilisation de la bande passante et les performances des périphériques.
Scénario de travail
Topologie utilisée
Dans un scénario de fonctionnement normal, les conditions de déclenchement des tunnels à la demande sont les suivantes :
- Les sessions BFD entre les rayons ne peuvent pas être établies ou même apparaître comme étant down dans les sessions show sdwan bfd
- Les sessions BFD peuvent être déclenchées lorsque le trafic d'intérêt est envoyé entre les points d'extrémité
- Les configurations de tunnels dynamiques à la demande de base doivent être définies et confirmées
Déclencher l'activation du tunnel à la demande
- Initialement, les sessions BFD entre les rayons ne sont pas actives, seules les sessions entre les rayons et le concentrateur sont actives et l'état du système à la demande peut être considéré comme inactif dans les deux rayons et dans la table OMP, la route de secours du concentrateur est définie sur C, I, R tandis que la route depuis le rayon 2 est définie sur I, U, IA
Spoke 1#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.10.10.100 100 up blue blue 10.10.10.1 10.100.100.1 12366 ipsec 7 1000 2:13:14:35 6
Spoke 1#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
2 10.10.10.2 yes inactive -
Spoke 1#show sdwan omp routes vpn 10 10.2.2.2/32
Generating output, this might take time, please wait ...
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
IA -> On-demand inactive
U -> TLOC unresolved
BR-R -> border-router reoriginated
TGW-R -> transport-gateway reoriginated
AFFINITY
PATH ATTRIBUTE GROUP
TENANT VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE NUMBER REGION ID REGION PATH
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 10 10.2.2.2/32 192.168.0.1 61 1005 C,I,R installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 62 1003 I,U,IA installed 10.10.10.2 default ipsec - None None -
192.168.0.1 64 1005 C,R installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 65 1003 I,U,IA installed 10.10.10.2 private1 ipsec - None None -
192.168.0.1 67 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 68 1003 I,U,IA installed 10.10.10.2 private2 ipsec - None None -
192.168.0.2 71 1005 C,R installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 72 1003 U,IA installed 10.10.10.2 default ipsec - None None -
192.168.0.2 74 1005 C,R installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 75 1003 U,IA installed 10.10.10.2 private1 ipsec - None None -
192.168.0.2 77 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 78 1003 U,IA installed 10.10.10.2 private2 ipsec - None None -
Spoke 2#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.10.10.100 100 up blue blue 10.10.10.2 10.100.100.1 12366 ipsec 7 1000 0:11:10:01 1
Spoke 2#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
1 10.10.10.1 yes inactive -
- Pour déclencher l'activation du tunnel à la demande, un trafic d'intérêt est nécessaire. Dans cet exemple, le trafic ICMP est utilisé, après l'envoi du trafic, l'état du système distant à la demande passe de l'état inactif à l'état actif aux deux extrémités et le préfixe de destination change dans la table OMP d'un état C, I, R du concentrateur à un état C, I, R du satellite 2
Spoke 1#ping vrf 10 10.2.2.2 re 20
Type escape sequence to abort.
Sending 20, 100-byte ICMP Echos to 10.2.2.2, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (20/20), round-trip min/avg/max = 1/3/31 ms
Spoke 1#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
2 10.10.10.2 yes active 56
Spoke 1#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.10.10.100 100 up blue blue 10.10.10.1 10.100.100.1 12366 ipsec 7 1000 0:11:14:51 1
10.10.10.2 2 up default default 10.10.10.1 10.12.12.2 12366 ipsec 7 1000 0:00:00:53 1----> BFD session established due of interest traffic and on-demand configuration
10.10.10.2 2 up blue blue 10.10.10.1 10.12.12.2 12366 ipsec 7 1000 0:00:00:52 1
Spoke 1#show sdwan omp routes vpn 10 10.2.2.2/32
Generating output, this might take time, please wait ...
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
IA -> On-demand inactive
U -> TLOC unresolved
BR-R -> border-router reoriginated
TGW-R -> transport-gateway reoriginated
AFFINITY
PATH ATTRIBUTE GROUP
TENANT VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE NUMBER REGION ID REGION PATH
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 10 10.2.2.2/32 192.168.0.1 61 1005 R installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 62 1003 C,I,R installed 10.10.10.2 default ipsec - None None -
192.168.0.1 64 1005 R installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 65 1003 C,I,R installed 10.10.10.2 private1 ipsec - None None -
192.168.0.1 67 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 68 1003 C,I,R installed 10.10.10.2 private2 ipsec - None None -
192.168.0.2 71 1005 R installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 72 1003 C,R installed 10.10.10.2 default ipsec - None None -
192.168.0.2 74 1005 R installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 75 1003 C,R installed 10.10.10.2 private1 ipsec - None None -
192.168.0.2 77 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 78 1003 C,R installed 10.10.10.2 private2 ipsec - None None -
Spoke 2#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
1 10.10.10.1 yes active 53
Spoke 2#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.10.10.100 100 up blue blue 10.10.10.2 10.100.100.1 12366 ipsec 7 1000 0:11:14:56 1
10.10.10.1 2 up default default 10.10.10.2 10.11.11.1 12366 ipsec 7 1000 0:00:00:53 1----> BFD session established due of interest traffic and on-demand configuration
10.10.10.1 2 up blue blue 10.10.10.2 10.11.11.1 12366 ipsec 7 1000 0:00:00:52
- Après l'arrêt du trafic d'intérêt et l'expiration du délai d'inactivité, les sessions BFD entre les rayons disparaissent et l'état à la demande redevient inactif et la route revient à l'état de la route de secours C, I, R à partir du concentrateur dans la table OMP
Spoke 1#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.10.10.100 100 up blue blue 10.10.10.1 10.100.100.1 12366 ipsec 7 1000 0:11:19:11 1
Spoke 1#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
2 10.10.10.2 yes inactive -
Spoke 2#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.10.10.100 100 up blue blue 10.10.10.2 10.100.100.1 12366 ipsec 7 1000 0:11:19:11 1
Spoke 2#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
1 10.10.10.1 yes inactive -
Scénarios de problèmes courants
Topologie utilisée
Scénario 1 : chemin de sauvegarde via le concentrateur considéré comme non valide et non résolu par les rayons
Symptôme
- Le préfixe de destination de Spoke 2 est inaccessible, le chemin de sauvegarde du concentrateur est visible mais il est considéré comme non valide/désinstallé
Spoke 1#show sdwan omp routes vpn 10 10.2.2.2/32
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
IA -> On-demand inactive
U -> TLOC unresolved
BR-R -> border-router reoriginated
TGW-R -> transport-gateway reoriginated
AFFINITY
PATH ATTRIBUTE GROUP
TENANT VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE NUMBER REGION ID REGION PATH
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 10 10.2.2.2/32 192.168.0.1 61 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 62 1003 U,IA installed 10.10.10.2 default ipsec - None None -
192.168.0.1 64 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 65 1003 U,IA installed 10.10.10.2 private1ipsec - None None -
192.168.0.1 67 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 68 1003 U,IA installed 10.10.10.2 private2ipsec - None None -
192.168.0.2 71 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 72 1003 U,IA installed 10.10.10.2 default ipsec - None None -
192.168.0.2 74 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 75 1003 U,IA installed 10.10.10.2 private1ipsec - None None -
192.168.0.2 77 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 78 1003 U,IA installed 10.10.10.2 private2ipsec - None None -
Dépannage
- Vérifier si les sessions BFD du concentrateur vers les rayons sont établies
Hub#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR. SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.10.10.2 2 up blue blue 10.10.10.100 10.12.12.2 12366 ipsec 7 1000 1:23:58:15 2
10.10.10.1 1 up default default 10.10.10.100 10.11.11.1 12366 ipsec 7 1000 1:23:59:12 6 - Vérifiez la politique de tunnel à la demande pour confirmer que tous les sites sont inclus dans les listes de sites correctes en fonction de leur rôle (concentrateur ou satellite)
- Vérifiez si la fonctionnalité à la demande est activée et active dans les rayons en utilisant la commande show sdwan system on-demand
Spoke 1#show sdwan system on-demand
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-CFG(min)
-------------------------------------------------------------------------
1 10.10.10.1 yes active 10
Spoke 2#show sdwan system on-demand
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-CFG(min)
-------------------------------------------------------------------------
2 10.10.10.2 yes active 10 - Vérifiez si le service d'ingénierie du trafic (service TE) est activé sur le site du concentrateur. La commande show sdwan run peut être utile | inc TE
hub#show sdwan run | inc TE
!
Solution
- Dans ce cas, le service TE n'est pas activé sur le site concentrateur. Pour résoudre ce problème, configurez-le côté concentrateur :
hub#config-trans
hub(config)# sdwan
hub(config-vrf-global)# service TE vrf global
hub(config-vrf-global)# commit
- Vérifiez que dans la table OMP de Spoke 1 a changé et que cette route est maintenant C, I, R pour l'entrée qui vient du concentrateur 10.10.10.100 (avant de générer le trafic d'intérêt) et obtient C, I, R pour l'entrée qui vient de Spoke 2 10.10.10.2 (pendant que le trafic d'intérêt est généré). Vérifiez également que la session BFD entre le rayon 1 et le rayon 2 et que le tunnel à la demande est activé avec la commande show sdwan system on-demand remote-system <remote system ip> :
Before interest traffic
Spoke 1#show sdwan omp routes vpn 10 10.2.2.2/32
Generating output, this might take time, please wait ...
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
IA -> On-demand inactive
U -> TLOC unresolved
BR-R -> border-router reoriginated
TGW-R -> transport-gateway reoriginated
AFFINITY
PATH ATTRIBUTE GROUP
TENANT VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE NUMBER REGION ID REGION PATH
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 10 10.2.2.2/32 192.168.0.1 61 1005 C,I,R installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 62 1003 I,U,IA installed 10.10.10.2 default ipsec - None None -
192.168.0.1 64 1005 C,R installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 65 1003 I,U,IA installed 10.10.10.2 private1 ipsec - None None -
192.168.0.1 67 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 68 1003 I,U,IA installed 10.10.10.2 private2 ipsec - None None -
192.168.0.2 71 1005 C,R installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 72 1003 U,IA installed 10.10.10.2 default ipsec - None None -
192.168.0.2 74 1005 C,R installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 75 1003 U,IA installed 10.10.10.2 private1 ipsec - None None -
192.168.0.2 77 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 78 1003 U,IA installed 10.10.10.2 private2 ipsec - None None -
While interest traffic
Spoke 1#show sdwan omp routes vpn 10 10.2.2.2/32
Generating output, this might take time, please wait ...
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
IA -> On-demand inactive
U -> TLOC unresolved
BR-R -> border-router reoriginated
TGW-R -> transport-gateway reoriginated
AFFINITY
PATH ATTRIBUTE GROUP
TENANT VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE NUMBER REGION ID REGION PATH
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 10 10.2.2.2/32 192.168.0.1 61 1005 R installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 62 1003 C,I,R installed 10.10.10.2 default ipsec - None None -
192.168.0.1 64 1005 R installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 65 1003 C,I,R installed 10.10.10.2 private1 ipsec - None None -
192.168.0.1 67 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 68 1003 C,I,R installed 10.10.10.2 private2 ipsec - None None -
192.168.0.2 71 1005 R installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 72 1003 C,R installed 10.10.10.2 default ipsec - None None -
192.168.0.2 74 1005 R installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 75 1003 C,R installed 10.10.10.2 private1 ipsec - None None -
192.168.0.2 77 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 78 1003 C,R installed 10.10.10.2 private2 ipsec - None None -
Spoke 1#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.10.10.100 100 up blue blue 10.10.10.1 10.100.100.1 12366 ipsec 7 1000 1:23:58:15 2
10.10.10.2 2 up default default 10.10.10.1 10.12.12.2 12366 ipsec 7 1000 0:00:01:50 2----> BFD session established due of on-demand tunnel configuration.
10.10.10.2 2 up blue blue 10.10.10.1 10.12.12.2 12366 ipsec 7 1000 0:00:01:52 2
Spoke 1#show sdwan system on-demand remote-system system-ip 10.10.10.2
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
2 10.10.10.2 yes active 41 ------>on-demand tunnel established to spoke 2 10.10.10.2 due of interest traffic
Scénario 2 : les sessions BFD entre les rayons restent actives
Symptôme
- Dans ce cas, le point d'extrémité distant Spoke 2 est listé dans les points d'extrémité distants à la demande vus avec la commande show sdwan system on-demand remote-system avec un état no on-demand, la session BFD entre Spoke 1 et Spoke 2 reste active même si aucun trafic d'intérêt n'est envoyé et que le préfixe de destination est appris directement à partir de Spoke 2
Spoke 1#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
2 10.10.10.2 no - -
Spoke 1#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.10.10.100 100 up blue blue 10.10.10.1 10.100.100.1 12366 ipsec 7 1000 1:23:58:15 3
10.10.10.2 2 up default default 10.10.10.1 10.12.12.2 12366 ipsec 7 1000 0:00:18:53 4
10.10.10.2 2 up blue blue 10.10.10.1 10.12.12.2 12366 ipsec 7 1000 0:00:18:52 3
Spoke 1#show sdwan omp route vpn 10 10.2.2.2/32
Generating output, this might take time, please wait ...
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
IA -> On-demand inactive
U -> TLOC unresolved
BR-R -> border-router reoriginated
TGW-R -> transport-gateway reoriginated
AFFINITY
PATH ATTRIBUTE GROUP
TENANT VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE NUMBER REGION ID REGION PATH
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 10 10.2.2.2/32 192.168.0.1 73 1005 R installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 74 1003 C,I,R installed 10.10.10.2 default ipsec - None None -
192.168.0.1 76 1005 R installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 77 1003 C,I,R installed 10.10.10.2 private1 ipsec - None None -
192.168.0.1 79 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 80 1003 C,I,R installed 10.10.10.2 private2 ipsec - None None -
192.168.0.2 89 1005 R installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 90 1003 C,R installed 10.10.10.2 default ipsec - None None -
192.168.0.2 92 1005 R installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 93 1003 C,R installed 10.10.10.2 private1 ipsec - None None -
192.168.0.2 95 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 96 1003 C,R installed 10.10.10.2 private2 ipsec - None None -
Dépannage
- Vérifiez la politique de tunnel à la demande pour confirmer que tous les sites sont inclus dans les listes de sites correctes en fonction de leur rôle (concentrateur ou satellite)
viptela-policy:policy control-policy ondemand sequence 1 match route site-list Spokes prefix-list _AnyIpv4PrefixList ! action accept set tloc-action backup tloc-list hub ! ! ! default-action accept ! lists site-list Spokes site-id 1-2 ! tloc-list hub tloc 10.10.10.100 color blue encap ipsec tloc 10.10.10.100 color default encap ipsec tloc 10.10.10.100 color private1 encap ipsec tloc 10.10.10.100 color private2 encap ipsec ! prefix-list _AnyIpv4PrefixList ip-prefix 0.0.0.0/0 le 32 ! ! ! apply-policy site-list Spokes control-policy ondemand out ! ! - Vérifiez si on-demand est activé avec la commande show sdwan run | inc on-demand in Spokes et TE est activé dans le concentrateur avec la commande show sdwan run | inc TE
Spoke 1#show sdwan run | inc on-demand
on-demand enable
on-demand idle-timeout 10
Spoke 2#show sdwan run | inc on-demand
Spoke 2#
Hub#show sdwan run | inc TE
service TE vrf global
Solution
- Dans ce cas, la fonction à la demande n'est pas activée dans Spoke 2. Pour résoudre ce problème, configurez-le dans le côté satellite 2
Spoke 2#config-trans
Spoke 2(config)# system
Spoke 2(config-vrf-global)# on-demand enable
Spoke 2(config-vrf-global)# on-demand idle-timeout 10
Spoke 2(config-vrf-global)# commit
- Vérifiez que dans Spoke 1, Spoke 2 est maintenant considéré comme « on-demand yes » et que la table OMP a changé et a maintenant cette route comme C, I, R pour l'entrée qui vient du concentrateur 10.10.10.100 (avant de générer du trafic d'intérêt) et non directement de Spoke 2
Spoke 1#show sdwan system on-demand remote-system
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
2 10.10.10.2 yes inactive -
Spoke 1#show sdwan omp routes vpn 10 10.2.2.2/32
Generating output, this might take time, please wait ...
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
IA -> On-demand inactive
U -> TLOC unresolved
BR-R -> border-router reoriginated
TGW-R -> transport-gateway reoriginated
AFFINITY
PATH ATTRIBUTE GROUP
TENANT VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE NUMBER REGION ID REGION PATH
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 10 10.2.2.2/32 192.168.0.1 61 1005 C,I,R installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 62 1003 I,U,IA installed 10.10.10.2 default ipsec - None None -
192.168.0.1 64 1005 C,R installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 65 1003 I,U,IA installed 10.10.10.2 private1 ipsec - None None -
192.168.0.1 67 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 68 1003 I,U,IA installed 10.10.10.2 private2 ipsec - None None -
192.168.0.2 71 1005 C,R installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 72 1003 U,IA installed 10.10.10.2 default ipsec - None None -
192.168.0.2 74 1005 C,R installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 75 1003 U,IA installed 10.10.10.2 private1 ipsec - None None -
192.168.0.2 77 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 78 1003 U,IA installed 10.10.10.2 private2 ipsec - None None -
- Lorsque le trafic d'intérêt est généré, il obtient C, I, R pour l'entrée qui vient de Spoke 2 10.10.10.2. Vérifiez également que la session BFD entre Spoke 1 et Spoke 2 est active, vérifiez également que le tunnel à la demande est actif avec la commande show sdwan system on-demand remote-system <remote system ip>
Spoke 1#show sdwan omp routes vpn 10 10.2.2.2/32
Generating output, this might take time, please wait ...
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
IA -> On-demand inactive
U -> TLOC unresolved
BR-R -> border-router reoriginated
TGW-R -> transport-gateway reoriginated
AFFINITY
PATH ATTRIBUTE GROUP
TENANT VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE NUMBER REGION ID REGION PATH
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 10 10.2.2.2/32 192.168.0.1 61 1005 R installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 62 1003 C,I,R installed 10.10.10.2 default ipsec - None None -
192.168.0.1 64 1005 R installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 65 1003 C,I,R installed 10.10.10.2 private1 ipsec - None None -
192.168.0.1 67 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 68 1003 C,I,R installed 10.10.10.2 private2 ipsec - None None -
192.168.0.2 71 1005 R installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 72 1003 C,R installed 10.10.10.2 default ipsec - None None -
192.168.0.2 74 1005 R installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 75 1003 C,R installed 10.10.10.2 private1 ipsec - None None -
192.168.0.2 77 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 78 1003 C,R installed 10.10.10.2 private2 ipsec - None None -
Spoke 1#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.10.10.100 100 up blue blue 10.10.10.1 10.100.100.1 12366 ipsec 7 1000 2:04:34:11 2
10.10.10.2 2 up default default 10.10.10.1 10.12.12.2 12366 ipsec 7 1000 0:00:02:10 2----> BFD session established due of on-demand tunnel configuration.
10.10.10.2 2 up blue blue 10.10.10.1 10.12.12.2 12366 ipsec 7 1000 0:00:02:08 2
Spoke 1#show sdwan system on-demand remote-system system-ip 10.10.10.2
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
2 10.10.10.2 yes active 41 ------>on-demand tunnel established to Spoke 2 10.10.10.2 due of interest traffic
Scénario 3 : aucune route de sauvegarde du concentrateur n'est apprise ou installée dans les rayons
Symptôme
- Dans ce cas, il n'existe aucune route de sauvegarde pour le préfixe 10.2.2.2/32 provenant de Spoke 2 dans la table OMP, seules les entrées inactives à la demande sont visibles. Confirmation de la configuration de l'option à la demande dans les rayons et de l'option TE dans le concentrateur
Spoke 1#show sdwan omp route vpn 10 10.2.2.2/32
Generating output, this might take time, please wait ...
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
IA -> On-demand inactive
U -> TLOC unresolved
BR-R -> border-router reoriginated
TGW-R -> transport-gateway reoriginated
AFFINITY
PATH ATTRIBUTE GROUP
TENANT VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE NUMBER REGION ID REGION PATH
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 10 10.2.2.2/32 192.168.0.1 108 1003 U,IA installed 10.10.10.2 default ipsec - None None -
192.168.0.1 113 1003 U,IA installed 10.10.10.2 private1 ipsec - None None -
192.168.0.1 141 1003 U,IA installed 10.10.10.2 private2 ipsec - None None -
192.168.0.2 112 1003 U,IA installed 10.10.10.2 default ipsec - None None -
192.168.0.2 117 1003 U,IA installed 10.10.10.2 private1 ipsec - None None -
192.168.0.2 144 1003 U,IA installed 10.10.10.2 private2 ipsec - None None -
Spoke 1#show sdwan run | inc on-demand
on-demand enable
on-demand idle-timeout 10
Spoke 2#show sdwan run | inc on-demand
on-demand enable
on-demand idle-timeout 10
Hub#show sdwan run | inc TE
service TE vrf global
Dépannage
- Vérifiez la politique centralisée à la demande et assurez-vous que tous les rayons sont inclus dans la liste de sites correcte
viptela-policy:policy
control-policy ondemand
sequence 1
match route
site-list Spokes
prefix-list _AnyIpv4PrefixList
!
action accept
set
tloc-action backup
tloc-list hub
!
!
!
default-action accept
!
lists
site-list Spokes
site-id 1
!
tloc-list hub
tloc 10.10.10.100 color blue encap ipsec
tloc 10.10.10.100 color default encap ipsec
tloc 10.10.10.100 color private1 encap ipsec
tloc 10.10.10.100 color private2 encap ipsec
!
prefix-list _AnyIpv4PrefixList
ip-prefix 0.0.0.0/0 le 32
!
!
!
apply-policy
site-list Spokes
control-policy ondemand out
!
Solution
- Notez que l'ID de site 2 de Spoke 2 est manquant dans la liste de sites Spokes de la stratégie. Après l'avoir inclus dans la liste des sites, les chemins de secours sont installés correctement, le tunnel à la demande et les sessions BFD entre les rayons apparaissent lorsque le trafic d'intérêt est envoyé.
Spokes site list from policy before
lists
site-list Spokes
site-id 1
!
Spokes site list from policy after
lists
site-list Spokes
site-id 1-2
!
Spoke 1#show sdwan omp routes vpn 10 10.2.2.2/32
Generating output, this might take time, please wait ...
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
IA -> On-demand inactive
U -> TLOC unresolved
BR-R -> border-router reoriginated
TGW-R -> transport-gateway reoriginated
AFFINITY
PATH ATTRIBUTE GROUP
TENANT VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE NUMBER REGION ID REGION PATH
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 10 10.2.2.2/32 192.168.0.1 61 1005 C,I,R installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 62 1003 I,U,IA installed 10.10.10.2 default ipsec - None None -
192.168.0.1 64 1005 C,R installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 65 1003 I,U,IA installed 10.10.10.2 private1 ipsec - None None -
192.168.0.1 67 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.1 68 1003 I,U,IA installed 10.10.10.2 private2 ipsec - None None -
192.168.0.2 71 1005 C,R installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 72 1003 U,IA installed 10.10.10.2 default ipsec - None None -
192.168.0.2 74 1005 C,R installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 75 1003 U,IA installed 10.10.10.2 private1 ipsec - None None -
192.168.0.2 77 1005 Inv,U installed 10.10.10.100 blue ipsec - None None -
192.168.0.2 78 1003 U,IA installed 10.10.10.2 private2 ipsec - None None -
Spoke 1#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.10.10.100 100 up blue blue 10.10.10.1 10.100.100.1 12366 ipsec 7 1000 2:07:01:43 6
10.10.10.2 2 up default default 10.10.10.1 10.12.12.2 12366 ipsec 7 1000 0:00:00:56 2----> BFD session established due of on-demand tunnel configuration.
10.10.10.2 2 up blue blue 10.10.10.1 10.12.12.2 12366 ipsec 7 1000 0:00:00:56 2
Spoke 1#show sdwan system on-demand remote-system system-ip 10.10.10.2
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-EXPIRY(sec)
---------------------------------------------------------------------------
2 10.10.10.2 yes active 56 ------>on-demand tunnel established to Spoke 2 10.10.10.2 due of interest traffic
Commandes utiles
- show sdwan system on-demand
- show sdwan system on-demand remote-system
- show sdwan system on-demand remote-system system ip <ip du système>
- show sdwan run | inc à la demande
- show sdwan run | inc TE
- show sdwan ompo routes vpn <numéro vpn>
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
05-Oct-2023 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)