今回は、TLOCのPreferenceと呼ばれるパラメータの使い方を説明します。
この記事の目次
概要
TLOCのPreference
例えば、拠点間をインターネットと閉域網を使用して接続し、正常時は閉域網経由で通信し、閉域網側で障害が発生した場合はバックアップ回線としてインターネット経由で通信、の様な要件を求められるケースもあります。
上記の設計は、Centralized Control Policyを使用すれば実現できます。
ですが、いちいちCentralized Control Policyを設定するのは面倒臭かったりします。
このような場合に役に立つのがTLOCのPreferenceになります。
Preferenceを使用することで、自身のWAN回線であるTLOCに優先度を設定することが可能です。
あるvEdgeが対向拠点のvEdgeにパケットを転送する際、対向拠点のvEdgeのPreferenceが最大のTLOCと確立しているオーバレイトンネルを優先して使用します。
検証環境、内容
検証内容
R2からR1に対して、Telnetを実施します。
vEdge1で閉域網用のTLOCのPreferenceを5に変更する。インターネット用のTLOCのPreferenceはデフォルト値の0とする。
物理/論理構成
オーバレイネットワーク構成
初期設定
system
system-ip 10.1.10.11
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface eth0
ip address 172.16.10.11/24
tunnel-interface
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vBond
system-ip 10.1.10.21
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21 local vbond-only
!
vpn 0
interface ge0/0
ip address 172.16.10.21/24
tunnel-interface
encapsulation ipsec
!
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vSmart
system-ip 10.1.10.31
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface eth0
ip address 172.16.10.31/24
tunnel-interface
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vEdge1
system-ip 1.1.1.1
site-id 1
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface ge0/0
ip address 172.16.1.1/24
tunnel-interface
encapsulation ipsec
color biz-internet restrict
!
no shutdown
!
interface ge0/1
ip address 172.20.1.1/24
tunnel-interface
encapsulation ipsec
color metro-ethernet restrict
max-control-connections 0
!
no shutdown
!
ip route 0.0.0.0/0 172.16.1.254
!
vpn 10
interface ge0/2
ip address 10.1.1.1/24
no shutdown
system
host-name vEdge2
system-ip 2.2.2.2
site-id 2
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface ge0/0
ip address 172.16.2.2/24
tunnel-interface
encapsulation ipsec
color biz-internet restrict
!
no shutdown
!
interface ge0/1
ip address 172.20.1.2/24
tunnel-interface
encapsulation ipsec
color metro-ethernet restrict
max-control-connections 0
!
no shutdown
!
ip route 0.0.0.0/0 172.16.2.254
!
vpn 10
ecmp-hash-key layer4
interface ge0/2
ip address 20.1.1.2/24
no shutdown
!
policy
app-visibility
aaa new-model
!
aaa authentication login default none
aaa authentication enable default none
!
interface GigabitEthernet2
ip address 10.1.1.11 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.1.1.1
!
line vty 0 4
privilege level 15
transport input telnet
interface GigabitEthernet2
ip address 20.1.1.12 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 20.1.1.2
interface GigabitEthernet2
ip address 172.16.1.254 255.255.255.0
!
interface GigabitEthernet3
ip address 172.16.2.254 255.255.255.0
!
interface GigabitEthernet4
ip address 172.16.10.254 255.255.255.0
設定、正常時の動作確認
Preference変更前の状態確認
vEdge2でshow omp tlocsコマンドを実行して、OMP経由で学習したvEdge1のTLOCを確認します。
vEdge1のインターネット用と閉域網用の両方のTLOCのPreferenceが0であることが確認できます。
vEdge2
vEdge2# show omp tlocs ip 1.1.1.1 color biz-internet detail
PSEUDO ATTRIBUTE BFD UNKNOWN QOS
KEY TYPE STATUS DOMAIN ID SITE ID PREFERENCE TAG STALE CARRIER GROUPS BORDER ATTRIBUTE LEN WEIGHT GEN ID VERSION ORIGINATOR RESTRICT OVERLAY ID BANDWIDTH GROUP
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 installed up - 1 0 - - default [ 0 ] - - 1 0x80000007 3 1.1.1.1 1 - 0 default-group
vEdge2# show omp tlocs ip 1.1.1.1 color metro-ethernet detail
PSEUDO ATTRIBUTE BFD UNKNOWN QOS
KEY TYPE STATUS DOMAIN ID SITE ID PREFERENCE TAG STALE CARRIER GROUPS BORDER ATTRIBUTE LEN WEIGHT GEN ID VERSION ORIGINATOR RESTRICT OVERLAY ID BANDWIDTH GROUP
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 installed up - 1 0 - - default [ 0 ] - - 1 0x80000007 3 1.1.1.1 1 - 0 default-group
vEdge2でshow ip route vpn <vpn-id>コマンドを実行して、Service VPNのルーティングテーブルを確認します。
サイト1の10.1.1.0/24へのネクストホップとして、インターネット用と閉域網用の両方のオーバレイトンネルが存在することが確認できます。
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
---------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 metro-ethernet ipsec - F,S
10 ipv4 10.1.1.0/24 1 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/2 - - - - - F,S
Preference変更前の疎通確認
R2からR1に対して、2回Telnetを実行します。
vEdge2でshow app dpi flowsコマンドを実行して、Telnetのパケットがどのオーバレイトンネルを経由してvEdge1に転送されたかを確認します。
vEdge1のインターネット用と閉域網用のTLOCのPreferenceが同じなので、vEdge2はTelnetパケットをインターネットと閉域網の両方を使用して転送していることが確認できます。
vEdge2
vEdge2# show app dpi flows detail
app dpi flows vpn 10 20.1.1.12 10.1.1.11 21505 23 tcp
application telnet
family Terminal
active-since 2020-04-18T18:00:49+00:00
packets 40
octets 1709
tunnels-in 1
local-tloc TLOC IP 2.2.2.2
local-tloc color biz-internet
local-tloc encap ipsec
remote-tloc TLOC IP 1.1.1.1
remote-tloc color biz-internet
remote-tloc encap ipsec
packets 20
octets 857
start-time 2020-04-18T18:00:49+00:00
tunnels-out 1
local-tloc ip 2.2.2.2
local-tloc color biz-internet
local-tloc encap ipsec
remote-tloc TLOC IP 1.1.1.1
remote-tloc color biz-internet
remote-tloc encap ipsec
packets 20
octets 852
start-time 2020-04-18T18:00:49+00:00
app dpi flows vpn 10 20.1.1.12 10.1.1.11 50689 23 tcp
application telnet
family Terminal
active-since 2020-04-18T18:00:45+00:00
packets 40
octets 1711
tunnels-in 1
local-tloc TLOC IP 2.2.2.2
local-tloc color metro-ethernet
local-tloc encap ipsec
remote-tloc TLOC IP 1.1.1.1
remote-tloc color metro-ethernet
remote-tloc encap ipsec
packets 20
octets 857
start-time 2020-04-18T18:00:45+00:00
tunnels-out 1
local-tloc ip 2.2.2.2
local-tloc color biz-internet
local-tloc encap ipsec
remote-tloc TLOC IP 1.1.1.1
remote-tloc color biz-internet
remote-tloc encap ipsec
packets 20
octets 854
start-time 2020-04-18T18:00:45+00:00
vEdge1のTLOCのPreferenceを変更
vEdge1の閉域網用のTLOCのPreferenceを5に変更します。
TLOCのPreferenceはカプセル化方式を設定するencapsulation ipsecコマンドのpreferenceオプションで指定可能です。
vEdge1
vpn 10
interface ge0/1
tunnel-interface
encapsulation ipsec preference 5
Preference変更後の状態確認
vEdge2でshow omp tlocsコマンドを実行して、OMP経由で学習したvEdge1のTLOCを確認します。
vEdge1の閉域網用のTLOCのPreferenceが5に変化したことが確認できます。
vEdge2
vEdge2# show omp tlocs ip 1.1.1.1 color biz-internet detail
PSEUDO ATTRIBUTE BFD UNKNOWN QOS
KEY TYPE STATUS DOMAIN ID SITE ID PREFERENCE TAG STALE CARRIER GROUPS BORDER ATTRIBUTE LEN WEIGHT GEN ID VERSION ORIGINATOR RESTRICT OVERLAY ID BANDWIDTH GROUP
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 installed up - 1 0 - - default [ 0 ] - - 1 0x80000007 3 1.1.1.1 1 - 0 default-group
vEdge2# show omp tlocs ip 1.1.1.1 color metro-ethernet detail
PSEUDO ATTRIBUTE BFD UNKNOWN QOS
KEY TYPE STATUS DOMAIN ID SITE ID PREFERENCE TAG STALE CARRIER GROUPS BORDER ATTRIBUTE LEN WEIGHT GEN ID VERSION ORIGINATOR RESTRICT OVERLAY ID BANDWIDTH GROUP
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 installed up - 1 5 - - default [ 0 ] - - 1 0x80000007 3 1.1.1.1 1 - 0 default-group
vEdge2でshow ip route vpn <vpn-id>コマンドを実行して、Service VPNのルーティングテーブルを確認します。
サイト1の10.1.1.0/24へのネクストホップとして、閉域網用のオーバレイトンネルのみが存在することが確認できます。
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
---------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 metro-ethernet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/2 - - - - - F,S
Preference変更後の疎通確認
R2からR1に対して、2回Telnetを実行します。
vEdge2でshow app dpi flowsコマンドを実行して、Telnetのパケットがどのオーバレイトンネルを経由してvEdge1に転送されたかを確認します。
vEdge1のインターネット用のTLOCより閉域網用のTLOCのPreferenceが高いので、vEdge2はTelnetパケットを閉域網のみを使用して転送していることが確認できます。
vEdge2
vEdge2# show app dpi flows detail
app dpi flows vpn 10 20.1.1.12 10.1.1.11 21505 23 tcp
application telnet
family Terminal
active-since 2020-04-18T18:33:52+00:00
packets 40
octets 1709
tunnels-in 1
local-tloc TLOC IP 2.2.2.2
local-tloc color metro-ethernet
local-tloc encap ipsec
remote-tloc TLOC IP 1.1.1.1
remote-tloc color metro-ethernet
remote-tloc encap ipsec
packets 20
octets 857
start-time 2020-04-18T18:33:52+00:00
tunnels-out 1
local-tloc ip 2.2.2.2
local-tloc color biz-internet
local-tloc encap ipsec
remote-tloc TLOC IP 1.1.1.1
remote-tloc color biz-internet
remote-tloc encap ipsec
packets 20
octets 852
start-time 2020-04-18T18:33:52+00:00
app dpi flows vpn 10 20.1.1.12 10.1.1.11 47617 23 tcp
application telnet
family Terminal
active-since 2020-04-18T18:33:49+00:00
packets 39
octets 1669
tunnels-in 1
local-tloc TLOC IP 2.2.2.2
local-tloc color metro-ethernet
local-tloc encap ipsec
remote-tloc TLOC IP 1.1.1.1
remote-tloc color metro-ethernet
remote-tloc encap ipsec
packets 20
octets 857
start-time 2020-04-18T18:33:49+00:00
tunnels-out 1
local-tloc ip 2.2.2.2
local-tloc color biz-internet
local-tloc encap ipsec
remote-tloc TLOC IP 1.1.1.1
remote-tloc color biz-internet
remote-tloc encap ipsec
packets 19
octets 812
start-time 2020-04-18T18:33:49+00:00
閉域網障害時の動作確認
vEdge2の閉域網向けのWANインタフェース障害
vEdge2の閉域網向けのWANインタフェースであるge0/1をシャットダウンします。
vEdge2
vpn 0
interface ge0/1
shutdown
vEdge2でshow interfaceコマンドを実行すると、ge0/1がダウンしていることが確認できます。
vEdge2
vEdge2# show interface
IF IF IF TCP
AF ADMIN OPER TRACKER ENCAP SPEED MSS RX TX
VPN INTERFACE TYPE IP ADDRESS STATUS STATUS STATUS TYPE PORT TYPE MTU HWADDR MBPS DUPLEX ADJUST UPTIME PACKETS PACKETS
-----------------------------------------------------------------------------------------------------------------------------------------------------------------
0 ge0/0 ipv4 172.16.2.2/24 Up Up NA null transport 1500 00:0c:29:35:f9:91 1000 full 1416 4:21:32:24 2802680 2725617
0 ge0/1 ipv4 172.20.1.2/24 Down Down NA null transport 1500 00:0c:29:35:f9:9b - - 1416 - 852692 851253
0 system ipv4 2.2.2.2/32 Up Up NA null loopback 1500 00:00:00:00:00:00 0 full 1416 4:21:32:31 0 0
10 ge0/2 ipv4 20.1.1.2/24 Up Up NA null service 1500 00:0c:29:35:f9:a5 1000 full 1416 4:21:32:23 42467 7504
512 eth0 ipv4 192.168.1.212/24 Up Up NA null service 1500 00:0c:29:35:f9:87 0 full 0 4:21:32:24 578531 49033
障害発生後の状態確認
vEdge2でshow ip route vpn <vpn-id>コマンドを実行して、Service VPNのルーティングテーブルを確認します。
サイト1の10.1.1.0/24へのネクストホップが、閉域網用のオーバレイトンネルからインターネット用のオーバレイトンネルに切り替わったことが確認できます。
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
---------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - span class="cli-command-emphasis">1.1.1.1 span class="cli-command-emphasis">biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/2 - - - - - F,S
障害発生後の疎通確認
R2からR1に対して、Telnet2回を実施します。
vEdge2でshow app dpi flowsコマンドを実行して、Telnetのパケットがどのオーバレイトンネルを経由してvEdge1に転送されたかを確認します。
vEdge2の閉域網向けのWANインタフェースがダウンしたため、vEdge2はTelnetパケットをインターネットを使用して転送していることが確認できます。
vEdge2
vEdge2# show app dpi flows detail
app dpi flows vpn 10 20.1.1.12 10.1.1.11 25089 23 tcp
application telnet
family Terminal
active-since 2020-04-18T19:00:36+00:00
packets 24
octets 1051
tunnels-in 1
local-tloc TLOC IP 2.2.2.2
local-tloc color biz-internet
local-tloc encap ipsec
remote-tloc TLOC IP 1.1.1.1
remote-tloc color biz-internet
remote-tloc encap ipsec
packets 12
octets 531
start-time 2020-04-18T19:00:36+00:00
tunnels-out 1
local-tloc ip 2.2.2.2
local-tloc color biz-internet
local-tloc encap ipsec
remote-tloc TLOC IP 1.1.1.1
remote-tloc color biz-internet
remote-tloc encap ipsec
packets 12
octets 520
start-time 2020-04-18T19:00:36+00:00
app dpi flows vpn 10 20.1.1.12 10.1.1.11 30721 23 tcp
application telnet
family Terminal
active-since 2020-04-18T19:00:27+00:00
packets 40
octets 1709
tunnels-in 1
local-tloc TLOC IP 2.2.2.2
local-tloc color biz-internet
local-tloc encap ipsec
remote-tloc TLOC IP 1.1.1.1
remote-tloc color biz-internet
remote-tloc encap ipsec
packets 20
octets 857
start-time 2020-04-18T19:00:27+00:00
tunnels-out 1
local-tloc ip 2.2.2.2
local-tloc color biz-internet
local-tloc encap ipsec
remote-tloc TLOC IP 1.1.1.1
remote-tloc color biz-internet
remote-tloc encap ipsec
packets 20
octets 852
start-time 2020-04-18T19:00:27+00:00
コメント