自学思科SD-WAN OMP协议原理详解(Overlay Management Protocol)
目录:
- 章节1:什么是 overlay 路由?
- 章节2:Overlay Management Protocol
- 章节3:在OMP中发布的路由类型(OMP 路由、TLOC 路由、Network-service 路由)
- 章节4:路由重分布(本地到OMP、OMP到本地)
- 章节5:简单的show命令
一、什么是 overlay路由?
OMP 在以下情况扮演了重要角色:
- 编排:站点之间的路由和安全连接;服务链接;VPN拓扑
- 路由分布
- 数据平面安全性参数的分布
- 路由策略的分配
二、Overlay Management Protocol
- 基于TCP的可扩展控制平面协议
- 在vEdge路由器和vSmart控制器之间以及vSmart控制器之间运行:内部永久TLS / DTLS连接 ;开机自动启用
- vSmarts创建OMP对等方的完整网格
- vEdge路由器不需要与所有vSmart建立peer(如上图三台vSmart,vEdge默认只与其中两台vSmart控制层面链接,另一台就是备份)
三、在OMP中发布的路由类型(OMP 路由、TLOC 路由、Network-service 路由)
三种主要路由:
- OMP routes (常叫做 vRoutes)—在使用OMP协调的传输网络的端点之间建立可达性的前缀。 OMP路由可以代表中央数据中心中的服务,分支机构中的服务,或覆盖网络中任何位置的主机和其他端点的集合。 OMP路由需要并解析为功能转发的TLOC。 与BGP相比,OMP路由等效于任何BGP AFI / SAFI字段中携带的前缀。
- Transport locations (TLOCs)—将OMP路由绑定到物理位置的标识符。 TLOC是OMP路由域中唯一对下层网络可见的实体,并且必须可以通过OC中的路由来访问它。基础网络。 TLOC可以通过物理网络路由表中的条目直接访问,或者必须由位于NAT设备外部的前缀表示,并且必须包含在路由表中。 在与BGP相比,TLOC充当OMP路由的下一跳。
- Service routes—将OMP路由与网络中的服务相关联的标识符,指定服务在网络中的位置。 服务包括防火墙,入侵检测系统(IDP)和负载平衡器。 服务路由信息同时包含在服务路由和OMP路由中。
3.1 OMP routes (常叫做 vRoutes)
- 从本地服务端学到的路由(如上图三条路由动态、静态、直连,也统称服务策略ServiceSide)
- 宣告给vSmart控制器(通过控制层面) ,vSmart通过OMP协议宣告给其他的vEdge
- 最突出的属性:
TLOC #vRoute的下一跳的传输位置标识符。 它类似于BGP NEXT_HOP属性。 (系统IP地址,颜色,封装类型) Site-ID #站点ID Tag #路由的tag Preference # #OMP路由的优先级。 较高的优先级值是更优选的。 Originator System IP #路由始发者的OMP标识符,即从中获知路由的IP地址(对端的管理IP地址)。 Origin Protocol #原始路由协议(如动态、静态、直连),以及与原始路由关联的度量。 Origin Metric #原始路由 AS PATH # 路径 Label # 标签 VPN ID # 内网分成VPN的ID
上图例子:三台vEdge设备S1 WAN IP /TLOC:1.1.7.11(上联Transport端口) S2:1.1.17.16 S3:1.1.12.13,它们有共同站点内网VPN1(如果若新增VPN1、VPN2,相互之间默认无法互通)
第一步:OMP协议从S1设备学习到OSPF路由 第二步:vSmart通过控制层面隧道学习到OSPF路由 第三步:vSmart自身应用路由策略 第四步:vSmart向其他站点反射路由信息(就从S1学习到的OSPF路由反射给S1和S3) 第五步:其他站点将路由信息重分布给自己内网站点的路由协议
c---chosen:表示路由选择(可以理解为最佳路由) I---Installed:已加载路由,放置至路由表中 Red----redistributed:重分布 Rej---rejected:拒绝 L---looped:环路 R---resolved:解析成功 S---stale: Ext---estrange: Inv---invalid:非法的 Stg---staged: U---TLOC unresolved: 解析不成功的
3.2 Transport locations (TLOCs)
- 将连接位置路由到物理网络
- 宣告给vSmart控制器
- 最突出的属性:
Site-ID # 站点IP Encap-SPI # 封装 Encap-Authentication # 封装认证方式 Encap-Encryption # 封装加密方式 Public IP # 公网IP Public Port #公网端口 Private IP # 私网IP Private Port # 私网端口 BFD-Status # Tag # Weight # 权重
- 5个vEdge,每个vEdge分别有两个网络MPLS和INET
- 每个vEdge都需要和vSmart建立控制层面隧道,宣告给了vSmart; vSmart将TLOCs宣告给所有vEdge
- 数据层面,所有vEdge之间建立IPsec隧道,成功后存在三种IPsec Tunnel:MPLS---MPLS;INET---INET;MPLS---INET(一般不存在)
- vEdge连接两个网络,Internet(VM12)、MPSL(VM14);分别标记链路颜色gold和mpls;
- vEdge的站点ID设置为100,sysytem-IP:172.1.100.6;与其他vEdge的IP是私网互通(前提OMP通告成功)
- TLOC:通告的私网内网地址,颜色,链路封装 ; 从vSmart查看去往vEdge有两条TLOC;
- 如果两个vEdge分别存在两条链路均是internet(如1条电信1条联通),查看vEdge设备的应该存在4条tunnel;
- 选项“Color restrict will prevent attempt to establish IPSec tunnel to TLOCs with different color”,如果不选择该项默认只要OMP成立建立所有tunnel; 如果选择,不同颜色的TLOC不会建立tunnel(如上图T2和T4,T2和T3不会建立tunnel);
- 如果两个vEdge分别存在两条链路是internet和MPLS,查看vEdge设备的应该存在2条tunnel(intetnet和MPLS不互通);
- 广告网络服务的路由,即通用防火墙,IDS,IPS
- 公布给vSmart控制器
- 最突出的属性:
VPN-ID Service-ID (FW, IDS, IDP or generic net-svc) Originator System IP TLOC Label Originator-id Path-id
3.3 Network-Service routes
- 宣告网络服务的路由,即通过防火墙、IDS、IPS ; (即是在某台vEdge内网存在一台防火墙,想实现所有路由经防火墙的inside进去,outside出来,做到流量清洗、过滤和检查等)
- 宣告给vSmart控制器
- 最突出的属性:
VPN-ID Service-ID #FW, IDS, IDP or generic net-svc Originator System IP TLOC Label Originator-id Path-id
3.4 选择从多个vEdge设备获知的OMP路由
- 默认值:vSmart通告的4条路径 (也可以更改)
- 可以将备份路由发布到vEdge,以实现更快的融合
SD-WAN OMP路由宣告:
1.下一跳的TLOC可达(TLOC IP要宣告到overlay network中) 2.路由源的优先级,首选起源于vedge-route,备选起源于vsmart-route 3.AD管理距离,选择管理距离最小的OMP路由(OMP default 250) 4.路由优先级,选择最高preference的vroute 5.TLOC优先级,选择最高的TLOC preference(vedge IP) 6.origin(路由起源)(是vedge宣告service-side路由进入overlay网络) 按照传统路由方式顺序选择(直连->静态->EBGP->O->O IA->O E1/E2->IBGP->unknown) 7.裁判1 选择最高的system-IP宣告的vroute (vedge router-id) 8.裁判2 选择最高的 private TLOC IP宣告的vroute(默认public TLOC IP=private TLOC IP)
四、路由重分布(本地到OMP、OMP到本地)
4.1 服务(本地-----站点)路由到OMP,自动重分布,即是去往vSmart的路由
- 路由自动重分布(用户端service端可能是直连的,静态的,OSPF区域间和OSPF区域内)
- 但是,除了BGP和OSPF外部路由(因为有可能造成环路),需要特殊配置
4.2 OMP到服务(站点----本地)路由,即是从vSmart回来的路由
- 需要在每个路由器上本地手动配置
- 避免路由过度传播到本地协议
4.2.1 OSFP路由重分布
- 如果采用ospf外部路由, 通告时采用DN比特位,用于防止环路;
4.2.2 BGP路由重分布
- AS-Path 不可传递起源扩展社区站点设置用于环路检测So0-0:site-id
五 、简单的show命令
show omp peers 显示活动的 OMP 邻居 show ip route 显示本地路由表中的条目 show omp routes 显示所有OMP路由信息 show omp tlocs 显示宣告的TLOC路由 show omp summary 显示OMP会话的信息
.......