今回は、End-to-End Path Trackingと呼ばれる機能について説明します。
この記事の目次
概要
End-to-End Path Trackingについて
以下のように、拠点2と拠点3間の通信を、FWが存在する拠点1を経由させたい場合があります。
この状況で、拠点1と拠点3間のオーバレイトンネルがダウンした場合、拠点2のvEdgeは拠点1に対してトラフィックを転送し続けてしまいます。その結果、拠点2と拠点3間の通信が失敗します。
この様な状況で、End-to-End Path Trackingを使用することで、拠点2のvEdgeは拠点1-拠点3間のオーバレイトンネルの状態を認識可能です。もし、拠点1-拠点3間のオーバレイトンネルがダウンした場合、拠点2のvEdgeは拠点3に対してトラフィックを直接転送します。
End-to-End Path Trackingにおいて、拠点1のvEdgeのような途中の経由するルータをIntermediate Router、最終的な宛先をUltimate Destination、最終的な宛先が存在する拠点のvEdgeのTLOCをUltimate TLOCと呼びます。
TLOC Action
Centralized Control PolicyのTLOC Actionを使用することで、End-to-End Path Trackingを実現可能です。
TLOC Actionのオプションは4種類存在します。
Strictオプション
正常時は、拠点2-拠点3間の通信はIntermediate Routerである拠点1のvEdgeを経由します。拠点1-拠点3間のオーバレイトンネルがダウンした場合、拠点2のvEdgeはトラフィックを破棄します。
Primaryオプション
正常時は、拠点2-拠点3間の通信はIntermediate Routerである拠点1のvEdgeを経由します。拠点1-拠点3間のオーバレイトンネルがダウンした場合、拠点2のvEdgeは拠点3に対してトラフィックを直接転送します。
Backupオプション
正常時は、拠点2-拠点3間は直接通信します。拠点2-拠点3間のオーバレイトンネルがダウンした場合、拠点2のvEdgeは拠点1に対してトラフィックを転送します。
ECMPオプション
正常時は、拠点2-拠点3間の通信は、2経路に分散されます。どちらか一方の経路で障害が発生した場合は、もう一方の経路を使用して通信を継続します。
検証環境、内容
検証内容
Site 1のvEdge1をIntermediate Routerとして使用します。
TLOC Actionのオプションを変更しつつ、Site 2とSite 3間の通信フローを確認します。
物理/論理構成
オーバレイネットワーク構成
初期設定
system
system-ip 10.1.10.11
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface eth0
ip address 172.16.10.11/24
tunnel-interface
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vBond
system-ip 10.1.10.21
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21 local vbond-only
!
vpn 0
interface ge0/0
ip address 172.16.10.21/24
tunnel-interface
encapsulation ipsec
!
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vSmart
system-ip 10.1.10.31
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface eth0
ip address 172.16.10.31/24
tunnel-interface
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vEdge1
system-ip 1.1.1.1
site-id 1
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface ge0/0
ip address 172.16.1.1/24
tunnel-interface
encapsulation ipsec
color biz-internet restrict
!
no shutdown
!
ip route 0.0.0.0/0 172.16.1.254
!
vpn 10
service TE
interface ge0/1
ip address 10.1.1.1/24
no shutdown
system
host-name vEdge2
system-ip 2.2.2.2
site-id 2
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface ge0/0
ip address 172.16.2.2/24
!
tunnel-interface
encapsulation ipsec
color biz-internet restrict
!
no shutdown
!
ip route 0.0.0.0/0 172.16.2.254
!
vpn 10
ecmp-hash-key layer4
interface ge0/1
ip address 20.1.1.2/24
no shutdown
system
host-name vEdge3
system-ip 3.3.3.3
site-id 3
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface ge0/0
ip address 172.16.3.3/24
tunnel-interface
encapsulation ipsec
color biz-internet restrict
!
no shutdown
!
ip route 0.0.0.0/0 172.16.3.254
!
vpn 10
ecmp-hash-key layer4
interface ge0/1
ip address 30.1.1.3/24
no shutdown
interface GigabitEthernet2
ip address 10.1.1.11 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.1.1.1
interface GigabitEthernet2
ip address 20.1.1.12 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 20.1.1.2
interface GigabitEthernet2
ip address 30.1.1.13 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 30.1.1.3
interface GigabitEthernet2
ip address 172.16.1.254 255.255.255.0
!
interface GigabitEthernet3
ip address 172.16.2.254 255.255.255.0
!
interface GigabitEthernet4
ip address 172.16.3.254 255.255.255.0
!
interface GigabitEthernet5
ip address 172.16.10.254 255.255.255.0
共通設定
vEdge1に追加する設定
Intermediate Routerとして動作させるvEdge1ではservice TEコマンドを設定し、TE(Traffic Engineering)サービスを有効にします。
vEdge1
vpn 10
service TE
vEdge1でTEサービス有効後、vSmartがvEdge1からTEサービスを学習します。
vSmart
vSmart# show omp services
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Stg -> staged
IA -> On-demand inactive
Inv -> invalid
ADDRESS PATH
FAMILY VPN SERVICE ORIGINATOR FROM PEER ID LABEL STATUS
--------------------------------------------------------------------------------
ipv4 10 VPN 1.1.1.1 1.1.1.1 68 1003 C,I,R
10 VPN 2.2.2.2 2.2.2.2 68 1003 C,I,R
10 VPN 3.3.3.3 3.3.3.3 68 1003 C,I,R
10 TE 1.1.1.1 1.1.1.1 68 1005 C,I,R
VPN Listの設定
VPN Listで、Custom Control Policyの適用先のVPNのIDを指定します。
Site Listの設定
Site Listで、vEdge2とvEdge3のSiteを定義します。
Prefix Listの設定
Prefix Listで、Site 2の20.1.1.0/24とSite 3の30.1.1.0/24を定義します。
Custom Control Policyの設定(vEdge2用)
vSmartからvEdge2にルート情報を広報する際、Site 3の30.1.1.0/24に対してvEdge1のTLOCを関連付け、かつ、TLOC ActionをセットするCustom Control Policyを定義します。
Custom Control Policyの設定(vEdge3用)
vSmartからvEdge3にルート情報を広報する際、Site 2の20.1.1.0/24に対してvEdge1のTLOCを関連付け、かつ、TLOC ActionをセットするCustom Control Policyを定義します。
Centralized Control Policyの設定
Centralized Control PolicyでvEdge2とvEdge3に対して、Outbound方向でCustom Control Policyを適用します。
TLOC ActionのStrictオプション
Custom Control Policyの設定
Custom Control PolicyのTLOC ActionにStrictオプションを指定します。
vSmartに投入された設定
vSmart
policy
lists
site-list Site_2
site-id 2
!
site-list Site_3
site-id 3
!
prefix-list Prefix_List_2
ip-prefix 20.1.1.0/24
!
prefix-list Prefix_List_3
ip-prefix 30.1.1.0/24
!
!
control-policy Custom_Control_Policy_2
sequence 1
match route
prefix-list Prefix_List_3
!
action accept
set
tloc-action strict
tloc 1.1.1.1 color biz-internet encap ipsec
!
!
!
default-action accept
!
control-policy Custom_Control_Policy_3
sequence 1
match route
prefix-list Prefix_List_2
!
action accept
set
tloc-action strict
tloc 1.1.1.1 color biz-internet encap ipsec
!
!
!
default-action accept
!
!
apply-policy
site-list Site_2
control-policy Custom_Control_Policy_2 out
!
site-list Site_3
control-policy Custom_Control_Policy_3 out
正常時
BFDの状態確認
BFDネイバーの状態を確認します。
vEdge2とvEdge1間、vEdge2とvEdge3間のBFDネイバーがアップしていることが確認できます。
vEdge2
vEdge2# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.2.2 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:00:35:02 3
172.16.2.2 172.16.3.3 ipsec 12366 12366 3.3.3.3 3 biz-internet biz-internet up 7 1000 0:00:38:59 3
vEdge3とvEdge1間、vEdge3とvEdge2間のBFDネイバーがアップしていることが確認できます。
vEdge3
vEdge3# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.3.3 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:01:51:49 2
172.16.3.3 172.16.2.2 ipsec 12366 12366 2.2.2.2 2 biz-internet biz-internet up 7 1000 0:00:38:47 3
OMPの状態確認
vEdge2がOMP経由で学習した30.1.1.0/24を見ると、TLOCがvEdge1、Ultimate TLOCがvEdge3であることが確認できます。また、Strictオプションが有効なことが確認できます。
vEdge2
vEdge2# show omp routes 30.1.1.0/24 detail
---------------------------------------------------
omp route entries for vpn 10 route 30.1.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.10.31
path-id 8
label 1003
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 3.3.3.3
type installed
tloc 1.1.1.1, biz-internet, ipsec
ultimate-tloc 3.3.3.3, biz-internet, ipsec -- strict
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 3
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
vEdge3がOMP経由で学習した20.1.1.0/24を見ると、TLOCがvEdge1、Ultimate TLOCがvEdge2であることが確認できます。また、Strictオプションが有効なことが確認できます。
vEdge3
vEdge3# show omp routes 20.1.1.0/24 detail
---------------------------------------------------
omp route entries for vpn 10 route 20.1.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.10.31
path-id 9
label 1003
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 2.2.2.2
type installed
tloc 1.1.1.1, biz-internet, ipsec
ultimate-tloc 2.2.2.2, biz-internet, ipsec -- strict
domain-id not set
overlay-id 1
site-id 2
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
ルーティングテーブルの確認
vEdge2のVPN 10のルーティングテーブルを見ると、30.1.1.0/24のネクストホップがvEdge1の1.1.1.1であることが確認できます。
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
10 ipv4 30.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
vEdge3のVPN 10のルーティングテーブルを見ると、20.1.1.0/24のネクストホップがvEdge1の1.1.1.1であることが確認できます。
vEdge3
vEdge3# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 30.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
疎通確認
R2の20.1.1.12からR3の30.1.1.13に対してTracerouteを実施します。
vEdge2はvEdge1にパケットを転送していることが確認できます。
R2
R2#traceroute 30.1.1.13 source 20.1.1.12 probe 1
Type escape sequence to abort.
Tracing the route to 30.1.1.13
VRF info: (vrf in name/id, vrf out name/id)
1 20.1.1.2 13 msec
2 10.1.1.1 49 msec
3 30.1.1.3 79 msec
4 30.1.1.13 100 msec
vEdge1-vEdge3間のオーバレイトンネル障害時
BFDの状態確認
BFDネイバーの状態を確認します。
vEdge2とvEdge1間、vEdge2とvEdge3間のBFDネイバーがアップしていることが確認できます。
vEdge2
vEdge2# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.2.2 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:00:35:02 3
172.16.2.2 172.16.3.3 ipsec 12366 12366 3.3.3.3 3 biz-internet biz-internet up 7 1000 0:00:38:59 3
vEdge3とvEdge1間のBFDネイバーがダウンしていることが確認できます。
vEdge3
vEdge3# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.3.3 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet down 7 1000 NA 3
172.16.3.3 172.16.2.2 ipsec 12366 12366 2.2.2.2 2 biz-internet biz-internet up 7 1000 0:00:38:47 3
OMPの状態確認
vEdge2がOMP経由で学習した30.1.1.0/24を見ると、StatusがInvalidに変化したことが確認できます。
vEdge2
vEdge2# show omp routes 30.1.1.0/24 detail
---------------------------------------------------
omp route entries for vpn 10 route 30.1.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.10.31
path-id 8
label 1003
status Inv,U
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 3.3.3.3
type installed
tloc 1.1.1.1, biz-internet, ipsec
ultimate-tloc 3.3.3.3, biz-internet, ipsec -- strict
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 3
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
vEdge3がOMP経由で学習した20.1.1.0/24を見ると、StatusがInvalidに変化したことが確認できます。
vEdge3
vEdge3# show omp routes 20.1.1.0/24 detail
---------------------------------------------------
omp route entries for vpn 10 route 20.1.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.10.31
path-id 9
label 1003
status Inv, U
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 2.2.2.2
type installed
tloc 1.1.1.1, biz-internet, ipsec
ultimate-tloc 2.2.2.2, biz-internet, ipsec -- strict
domain-id not set
overlay-id 1
site-id 2
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
ルーティングテーブルの確認
vEdge2のVPN 10のルーティングテーブルから30.1.1.0/24が消失したことが確認できます。
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
vEdge3のVPN 10のルーティングテーブルから20.1.1.0/24が消失したことが確認できます。
vEdge3
vEdge3# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
------------------------------------------------------------------------------------------------------------------------
10 ipv4 30.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
疎通確認
R2の20.1.1.12からR3の30.1.1.13に対してPingを実施します。
vEdge2がパケットを破棄していることが確認できます。
R2
R2#ping 30.1.1.13 source 20.1.1.12
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 30.1.1.13, timeout is 2 seconds:
Packet sent with a source address of 20.1.1.12
UUUUU
Success rate is 0 percent (0/5)
TLOC ActionのPrimaryオプション
Custom Control Policyの設定
Custom Control PolicyのTLOC ActionにPrimaryオプションを指定します。
vSmartに投入された設定
vSmart
policy
lists
site-list Site_2
site-id 2
!
site-list Site_3
site-id 3
!
prefix-list Prefix_List_2
ip-prefix 20.1.1.0/24
!
prefix-list Prefix_List_3
ip-prefix 30.1.1.0/24
!
!
control-policy Custom_Control_Policy_2
sequence 1
match route
prefix-list Prefix_List_3
!
action accept
set
tloc-action primary
tloc 1.1.1.1 color biz-internet encap ipsec
!
!
!
default-action accept
!
control-policy Custom_Control_Policy_3
sequence 1
match route
prefix-list Prefix_List_2
!
action accept
set
tloc-action primary
tloc 1.1.1.1 color biz-internet encap ipsec
!
!
!
default-action accept
!
!
apply-policy
site-list Site_2
control-policy Custom_Control_Policy_2 out
!
site-list Site_3
control-policy Custom_Control_Policy_3 out
正常時
BFDの状態確認
BFDネイバーの状態を確認します。
vEdge2とvEdge1間、vEdge2とvEdge3間のBFDネイバーがアップしていることが確認できます。
vEdge2
vEdge2# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.2.2 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:00:35:02 3
172.16.2.2 172.16.3.3 ipsec 12366 12366 3.3.3.3 3 biz-internet biz-internet up 7 1000 0:00:38:59 3
vEdge3とvEdge1間、vEdge3とvEdge2間のBFDネイバーがアップしていることが確認できます。
vEdge3
vEdge3# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.3.3 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:01:51:49 2
172.16.3.3 172.16.2.2 ipsec 12366 12366 2.2.2.2 2 biz-internet biz-internet up 7 1000 0:00:38:47 3
OMPの状態確認
vEdge2がOMP経由で学習した30.1.1.0/24を見ると、TLOCがvEdge1のルート情報と、TLOCがvEdge3のルート情報が存在することが確認できます。TLOCがvEdge1のルート情報にはUltimate TLOCとしてvEdge3が割り当てられており、Primaryオプションが有効なことが確認できます。
各ルート情報のStatusを見ると、ルーティングテーブルにはTLOCがvEdge1のルート情報がインストールされていることが確認できます。
vEdge2
vEdge2# show omp routes 30.1.1.0/24 detail
---------------------------------------------------
omp route entries for vpn 10 route 30.1.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.10.31
path-id 12
label 1003
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 3.3.3.3
type installed
tloc 1.1.1.1, biz-internet, ipsec
ultimate-tloc 3.3.3.3, biz-internet, ipsec -- primary
domain-id not set
overlay-id 1
site-id 3
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
RECEIVED FROM:
peer 10.1.10.31
path-id 13
label 1003
status R
loss-reason tloc-action
lost-to-peer 10.1.10.31
lost-to-path-id 12
Attributes:
originator 3.3.3.3
type installed
tloc 3.3.3.3, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 3
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
vEdge3がOMP経由で学習した20.1.1.0/24を見ると、TLOCがvEdge1のルート情報と、TLOCがvEdge2のルート情報が存在することが確認できます。TLOCがvEdge1のルート情報にはUltimate TLOCとしてvEdge2が割り当てられており、Primaryオプションが有効なことが確認できます。
各ルート情報のStatusを見ると、ルーティングテーブルにはTLOCがvEdge1のルート情報がインストールされていることが確認できます。
vEdge3
vEdge3# show omp routes 20.1.1.0/24 detail
---------------------------------------------------
omp route entries for vpn 10 route 20.1.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.10.31
path-id 10
label 1003
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 2.2.2.2
type installed
tloc 1.1.1.1, biz-internet, ipsec
ultimate-tloc 2.2.2.2, biz-internet, ipsec -- primary
domain-id not set
overlay-id 1
site-id 2
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
RECEIVED FROM:
peer 10.1.10.31
path-id 11
label 1003
status R
loss-reason tloc-action
lost-to-peer 10.1.10.31
lost-to-path-id 10
Attributes:
originator 2.2.2.2
type installed
tloc 2.2.2.2, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 2
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
ルーティングテーブルの確認
vEdge2のVPN 10のルーティングテーブルを見ると、30.1.1.0/24のネクストホップがvEdge1の1.1.1.1であることが確認できます。
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
10 ipv4 30.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
vEdge3のVPN 10のルーティングテーブルを見ると、20.1.1.0/24のネクストホップがvEdge1の1.1.1.1であることが確認できます。
vEdge3
vEdge3# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 30.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
疎通確認
R2の20.1.1.12からR3の30.1.1.13に対してTracerouteを実施します。
vEdge2はvEdge1にパケットを転送していることが確認できます。
R2
R2#traceroute 30.1.1.13 source 20.1.1.12 probe 1
Type escape sequence to abort.
Tracing the route to 30.1.1.13
VRF info: (vrf in name/id, vrf out name/id)
1 20.1.1.2 13 msec
2 10.1.1.1 49 msec
3 30.1.1.3 79 msec
4 30.1.1.13 100 msec
vEdge1-vEdge3間のオーバレイトンネル障害時
BFDの状態確認
BFDネイバーの状態を確認します。
vEdge2とvEdge1間、vEdge2とvEdge3間のBFDネイバーがアップしていることが確認できます。
vEdge2
vEdge2# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.2.2 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:00:35:02 3
172.16.2.2 172.16.3.3 ipsec 12366 12366 3.3.3.3 3 biz-internet biz-internet up 7 1000 0:00:38:59 3
vEdge3とvEdge1間のBFDネイバーがダウンしていることが確認できます。
vEdge3
vEdge3# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.3.3 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet down 7 1000 NA 3
172.16.3.3 172.16.2.2 ipsec 12366 12366 2.2.2.2 2 biz-internet biz-internet up 7 1000 0:00:38:47 3
OMPの状態確認
vEdge2がOMP経由で学習した30.1.1.0/24を見ると、TLOCがvEdge1のルート情報のStatusがInvalidに変化していることが確認できます。また、ルーティングテーブルにはTLOCがvEdge3のルート情報がインストールされていることが確認できます。
vEdge2
vEdge2# show omp routes 30.1.1.0/24 detail
---------------------------------------------------
omp route entries for vpn 10 route 30.1.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.10.31
path-id 12
label 1003
status Inv,U
loss-reason invalid
lost-to-peer 10.1.10.31
lost-to-path-id 13
Attributes:
originator 3.3.3.3
type installed
tloc 1.1.1.1, biz-internet, ipsec
ultimate-tloc 3.3.3.3, biz-internet, ipsec -- primary
domain-id not set
overlay-id 1
site-id 3
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
RECEIVED FROM:
peer 10.1.10.31
path-id 13
label 1003
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 3.3.3.3
type installed
tloc 3.3.3.3, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 3
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
vEdge3がOMP経由で学習した20.1.1.0/24を見ると、TLOCがvEdge1のルート情報のStatusがInvalidに変化していることが確認できます。また、ルーティングテーブルにはTLOCがvEdge2のルート情報がインストールされていることが確認できます。
vEdge3
vEdge3# show omp routes 20.1.1.0/24 detail
---------------------------------------------------
omp route entries for vpn 10 route 20.1.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.10.31
path-id 10
label 1003
status Inv,U
loss-reason invalid
lost-to-peer 10.1.10.31
lost-to-path-id 11
Attributes:
originator 2.2.2.2
type installed
tloc 1.1.1.1, biz-internet, ipsec
ultimate-tloc 2.2.2.2, biz-internet, ipsec -- primary
domain-id not set
overlay-id 1
site-id 2
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
RECEIVED FROM:
peer 10.1.10.31
path-id 11
label 1003
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 2.2.2.2
type installed
tloc 2.2.2.2, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 2
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
ルーティングテーブルの確認
vEdge2のVPN 10のルーティングテーブルを見ると、30.1.1.0/24のネクストホップがvEdge3の3.3.3.3に変化していることが確認できます。
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
10 ipv4 30.1.1.0/24 0 omp - 0 - - 3.3.3.3 biz-internet ipsec - F,S
vEdge3のVPN 10のルーティングテーブルを見ると、20.1.1.0/24のネクストホップがvEdge2の2.2.2.2に変化していることが確認できます。
vEdge3
vEdge3# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 20.1.1.0/24 0 omp - 0 - - 2.2.2.2 biz-internet ipsec - F,S
10 ipv4 30.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
疎通確認
R2の20.1.1.12からR3の30.1.1.13に対してTracerouteを実施します。
vEdge2がvEdge3にパケットを転送していることが確認できます。
R2
R2#traceroute 30.1.1.13 source 20.1.1.12 probe 1
Type escape sequence to abort.
Tracing the route to 30.1.1.13
VRF info: (vrf in name/id, vrf out name/id)
1 20.1.1.2 18 msec
2 30.1.1.3 49 msec
3 30.1.1.13 70 msec
TLOC ActionのBackupオプション
Custom Control Policyの設定
Custom Control PolicyのTLOC ActionにBackupオプションを指定します。
vSmartに投入された設定
vSmart
policy
lists
site-list Site_2
site-id 2
!
site-list Site_3
site-id 3
!
prefix-list Prefix_List_2
ip-prefix 20.1.1.0/24
!
prefix-list Prefix_List_3
ip-prefix 30.1.1.0/24
!
!
control-policy Custom_Control_Policy_2
sequence 1
match route
prefix-list Prefix_List_3
!
action accept
set
tloc-action backup
tloc 1.1.1.1 color biz-internet encap ipsec
!
!
!
default-action accept
!
control-policy Custom_Control_Policy_3
sequence 1
match route
prefix-list Prefix_List_2
!
action accept
set
tloc-action backup
tloc 1.1.1.1 color biz-internet encap ipsec
!
!
!
default-action accept
!
!
apply-policy
site-list Site_2
control-policy Custom_Control_Policy_2 out
!
site-list Site_3
control-policy Custom_Control_Policy_3 out
正常時
BFDの状態確認
BFDネイバーの状態を確認します。
vEdge2とvEdge1間、vEdge2とvEdge3間のBFDネイバーがアップしていることが確認できます。
vEdge2
vEdge2# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.2.2 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:00:35:02 3
172.16.2.2 172.16.3.3 ipsec 12366 12366 3.3.3.3 3 biz-internet biz-internet up 7 1000 0:00:38:59 3
vEdge3とvEdge1間、vEdge3とvEdge2間のBFDネイバーがアップしていることが確認できます。
vEdge3
vEdge3# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.3.3 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:01:51:49 2
172.16.3.3 172.16.2.2 ipsec 12366 12366 2.2.2.2 2 biz-internet biz-internet up 7 1000 0:00:38:47 3
OMPの状態確認
vEdge2がOMP経由で学習した30.1.1.0/24を見ると、TLOCがvEdge1のルート情報と、TLOCがvEdge3のルート情報が存在することが確認できます。TLOCがvEdge1のルート情報にはUltimate TLOCとしてvEdge3が割り当てられており、Backupオプションが有効なことが確認できます。
各ルート情報のStatusを見ると、ルーティングテーブルにはTLOCがvEdge3のルート情報がインストールされていることが確認できます。
vEdge2
vEdge2# show omp routes 30.1.1.0/24 detail
---------------------------------------------------
omp route entries for vpn 10 route 30.1.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.10.31
path-id 14
label 1003
status R
loss-reason tloc-action
lost-to-peer 10.1.10.31
lost-to-path-id 15
Attributes:
originator 3.3.3.3
type installed
tloc 1.1.1.1, biz-internet, ipsec
ultimate-tloc 3.3.3.3, biz-internet, ipsec -- backup
domain-id not set
overlay-id 1
site-id 3
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
RECEIVED FROM:
peer 10.1.10.31
path-id 15
label 1003
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 3.3.3.3
type installed
tloc 3.3.3.3, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 3
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
vEdge3がOMP経由で学習した20.1.1.0/24を見ると、TLOCがvEdge1のルート情報と、TLOCがvEdge2のルート情報が存在することが確認できます。TLOCがvEdge1のルート情報にはUltimate TLOCとしてvEdge2が割り当てられており、Backupオプションが有効なことが確認できます。
各ルート情報のStatusを見ると、ルーティングテーブルにはTLOCがvEdg2のルート情報がインストールされていることが確認できます。
vEdge3
vEdge3# show omp routes 20.1.1.0/24 detail
---------------------------------------------------
omp route entries for vpn 10 route 20.1.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.10.31
path-id 12
label 1003
status R
loss-reason tloc-action
lost-to-peer 10.1.10.31
lost-to-path-id 13
Attributes:
originator 2.2.2.2
type installed
tloc 1.1.1.1, biz-internet, ipsec
ultimate-tloc 2.2.2.2, biz-internet, ipsec -- backup
domain-id not set
overlay-id 1
site-id 2
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
RECEIVED FROM:
peer 10.1.10.31
path-id 13
label 1003
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 2.2.2.2
type installed
tloc 2.2.2.2, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 2
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
ルーティングテーブルの確認
vEdge2のVPN 10のルーティングテーブルを見ると、30.1.1.0/24のネクストホップがvEdge3の3.3.3.3であることが確認できます。
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
10 ipv4 30.1.1.0/24 0 omp - 0 - - 3.3.3.3 biz-internet ipsec - F,S
vEdge3のVPN 10のルーティングテーブルを見ると、20.1.1.0/24のネクストホップがvEdge2の2.2.2.2であることが確認できます。
vEdge3
vEdge3# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 omp - 0 - - 2.2.2.2 biz-internet ipsec - F,S
10 ipv4 30.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
疎通確認
R2の20.1.1.12からR3の30.1.1.13に対してTracerouteを実施します。
vEdge2はvEdge3にパケットを転送していることが確認できます。
R2
R2#traceroute 30.1.1.13 source 20.1.1.12 probe 1
Type escape sequence to abort.
Tracing the route to 30.1.1.13
VRF info: (vrf in name/id, vrf out name/id)
1 20.1.1.2 16 msec
2 30.1.1.3 50 msec
3 30.1.1.13 69 msec
vEdge2-vEdge3間のオーバレイトンネル障害時
BFDの状態確認
BFDネイバーの状態を確認します。
vEdge2とvEdge3間のBFDネイバーがダウンしていることが確認できます。
vEdge2
vEdge2# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.2.2 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:02:04:41 3
172.16.2.2 172.16.3.3 ipsec 12366 12366 3.3.3.3 3 biz-internet biz-internet down 7 1000 NA 4
vEdge3とvEdge2間のBFDネイバーがダウンしていることが確認できます。
vEdge3
vEdge3# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.3.3 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:00:19:32 4
172.16.3.3 172.16.2.2 ipsec 12366 12366 2.2.2.2 2 biz-internet biz-internet down 7 1000 NA 4
OMPの状態確認
vEdge2がOMP経由で学習した30.1.1.0/24を見ると、TLOCがvEdge3のルート情報のStatusがInvalidに変化していることが確認できます。また、ルーティングテーブルにはTLOCがvEdge1のルート情報がインストールされていることが確認できます。
vEdge2
vEdge2# show omp routes 30.1.1.0/24 detail
---------------------------------------------------
omp route entries for vpn 10 route 30.1.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.10.31
path-id 14
label 1003
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 3.3.3.3
type installed
tloc 1.1.1.1, biz-internet, ipsec
ultimate-tloc 3.3.3.3, biz-internet, ipsec -- backup
domain-id not set
overlay-id 1
site-id 3
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
RECEIVED FROM:
peer 10.1.10.31
path-id 15
label 1003
status Inv,U
loss-reason invalid
lost-to-peer 10.1.10.31
lost-to-path-id 14
Attributes:
originator 3.3.3.3
type installed
tloc 3.3.3.3, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 3
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
vEdge3がOMP経由で学習した20.1.1.0/24を見ると、TLOCがvEdge3のルート情報のStatusがInvalidに変化していることが確認できます。また、ルーティングテーブルにはTLOCがvEdge1のルート情報がインストールされていることが確認できます。
vEdge3
vEdge3# show omp routes 20.1.1.0/24 detail
---------------------------------------------------
omp route entries for vpn 10 route 20.1.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.10.31
path-id 12
label 1003
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 2.2.2.2
type installed
tloc 1.1.1.1, biz-internet, ipsec
ultimate-tloc 2.2.2.2, biz-internet, ipsec -- backup
domain-id not set
overlay-id 1
site-id 2
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
RECEIVED FROM:
peer 10.1.10.31
path-id 13
label 1003
status Inv,U
loss-reason invalid
lost-to-peer 10.1.10.31
lost-to-path-id 12
Attributes:
originator 2.2.2.2
type installed
tloc 2.2.2.2, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 2
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
ルーティングテーブルの確認
vEdge2のVPN 10のルーティングテーブルを見ると、30.1.1.0/24のネクストホップがvEdge1の1.1.1.1に変化していることが確認できます。
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
10 ipv4 30.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
vEdge3のVPN 10のルーティングテーブルを見ると、20.1.1.0/24のネクストホップがvEdge1の1.1.1.1に変化していることが確認できます。
vEdge3
vEdge3# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 30.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
疎通確認
R2の20.1.1.12からR3の30.1.1.13に対してTracerouteを実施します。
vEdge2がvEdge1にパケットを転送していることが確認できます。
R2
R2#traceroute 30.1.1.13 source 20.1.1.12 probe 1
Type escape sequence to abort.
Tracing the route to 30.1.1.13
VRF info: (vrf in name/id, vrf out name/id)
1 20.1.1.2 13 msec
2 10.1.1.1 49 msec
3 30.1.1.3 80 msec
4 30.1.1.13 79 msec
TLOC ActionのECMPオプション
Custom Control Policyの設定
Custom Control PolicyのTLOC ActionにECMPオプションを指定します。
vSmartに投入された設定
vSmart
policy
lists
site-list Site_2
site-id 2
!
site-list Site_3
site-id 3
!
prefix-list Prefix_List_2
ip-prefix 20.1.1.0/24
!
prefix-list Prefix_List_3
ip-prefix 30.1.1.0/24
!
!
control-policy Custom_Control_Policy_2
sequence 1
match route
prefix-list Prefix_List_3
!
action accept
set
tloc-action ecmp
tloc 1.1.1.1 color biz-internet encap ipsec
!
!
!
default-action accept
!
control-policy Custom_Control_Policy_3
sequence 1
match route
prefix-list Prefix_List_2
!
action accept
set
tloc-action ecmp
tloc 1.1.1.1 color biz-internet encap ipsec
!
!
!
default-action accept
!
!
apply-policy
site-list Site_2
control-policy Custom_Control_Policy_2 out
!
site-list Site_3
control-policy Custom_Control_Policy_3 out
正常時
BFDの状態確認
BFDネイバーの状態を確認します。
vEdge2とvEdge1間、vEdge2とvEdge3間のBFDネイバーがアップしていることが確認できます。
vEdge2
vEdge2# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.2.2 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:00:35:02 3
172.16.2.2 172.16.3.3 ipsec 12366 12366 3.3.3.3 3 biz-internet biz-internet up 7 1000 0:00:38:59 3
vEdge3とvEdge1間、vEdge3とvEdge2間のBFDネイバーがアップしていることが確認できます。
vEdge3
vEdge3# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.3.3 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:01:51:49 2
172.16.3.3 172.16.2.2 ipsec 12366 12366 2.2.2.2 2 biz-internet biz-internet up 7 1000 0:00:38:47 3
OMPの状態確認
vEdge2がOMP経由で学習した30.1.1.0/24を見ると、TLOCがvEdge1のルート情報と、TLOCがvEdge3のルート情報が存在することが確認できます。TLOCがvEdge1のルート情報にはUltimate TLOCとしてvEdge3が割り当てられており、ECMPオプションが有効なことが確認できます。
各ルート情報のStatusを見ると、ルーティングテーブルにはTLOCがvEdge1のルート情報と、TLOCがvEdge3のルート情報の両方がインストールされていることが確認できます。
vEdge2
vEdge2# show omp routes 30.1.1.0/24 detail
---------------------------------------------------
omp route entries for vpn 10 route 30.1.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.10.31
path-id 16
label 1003
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 3.3.3.3
type installed
tloc 1.1.1.1, biz-internet, ipsec
ultimate-tloc 3.3.3.3, biz-internet, ipsec -- ecmp
domain-id not set
overlay-id 1
site-id 3
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
RECEIVED FROM:
peer 10.1.10.31
path-id 17
label 1003
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 3.3.3.3
type installed
tloc 3.3.3.3, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 3
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
vEdge3がOMP経由で学習した20.1.1.0/24を見ると、TLOCがvEdge1のルート情報と、TLOCがvEdge2のルート情報が存在することが確認できます。TLOCがvEdge1のルート情報にはUltimate TLOCとしてvEdge2が割り当てられており、ECMPオプションが有効なことが確認できます。
各ルート情報のStatusを見ると、ルーティングテーブルにはTLOCがvEdge1のルート情報と、TLOCがvEdge2のルート情報の両方がインストールされていることが確認できます。
vEdge3
vEdge3# show omp routes 20.1.1.0/24 detail
---------------------------------------------------
omp route entries for vpn 10 route 20.1.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.10.31
path-id 14
label 1003
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 2.2.2.2
type installed
tloc 1.1.1.1, biz-internet, ipsec
ultimate-tloc 2.2.2.2, biz-internet, ipsec -- ecmp
domain-id not set
overlay-id 1
site-id 2
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
RECEIVED FROM:
peer 10.1.10.31
path-id 15
label 1003
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 2.2.2.2
type installed
tloc 2.2.2.2, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 2
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
ルーティングテーブルの確認
vEdge2のVPN 10のルーティングテーブルを見ると、30.1.1.0/24のネクストホップがvEdge1の1.1.1.1とvEdge3の3.3.3.3であることが確認できます。
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
10 ipv4 30.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 30.1.1.0/24 1 omp - 0 - - 3.3.3.3 biz-internet ipsec - F,S
vEdge3のVPN 10のルーティングテーブルを見ると、20.1.1.0/24のネクストホップがvEdge1の1.1.1.1とvEdge2の2.2.2.2であることが確認できます。
vEdge3
vEdge3# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 1 omp - 0 - - 2.2.2.2 biz-internet ipsec - F,S
10 ipv4 30.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
疎通確認
R2の20.1.1.12からR3の30.1.1.13に対してTracerouteを実施します。
vEdge2はvEdge1とvEdge3に分散してパケットを転送していることが確認できます。
R2
R2#traceroute 30.1.1.13 source 20.1.1.12 probe 1
Type escape sequence to abort.
Tracing the route to 30.1.1.13
VRF info: (vrf in name/id, vrf out name/id)
1 20.1.1.2 15 msec
2 30.1.1.1 49 msec
3 30.1.1.3 59 msec
4 30.1.1.13 79 msec
R2#traceroute 30.1.1.13 source 20.1.1.12 probe 1
Type escape sequence to abort.
Tracing the route to 30.1.1.13
VRF info: (vrf in name/id, vrf out name/id)
1 20.1.1.2 16 msec
2 30.1.1.3 40 msec
3 30.1.1.13 69 msec
vEdge1-vEdge3間のオーバレイトンネル障害時
BFDの状態確認
BFDネイバーの状態を確認します。
vEdge2とvEdge1間、vEdge2とvEdge3間のBFDネイバーがアップしていることが確認できます。
vEdge2
vEdge2# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.2.2 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:00:35:02 3
172.16.2.2 172.16.3.3 ipsec 12366 12366 3.3.3.3 3 biz-internet biz-internet up 7 1000 0:00:38:59 3
vEdge3とvEdge1間のBFDネイバーがダウンしていることが確認できます。
vEdge3
vEdge3# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.3.3 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet down 7 1000 NA 3
172.16.3.3 172.16.2.2 ipsec 12366 12366 2.2.2.2 2 biz-internet biz-internet up 7 1000 0:00:38:47 3
OMPの状態確認
vEdge2がOMP経由で学習した30.1.1.0/24を見ると、TLOCがvEdge1のルート情報のStatusがInvalidに変化していることが確認できます。また、ルーティングテーブルにはTLOCがvEdge3のルート情報がインストールされていることが確認できます。
vEdge2
vEdge2# show omp routes 30.1.1.0/24 detail
---------------------------------------------------
omp route entries for vpn 10 route 30.1.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.10.31
path-id 26
label 1003
status Inv,U
loss-reason invalid
lost-to-peer 10.1.10.31
lost-to-path-id 27
Attributes:
originator 3.3.3.3
type installed
tloc 1.1.1.1, biz-internet, ipsec
ultimate-tloc 3.3.3.3, biz-internet, ipsec -- ecmp
domain-id not set
overlay-id 1
site-id 3
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
RECEIVED FROM:
peer 10.1.10.31
path-id 27
label 1003
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 3.3.3.3
type installed
tloc 3.3.3.3, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 3
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
vEdge3がOMP経由で学習した20.1.1.0/24を見ると、TLOCがvEdge1のルート情報のStatusがInvalidに変化していることが確認できます。また、ルーティングテーブルにはTLOCがvEdge2のルート情報がインストールされていることが確認できます。
vEdge3
vEdge3# show omp routes 20.1.1.0/24 detail
---------------------------------------------------
omp route entries for vpn 10 route 20.1.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.10.31
path-id 22
label 1003
status Inv,U
loss-reason invalid
lost-to-peer 10.1.10.31
lost-to-path-id 23
Attributes:
originator 2.2.2.2
type installed
tloc 1.1.1.1, biz-internet, ipsec
ultimate-tloc 2.2.2.2, biz-internet, ipsec -- ecmp
domain-id not set
overlay-id 1
site-id 2
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
RECEIVED FROM:
peer 10.1.10.31
path-id 23
label 1003
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 2.2.2.2
type installed
tloc 2.2.2.2, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 2
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
ルーティングテーブルの確認
vEdge2のVPN 10のルーティングテーブルを見ると、30.1.1.0/24のネクストホップがvEdge3の3.3.3.3のみに変化していることが確認できます。
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
10 ipv4 30.1.1.0/24 0 omp - 0 - - 3.3.3.3 biz-internet ipsec - F,S
vEdge3のVPN 10のルーティングテーブルを見ると、20.1.1.0/24のネクストホップがvEdge2の2.2.2.2のみに変化していることが確認できます。
vEdge3
vEdge3# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 20.1.1.0/24 0 omp - 0 - - 2.2.2.2 biz-internet ipsec - F,S
10 ipv4 30.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
疎通確認
R2の20.1.1.12からR3の30.1.1.13に対してTracerouteを実施します。
vEdge2がvEdge3にのみパケットを転送していることが確認できます。
R2
R2#traceroute 30.1.1.13 source 20.1.1.12 probe 1
Type escape sequence to abort.
Tracing the route to 30.1.1.13
VRF info: (vrf in name/id, vrf out name/id)
1 20.1.1.2 18 msec
2 30.1.1.3 49 msec
3 30.1.1.13 70 msec
コメント