キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.8

 

SD-WAN : OMP Graceful Restart の例外処理について

367
閲覧回数
0
いいね!
0
コメント

1. はじめに

このドキュメントでは OMP Graceful Restart の例外処理について解説します。

 

 

2. 概要

OMP Graceful Restart を有効にしていてもデザインによってはその恩恵を受けられないケースがあります。このドキュメントはその例外処理の動作についての説明といくつかの事例を交えて説明します。

 

 

3. OMP Graceful Restart とは

OMP Graceful Restart とは Edge デバイスと Contoller (vManage、vSmart、vBond) の Control Connection が切断されても,キャッシュされた OMP 情報を使用してデータコネクションを維持する機能です。

 

 

3.1. OMP Route の見方と広報について

vSmart 及び vEdge が保持している OMP ルートの情報を 'show omp routes' (cEdge では 'show sdwan omp routes') で確認できます。

 

Device# show sdwan omp routes

Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U -> TLOC unresolved
                                            PATH                      ATTRIBUTE
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1      192.0.2.0/24        192.168.1.3      1      1001     C,I,R     installed  192.168.1.152    biz-internet     ipsec  - 
202    192.0.2.1/24        192.168.1.3      2      1002     C,I,R     installed  192.168.1.152    biz-internet     ipsec  - 
202    192.0.2.0/24        0.0.0.0          68     1002     C,Red,R   installed  192.168.1.121    biz-internet     ipsec  - 

 


"PREFIX" はピアから受信した宛先、"VPN" はその "PREFIX" が属する VPN 番号、"STATUS" はそのプレフィックスのステータス、"TLOC IP" はプレフィックスを持つ Edge デバイスの IP、"COLOR" はプレフィックスを受信したトンネルの Color を表示しています。
"STATUS" については本ドキュメントで必要な知識として以下のステータスがあり、vSmart で各 edge デバイスから受信したルート情報を確認する際に重要な情報となります。

  • 'C' (chosen): 選択ルート。このステートの情報が edge デバイスに広報されます。
  • 'I' (installed): RIB に Install されたルート。edge デバイスで表示。
  • 'R' (resolved): TLOC Color が解決しているルート。
  • 'S' (stale): Edge デバイスと同期していないルート。OMP Graceful Restart でキャッシュされたルートです。
  • 'Inv' (invalid): 何らかの理由により install できないルート。edge デバイスで表示。
  • 'U' (TLOC unresolved): TLOC Color が解決していないルート。

期待されたルート情報を受け取っていないと判断した際は、vSmart 上での omp ルートの情報、及びそれが edge デバイスでどのように処理されているかを 'show omp routes' で確認する事がトラブルシューティングの第一歩になります。

 

 

4. Graceful Restart の例外処理

同一プレフィックス内で、Graceful Restart が動作しても 'C,R' ステートのルートが存在する場合、そのルートだけが vSmart からアップデートとして広報されます。

 

 

4.1. 事例 1

ポート不良により TLOC Extension のリンクがダウンした際に、当該拠点への接続が限定されたケース。

 

 

4.1.2. 構成と事象

拠点間は Internet と広域 Ethernet にてメッシュ接続されています。

sdwan_gr01.png

 

 

4.1.3. 原因

直接 Internet 接続がない Edge デバイスが Control Connection を失い、その結果 Internet と接続のある Edge デバイスのルート(’C’ のステータスを含むルート)のみが広報されます。

                                            PATH                      ATTRIBUTE                                                       
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE  
--------------------------------------------------------------------------------------------------------------------------------------
100    10.100.10.0/24      1.1.1.4          188    1001     C,R       installed  10.1.254.4       private4         ipsec  - 
                           10.1.254.3       35     1001     R,S       installed  10.1.254.3       metro-ethernet   ipsec  - 
                           10.1.254.3       52     1001     R,S       installed  10.1.254.3       private4         ipsec  - 
                           10.1.254.4       52     1001     C,R       installed  10.1.254.4       private4         ipsec  - 
その結果、広域 Ethernet での接続に問題はありませんが、更新された OMP 情報で広域 Ethernet 経由の ルートが削除されるため、Internet 経由でのみ当該拠点との接続が行われます。

 

 

                                            PATH                      ATTRIBUTE                                                       
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE  
--------------------------------------------------------------------------------------------------------------------------------------
100    10.100.10.0/24      1.1.1.4          121    1001     C,I,R     installed  10.1.254.4       private4         ipsec  - 
                           10.1.254.4       122    1001     C,I,R     installed  10.1.254.4       private4         ipsec  - 

 

 

4.1.4. 対応策

現状、設定や簡易な構成変更での対処方法はありません。

 

 

4.2. 事例 2

Hub & Spoke 構成で Hub が Control Connection を失った際に Hub & Spoke 間の通信に影響が発生したケース。

 

 

4.2.2. 構成と事象

ハブ(コア)と拠点間は Internet と広域 Ethernet にて接続し、Hub & Spoke で Hub からデフォルトルートを OMP で広報しています。また、サービスを分けるため同一 VPN に Color が異なる Hub & Spoke が存在していました。

sdwan_gr02.png

 

 

4.2.3. 原因

internet/biz-internet のカラーで接続されているコアルーターがインターネットへの接続を失い、Control Connection の断が発生しました。
Color が異なるコアルーターでは vSmart との接続が切断されていないため、Color が異なる Hub ルーターからのデフォルトルートのみが 'C,R' ステートになります。

 

                                            PATH                      ATTRIBUTE                                                       
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE  
--------------------------------------------------------------------------------------------------------------------------------------
10     0.0.0.0/0           1.1.12.1         73     1003     C,R       installed  1.1.12.1         gold             ipsec  -           
                           1.1.12.1         74     1003     C,R       installed  1.1.12.1         silve            ipsec  -           
                           1.1.13.1         75     1002     R,S       installed  1.1.13.1         internet         ipsec  -           
                           1.1.13.1         66     1002     R,S       installed  1.1.13.1         biz-internet     ipsec  -           

 

 

更新された OMP 情報を受け取った edge デバイスでは Color が異なるため install する事が出来ませんでした。

 

                                            PATH                      ATTRIBUTE                                                       
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE  
--------------------------------------------------------------------------------------------------------------------------------------
10     0.0.0.0/0           1.1.1.3          150    1003     Inv,U     installed  1.1.12.1         green            ipsec  -           
                           1.1.1.3          151    1003     Inv,U     installed  1.1.12.1         blue             ipsec  -           

 

 

結果、デフォルトルートを失い、Hub & Spoke 間で通信が出来なくなります。

 

 

4.2.4. 対応策

Color が異なる Hub & Spoke で使用する VPN 番号を分けることで、互いの Hub & Spoke への影響がなくなります。

 

 

 

5. 備考

今回紹介した事例に対し vSmart への接続を失わないようインターネットへの出口を追加するというのも一つの解決となります。

ですが,あくまで軽微な設定、及び構成変更での対処と言う観点からインターネットの出口の追加は対応策として記載しておりません。

 

作成:2021 年 7 月 14 日

更新:2021 年 7 月 20 日