自学思科SD-WAN OMP协议原理详解(Overlay Management Protocol)

点击返回:思科SD-WAN实战课

自学思科SD-WAN OMP协议原理详解(Overlay Management Protocol)

目录:

  • 章节1:什么是 overlay 路由?
  • 章节2:Overlay Management Protocol 
  • 章节3:在OMP中发布的路由类型(OMP 路由、TLOC 路由、Network-service 路由)
  • 章节4:路由重分布(本地到OMP、OMP到本地)
  • 章节5:简单的show命令

一、什么是 overlay路由?

 

OMP 在以下情况扮演了重要角色:

  • 编排:站点之间的路由和安全连接;服务链接;VPN拓扑
  • 路由分布
  • 数据平面安全性参数的分布
  • 路由策略的分配

二、Overlay Management Protocol 

  • 基于TCP的可扩展控制平面协议
  • 在vEdge路由器和vSmart控制器之间以及vSmart控制器之间运行:内部永久TLS / DTLS连接 ;开机自动启用
  • vSmarts创建OMP对等方的完整网格
  • vEdge路由器不需要与所有vSmart建立peer(如上图三台vSmart,vEdge默认只与其中两台vSmart控制层面链接,另一台就是备份)

三、在OMP中发布的路由类型(OMP 路由、TLOC 路由、Network-service 路由)

 三种主要路由:

  • OMP routes (常叫做 vRoutes)—在使用OMP协调的传输网络的端点之间建立可达性的前缀。 OMP路由可以代表中央数据中心中的服务,分支机构中的服务,或覆盖网络中任何位置的主机和其他端点的集合。 OMP路由需要并解析为功能转发的TLOC。 与BGP相比,OMP路由等效于任何BGP AFI / SAFI字段中携带的前缀。
  • Transport locations (TLOCs)—将OMP路由绑定到物理位置的标识符。 TLOC是OMP路由域中唯一对下层网络可见的实体,并且必须可以通过OC中的路由来访问它。基础网络。 TLOC可以通过物理网络路由表中的条目直接访问,或者必须由位于NAT设备外部的前缀表示,并且必须包含在路由表中。 在与BGP相比,TLOC充当OMP路由的下一跳。
  • Service routes—将OMP路由与网络中的服务相关联的标识符,指定服务在网络中的位置。 服务包括防火墙,入侵检测系统(IDP)和负载平衡器。 服务路由信息同时包含在服务路由和OMP路由中。

3.1 OMP routes (常叫做 vRoutes)

  • 从本地服务端学到的路由(如上图三条路由动态、静态、直连,也统称服务策略ServiceSide)
  • 宣告给vSmart控制器(通过控制层面) ,vSmart通过OMP协议宣告给其他的vEdge
  • 最突出的属性: 
    TLOC #vRoute的下一跳的传输位置标识符。 它类似于BGP NEXT_HOP属性。 (系统IP地址,颜色,封装类型)
Site-ID #站点ID
Tag  #路由的tag
Preference  #  #OMP路由的优先级。 较高的优先级值是更优选的。
Originator System IP  #路由始发者的OMP标识符,即从中获知路由的IP地址(对端的管理IP地址)。
Origin Protocol  #原始路由协议(如动态、静态、直连),以及与原始路由关联的度量。
Origin Metric #原始路由
AS PATH  #  路径
Label   #  标签
VPN ID  # 内网分成VPN的ID

上图例子:三台vEdge设备S1 WAN IP /TLOC:1.1.7.11(上联Transport端口)  S2:1.1.17.16  S3:1.1.12.13,它们有共同站点内网VPN1(如果若新增VPN1、VPN2,相互之间默认无法互通)

第一步:OMP协议从S1设备学习到OSPF路由
第二步:vSmart通过控制层面隧道学习到OSPF路由
第三步:vSmart自身应用路由策略
第四步:vSmart向其他站点反射路由信息(就从S1学习到的OSPF路由反射给S1和S3)
第五步:其他站点将路由信息重分布给自己内网站点的路由协议

c---chosen:表示路由选择(可以理解为最佳路由)
I---Installed:已加载路由,放置至路由表中
Red----redistributed:重分布
Rej---rejected:拒绝
L---looped:环路
R---resolved:解析成功
S---stale:
Ext---estrange:
Inv---invalid:非法的
Stg---staged:
U---TLOC unresolved: 解析不成功的

3.2 Transport locations (TLOCs)

  • 将连接位置路由到物理网络
  • 宣告给vSmart控制器
  • 最突出的属性:
Site-ID  # 站点IP
Encap-SPI  # 封装
Encap-Authentication  #  封装认证方式
Encap-Encryption  # 封装加密方式
Public IP  # 公网IP
Public Port  #公网端口
Private IP  # 私网IP
Private Port # 私网端口
BFD-Status #
Tag  #
Weight  #  权重

  • 5个vEdge,每个vEdge分别有两个网络MPLS和INET
  • 每个vEdge都需要和vSmart建立控制层面隧道,宣告给了vSmart; vSmart将TLOCs宣告给所有vEdge
  • 数据层面,所有vEdge之间建立IPsec隧道,成功后存在三种IPsec Tunnel:MPLS---MPLS;INET---INET;MPLS---INET(一般不存在)

  • vEdge连接两个网络,Internet(VM12)、MPSL(VM14);分别标记链路颜色gold和mpls;
  • vEdge的站点ID设置为100,sysytem-IP:172.1.100.6;与其他vEdge的IP是私网互通(前提OMP通告成功)
  • TLOC:通告的私网内网地址,颜色,链路封装 ; 从vSmart查看去往vEdge有两条TLOC;

  • 如果两个vEdge分别存在两条链路均是internet(如1条电信1条联通),查看vEdge设备的应该存在4条tunnel;
  • 选项“Color restrict will prevent attempt to establish IPSec tunnel to TLOCs with different color”,如果不选择该项默认只要OMP成立建立所有tunnel; 如果选择,不同颜色的TLOC不会建立tunnel(如上图T2和T4,T2和T3不会建立tunnel);
  • 如果两个vEdge分别存在两条链路是internet和MPLS,查看vEdge设备的应该存在2条tunnel(intetnet和MPLS不互通);

  

  • 广告网络服务的路由,即通用防火墙,IDS,IPS
  • 公布给vSmart控制器
  • 最突出的属性:
VPN-ID
Service-ID (FW, IDS, IDP or generic net-svc)
Originator System IP
TLOC
Label
Originator-id
Path-id

3.3 Network-Service routes

  • 宣告网络服务的路由,即通过防火墙、IDS、IPS   ; (即是在某台vEdge内网存在一台防火墙,想实现所有路由经防火墙的inside进去,outside出来,做到流量清洗、过滤和检查等)
  • 宣告给vSmart控制器
  • 最突出的属性:
VPN-ID
Service-ID #FW, IDS, IDP or generic net-svc
Originator System IP
TLOC
Label
Originator-id
Path-id

3.4   选择从多个vEdge设备获知的OMP路由

  • 默认值:vSmart通告的4条路径  (也可以更改)
  • 可以将备份路由发布到vEdge,以实现更快的融合

SD-WAN  OMP路由宣告:

1.下一跳的TLOC可达(TLOC IP要宣告到overlay network中)
2.路由源的优先级,首选起源于vedge-route,备选起源于vsmart-route
3.AD管理距离,选择管理距离最小的OMP路由(OMP default 250)
4.路由优先级,选择最高preference的vroute
5.TLOC优先级,选择最高的TLOC preference(vedge IP)
6.origin(路由起源)(是vedge宣告service-side路由进入overlay网络)
按照传统路由方式顺序选择(直连->静态->EBGP->O->O IA->O E1/E2->IBGP->unknown)
7.裁判1选择最高的system-IP宣告的vroute (vedge router-id)8.裁判2选择最高的 private TLOC IP宣告的vroute(默认public TLOC IP=private TLOC IP)

四、路由重分布(本地到OMP、OMP到本地)

4.1  服务(本地-----站点)路由到OMP,自动重分布,即是去往vSmart的路由

  • 路由自动重分布(用户端service端可能是直连的,静态的,OSPF区域间和OSPF区域内)
  • 但是,除了BGP和OSPF外部路由(因为有可能造成环路),需要特殊配置

 4.2  OMP到服务(站点----本地)路由,即是从vSmart回来的路由

  • 需要在每个路由器上本地手动配置
  • 避免路由过度传播到本地协议

4.2.1 OSFP路由重分布

  • 如果采用ospf外部路由, 通告时采用DN比特位,用于防止环路;

4.2.2 BGP路由重分布

  •  AS-Path 不可传递起源扩展社区站点设置用于环路检测So0-0:site-id

 

 

 

 

 

 

五 、简单的show命令

show omp peers  显示活动的 OMP 邻居
show ip route   显示本地路由表中的条目
show omp routes  显示所有OMP路由信息
show omp tlocs   显示宣告的TLOC路由
show omp summary  显示OMP会话的信息

 

.......

posted on 2021-01-13 14:59  CARLOS_KONG  阅读(4822)  评论(0编辑  收藏  举报

导航